Dieter Kluenter schrieb:

Patrice Staudt <patrice.staudt@tiscali.fr> writes:

...

Hallo Spezialisten,

Ich habe auf meine Server Seit dem Wecksel auf die SuSE 9.2 kein cyrus mehr wegen login Probleme. Der Ldap geht, postfix geht auch leider bekomme ich die Meldúng von cyrus-imap saslauth ist auf ldap eingestellt.

Jan 29 14:54:08 server master[12220]: about to exec /usr/lib/cyrus/bin/imapd Jan 29 14:54:08 server imap[12220]: executed Jan 29 14:54:08 server imap[12220]: accepted connection Jan 29 14:54:08 server saslauthd[3874]: Authentication failed for kerstin: Bind to ldap server failed (invalid user/password or insufficient access) (-7)

Hallo Dieter, Ich habe die Version von ldap 2 oder 3 ??? # rpm -qa | grep ldap ldapcpplib-0.0.3-28 openldap2-client-2.2.15-5 nss_ldap-215-60 pam_ldap-169-29 yast2-ldap-2.10.4-2 yast2-ldap-client-2.10.7-2 openldap2-2.2.15-5 php4-ldap-4.3.8-8 In der /etc/saslauthd.conf Habe ich kein binddn und bindpw wie ist die syntax Danke für deine Hilfe Patrice

Hallo Dieter, Wo ist die Datei LDAP-SASLAUTHD bei mir finde ich nur das : erver:/cdserver/suse/suse # locate saslauthd /etc/init.d/rc3.d/K15saslauthd /etc/init.d/rc3.d/S07saslauthd /etc/init.d/rc5.d/K15saslauthd /etc/init.d/rc5.d/S07saslauthd /etc/init.d/saslauthd /etc/saslauthd.conf /etc/sysconfig/saslauthd /sbin/rcsaslauthd /usr/bin/testsaslauthd /usr/sbin/saslauthd /usr/share/man/man8/saslauthd.8.gz /var/adm/fillup-templates/sysconfig.saslauthd /var/run/sasl2/saslauthd.pid

Auszug aus der Datei LDAP-SASLAUTHD

,----[ saslauthd.conf ] | Create /usr/local/etc/saslauthd.conf and add the following (modify to fit your | environment): | ldap_servers: ldap://10.1.1.15/ ldap://10.1.1.25/ | ldap_bind_dn: cn=operator,ou=Profile,o=foo.com | ldap_password: secret

Ist bei mir inb etwas so gewesen nur das ich nicht auf die option -O /etc/saslauthd.conf geachtet habe. ldap_servers: ldap://192.168.x.xxx/ ldap_bind_dn: cn=Manager,ou=Users,dc=engsystem,dc=net ldap_password: XXXXX Aber es kommt immer noch das gleich raus. Gibt es eine Test möglichkeit. Oder eine Gute Infos Quelle. Danke für deiner Hilfe. Patrice

Dieter Kluenter schrieb:

Patrice Staudt <patrice.staudt@tiscali.fr> writes:

...

Hallo Dieter,

Wo ist die Datei LDAP-SASLAUTHD

Bei mir ist die Datei im Quellcode enthalten.

...

...

Auszug aus der Datei LDAP-SASLAUTHD

...

Ist bei mir inb etwas so gewesen nur das ich nicht auf die option -O /etc/saslauthd.conf geachtet habe. ldap_servers: ldap://192.168.x.xxx/ ldap_bind_dn: cn=Manager,ou=Users,dc=engsystem,dc=net ldap_password: XXXXX

Aber es kommt immer noch das gleich raus. Gibt es eine Test möglichkeit. Oder eine Gute Infos Quelle.

