Authentication failed cyrus-imap zusammen mit ldap
Hallo Spezialisten, Ich habe auf meine Server Seit dem Wecksel auf die SuSE 9.2 kein cyrus mehr wegen login Probleme. Der Ldap geht, postfix geht auch leider bekomme ich die Meldúng von cyrus-imap saslauth ist auf ldap eingestellt. Jan 29 14:54:08 server master[12220]: about to exec /usr/lib/cyrus/bin/imapd Jan 29 14:54:08 server imap[12220]: executed Jan 29 14:54:08 server imap[12220]: accepted connection Jan 29 14:54:08 server saslauthd[3874]: Authentication failed for kerstin: Bind to ldap server failed (invalid user/password or insufficient access) (-7) Jan 29 14:54:08 server saslauthd[3874]: do_auth : auth failure: [user=kerstin] [service=imap] [realm=] [mech=ldap] [reason=Unknown] Jan 29 14:54:08 server imap[12220]: badlogin: tux110.engsystem.lan [192.xxx.x.xxx] plaintext kerstin SASL(-13):authentication failure: checkpass failed Danke für entsprechende Hinweise oder eine Klare Howdo im Net . Gruss Pat
Patrice Staudt <patrice.staudt@tiscali.fr> writes:
Das LDAP v3 erlaubt kein anonymous search, hast du binddn: und bindpw: in /etc/saslauthd.conf definiert? -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Dieter Kluenter schrieb:
Hallo Dieter, Ich habe die Version von ldap 2 oder 3 ??? # rpm -qa | grep ldap ldapcpplib-0.0.3-28 openldap2-client-2.2.15-5 nss_ldap-215-60 pam_ldap-169-29 yast2-ldap-2.10.4-2 yast2-ldap-client-2.10.7-2 openldap2-2.2.15-5 php4-ldap-4.3.8-8 In der /etc/saslauthd.conf Habe ich kein binddn und bindpw wie ist die syntax Danke für deine Hilfe Patrice
Hallo Patrice Patrice Staudt <patrice.staudt@tiscali.fr> writes:
Auszug aus der Datei LDAP-SASLAUTHD ,----[ saslauthd.conf ] | Create /usr/local/etc/saslauthd.conf and add the following (modify to fit your | environment): | ldap_servers: ldap://10.1.1.15/ ldap://10.1.1.25/ | ldap_bind_dn: cn=operator,ou=Profile,o=foo.com | ldap_password: secret | | Do not specify ldap_bind_*/ldap_password if you want to bind anonymously to | your ldap server(s). | | Run saslauthd: | saslauthd -a ldap | If you want to specify a different configuration file, you can do something | like: | saslauthd -a ldap -O /etc/saslauthd.conf | | For more command line options, check 'man saslauthd' `---- -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Hallo Dieter, Wo ist die Datei LDAP-SASLAUTHD bei mir finde ich nur das : erver:/cdserver/suse/suse # locate saslauthd /etc/init.d/rc3.d/K15saslauthd /etc/init.d/rc3.d/S07saslauthd /etc/init.d/rc5.d/K15saslauthd /etc/init.d/rc5.d/S07saslauthd /etc/init.d/saslauthd /etc/saslauthd.conf /etc/sysconfig/saslauthd /sbin/rcsaslauthd /usr/bin/testsaslauthd /usr/sbin/saslauthd /usr/share/man/man8/saslauthd.8.gz /var/adm/fillup-templates/sysconfig.saslauthd /var/run/sasl2/saslauthd.pid
Ist bei mir inb etwas so gewesen nur das ich nicht auf die option -O /etc/saslauthd.conf geachtet habe. ldap_servers: ldap://192.168.x.xxx/ ldap_bind_dn: cn=Manager,ou=Users,dc=engsystem,dc=net ldap_password: XXXXX Aber es kommt immer noch das gleich raus. Gibt es eine Test möglichkeit. Oder eine Gute Infos Quelle. Danke für deiner Hilfe. Patrice
Patrice Staudt <patrice.staudt@tiscali.fr> writes:
Hallo Dieter,
Wo ist die Datei LDAP-SASLAUTHD
Bei mir ist die Datei im Quellcode enthalten.
