Hallo, folgende Fehlermeldung taucht im Logfile auf: Jan 19 14:21:51 ipx10076 sendmail[14276]: unknown password verifier System: SuSe 8.2, Sendmail 8.12.7 und Cyrus-Sasl 2.X die /usr/lib/sasl2/Sendmail.conf hat pwcheck_method: pam /etc/sysconfig/saslauthdb hat auch pam "drin". Doch wodurch kommt der Fehler? Alles Standardpakete und Online-Updates von SuSE sind auch installiert. Hat jemand eine Idee? Grüße Thorsten Hantke
Am Montag, 19. Januar 2004 14:25 schrieb T. Hantke:
folgende Fehlermeldung taucht im Logfile auf:
Jan 19 14:21:51 ipx10076 sendmail[14276]: unknown password verifier
System: SuSe 8.2, Sendmail 8.12.7 und Cyrus-Sasl 2.X die /usr/lib/sasl2/Sendmail.conf hat pwcheck_method: pam /etc/sysconfig/saslauthdb hat auch pam "drin".
"pwcheck_method: pam" ist veraltet bzw. gilt nur noch für sasl1. Bei sasl2 heisst es "pwcheck_method: saslauthd" wenn Du pam benutzen möchtest. (Natürlich musst Du saslauthd mit "-a pam" starten. -- Andreas
Andreas Winkelmann
Am Montag, 19. Januar 2004 14:25 schrieb T. Hantke:
folgende Fehlermeldung taucht im Logfile auf:
Jan 19 14:21:51 ipx10076 sendmail[14276]: unknown password verifier
System: SuSe 8.2, Sendmail 8.12.7 und Cyrus-Sasl 2.X die /usr/lib/sasl2/Sendmail.conf hat pwcheck_method: pam /etc/sysconfig/saslauthdb hat auch pam "drin".
"pwcheck_method: pam" ist veraltet bzw. gilt nur noch für sasl1. Bei sasl2 heisst es "pwcheck_method: saslauthd" wenn Du pam benutzen möchtest. (Natürlich musst Du saslauthd mit "-a pam" starten.
Das stimmt so nicht. Man MUSS nicht saslauthd benutzen, sondern kann auch, wie bisher, PAM über SASL aufrufen, oder eben auch einen anderen Mechanismus, wie DIGEST-MD5 oder GSSAPI, oder schlicht PLAIN für sendmail. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Am Montag, 19. Januar 2004 19:27 schrieb Dieter Kluenter:
"pwcheck_method: pam" ist veraltet bzw. gilt nur noch für sasl1. Bei sasl2 heisst es "pwcheck_method: saslauthd" wenn Du pam benutzen möchtest. (Natürlich musst Du saslauthd mit "-a pam" starten.
Das stimmt so nicht. Man MUSS nicht saslauthd benutzen, sondern kann auch, wie bisher, PAM über SASL aufrufen, oder eben auch einen anderen Mechanismus, wie DIGEST-MD5 oder GSSAPI, oder schlicht PLAIN für sendmail.
Bahnhof? Erkläre bitte "PAM über SASL aufrufen". Ich glaube Du schmeisst da was durcheinander. -- Andreas
Andreas Winkelmann
Am Montag, 19. Januar 2004 19:27 schrieb Dieter Kluenter:
"pwcheck_method: pam" ist veraltet bzw. gilt nur noch für sasl1. Bei sasl2 heisst es "pwcheck_method: saslauthd" wenn Du pam benutzen möchtest. (Natürlich musst Du saslauthd mit "-a pam" starten.
Das stimmt so nicht. Man MUSS nicht saslauthd benutzen, sondern kann auch, wie bisher, PAM über SASL aufrufen, oder eben auch einen anderen Mechanismus, wie DIGEST-MD5 oder GSSAPI, oder schlicht PLAIN für sendmail.
Bahnhof?
Erkläre bitte "PAM über SASL aufrufen". Ich glaube Du schmeisst da was durcheinander.
Beides, sowohl PAM als auch SASL, sind Methoden zur Authentifizierung,
ich möchte hier nicht auf Details eingehen, das könnten wir an anderer
Stelle diskutieren.
SASL, hier explizit cyrus-sasl, kann neben den bekannten Mechanismen,
über die API auxiliar properties zusätzliche Applikationen nutzen, so
z.B. PAM. PAM wieder konsultiert die für die Applikation relevante
Konfigurationsdatei (in /etc/pam.d/<applikation> zur
Authentifizierung. Das Ergebnis (OK oder ERROR) übermittelt dann das
PAM Modul an SASL.