Als Testmöglichkeit bietet sich sample-server und sample-client an, die möglicherweise von SuSE nicht mitgeliefert werden, aber auf jeden Fall im Quellcode enthalten sind.Doku findest du jede Menge sowohl als Kommentar im Quellcode als auch im Verzeichnis doc des Quellcodes.Bei SuSE ist einiges unter /usr/share/doc/packages/cyrus-sasl/doc zu finden.

erver:/usr/share/doc/packages/cyrus-sasl # saslauthd -d -a ldap -O /etc/saslauthd.conf saslauthd[7672] :main : num_procs : 5 saslauthd[7672] :main : mech_option: /etc/saslauthd.conf saslauthd[7672] :main : run_path : /var/run/sasl2/ saslauthd[7672] :main : auth_mech : ldap saslauthd[7672] :ipc_init : using accept lock file: /var/run/sasl2//mux.accept saslauthd[7672] :detach_tty : master pid is: 0 saslauthd[7672] :ipc_init : listening on socket: /var/run/sasl2//mux saslauthd[7672] :main : using process model saslauthd[7673] :get_accept_lock : acquired accept lock saslauthd[7672] :have_baby : forked child: 7673 saslauthd[7672] :have_baby : forked child: 7674 saslauthd[7672] :have_baby : forked child: 7675 saslauthd[7672] :have_baby : forked child: 7676 saslauthd[7673] :rel_accept_lock : released accept lock saslauthd[7674] :get_accept_lock : acquired accept lock saslauthd[7673] :do_auth : auth failure: [user=root] [service=imap] [realm=] [mech=ldap] [reason=Unknown] saslauthd[7673] :do_request : response: NO Und beim Test server:/usr/share/doc/packages/cyrus-sasl # testsaslauthd -u kerstin -p xxxxx saslauthd[14394] :rel_accept_lock : released accept lock saslauthd[14390] :get_accept_lock : acquired accept lock saslauthd[14394] :do_auth : auth failure: [user=kerstin] [service=imap] [realm=] [mech=ldap] [reason=Unknown] saslauthd[14394] :do_request : response: NO Ich weiß nicht mehr weiter :( Gruss Patrice

Dieter Kluenter schrieb:

Hallo Patrice,

Patrice Staudt <patrice.staudt@tiscali.fr> writes:

...

Dieter Kluenter schrieb:

...

Patrice Staudt <patrice.staudt@tiscali.fr> writes:

...

Hallo Dieter,

[...]

...

erver:/usr/share/doc/packages/cyrus-sasl # saslauthd -d -a ldap -O /etc/saslauthd.conf

[...]

...

saslauthd[7673] :rel_accept_lock : released accept lock saslauthd[7674] :get_accept_lock : acquired accept lock saslauthd[7673] :do_auth : auth failure: [user=root] [service=imap] [realm=] [mech=ldap] [reason=Unknown] saslauthd[7673] :do_request : response: NO

Ist uid=root im LDAP vorhanden? Wie sehen die access Regeln in slapd.conf aus?

Hallo Dieter, Ich habe den Eindruck es liegt an ldap. Da ich nicht sauber an das Login von Manager habe aber mit gq geht es ??? sldap.conf database ldbm suffix "dc=xxxxx,dc=net" rootdn "cn=Manager,dc=xxxxxxx,dc=net" # # Cleartext passwords, especially for the rootdn, should # be avoid. See slappasswd(8) and slapd.conf(5) for details. # Use of strong authentication encouraged. # Erzeugt mit #slappasswd rootpw {SSHA}xxxxxxxxxxxxxxxxxx # The database directory MUST exist prior to running slapd AND # should only be accessible by the slapd/tools. Mode 700 recommended. directory /var/lib/ldap # Indices to maintain # index objectClass eq index objectClass,uid,uidNumber,gidNumber,memberUid eq index cn,mail,surname,givenname eq,subinitial # # Rechte # access to attr=userPassword by self write by anonymous auth by dn="cn=Manager,dc=xxxxx,c=net" write by * none access to * by * read Dieter Danke für deine Hilfe. :) Patrice

Andreas Winkelmann schrieb:

Am Samstag, 5. Februar 2005 08:21 schrieb Patrice Staudt:

...