Auszug aus der Datei LDAP-SASLAUTHD
Als Testmöglichkeit bietet sich sample-server und sample-client an, die möglicherweise von SuSE nicht mitgeliefert werden, aber auf jeden Fall im Quellcode enthalten sind.Doku findest du jede Menge sowohl als Kommentar im Quellcode als auch im Verzeichnis doc des Quellcodes.Bei SuSE ist einiges unter /usr/share/doc/packages/cyrus-sasl/doc zu finden. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Dieter Kluenter schrieb:
erver:/usr/share/doc/packages/cyrus-sasl # saslauthd -d -a ldap -O /etc/saslauthd.conf saslauthd[7672] :main : num_procs : 5 saslauthd[7672] :main : mech_option: /etc/saslauthd.conf saslauthd[7672] :main : run_path : /var/run/sasl2/ saslauthd[7672] :main : auth_mech : ldap saslauthd[7672] :ipc_init : using accept lock file: /var/run/sasl2//mux.accept saslauthd[7672] :detach_tty : master pid is: 0 saslauthd[7672] :ipc_init : listening on socket: /var/run/sasl2//mux saslauthd[7672] :main : using process model saslauthd[7673] :get_accept_lock : acquired accept lock saslauthd[7672] :have_baby : forked child: 7673 saslauthd[7672] :have_baby : forked child: 7674 saslauthd[7672] :have_baby : forked child: 7675 saslauthd[7672] :have_baby : forked child: 7676 saslauthd[7673] :rel_accept_lock : released accept lock saslauthd[7674] :get_accept_lock : acquired accept lock saslauthd[7673] :do_auth : auth failure: [user=root] [service=imap] [realm=] [mech=ldap] [reason=Unknown] saslauthd[7673] :do_request : response: NO Und beim Test server:/usr/share/doc/packages/cyrus-sasl # testsaslauthd -u kerstin -p xxxxx saslauthd[14394] :rel_accept_lock : released accept lock saslauthd[14390] :get_accept_lock : acquired accept lock saslauthd[14394] :do_auth : auth failure: [user=kerstin] [service=imap] [realm=] [mech=ldap] [reason=Unknown] saslauthd[14394] :do_request : response: NO Ich weiß nicht mehr weiter :( Gruss Patrice
Hallo Patrice, Patrice Staudt <patrice.staudt@tiscali.fr> writes:
Ist uid=root im LDAP vorhanden? Wie sehen die access Regeln in slapd.conf aus? -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Dieter Kluenter schrieb:
Hallo Dieter, Ich habe den Eindruck es liegt an ldap. Da ich nicht sauber an das Login von Manager habe aber mit gq geht es ??? sldap.conf database ldbm suffix "dc=xxxxx,dc=net" rootdn "cn=Manager,dc=xxxxxxx,dc=net" # # Cleartext passwords, especially for the rootdn, should # be avoid. See slappasswd(8) and slapd.conf(5) for details. # Use of strong authentication encouraged. # Erzeugt mit #slappasswd rootpw {SSHA}xxxxxxxxxxxxxxxxxx # The database directory MUST exist prior to running slapd AND # should only be accessible by the slapd/tools. Mode 700 recommended. directory /var/lib/ldap # Indices to maintain # index objectClass eq index objectClass,uid,uidNumber,gidNumber,memberUid eq index cn,mail,surname,givenname eq,subinitial # # Rechte # access to attr=userPassword by self write by anonymous auth by dn="cn=Manager,dc=xxxxx,c=net" write by * none access to * by * read Dieter Danke für deine Hilfe. :) Patrice
Andreas Winkelmann schrieb:
Hallo Andreas, Auch Hier ? :) /etc/saslauthd.conf ldap_servers: ldap://192.168.xxx.xxx/ ldap_bind_dn: cn=Manager,dc=xxxxx,dc=net ldap_password: xxxxx ps ax 8960 ? Ssl 0:00 /usr/lib/openldap/slapd -h ldap:/// -u ldap -g ldap -o slp=on 9114 ? Ss 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9115 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9116 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9117 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9118 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf server:/etc/openldap # rpm -qi openldap2 Name : openldap2 Relocations: /usr Version : 2.2.15 Vendor: SUSE LINUX AG, Nuernberg, Germany Release : 5 Build Date: Sat Oct 2 11:00:57 2004 Eine Idee ? Gruss Patrice :)
Patrice Staudt <patrice.staudt@tiscali.fr> writes:
[...]
