URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 88229
[ Назад ]

Исходное сообщение
"SASL для postfix используя courier-authlib"
Отправлено byy , 24-Фев-10 11:24

настраивается сервер, postfix+sasl+courier-imapd+ldap
всё настроил, всё работает, без sasl.
пытаюсь прикрутить к postfix sasl, чтобы пользоваться courier-authlib - не работает, письма не отсылаются(не принимает пароль), забираются без проблем.
----------------------------------------------------------------
mail / # cat /etc/sasl2/smtpd.conf
pwcheck_method: authdaemond
log_level: 3
mech_list: LOGIN CRAM-MD5
authdaemond_path: /var/lib/courier/authdaemon/socket
----------------------------------------------------------------
----------------------------------------------------------------
mail / # grep -v "#" /etc/postfix/main.cf
local_transport = virtual
virtual_mailbox_base = /
virtual_mailbox_maps = ldap:ldapvirtual
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
virtual_minimum_uid = 500
virtual_mailbox_limit = 0
ldapvirtual_server_host = 192.168.10.113
ldapvirtual_server_port = 389
ldapvirtual_bind = yes
ldapvirtual_bind_dn = cn=admin,dc=mydomain,dc=net
ldapvirtual_bind_pw = root
ldapvirtual_search_base = ou=people,dc=mydomain,dc=net
ldapvirtual_query_filter = (mail=%s)
ldapvirtual_result_attribute = mailMessageStore
ldapvirtual_domain = mydomain.ru
myhostname = mail.mydomain.ru
mydomain = mydomain.ru
myorigin = $mydomain
inet_interfaces = all
mydestination = $myhostname,localhost.localdomain,$mydomain
virtual_maps = ldap:ldapalias
ldapalias_server_host = 192.168.10.113
ldapalias_server_port = 389
ldapalias_bind = yes
ldapalias_bind_dn = cn=admin,dc=mydomain,dc=net
ldapalias_bind_pw = root
ldapalias_search_base = ou=people,dc=mydomain,dc=net
ldapalias_query_filter = (|(mail=%s)(mailAlternateAddress=%s))
ldapalias_result_attribute = mail
smtpd_sasl_path = smtpd
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous, noplaintext
broken_sasl_auth_clients = yes
smtpd_sasl_local_domain =
smtpd_sasl_type = cyrus
readme_directory = /usr/share/doc/postfix-2.6.5/readme
sample_directory = /etc/postfix
sendmail_path = /usr/sbin/sendmail
html_directory = /usr/share/doc/postfix-2.6.5/html
setgid_group = postdrop
command_directory = /usr/sbin
manpage_directory = /usr/share/man
daemon_directory = //usr/lib64/postfix
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
queue_directory = /var/spool/postfix
mail_owner = postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
unknown_local_recipient_reject_code = 450
mynetworks = 192.168.10.0/24, 127.0.0.0/8
biff = no
smtpd_banner = $myhostname ESMTP
recipient_delimiter =
local_recipient_maps =
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination, reject_sender_login_mismatch
----------------------------------------------------------------
приводить конфиг authdaemond я думаю смысла нет, т.к. courier-pop3d без проблем его использует.
в логах, при попытке отправить письмо пишется следующее:
----------------------------------------------------------------
Feb 19 17:07:56 mail postfix/smtpd[7587]: connect from unknown[192.168.10.120]
Feb 19 17:07:56 mail postfix/smtpd[7587]: match_list_match: unknown: no match
Feb 19 17:07:56 mail postfix/smtpd[7587]: match_list_match: 192.168.10.120: no match
Feb 19 17:07:56 mail postfix/smtpd[7587]: match_list_match: unknown: no match
Feb 19 17:07:56 mail postfix/smtpd[7587]: match_list_match: 192.168.10.120: no match
Feb 19 17:07:56 mail postfix/smtpd[7587]: match_hostname: unknown ~? 192.168.10.0/24
Feb 19 17:07:56 mail postfix/smtpd[7587]: match_hostaddr: 192.168.10.120 ~? 192.168.10.0/24