Ich habe den Eindruck es liegt an ldap. Da ich nicht sauber an das Login von Manager habe aber mit gq geht es ???

sldap.conf

database ldbm suffix "dc=xxxxx,dc=net" rootdn "cn=Manager,dc=xxxxxxx,dc=net" rootpw {SSHA}xxxxxxxxxxxxxxxxxx directory /var/lib/ldap index objectClass,uid,uidNumber,gidNumber,memberUid eq index cn,mail,surname,givenname eq,subinitial access to attr=userPassword by self write by anonymous auth by dn="cn=Manager,dc=xxxxx,c=net" write by * none

access to * by * read

Zeig doch mal Deine saslauthd.conf oder wie die auch immer heisst.

Hallo Andreas, Auch Hier ? :) /etc/saslauthd.conf ldap_servers: ldap://192.168.xxx.xxx/ ldap_bind_dn: cn=Manager,dc=xxxxx,dc=net ldap_password: xxxxx ps ax 8960 ? Ssl 0:00 /usr/lib/openldap/slapd -h ldap:/// -u ldap -g ldap -o slp=on 9114 ? Ss 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9115 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9116 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9117 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9118 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf server:/etc/openldap # rpm -qi openldap2 Name : openldap2 Relocations: /usr Version : 2.2.15 Vendor: SUSE LINUX AG, Nuernberg, Germany Release : 5 Build Date: Sat Oct 2 11:00:57 2004 Eine Idee ? Gruss Patrice :)

Das habe ich befürchtet :-(

Bei älteren OpenLDAP Versionen < 2.2.18 muss aus unerfindlichen Gründen bei einer Authentifizierung mittels SASL Mechanism das Attribute userPassword wenigstens vergleichbar sein,also des Recht 'compare' besitzen. Ich habe aber auch schon bei einigen Versionen erlebt, dass 'read' nötig war, daher nie ein anonymous bind zur Authentifizierung verwenden, sondern immer mit binddn und bindpw in den Client Konfigurationen. Und binddn sollte entsprechende Rechte für das Attribut userPassword bekommen.

Hallo Dieter, Ich habe die Version 2.2.15 von der SuSE9.2. Ldap ist tool wenn es geht. ;) Sollte ich am besten ein Update vornehme ?

Ein weiterer Hinweis: setze einmal in slapd.conf 'loglevel 128', und prüfe dann den Authentifizierungsstring in /var/log/localmessages, möglicherweise übergibt saslauthd noch einen Realm im Authentifizierungsstring. dann musst du noch 'sasl-realm' in slapd.conf konfigurieren.

sasl-realm ohne Parameter da lässt sich rcldap nicht mehr starten Simmt dies ? 9114 ? Ss 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9115 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9116 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9117 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9118 ? S 0:00 /usr/sbin/saslauthd -a ldap -O /etc/saslauthd.conf 9330 ? S 0:00 [xfssyncd] 9334 ? S< 0:00 [loop0] 9385 ? Ssl 0:00 /usr/lib/openldap/slapd -h ldap:/// -u ldap -g ldap -o slp=on Danke Patrice :)

sasl-realm muss natürlich noch einen Wert zugewiesen werden, diesen

Wert siehst du gegebenenfalls im Authentifizierungsstring, etwa in dieser Art: uid=blafasl,cn=<NAME>,cn=DIGEST-MD5,cn=auth wenn ohne Realm authentifiziert wird, uid=blafasl,cn=DIGEST-MD5,dn=auth