Das habe ich befürchtet :-( Bei älteren OpenLDAP Versionen < 2.2.18 muss aus unerfindlichen Gründen bei einer Authentifizierung mittels SASL Mechanism das Attribute userPassword wenigstens vergleichbar sein,also des Recht 'compare' besitzen. Ich habe aber auch schon bei einigen Versionen erlebt, dass 'read' nötig war, daher nie ein anonymous bind zur Authentifizierung verwenden, sondern immer mit binddn und bindpw in den Client Konfigurationen. Und binddn sollte entsprechende Rechte für das Attribut userPassword bekommen. Ein weiterer Hinweis: setze einmal in slapd.conf 'loglevel 128', und prüfe dann den Authentifizierungsstring in /var/log/localmessages, möglicherweise übergibt saslauthd noch einen Realm im Authentifizierungsstring. dann musst du noch 'sasl-realm' in slapd.conf konfigurieren. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Das habe ich befürchtet :-(
Hallo Dieter, Ich habe die Version 2.2.15 von der SuSE9.2. Ldap ist tool wenn es geht. ;) Sollte ich am besten ein Update vornehme ?
sasl-realm ohne Parameter da lässt sich rcldap nicht mehr starten Simmt dies ? 9114 ? Ss 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9115 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9116 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9117 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9118 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9330 ? S 0:00 [xfssyncd] 9334 ? S< 0:00 [loop0] 9385 ? Ssl 0:00 /usr/lib/openldap/slapd -h ldap:/// -u ldap -g ldap -o slp=on Danke Patrice :)
Patrice Staudt <patrice.staudt@tiscali.fr> writes:
Das habe ich befürchtet :-(
Nein, nicht unbedingt.
sasl-realm muss natürlich noch einen Wert zugewiesen werden, diesen Wert siehst du gegebenenfalls im Authentifizierungsstring, etwa in dieser Art: uid=blafasl,cn=<NAME>,cn=DIGEST-MD5,cn=auth wenn ohne Realm authentifiziert wird, uid=blafasl,cn=DIGEST-MD5,dn=auth -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
sasl-realm muss natürlich noch einen Wert zugewiesen werden, diesen
So Dieter, in der sldap.conf sasl-realm Manager oder sollte da die Name aller User dann was sollte dann noch ldap seien ? loglevel 128 Feb 5 15:49:36 server slapd[14066]: => acl_get: [1] attr userPassword Feb 5 15:49:36 server slapd[14066]: access_allowed: no res from state (userPassword) Feb 5 15:49:36 server slapd[14066]: => acl_mask: access to entry "uid=kerstin,ou=Users,dc=engsystem,dc=net", attr "userPassword" requested Feb 5 15:49:36 server slapd[14066]: => acl_mask: to value by "", (=n) Feb 5 15:49:36 server slapd[14066]: <= check a_dn_pat: self Feb 5 15:49:36 server slapd[14066]: <= check a_dn_pat: anonymous Feb 5 15:49:36 server slapd[14066]: <= acl_mask: [2] applying auth(=x) (stop) Feb 5 15:49:36 server slapd[14066]: <= acl_mask: [2] mask: auth(=x) Feb 5 15:49:36 server slapd[14066]: => access_allowed: read access denied by auth(=x) Feb 5 15:49:36 server slapd[14066]: send_search_entry: conn 1 access to attribute userPassword, value #0 not allowed value #0 not allowed was sollte ich da wohl machen ? Wert null nicht erlaubt oder. :) ??? Gruss Patrice
Patrice Staudt <patrice.staudt@tiscali.fr> writes:
Nein nicht Manager, sondern der SASL Realm, vermutlich 'server' in deinem Falle, aber da ist nicht Sicher, da abhängig von deiner SASL Konfigurierung.
das ist ein anonymous bind
zuerst wird die Regel 'auth' gefunden und für ein anonymous bind als zutreffend bewertet.