Feb 19 17:07:56 mail postfix/smtpd[7587]: > unknown[192.168.10.120]: 220 mail.mydomain.ru ESMTP Postfix
Feb 19 17:07:56 mail postfix/smtpd[7587]: xsasl_cyrus_server_create: SASL service=smtp, realm=(null)
Feb 19 17:07:56 mail postfix/smtpd[7587]: name_mask: noanonymous
Feb 19 17:07:56 mail postfix/smtpd[7587]: name_mask: noplaintext
Feb 19 17:07:56 mail postfix/smtpd[7587]: watchdog_pat: 0x1480780
Feb 19 17:07:56 mail postfix/smtpd[7587]: < unknown[192.168.10.120]: EHLO [192.168.10.120]
Feb 19 17:07:56 mail postfix/smtpd[7587]: > unknown[192.168.10.120]: 250-mail.mydomain.ru
Feb 19 17:07:56 mail postfix/smtpd[7587]: > unknown[192.168.10.120]: 250-PIPELINING
Feb 19 17:07:56 mail postfix/smtpd[7587]: > unknown[192.168.10.120]: 250-SIZE 10240000
Feb 19 17:07:56 mail postfix/smtpd[7587]: > unknown[192.168.10.120]: 250-VRFY
Feb 19 17:07:56 mail postfix/smtpd[7587]: > unknown[192.168.10.120]: 250-ETRN
Feb 19 17:07:56 mail postfix/smtpd[7587]: > unknown[192.168.10.120]: 250-AUTH CRAM-MD5
Feb 19 17:07:56 mail postfix/smtpd[7587]: match_list_match: unknown: no match
Feb 19 17:07:56 mail postfix/smtpd[7587]: match_list_match: 192.168.10.120: no match
Feb 19 17:07:56 mail postfix/smtpd[7587]: > unknown[192.168.10.120]: 250-AUTH=CRAM-MD5
Feb 19 17:07:56 mail postfix/smtpd[7587]: > unknown[192.168.10.120]: 250-ENHANCEDSTATUSCODES
Feb 19 17:07:56 mail postfix/smtpd[7587]: > unknown[192.168.10.120]: 250-8BITMIME
Feb 19 17:07:56 mail postfix/smtpd[7587]: > unknown[192.168.10.120]: 250 DSN
Feb 19 17:07:56 mail postfix/smtpd[7587]: watchdog_pat: 0x1480780
Feb 19 17:07:56 mail postfix/smtpd[7587]: < unknown[192.168.10.120]: AUTH CRAM-MD5
Feb 19 17:07:56 mail postfix/smtpd[7587]: xsasl_cyrus_server_first: sasl_method CRAM-MD5
Feb 19 17:07:56 mail postfix/smtpd[7587]: xsasl_cyrus_server_auth_response: uncoded server challenge: <1310942510.8308151@mail.mydomain.ru>
Feb 19 17:07:56 mail postfix/smtpd[7587]: > unknown[192.168.10.120]: 334 PDEzMTA5NDI1MTAuODMwODE1MUBtYWlsLmFrdmFyb20ucnU+
Feb 19 17:07:56 mail postfix/smtpd[7587]: < unknown[192.168.10.120]: bmV3IGVkYjc3NzA2MGFlNmQ0MDZhZWQ2OTJhYzAwNTkwMTQ5
Feb 19 17:07:56 mail postfix/smtpd[7587]: xsasl_cyrus_server_next: decoded response: new edb777060ae6d406aed692ac00590149
Feb 19 17:07:56 mail postfix/smtpd[7587]: warning: SASL authentication failure: no secret in database
Feb 19 17:07:56 mail postfix/smtpd[7587]: warning: unknown[192.168.10.120]: SASL CRAM-MD5 authentication failed: authentication failure
Feb 19 17:07:56 mail postfix/smtpd[7587]: > unknown[192.168.10.120]: 535 5.7.8 Error: authentication failed: authentication failure
Feb 19 17:07:56 mail postfix/smtpd[7587]: watchdog_pat: 0x1480780
Feb 19 17:07:57 mail postfix/smtpd[7587]: < unknown[192.168.10.120]: QUIT
Feb 19 17:07:57 mail postfix/smtpd[7587]: > unknown[192.168.10.120]: 221 2.0.0 Bye
Feb 19 17:07:57 mail postfix/smtpd[7587]: match_hostname: unknown ~? 192.168.10.0/24
Feb 19 17:07:57 mail postfix/smtpd[7587]: match_hostaddr: 192.168.10.120 ~? 192.168.10.0/24
Feb 19 17:07:57 mail postfix/smtpd[7587]: disconnect from unknown[192.168.10.120]
Feb 19 17:07:57 mail postfix/smtpd[7587]: master_notify: status 1
Feb 19 17:07:57 mail postfix/smtpd[7587]: connection closed
Feb 19 17:07:57 mail postfix/smtpd[7587]: watchdog_stop: 0x1480780
Feb 19 17:07:57 mail postfix/smtpd[7587]: watchdog_start: 0x1480780
----------------------------------------------------------------
и кстати, когда ставлю в smtpd.conf метод только LOGIN, логи после отправки вообще ошибками заваливаются, якобы не поддерживаемый метод(немного не понятен сей факт..)

