Hallo Liste. Ich habe da noch ein Verständnisproblem mit saslauthd und cyrus. Die Konfiguration: mailsrv:~ # grep sasl /etc/imapd.conf sasl_pwcheck_method: saslauthd saslauthd läuft: mailsrv:~ # rcsaslauthd status Checking for service saslauthd: running Wenn ich nun Mails abholen will, dann kann sich jeder Systemuser bei Cyrus einloggen, und zwar mit seinem Systempasswort. Jetzt habe ich eingegeben: mailsrv:~ # saslpasswd2 smptest Password: Again (for verification): Jetzt ergibt mailsrv:~ # sasldblistusers2 smptest@mailsrv: userPassword Versuche ich nunmehr, vom Cyrus Mails für smptest abzuholen, dann sagen die Logs: Mar 16 13:43:23 mailsrv pop3[5298]: badlogin: [192.168.0.98] plaintext smptest SASL(-13): authentication failure: checkpass failed Warum? -- Andre Tann
Andre Tann wrote:
Hallo Liste.
Ich habe da noch ein Verständnisproblem mit saslauthd und cyrus. Die Konfiguration:
mailsrv:~ # grep sasl /etc/imapd.conf sasl_pwcheck_method: saslauthd
saslauthd läuft:
mailsrv:~ # rcsaslauthd status Checking for service saslauthd: running
Wenn ich nun Mails abholen will, dann kann sich jeder Systemuser bei Cyrus einloggen, und zwar mit seinem Systempasswort.
Jetzt habe ich eingegeben:
mailsrv:~ # saslpasswd2 smptest Password: Again (for verification):
Jetzt ergibt
mailsrv:~ # sasldblistusers2 smptest@mailsrv: userPassword
Versuche ich nunmehr, vom Cyrus Mails für smptest abzuholen, dann sagen die Logs:
Mar 16 13:43:23 mailsrv pop3[5298]: badlogin: [192.168.0.98] plaintext smptest SASL(-13): authentication failure: checkpass failed
Was sagt den ein Test mit testsaslauthd? testsaslauthd -u user -p password -s smtp -r mailsrv Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Sandy Drobic, Donnerstag, 16. März 2006 17:00:
Was sagt den ein Test mit testsaslauthd?
testsaslauthd -u user -p password -s smtp -r mailsrv
mailsrv:~ # testsaslauthd -u smptest -p xxx -s smtp -r mailsrv 0: NO "authentication failed" Und, da ich ja den Cyrus ansprechen will: mailsrv:~ # testsaslauthd -u smptest -p xxx -s pop3 -r mailsrv 0: NO "authentication failed" Ich hab extra den Eintrag nochmal gelöscht, und neu angelegt, um sicher zu sein, daß ich das Paßwort richtig habe (per copy&paste eingefügt). Erwartet -p die Angabe des Paßwortes im Klartext? man testsaslauthd half mir leider nicht weiter... -- Andre Tann
Andre Tann wrote:
Sandy Drobic, Donnerstag, 16. März 2006 17:00:
Was sagt den ein Test mit testsaslauthd?
testsaslauthd -u user -p password -s smtp -r mailsrv
mailsrv:~ # testsaslauthd -u smptest -p xxx -s smtp -r mailsrv 0: NO "authentication failed"
Und, da ich ja den Cyrus ansprechen will:
mailsrv:~ # testsaslauthd -u smptest -p xxx -s pop3 -r mailsrv 0: NO "authentication failed"
Ich hab extra den Eintrag nochmal gelöscht, und neu angelegt, um sicher zu sein, daß ich das Paßwort richtig habe (per copy&paste eingefügt).
Erwartet -p die Angabe des Paßwortes im Klartext? man testsaslauthd half mir leider nicht weiter...
Lade mal saslfinger runter und poste die Ausgabe davon. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Andre Tann schrieb:
Hallo Liste.
Ich habe da noch ein Verst�ndnisproblem mit saslauthd und cyrus. Die Konfiguration:
mailsrv:~ # grep sasl /etc/imapd.conf sasl_pwcheck_method: saslauthd
ich glaube, das hängt damit zusammen, dass seit einiger Zeit dies da stehen sollte: sasl_pwcheck_method: auxprop (bei mir funktioniert cyrus-imap(s) und -pop3(s) damit einwandfrei. -Ingo.
Am Donnerstag, 16. März 2006 17:28 schrieb Ingo Freund:
Andre Tann schrieb:
Hallo Liste.
Ich habe da noch ein Verst�ndnisproblem mit saslauthd und cyrus. Die Konfiguration:
mailsrv:~ # grep sasl /etc/imapd.conf sasl_pwcheck_method: saslauthd
ich glaube, das hängt damit zusammen, dass seit einiger Zeit dies da stehen sollte:
sasl_pwcheck_method: auxprop
(bei mir funktioniert cyrus-imap(s) und -pop3(s) damit einwandfrei. -Ingo.