Ich weiß das klingt kompliziert und unverständlich, aber es
funktioniert so zwischen den Unterschiedlichen Methoden und auch
Trägern von Authentifizierungsdaten, z.B. sasldb, LDAP, Kerberos-v5
oder einer RDBM.
Ein ganz kompliziertes Konstrukt wäre z.B.
ldap als Träger der Identität und Paßworthinweis
uid=franz
userPassword= {SASL} franz@MY.DOMAIN
Beachte bitte, das hier als Passwortdatenträger SASL definiert wird,
aber als User ein Kerberos Prinzipal.
eine Applikationskonfiguration in /usr/lib/sasl2/
Am Montag, 19. Januar 2004 23:35 schrieb Dieter Kluenter:
"pwcheck_method: pam" ist veraltet bzw. gilt nur noch für sasl1. Bei sasl2 heisst es "pwcheck_method: saslauthd" wenn Du pam benutzen möchtest. (Natürlich musst Du saslauthd mit "-a pam" starten.
Das stimmt so nicht. Man MUSS nicht saslauthd benutzen, sondern kann auch, wie bisher, PAM über SASL aufrufen, oder eben auch einen anderen Mechanismus, wie DIGEST-MD5 oder GSSAPI, oder schlicht PLAIN für sendmail.
Bahnhof?
Erkläre bitte "PAM über SASL aufrufen". Ich glaube Du schmeisst da was durcheinander.
Beides, sowohl PAM als auch SASL, sind Methoden zur Authentifizierung, ich möchte hier nicht auf Details eingehen, das könnten wir an anderer Stelle diskutieren.
SASL, hier explizit cyrus-sasl, kann neben den bekannten Mechanismen, über die API auxiliar properties zusätzliche Applikationen nutzen, so z.B. PAM. PAM wieder konsultiert die für die Applikation relevante Konfigurationsdatei (in /etc/pam.d/<applikation> zur Authentifizierung. Das Ergebnis (OK oder ERROR) übermittelt dann das PAM Modul an SASL. Ich weiß das klingt kompliziert und unverständlich, aber es funktioniert so zwischen den Unterschiedlichen Methoden und auch Trägern von Authentifizierungsdaten, z.B. sasldb, LDAP, Kerberos-v5 oder einer RDBM.
Ein ganz kompliziertes Konstrukt wäre z.B. ldap als Träger der Identität und Paßworthinweis uid=franz userPassword= {SASL} franz@MY.DOMAIN
Ich weiss nicht ob es so eine Referenz in LDAP gibt.
Beachte bitte, das hier als Passwortdatenträger SASL definiert wird, aber als User ein Kerberos Prinzipal. eine Applikationskonfiguration in /usr/lib/sasl2/
pwcheck_method: krb5
Aber das gibt es nicht. Unter sasl2 gibt es nur zwei mögliche Werte für pwcheck_method: und das ist entweder saslauthd oder auxprop. Früher (sasl1) gab es auch noch andere wie z.B. "pam" oder "krb5", aber das ist Vergangenheit. Jetzt funktioniert pam nur noch über saslauthd.
Saslauthd dagegen mit dem Flag ldap aufgerufen wird, also saslauthd -ldap.
"-ldap" gibt es nicht. Wenn Du saslauthd einen auth_mech übergeben möchtest, dann hinter "-a". Also z.B. "-a ldap".
Dieses Konstrukt funktioniert und macht auch bei bestimmten Situationen Sinn.
-- Andreas
Hallo,
Andreas Winkelmann
Am Montag, 19. Januar 2004 23:35 schrieb Dieter Kluenter:
"pwcheck_method: pam" ist veraltet bzw. gilt nur noch für sasl1. Bei sasl2 heisst es "pwcheck_method: saslauthd" wenn Du pam benutzen möchtest. (Natürlich musst Du saslauthd mit "-a pam" starten.
Das stimmt so nicht. Man MUSS nicht saslauthd benutzen, sondern kann auch, wie bisher, PAM über SASL aufrufen, oder eben auch einen anderen Mechanismus, wie DIGEST-MD5 oder GSSAPI, oder schlicht PLAIN für sendmail.
Bahnhof?
Erkläre bitte "PAM über SASL aufrufen". Ich glaube Du schmeisst da was durcheinander.
Beides, sowohl PAM als auch SASL, sind Methoden zur Authentifizierung, ich möchte hier nicht auf Details eingehen, das könnten wir an anderer Stelle diskutieren.