Feb 5 15:49:36 server slapd[14066]: => access_allowed: read access denied by auth(=x)
Hier werden Leserechte verlangt, aber zurückgewiesen, da die Regel nur 'auth' erlaubt.
Feb 5 15:49:36 server slapd[14066]: send_search_entry: conn 1 access to attribute userPassword, value #0 not allowed
value #0 not allowed was sollte ich da wohl machen ?
Da ist ein Fehler in der Dateneingabe, irgendwo ist ein leeres Feld, üblicherweise ein Space zuviel. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Hallo Dieter, Sorry ich war mit etwas Anderem Beschäftig und hatte keine Zeit das Problem mit sasl oder ldap auf cyrus vorran zu bringen. Aber wo soll ich da nach blank suchen in der /etc/openldap/sldap.conf ? Oder kann ich das Login auf cyrus so vereinfachen das ich meine Mail auf dem Server abholen kann. Danke für deine Hilfe Gruss Patrice
Hallo Patrice, Patrice Staudt <patrice.staudt@tiscali.fr> writes:
Der Blank ist im im Datensatz, genauer, der Wert des Attributes userPassword enthält anfangs oder am Ende ein Space. Du kannst prinzipiell auf OpenLDAP als Repository für Credentials, also Loginname und Passwort, verzichten und statt dessen sasldb einrichten. Ob dies für dich aber einfacher ist, kann ich nicht beurteilen. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Dieter Kluenter wrote:
Hallo Dieter, Ich habe in meiner sldap.conf ein Sonder Zeichen gefunden, directory /var/lib/ldap # Indices to maintain # index objectClass eq index objectClass,uid,uidNumber,gidNumber,memberUid eq index cn,mail,surname,givenname eq,subinitial # # Rechte # access to attr=userPassword,userPKCS12 by self write by anonymous auth by dn="cn=Manager,dc=engsystem,dc=net" write by * none ^ hier war der d verschunden. access to * by * read # Aber ich komme immer noch nicht weiter. Hast du eine Idee. Danke für deiner Hilfe Patrice
Hallo Patrice, Patrice Staudt <patrice.staudt@tiscali.fr> writes:
Erst einmal eine private Frage, wie geht es deiner Linuxette? Nun zu deinem Problem, der Fehler liegt NICHT in der slapd.conf, sondern im Inhalt deiner Database, bzw. im *.ldif file oder auch in deiner Eingabe für das Password. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Dieter Kluenter wrote:
Hallo Dieter, Mit der Linuxette weiß ich nicht mehr was du meist ? Oder war das der Ausdruck den die bezeichnung Hier für eine Linux Machine.?
Kann ich es mit gq andern. Weil ich auch das Gleich Problem mit der Eingabe einer Email Adresse habe bei Thunderbird wenn er mir ein Vorschlag macht. Da weiß ich auch nicht mehr was er Wirklich als Password noch erwartet. das von ldap das vom User ... Danke Patrice
Patrice Staudt <patrice.staudt@tiscali.fr> writes:
Ja,
Du kannst versuchen, das mit gq zu ändern. bei Thunderbird nehme ich mal an, daß das Password der Identität verlangt, die in Thunderbird als binddn eingetragen ist. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Versuchen ist gut Error modifying entry 'uid=staudt,ou=Users,dc=engsystem,dc=net': Strong(er) authentication required Additional error: modifications require authentication Alles klar ich darf nicht. ;(
Hallo Dieter, Das sollte das Kennwort vom Manager in der sldap.conf vorbelegung war secret. Es geht leider nicht ich habe so manches versucht.