So Dieter, in der sldap.conf sasl-realm Manager oder sollte da die Name aller User dann was sollte dann noch ldap seien ? loglevel 128 Feb 5 15:49:36 server slapd[14066]: => acl_get: [1] attr userPassword Feb 5 15:49:36 server slapd[14066]: access_allowed: no res from state (userPassword) Feb 5 15:49:36 server slapd[14066]: => acl_mask: access to entry "uid=kerstin,ou=Users,dc=engsystem,dc=net", attr "userPassword" requested Feb 5 15:49:36 server slapd[14066]: => acl_mask: to value by "", (=n) Feb 5 15:49:36 server slapd[14066]: <= check a_dn_pat: self Feb 5 15:49:36 server slapd[14066]: <= check a_dn_pat: anonymous Feb 5 15:49:36 server slapd[14066]: <= acl_mask: [2] applying auth(=x) (stop) Feb 5 15:49:36 server slapd[14066]: <= acl_mask: [2] mask: auth(=x) Feb 5 15:49:36 server slapd[14066]: => access_allowed: read access denied by auth(=x) Feb 5 15:49:36 server slapd[14066]: send_search_entry: conn 1 access to attribute userPassword, value #0 not allowed value #0 not allowed was sollte ich da wohl machen ? Wert null nicht erlaubt oder. :) ??? Gruss Patrice

...

Feb 5 15:49:36 server slapd[14066]: => acl_mask: to value by "", (=n) Feb 5 15:49:36 server slapd[14066]: <= check a_dn_pat: self Feb 5 15:49:36 server slapd[14066]: <= check a_dn_pat: anonymous

das ist ein anonymous bind

...

Feb 5 15:49:36 server slapd[14066]: <= acl_mask: [2] applying auth(=x) (stop) Feb 5 15:49:36 server slapd[14066]: <= acl_mask: [2] mask: auth(=x)

zuerst wird die Regel 'auth' gefunden und für ein anonymous bind als zutreffend bewertet.

...

Feb 5 15:49:36 server slapd[14066]: => access_allowed: read access denied by auth(=x)

Hier werden Leserechte verlangt, aber zurückgewiesen, da die Regel nur 'auth' erlaubt.

...

Feb 5 15:49:36 server slapd[14066]: send_search_entry: conn 1 access to attribute userPassword, value #0 not allowed

...

value #0 not allowed was sollte ich da wohl machen ?

Da ist ein Fehler in der Dateneingabe, irgendwo ist ein leeres Feld, üblicherweise ein Space zuviel.

Hallo Dieter, Sorry ich war mit etwas Anderem Beschäftig und hatte keine Zeit das Problem mit sasl oder ldap auf cyrus vorran zu bringen. Aber wo soll ich da nach blank suchen in der /etc/openldap/sldap.conf ? Oder kann ich das Login auf cyrus so vereinfachen das ich meine Mail auf dem Server abholen kann. Danke für deine Hilfe Gruss Patrice

Dieter Kluenter wrote:

Hallo Patrice,

Patrice Staudt <patrice.staudt@tiscali.fr> writes:

...

...

...

value #0 not allowed was sollte ich da wohl machen ?

Da ist ein Fehler in der Dateneingabe, irgendwo ist ein leeres Feld, üblicherweise ein Space zuviel.

...

Sorry ich war mit etwas Anderem Beschäftig und hatte keine Zeit das Problem mit sasl oder ldap auf cyrus vorran zu bringen. Aber wo soll ich da nach blank suchen in der /etc/openldap/sldap.conf ? Oder kann ich das Login auf cyrus so vereinfachen das ich meine Mail auf dem Server abholen kann.

Der Blank ist im im Datensatz, genauer, der Wert des Attributes userPassword enthält anfangs oder am Ende ein Space.

Hallo Dieter, Ich habe in meiner sldap.conf ein Sonder Zeichen gefunden, directory /var/lib/ldap # Indices to maintain # index objectClass eq index objectClass,uid,uidNumber,gidNumber,memberUid eq index cn,mail,surname,givenname eq,subinitial # # Rechte # access to attr=userPassword,userPKCS12 by self write by anonymous auth by dn="cn=Manager,dc=engsystem,dc=net" write by * none ^ hier war der d verschunden. access to * by * read # Aber ich komme immer noch nicht weiter. Hast du eine Idee. Danke für deiner Hilfe Patrice

Dieter Kluenter wrote:

Hallo Patrice,

Patrice Staudt <patrice.staudt@tiscali.fr> writes:

...

Dieter Kluenter wrote:

...

