SASL und Postfix

[feltel]

Ich versuche gerade, auf unseren Firmen-Mailserver SASL einzurichten, so das sich User nicht nur per SMTP-after-POP sondern eben auch per Username/Kennwort am SMTP-Server anmelden können. Nur leider klappt das nicht so, wie ich mir das vorstelle

Der Mailserver läuft nach dem Setup von http://www.marlow.dk/postfix mit Postfix 1.x, MySQL und Courier-IMAP/POP, was auch alles wunderbar funktioniert. Um SASL einzurichten habe ich libsasl-digestmd5-des installiert, un die /var/spool/postfix/etc/pam.d/smtpd wie folgt angelegt:

Code: Alles auswählen

auth     optional       pam_mysql.so host=127.0.0.1 db=system user=XXXXXXX passwd=XXXXXXX table=postfix_users usercolumn=username passwdcolumn=clear crypt=n

account  required       pam_mysql.so host=127.0.0.1 db=system user=XXXXXXX passwd=XXXXXXX table=postfix_users usercolumn=username passwdcolumn=clear crypt=n

In der /etc/postfix/mail.cf ist folgendes definiert:

Code: Alles auswählen

root@skywalker:/home/feltel# postconf |grep sasl
broken_sasl_auth_clients = yes
lmtp_sasl_auth_enable = no
lmtp_sasl_password_maps =
lmtp_sasl_security_options = noplaintext, noanonymous
smtp_sasl_auth_enable = no
smtp_sasl_password_maps =
smtp_sasl_security_options = noplaintext, noanonymous
smtpd_recipient_restrictions = permit_mynetworks,                                 permit_sasl_authenticate
d,                                check_client_access hash:/var/lib/pop-before-smtp/hosts,
 reject_maps_rbl,                                 reject_non_fqdn_recipient,
check_relay_domains
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous

In der /etc/postfix/sasl/smtpd.conf steht "pwcheck_method: pam" drin.

Wenn ich jetzt mit nem Mailprogramm (das auf DIGEST-MD5 eingestellt ist) versuche, ne Mail abzusetzen bekomme ich im mail.log nen Fehler und die Mail geht nicht raus. Nur bei PLAIN-Authentifizierung geht sie raus:

Code: Alles auswählen

19:59:16     postfix/smtpd[16328]: connect from p3EE0E4CA.dip.t-dialin.net[62.224.228.202]
19:59:17     postfix/smtpd[16328]: warning: p3EE0E4CA.dip.t-dialin.net[62.224.228.202]: SASL CRAM-MD5 authentication failed

Mehr passiert nicht. PAM greift auch nicht auf den SQL-Server zu, um vielleicht in der DB nachzusehen.

[Olaf Dietsche]

Ich versuche gerade, auf unseren Firmen-Mailserver SASL einzurichten, so das sich User nicht nur per SMTP-after-POP sondern eben auch per Username/Kennwort am SMTP-Server anmelden können. Nur leider klappt das nicht so, wie ich mir das vorstelle

Ist wahrscheinlich 'ne blöde Frage, aber hast du den Thread schon gesehen? http://www.debianforum.de/forum/viewtopic.php?t=9628

[blackm]

Hi feltel,

sowas in der richtung hab ich auch vor ein paar Tagen bei jemandem installiert. Passwörter (mit crypt() verschlüsselt) in der Datenbank und sasl und courier sollen die für die anmeldung nehmen....
Bei mir hab ich den smtp service type aus der chroot Umgebung befreit und dann /etc/pam.d/smtp bearbeitet. Seitdem geht es. Brauchst du noch mehr Infos?

Aber sasl ist irgendwie nicht so das was ich mir unter tolle Anwendung vorstelle. Die Passwörter sind nun zwar verschlüsselt in der Datenbank, aber vom Client werden sie trotsdem im Klartext übertragen (pam crypter die dann). Da Postfix ja so super Modular aufgebaut ist stell ist mir das eigentlich garnicht so schwer vor da was eigenes zu schreiben, was direkt auf die Datenbank zugreift ohne den erschwerenden Umweg über sasl....

by, Martin

[feltel]

Bei mir hab ich den smtp service type aus der chroot Umgebung befreit und dann /etc/pam.d/smtp bearbeitet. Seitdem geht es. Brauchst du noch mehr Infos?

das könnte ich noch probieren. mal sehen, obs was bringt.

[feltel]

So hab jetzt mal den smtp-Prozess de-chrooted und es bringt trotzdem nix.

Code: Alles auswählen

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (50)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd

Hab ich vielleicht irgendein sasl*-Paket vergessen?

Code: Alles auswählen

root@skywalker:/home/feltel# COLUMNS=130 dpkg -l|grep sasl
ii  libsasl-digestmd5-plain    1.5.27-3                   DIGEST-MD5 module for SASL
ii  libsasl-gssapi-mit         1.5.24-15                  Pluggable Authentication Modules for SASL - MIT GSSAPI
ii  libsasl-modules-plain      1.5.27-3                   Basic Pluggable Authentication Modules for SASL
ii  libsasl2                   2.1.2-2                    Authentication abstraction library.
ii  libsasl7                   1.5.27-3                   Authentication abstraction library.
ii  sasl-bin                   1.5.27-3                   Programs for manipulating the SASL users database

Komischerweise geht mit dem Auth-Typ "LOGIN", mit "CRAM-MD5" nicht. Liegts vielleicht daran, das die Passwörter in der SQL-DB im Klartext drinstehen. Aber soweit das die DB befragt wird, kommts ja garnicht

[blackm]

Hm..komisch...den einzigsten Unterschiede den ich ich in unseren KOnfigurationen gefunden hab ist in /etc/pam.d/smtp ... bei host hab ich 'localhost' und nicht die IP drin (bei Postfix macht das ja einen Unterschied)