-Dieter
So Dieter, ein kleine ldif datei in der ich die User Password versuche zu andern kommt dies : server:/etc/openldap/ldif # ldapadd -x -D cn=Manager,dc=engsystem,dc=net -w xxxxxxx -f p.ldif adding new entry "cn=StaudtPa, ou=XXXX, o=engsystem" ldap_add: Server is unwilling to perform (53) additional info: no global superior knowledge ldapsearch -x objectclass=\* > engsystem.04032005.ldif Seltsam finde ich auch das aus der Aktuelle Datenbank kein userPassword zu finden ist. Auch loschen von /var/lib/ldap und neu erzeugt für zu neue Fehler. Ein guter Rat . Danke . :) Patrice
Patrice Staudt <patrice.staudt@tiscali.fr> writes:
Klar, da stimmt auch die Struktur deines DIT nicht. Du bindest dich als "cn=Manager,dc=engsystem,dc=net", ich gehe mal davon aus, dass der NamingContext "dc=engsystem,dc=net" ist, da kannst also keinen Eintrag mit dem NamingContext o=engsystem hinzufügen. Die Struktur deines DIT kannst du mit ldapsearch -b "" -s base + -x herausfinden. -Dieter Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Hallo Dieter , Stimmt nur zum teil es war der Versuche das Ganze zum loschen und Neue ldap aufzusetzen. :-(
Die Struktur deines DIT kannst du mit ldapsearch -b "" -s base + -x herausfinden.
server:/home/staudt # ldapsearch -b "" -s base + -x # extended LDIF # # LDAPv3 # base <> with scope base # filter: (objectclass=*) # requesting: + # # dn: structuralObjectClass: OpenLDAProotDSE namingContexts: dc=engsystem,dc=net supportedControl: 2.16.840.1.113730.3.4.18 supportedControl: 2.16.840.1.113730.3.4.2 supportedControl: 1.3.6.1.4.1.4203.1.10.1 supportedControl: 1.2.840.113556.1.4.1413 supportedControl: 1.2.840.113556.1.4.1339 supportedControl: 1.2.840.113556.1.4.319 supportedControl: 1.2.826.0.1.334810.2.3 supportedExtension: 1.3.6.1.4.1.1466.20037 supportedExtension: 1.3.6.1.4.1.4203.1.11.1 supportedExtension: 1.3.6.1.4.1.4203.1.11.3 supportedFeatures: 1.3.6.1.4.1.4203.1.5.1 supportedFeatures: 1.3.6.1.4.1.4203.1.5.2 supportedFeatures: 1.3.6.1.4.1.4203.1.5.3 supportedFeatures: 1.3.6.1.4.1.4203.1.5.4 supportedFeatures: 1.3.6.1.4.1.4203.1.5.5 supportedLDAPVersion: 2 supportedLDAPVersion: 3 supportedSASLMechanisms: ANONYMOUS supportedSASLMechanisms: LOGIN subschemaSubentry: cn=Subschema # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 Ich habe auch versuch das kennwort zu andern mit den Tool aus samba und da haben mir Perl-ldap gefehlt. Was sagt dir dies :
Patrice
Der Blank ist im im Datensatz, genauer, der Wert des Attributes userPassword enthält anfangs oder am Ende ein Space. Hallo Dieter, Ich habe in meiner sldap.conf ein Sonder Zeichen gefunden, directory /var/lib/ldap # Indices to maintain # index objectClass eq index objectClass,uid,uidNumber,gidNumber,memberUid eq index cn,mail,surname,givenname eq,subinitial # # Rechte # access to attr=userPassword,userPKCS12 by self write by anonymous auth by dn="cn=Manager,dc=engsystem,dc=net" write by * none ^ hier war der d verschunden. access to * by * read # Aber ich komme immer noch nicht weiter. Hast du eine Idee. Danke für deiner Hilfe Patrice
Patrice Staudt <patrice.staudt@tiscali.fr> writes:
Das LDAP v3 erlaubt kein anonymous search, hast du binddn: und bindpw: in /etc/saslauthd.conf definiert? -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Dieter Kluenter schrieb:
Hallo Dieter, Ich habe die Version von ldap 2 oder 3 ??? # rpm -qa | grep ldap ldapcpplib-0.0.3-28 openldap2-client-2.2.15-5 nss_ldap-215-60 pam_ldap-169-29 yast2-ldap-2.10.4-2 yast2-ldap-client-2.10.7-2 openldap2-2.2.15-5 php4-ldap-4.3.8-8 In der /etc/saslauthd.conf Habe ich kein binddn und bindpw wie ist die syntax Danke für deine Hilfe Patrice
