AW: AW: kann mich bei cyrus nicht einloggen
Hi Johannes,
Hast Du an der /etc/sysconfig/saslauthd etwas geändert? Dort sollte "SASLAUTHD_AUTHMECH=pam" drinstehen.
Was soll das, der gute Mann will gerade sasl konfigurieren und nicht pam.... das ist falsch ! Die sasl db wird nur über saslauthd benutzt, nicht aber über pam...
Wahlweise kannst Du probehalber statt dessen auch in der Datei /etc/imapd.conf die Zeile
sasl_pwcheck_method: saslauthd
in
sasl_pwcheck_method: pam
dito, Die Mail Autorisierung sollte aus Sicherheitsgründen nicht der des Logins entsprechen und umgekehrt. genau deshalb ja sasl ... Einfach mal als user: cyrus anmelden oder über root "su - cyrus" und "cyradm localhost" starten ..... mfg: Thomas Berger
On Thu, Mar 20, 2003 at 03:22:43PM +0100, Berger Thomas wrote:
Hast Du an der /etc/sysconfig/saslauthd etwas geändert? Dort sollte "SASLAUTHD_AUTHMECH=pam" drinstehen. Was soll das, der gute Mann will gerade sasl konfigurieren und nicht pam.... das ist falsch ! Die sasl db wird nur über saslauthd benutzt, nicht aber über pam...
Gut, und wie sollte das dann statt dessen aussehen? BTW: ich habe einfach nur geschaut, was bei einer frischen Installation des Pakets dort eingetragen ist. Heisst das also, dass der saslauthd standardmässig die Authentifizierung über die normalen Loginauthentifizierungsmechanismen vornimmt, sprich das einfach transparent weiterleitet? Oder wie ist die oben besprochene Standardkonfiguration zu verstehen?
Wahlweise kannst Du probehalber statt dessen auch in der Datei /etc/imapd.conf die Zeile
sasl_pwcheck_method: saslauthd
in
sasl_pwcheck_method: pam
dito, Die Mail Autorisierung sollte aus Sicherheitsgründen nicht der des Logins entsprechen und umgekehrt. genau deshalb ja sasl ...
Das war nur zu Testzwecken, einfach, um die Konfiguration der anzugleichen, die bei mir läuft, damit ich eine definierte Ausgangsbasis habe zum Fehlersuchen. Aber das nur am Rande... Irgendwie ist mir da aber noch etwas unklar. Bei mir sieht es so aus wie hier angesagt, also "sasl_pwcheck_method: pam". Trotzdem muss ich die Benutzer mit "saslpasswd" in der sasldb anlegen, es reicht keinesfalls, die Benutzer "nur" lokal als Loginuser anzulegen. Wie passt das mit dem zusammen, was Du erzählst? *grübel* Ich bitte darum, den gordischen Knoten in meinem Hirn zu durchtrennen... :-) Hannes
Hi Johannes,
Hast Du an der /etc/sysconfig/saslauthd etwas geändert?
Das ist SuSE spezifisch - gehört nicht direkt zu cyrus. Wahrscheinlich die globale SuSE Config - keine Ahnung. Ich habe mein eigenes LFS System.....
Gut, und wie sollte das dann statt dessen aussehen?
Eine mögliche imapd.conf Konfiguration ( Ausschnitt ) sasl_pwcheck_method: saslauthd sievedir: /usr/sieve sasl_mech_list: PLAIN allowplaintext: yes admins: cyrus allowanonymouslogin: no Bei "sasl_pwcheck_method: pam" wird eben pam genutzt und der saslauthd gar nicht erst bemüht, zumindest nicht vom imap...
Heisst das also, dass der saslauthd standardmässig die Authentifizierung über die normalen Loginauthentifizierungsmechanismen vornimmt, sprich das einfach transparent weiterleitet? Oder wie ist die oben besprochene Standardkonfiguration zu verstehen?
Nicht ganz, der saslauthd ist ein eigenständiger Part der nur über den Aufruf gesteuert werden kann: loadproc /usr/sbin/saslauthd -a sasldb & -a steht für die Authentifizierungsmethode. Weitere mögliche Angaben sind: -a sasldb -a pam -a kerberos4 -a kerberos5 -a ldap usw... Etwas verwirrend was. Aber das ganze kommt daher, das cyrus-sasl und cyrus-imap zwei getrennte Projekte sind. Diese sind sehr gut aufeinander abgestimmt und trotzdem lassen Sie Dir die Freiheit auch weiterhin andere Konstallationen zu nutzen. obige Konstallation kann aber ohne Änderung trotzdem pam nutzen, ganz einfach - indem der saslauthd wie folgt aufgerufen wird: loadproc /usr/sbin/saslauthd -a pam & Das bedeutet imap nutzt zwar saslauthd aber dieser erledigt seine Arbeit über pam... So nun müsste eigentlich alles gesagt sein. Ich hoffe ich habe keine Fehler gemacht, aber bisher hat meine Logik gefunzt.... Aber Achtung, wenn Postfix ins Spiel kommt - nicht vergessen unter /usr/lib/sasl2 die Datei: smtpd.conf zu erstellen: Inhalt: pwcheck_method: saslauthd Jaja, jeder und alles kann konfiguriert werden und was sagt uns das: Ganz einfach - auf die Mischung kommt es an - , also dann guten Hunger mfg: Thomas Berger
Hallo,
Thomas Berger
Hi Johannes,
[...]
Eine mögliche imapd.conf Konfiguration ( Ausschnitt )
sasl_pwcheck_method: saslauthd sievedir: /usr/sieve sasl_mech_list: PLAIN allowplaintext: yes admins: cyrus allowanonymouslogin: no
Bei "sasl_pwcheck_method: pam" wird eben pam genutzt und der saslauthd gar nicht erst bemüht, zumindest nicht vom imap... [...]
saslauthd kann auch mit PAM oder anderen Authentifizierungsmethoden genutzt werden, das ist abhängig davon, welcher Parameter beim Aufruf des Daemons genutzt wird. Als Parameter sind bei Version 2.1.12 gültig ldap, kerberos (4+5), pam, sasldb und getpwent, als Besonderheit für einige Betriessysteme noch rimap, sia und shadow. Ich vermute mal, daß SuSE "saslauthd -a getpwent" aufruft, denn damit wird /etc/passwd konsultiert. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
participants (4)
-
Berger Thomas -
Dieter Kluenter -
Johannes Studt -
Thomas Berger