SASL, hier explizit cyrus-sasl, kann neben den bekannten Mechanismen, über die API auxiliar properties zusätzliche Applikationen nutzen, so z.B. PAM. PAM wieder konsultiert die für die Applikation relevante Konfigurationsdatei (in /etc/pam.d/<applikation> zur Authentifizierung. Das Ergebnis (OK oder ERROR) übermittelt dann das PAM Modul an SASL. Ich weiß das klingt kompliziert und unverständlich, aber es funktioniert so zwischen den Unterschiedlichen Methoden und auch Trägern von Authentifizierungsdaten, z.B. sasldb, LDAP, Kerberos-v5 oder einer RDBM.
Ein ganz kompliziertes Konstrukt wäre z.B. ldap als Träger der Identität und Paßworthinweis uid=franz userPassword= {SASL} franz@MY.DOMAIN
Ich weiss nicht ob es so eine Referenz in LDAP gibt.
Aber ich weiß, daß es so möglich ist :-)
Beachte bitte, das hier als Passwortdatenträger SASL definiert wird, aber als User ein Kerberos Prinzipal. eine Applikationskonfiguration in /usr/lib/sasl2/
pwcheck_method: krb5 Aber das gibt es nicht. Unter sasl2 gibt es nur zwei mögliche Werte für pwcheck_method: und das ist entweder saslauthd oder auxprop. Früher (sasl1) gab es auch noch andere wie z.B. "pam" oder "krb5", aber das ist Vergangenheit. Jetzt funktioniert pam nur noch über saslauthd.
Nein, das geht auch noch mit sasl2, durch die Möglichkeit, pwcheck_method und mech_list zu kombinieren. Dazu kommen dann noch weitere Optionsmöglichkeiten auf die ich hier nicht eingehen möchte, siehe dazu die Doku zu cyrus-sasl.
Saslauthd dagegen mit dem Flag ldap aufgerufen wird, also saslauthd -ldap.
"-ldap" gibt es nicht. Wenn Du saslauthd einen auth_mech übergeben möchtest, dann hinter "-a". Also z.B. "-a ldap".
Da hast du recht, ich war zu voreilig, ohne meine eigene Konfiguration zu lesen. Ich wollte aber eigentlich nicht durch Klugscheißerei glänzen, sondern auf die Möglichkeiten der Interoperabilität der unterschiedlichen Methoden der Authentifizierung hinweisen, Kerberos, SASL (Simple Authentication Security Layer), PAM (Plugable Authentication Module), OTP (One Time Password {opie, one password in everything}). Durch kluge Verknüpfung der unterschiedlichen Methoden läßt sich nahezu ein Single-Sign-On System realisieren. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Am Mittwoch, 21. Januar 2004 17:00 schrieb Dieter Kluenter:
Aber das gibt es nicht. Unter sasl2 gibt es nur zwei mögliche Werte für pwcheck_method: und das ist entweder saslauthd oder auxprop. Früher (sasl1) gab es auch noch andere wie z.B. "pam" oder "krb5", aber das ist Vergangenheit. Jetzt funktioniert pam nur noch über saslauthd.
Nein, das geht auch noch mit sasl2, durch die Möglichkeit, pwcheck_method und mech_list zu kombinieren. Dazu kommen dann noch weitere Optionsmöglichkeiten auf die ich hier nicht eingehen möchte, siehe dazu die Doku zu cyrus-sasl.
Die Doku kenne ich recht gut. Ok, schauen wir einfach mal in den Sourcecode zu Cyrus-SASL: struct sasl_verify_password_s _sasl_verify_password[] = { { "auxprop", &auxprop_verify_password }, #ifdef HAVE_PWCHECK { "pwcheck", &pwcheck_verify_password }, #endif #ifdef HAVE_SASLAUTHD { "saslauthd", &saslauthd_verify_password }, #endif #ifdef HAVE_ALWAYSTRUE { "alwaystrue", &always_true }, #endif { NULL, NULL } }; Das ist "auxprop", "pwcheck", "saslauthd" und "alwaystrue". Mehr gibt es nicht. "pam", "krb5" o.ä. Relikte aus sasl1 Zeiten werden nicht mehr direkt unterstüzt. Sie sind in die Zuständigkeit des saslauthd ausgelagert. Siehe Doku und Source. (Wir sollten den Thread allmählich beenden. Wenn noch Fragen/Anmerkungen sind, am besten PM.) -- Andreas
participants (3)
-
Andreas Winkelmann
-
Dieter Kluenter
-
T. Hantke