Hallo Patrice Patrice Staudt <patrice.staudt@tiscali.fr> writes:
Auszug aus der Datei LDAP-SASLAUTHD ,----[ saslauthd.conf ] | Create /usr/local/etc/saslauthd.conf and add the following (modify to fit your | environment): | ldap_servers: ldap://10.1.1.15/ ldap://10.1.1.25/ | ldap_bind_dn: cn=operator,ou=Profile,o=foo.com | ldap_password: secret | | Do not specify ldap_bind_*/ldap_password if you want to bind anonymously to | your ldap server(s). | | Run saslauthd: | saslauthd -a ldap | If you want to specify a different configuration file, you can do something | like: | saslauthd -a ldap -O /etc/saslauthd.conf | | For more command line options, check 'man saslauthd' `---- -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Hallo Dieter, Wo ist die Datei LDAP-SASLAUTHD bei mir finde ich nur das : erver:/cdserver/suse/suse # locate saslauthd /etc/init.d/rc3.d/K15saslauthd /etc/init.d/rc3.d/S07saslauthd /etc/init.d/rc5.d/K15saslauthd /etc/init.d/rc5.d/S07saslauthd /etc/init.d/saslauthd /etc/saslauthd.conf /etc/sysconfig/saslauthd /sbin/rcsaslauthd /usr/bin/testsaslauthd /usr/sbin/saslauthd /usr/share/man/man8/saslauthd.8.gz /var/adm/fillup-templates/sysconfig.saslauthd /var/run/sasl2/saslauthd.pid
Ist bei mir inb etwas so gewesen nur das ich nicht auf die option -O /etc/saslauthd.conf geachtet habe. ldap_servers: ldap://192.168.x.xxx/ ldap_bind_dn: cn=Manager,ou=Users,dc=engsystem,dc=net ldap_password: XXXXX Aber es kommt immer noch das gleich raus. Gibt es eine Test möglichkeit. Oder eine Gute Infos Quelle. Danke für deiner Hilfe. Patrice
Patrice Staudt <patrice.staudt@tiscali.fr> writes:
Hallo Dieter,
Wo ist die Datei LDAP-SASLAUTHD
Bei mir ist die Datei im Quellcode enthalten.
Auszug aus der Datei LDAP-SASLAUTHD
Als Testmöglichkeit bietet sich sample-server und sample-client an, die möglicherweise von SuSE nicht mitgeliefert werden, aber auf jeden Fall im Quellcode enthalten sind.Doku findest du jede Menge sowohl als Kommentar im Quellcode als auch im Verzeichnis doc des Quellcodes.Bei SuSE ist einiges unter /usr/share/doc/packages/cyrus-sasl/doc zu finden. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Dieter Kluenter schrieb:
erver:/usr/share/doc/packages/cyrus-sasl # saslauthd -d -a ldap -O /etc/saslauthd.conf saslauthd[7672] :main : num_procs : 5 saslauthd[7672] :main : mech_option: /etc/saslauthd.conf saslauthd[7672] :main : run_path : /var/run/sasl2/ saslauthd[7672] :main : auth_mech : ldap saslauthd[7672] :ipc_init : using accept lock file: /var/run/sasl2//mux.accept saslauthd[7672] :detach_tty : master pid is: 0 saslauthd[7672] :ipc_init : listening on socket: /var/run/sasl2//mux saslauthd[7672] :main : using process model saslauthd[7673] :get_accept_lock : acquired accept lock saslauthd[7672] :have_baby : forked child: 7673 saslauthd[7672] :have_baby : forked child: 7674 saslauthd[7672] :have_baby : forked child: 7675 saslauthd[7672] :have_baby : forked child: 7676 saslauthd[7673] :rel_accept_lock : released accept lock saslauthd[7674] :get_accept_lock : acquired accept lock saslauthd[7673] :do_auth : auth failure: [user=root] [service=imap] [realm=] [mech=ldap] [reason=Unknown] saslauthd[7673] :do_request : response: NO Und beim Test server:/usr/share/doc/packages/cyrus-sasl # testsaslauthd -u kerstin -p xxxxx saslauthd[14394] :rel_accept_lock : released accept lock saslauthd[14390] :get_accept_lock : acquired accept lock saslauthd[14394] :do_auth : auth failure: [user=kerstin] [service=imap] [realm=] [mech=ldap] [reason=Unknown] saslauthd[14394] :do_request : response: NO Ich weiß nicht mehr weiter :( Gruss Patrice