Der Blank ist im im Datensatz, genauer, der Wert des Attributes userPassword enthält anfangs oder am Ende ein Space.

Hallo Dieter,

Ich habe in meiner sldap.conf ein Sonder Zeichen gefunden, directory /var/lib/ldap

[...]

...

access to attr=userPassword,userPKCS12 by self write by anonymous auth by dn="cn=Manager,dc=engsystem,dc=net" write by * none ^ hier war der d verschunden.

[...]

...

Aber ich komme immer noch nicht weiter. Hast du eine Idee.

Erst einmal eine private Frage, wie geht es deiner Linuxette?

Hallo Dieter, Mit der Linuxette weiß ich nicht mehr was du meist ? Oder war das der Ausdruck den die bezeichnung Hier für eine Linux Machine.?

Nun zu deinem Problem, der Fehler liegt NICHT in der slapd.conf, sondern im Inhalt deiner Database, bzw. im *.ldif file oder auch in deiner Eingabe für das Password.

Kann ich es mit gq andern. Weil ich auch das Gleich Problem mit der Eingabe einer Email Adresse habe bei Thunderbird wenn er mir ein Vorschlag macht. Da weiß ich auch nicht mehr was er Wirklich als Password noch erwartet. das von ldap das vom User ... Danke Patrice

...

Kann ich es mit gq andern. Weil ich auch das Gleich Problem mit der Eingabe einer Email Adresse habe bei Thunderbird wenn er mir ein Vorschlag macht. Da weiß ich auch nicht mehr was er Wirklich als Password noch erwartet. das von ldap das vom User ...

Du kannst versuchen, das mit gq zu ändern.

Versuchen ist gut Error modifying entry 'uid=staudt,ou=Users,dc=engsystem,dc=net': Strong(er) authentication required Additional error: modifications require authentication Alles klar ich darf nicht. ;(

bei Thunderbird nehme ich mal an, daß das Password der Identität verlangt, die in Thunderbird als binddn eingetragen ist.

Hallo Dieter, Das sollte das Kennwort vom Manager in der sldap.conf vorbelegung war secret. Es geht leider nicht ich habe so manches versucht.

-Dieter

Patrice Staudt <patrice.staudt@tiscali.fr> writes:

...

Du kannst versuchen, das mit gq zu ändern. bei Thunderbird nehme ich mal an, daß das Password der Identität verlangt, die in Thunderbird als binddn eingetragen

So Dieter,

ein kleine ldif datei in der ich die User Password versuche zu andern kommt dies : server:/etc/openldap/ldif # ldapadd -x -D cn=Manager,dc=engsystem,dc=net -w xxxxxxx -f p.ldif adding new entry "cn=StaudtPa, ou=XXXX, o=engsystem" ldap_add: Server is unwilling to perform (53) additional info: no global superior knowledge

Klar, da stimmt auch die Struktur deines DIT nicht. Du bindest dich als "cn=Manager,dc=engsystem,dc=net", ich gehe mal davon aus, dass der NamingContext "dc=engsystem,dc=net" ist, da kannst also keinen Eintrag mit dem NamingContext o=engsystem hinzufügen. Die Struktur deines DIT kannst du mit ldapsearch -b "" -s base + -x herausfinden. -Dieter Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53

Der Blank ist im im Datensatz, genauer, der Wert des Attributes userPassword enthält anfangs oder am Ende ein Space. Hallo Dieter, Ich habe in meiner sldap.conf ein Sonder Zeichen gefunden, directory /var/lib/ldap # Indices to maintain # index objectClass eq index objectClass,uid,uidNumber,gidNumber,memberUid eq index cn,mail,surname,givenname eq,subinitial # # Rechte # access to attr=userPassword,userPKCS12 by self write by anonymous auth by dn="cn=Manager,dc=engsystem,dc=net" write by * none ^ hier war der d verschunden. access to * by * read # Aber ich komme immer noch nicht weiter. Hast du eine Idee. Danke für deiner Hilfe Patrice