Wenn ich mich recht entsinne, kennt saslauthd auch mehrere Authentifizierungsmechanismen und dem muss man dann auch sagen, welche er verwenden soll....Kann aber auch sein, dass ich mich täusche, ist alles schon ne Weile her. Aber wenn dem so ist, scheint der die passwd zu verwenden und nicht seine sasldb. Mfg, Thomas
Ingo Freund schrieb:
Andre Tann schrieb:
Hallo Liste.
Ich habe da noch ein Verst�ndnisproblem mit saslauthd und cyrus. Die Konfiguration:
mailsrv:~ # grep sasl /etc/imapd.conf sasl_pwcheck_method: saslauthd
ich glaube, das hängt damit zusammen, dass seit einiger Zeit dies da stehen sollte:
sasl_pwcheck_method: auxprop
(bei mir funktioniert cyrus-imap(s) und -pop3(s) damit einwandfrei. -Ingo.
entschuldigung, da habe ich ganz übersehen, dass das auf einer Maschine ist, die gegen eine saslpasswd2 Datenbank authentifiziert. Wenn du gegen die Systemdatenbanken passwd und shadow arbeitest, dann ist dein Eintrag in /etc/imapd.conf für sasl_pwcheck_method natürlich richtig. -Ingo.
Andre Tann schrieb:
Hallo Liste.
Ich habe da noch ein Verst�ndnisproblem mit saslauthd und cyrus. Die Konfiguration:
mailsrv:~ # grep sasl /etc/imapd.conf sasl_pwcheck_method: saslauthd
saslauthd l�uft:
mailsrv:~ # rcsaslauthd status Checking for service saslauthd: running
Wenn ich nun Mails abholen will, dann kann sich jeder Systemuser bei Cyrus einloggen, und zwar mit seinem Systempasswort.
Also um das noch mal klar zu stellen: Du schreibst, dass deine User die Mails per imap oder pop3 mit Hilfe Ihrer normalen Systemkontozugänge abholen sollen. Ergo ist die user Datenbank "saslpasswd(2)" dafür nicht geeignet. Du brauchst dafür dann natürlich Zugriff auf die Zugangsdaten, die in /etc/passwd bzw /etc/shadow gespeichert sind. cyrus autentifiziert mit mit sasl, daher muß natürlich saslauthd laufen. Das ist bei dir ja auch der Fall. Nun muß aber der saslauthd auch wissen, wogegen er authentifizieren soll. Dass sagst du ihm in /etc/sysconfig/saslauthd mit SASLAUTHD_AUTHMECH=pam. Wie schon gesagt, in /etc/imapd.conf muss dann (u.a.) stehen: sasl_pwcheck_method: saslauthd Eigentlich sollte damit alles laufen (saslauthd- und cyrus-Neustart nach Konfigurationsänderungen nicht vergessen). -Ingo.
Hallo Ingo. Ingo Freund, Donnerstag, 16. März 2006 20:08:
Du schreibst, dass deine User die Mails per imap oder pop3 mit Hilfe Ihrer normalen Systemkontozugänge abholen sollen.
Ich schreibe, daß die User ihre Mails auf diese Weise abholen _können_. Ich hätte es aber lieber anders, nämlich so, daß ich überhaupt keine Systemuser dafür brauche, sondern nur die sasldb.
Nun muß aber der saslauthd auch wissen, wogegen er authentifizieren soll. Dass sagst du ihm in /etc/sysconfig/saslauthd mit SASLAUTHD_AUTHMECH=pam.
So steht es da auch.
Wie schon gesagt, in /etc/imapd.conf muss dann (u.a.) stehen: sasl_pwcheck_method: saslauthd
OK. Aber wie sage ich dem saslauthd, daß er gegen die sasldb authentifizieren soll? -- Andre Tann
Andre Tann wrote:
Hallo Ingo.
Ingo Freund, Donnerstag, 16. März 2006 20:08:
Du schreibst, dass deine User die Mails per imap oder pop3 mit Hilfe Ihrer normalen Systemkontozugänge abholen sollen.
Ich schreibe, daß die User ihre Mails auf diese Weise abholen _können_. Ich hätte es aber lieber anders, nämlich so, daß ich überhaupt keine Systemuser dafür brauche, sondern nur die sasldb.
Nun muß aber der saslauthd auch wissen, wogegen er authentifizieren soll. Dass sagst du ihm in /etc/sysconfig/saslauthd mit SASLAUTHD_AUTHMECH=pam.
So steht es da auch.
Wie schon gesagt, in /etc/imapd.conf muss dann (u.a.) stehen: sasl_pwcheck_method: saslauthd
OK. Aber wie sage ich dem saslauthd, daß er gegen die sasldb authentifizieren soll?