Hallo Patrice, Patrice Staudt <patrice.staudt@tiscali.fr> writes:
Ist uid=root im LDAP vorhanden? Wie sehen die access Regeln in slapd.conf aus? -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Dieter Kluenter schrieb:
Hallo Dieter, Ich habe den Eindruck es liegt an ldap. Da ich nicht sauber an das Login von Manager habe aber mit gq geht es ??? sldap.conf database ldbm suffix "dc=xxxxx,dc=net" rootdn "cn=Manager,dc=xxxxxxx,dc=net" # # Cleartext passwords, especially for the rootdn, should # be avoid. See slappasswd(8) and slapd.conf(5) for details. # Use of strong authentication encouraged. # Erzeugt mit #slappasswd rootpw {SSHA}xxxxxxxxxxxxxxxxxx # The database directory MUST exist prior to running slapd AND # should only be accessible by the slapd/tools. Mode 700 recommended. directory /var/lib/ldap # Indices to maintain # index objectClass eq index objectClass,uid,uidNumber,gidNumber,memberUid eq index cn,mail,surname,givenname eq,subinitial # # Rechte # access to attr=userPassword by self write by anonymous auth by dn="cn=Manager,dc=xxxxx,c=net" write by * none access to * by * read Dieter Danke für deine Hilfe. :) Patrice
Andreas Winkelmann schrieb:
Hallo Andreas, Auch Hier ? :) /etc/saslauthd.conf ldap_servers: ldap://192.168.xxx.xxx/ ldap_bind_dn: cn=Manager,dc=xxxxx,dc=net ldap_password: xxxxx ps ax 8960 ? Ssl 0:00 /usr/lib/openldap/slapd -h ldap:/// -u ldap -g ldap -o slp=on 9114 ? Ss 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9115 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9116 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9117 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9118 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf server:/etc/openldap # rpm -qi openldap2 Name : openldap2 Relocations: /usr Version : 2.2.15 Vendor: SUSE LINUX AG, Nuernberg, Germany Release : 5 Build Date: Sat Oct 2 11:00:57 2004 Eine Idee ? Gruss Patrice :)
Patrice Staudt <patrice.staudt@tiscali.fr> writes:
[...]
Das habe ich befürchtet :-( Bei älteren OpenLDAP Versionen < 2.2.18 muss aus unerfindlichen Gründen bei einer Authentifizierung mittels SASL Mechanism das Attribute userPassword wenigstens vergleichbar sein,also des Recht 'compare' besitzen. Ich habe aber auch schon bei einigen Versionen erlebt, dass 'read' nötig war, daher nie ein anonymous bind zur Authentifizierung verwenden, sondern immer mit binddn und bindpw in den Client Konfigurationen. Und binddn sollte entsprechende Rechte für das Attribut userPassword bekommen. Ein weiterer Hinweis: setze einmal in slapd.conf 'loglevel 128', und prüfe dann den Authentifizierungsstring in /var/log/localmessages, möglicherweise übergibt saslauthd noch einen Realm im Authentifizierungsstring. dann musst du noch 'sasl-realm' in slapd.conf konfigurieren. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Das habe ich befürchtet :-(
Hallo Dieter, Ich habe die Version 2.2.15 von der SuSE9.2. Ldap ist tool wenn es geht. ;) Sollte ich am besten ein Update vornehme ?
sasl-realm ohne Parameter da lässt sich rcldap nicht mehr starten Simmt dies ? 9114 ? Ss 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9115 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9116 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9117 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9118 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9330 ? S 0:00 [xfssyncd] 9334 ? S< 0:00 [loop0] 9385 ? Ssl 0:00 /usr/lib/openldap/slapd -h ldap:/// -u ldap -g ldap -o slp=on Danke Patrice :)
participants (3)
-
Andreas Winkelmann -
Dieter Kluenter -
Patrice Staudt