Andreas Winkelmann
Am Dienstag, 1. Februar 2005 18:28 schrieb Dieter Kluenter:
Auf dem System SuSE-9.2 ich möchte bei cyrus-imapd, daß cyradm die Administratoren durch sasl auxprop sasldb authentifiziert werden und nicht durch saslauthd gegen PAM. Das Vorhaben ist edel, die Realalisation stößt auf Hindernisse. Ich kann machen was ich will, es kommt immer die Meldung: 'No user found cannot authenticate to server' Hier mal ein Beispiel der Versuche
cyradm --auth digest-md5 -u cyrus <fqhn>
Was sind denn für Mechanismen installiert?
libanonymous.so.2.0.20 libcrammd5.so.2.0.20 libdigestmd5.so.2.0.20 libgssapiv2.so.2.0.20 libbldapdb.so.2.0.20 libplain.so.2.0.20 lbsasldb.so.2.0.20
Wie sieht die /etc/imapd.conf aus?
sasl_pwcheck_method: auxprop # sasl_auxprop_plugin: ldapdb sasl_auxprop_plugin: sasldb #sasl_mech_list: digest-md5 cram-md5 gssapi
Welchen Realm/Domainpart haben die Einträge in der sasldb?
orange:/etc # strings sasldb2 richtigesPassword cyrus orange userPassword richtigesPassword dieter orange userPassword
Stimmen die Zugriffsrechte auf die sasldb? cyrus:mail o.ä. (AFAIR war da bei der 9.2 was zu verändern)
ja, cyrus.mail
Was kommt im Log /var/log/messages.
orange:/etc # cyradm --auth digest-md5 --user cyrus orange Password: cyradm: cannot authenticate to server with digest-md5 as cyrus orange:/var/log # tail -50 localmessages orange imapd[1543]: badlogin: orange.l4b.de[192.168.100.33] DIGEST-MD5 [SASL(-13): user not found: no secret in database]
Ich habe alle Mechanismen und Hostnamen durch, mit Ausnahme von GSSAPI funktioniert nichts.Nach einem strace habe ich den Eindruck gewonnen, daß Perl Authen::SASL und Perl::Digest die Challenge von sasldb falsch interpretieren. Um eine Frage im voraus zu beantworten, ja, die User sind sind in sasldb angelegt und können durch andere Anwendungen authentifiziert werden. Hat jemand einen Hinweis und einen Rat?
Bevor jetzt die Antwort kommt, versuche mal saslpasswd2 -c -u orange.l4b.de cyrus, oder auch saslpasswd2 mit den Schaltern -a -u -c, habe ich alles durch und in allen Variationen. Der einzige Mechanismus der funktioniert ist GSSAPI, aber für cyrus als Systemuser kinit auszuführen, ist etwas umständlich. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53