Grins! Gar nicht. Wenn du über sasldb authentifizieren willst, dann ist saslauthd außen vor. Er muss also nicht mehr laufen. Vorteil ist, dass du keine Systemuser mehr hast. Nachteil ist, dass die Datenbank für alle Dienste sichtbar sein muss, die darauf zugreifen sollen (Postfix, Cyrus...). Falls du irgendwas im chroot hast, bekommst du wahrscheinlich Probleme. saslauthd kann nur plain text Passwörter, sollte also immer nur über TLS laufen, sasldb kann auch shared secret Mechanismen wie crammd5 oder digestmd5 verwenden. Probiere es doch einfach aus mit einer Testinstallation. Teste es zuerst für Postfix und ändere die smtpd.conf entsprechend, dann für Cyrus. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Sandy Drobic, Freitag, 17. März 2006 10:12:
Grins! Gar nicht. Wenn du über sasldb authentifizieren willst, dann ist saslauthd außen vor. Er muss also nicht mehr laufen. Vorteil ist, dass du keine Systemuser mehr hast. Nachteil ist, dass die Datenbank für alle Dienste sichtbar sein muss, die darauf zugreifen sollen (Postfix, Cyrus...). Falls du irgendwas im chroot hast, bekommst du wahrscheinlich Probleme. saslauthd kann nur plain text Passwörter, sollte also immer nur über TLS laufen, sasldb kann auch shared secret Mechanismen wie crammd5 oder digestmd5 verwenden.
Hm, also langsam wird es mir zwar klarer, aber so richtig den Durchblick habe ich noch nicht. Weißt Du eine Quelle, wo man da kompakt nachlesen kann zu den Vor- und Nachteilen der einzelnen Mechanismen, und wie die Mechanismen zusammenhängen? Und von TLS weiß ich auch noch nichts - das muß ich mir auch erst noch anlesen... -- Andre Tann
Andre Tann wrote:
Sandy Drobic, Freitag, 17. März 2006 10:12:
Grins! Gar nicht. Wenn du über sasldb authentifizieren willst, dann ist saslauthd außen vor. Er muss also nicht mehr laufen. Vorteil ist, dass du keine Systemuser mehr hast. Nachteil ist, dass die Datenbank für alle Dienste sichtbar sein muss, die darauf zugreifen sollen (Postfix, Cyrus...). Falls du irgendwas im chroot hast, bekommst du wahrscheinlich Probleme. saslauthd kann nur plain text Passwörter, sollte also immer nur über TLS laufen, sasldb kann auch shared secret Mechanismen wie crammd5 oder digestmd5 verwenden.
Hm, also langsam wird es mir zwar klarer, aber so richtig den Durchblick habe ich noch nicht. Weißt Du eine Quelle, wo man da kompakt nachlesen kann zu den Vor- und Nachteilen der einzelnen Mechanismen, und wie die Mechanismen zusammenhängen?
Sorry, das ist einfach Wissen, das ich mir im Laufe der Zeit so angeeignet habe. Teilweise durch Lesen der Doku/man pages, teilweise durch Fachliteratur, teils auch durch Lerning-by-doing mit entsprechend viel Fluchen... Einiges kannst du aber auch durch Zurücklehnen und etwas Logik schon erkennen. So zum Beispiel, dass man plain Kennwörter eben nicht über eine unverschlüsselte Verbindung verwendet.
Und von TLS weiß ich auch noch nichts - das muß ich mir auch erst noch anlesen...
Für den Anfang reicht es ja, wenn du weisst, dass für TLS ein Zertifikat die Grundlage ist und dieses von einer Certificate Authority (CA) unterschrieben ist. Für den Hausgebrauch reicht ein selbst signiertes Zertifikat. Du musst für den Anfang ein selbstsigniertes Zertifikat erstellen (Anleitungen dazu gibt es genügend), dieses für die entsprechenden Anwendungen einbinden und die TLS-Optionen aktivieren. Das ist für Postfix nicht sehr schwer. Wenn das alles läuft, dann kannst du festsetzen, dass Postfix/Cyrus nur noch über eine verschlüsselte Verbindung arbeitet. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Hallo Andre, Am Freitag, den 17.03.2006, 11:19 +0100 schrieb Andre Tann:
Sandy Drobic, Freitag, 17. März 2006 10:12: ... Hm, also langsam wird es mir zwar klarer, aber so richtig den Durchblick habe ich noch nicht. Weißt Du eine Quelle, wo man da kompakt nachlesen kann zu den Vor- und Nachteilen der einzelnen Mechanismen, und wie die Mechanismen zusammenhängen?
Ich habe meinen Mailserver mit Postfix, Cyrus, SASL im wesentlichen nach dieser Anleitung Wollmilchsau Server: 4. Mailserver http://www.linuxnetmag.com/de/issue8/m8mailserver1.html eingerichtet. Weitere Informationen habe ich dann zu der Stichwortkombination 'Postfix Cyrus SASL' er'google't. Vielleicht hilft Dir das ja weiter. -- Dr. Reiner Pietrzak <suse@crasswerk.de> Abonnierte SuSE Mailinglisten
participants (5)
-
Andre Tann -
Dr. Reiner Pietrzak -
Ingo Freund -
Sandy Drobic -
Thomas Gräber