Содержание

SASL для postfix используя courier-authlib,stend, 13:08 , 24-Фев-10
- SASL для postfix используя courier-authlib,byy, 14:33 , 24-Фев-10
  - SASL для postfix используя courier-authlib,ALex_hha, 14:34 , 24-Фев-10
    - SASL для postfix используя courier-authlib,byy, 15:24 , 24-Фев-10
SASL для postfix используя courier-authlib,ALex_hha, 14:02 , 24-Фев-10
- SASL для postfix используя courier-authlib,byy, 14:34 , 24-Фев-10
SASL для postfix используя courier-authlib,byy, 17:42 , 24-Фев-10
- SASL для postfix используя courier-authlib,PavelR, 18:51 , 24-Фев-10
  - SASL для postfix используя courier-authlib,byy, 09:40 , 25-Фев-10
SASL для postfix используя courier-authlib,byy, 11:07 , 27-Фев-10
- SASL для postfix используя courier-authlib,ALex_hha, 22:58 , 27-Фев-10
  - SASL для postfix используя courier-authlib,byy, 09:21 , 01-Мрт-10
    - SASL для postfix используя courier-authlib,ALex_hha, 14:56 , 01-Мрт-10
      - SASL для postfix используя courier-authlib,byy, 12:18 , 02-Мрт-10

Сообщения в этом обсуждении

"SASL для postfix используя courier-authlib"
Отправлено stend , 24-Фев-10 13:08

Добрый день! Проблема может заключаться в использовании шифрованных паролей в БД.

"SASL для postfix используя courier-authlib"
Отправлено byy , 24-Фев-10 14:33

>Добрый день! Проблема может заключаться в использовании шифрованных паролей в БД.
да, в базе пароли хранятся шифрованные MD5

"SASL для postfix используя courier-authlib"
Отправлено ALex_hha , 24-Фев-10 14:34

>>Добрый день! Проблема может заключаться в использовании шифрованных паролей в БД.
>
>да, в базе пароли хранятся шифрованные MD5
тогда забудь про CRAM-MD5

"SASL для postfix используя courier-authlib"
Отправлено byy , 24-Фев-10 15:24

>>>Добрый день! Проблема может заключаться в использовании шифрованных паролей в БД.
>>
>>да, в базе пароли хранятся шифрованные MD5
>
>тогда забудь про CRAM-MD5
ок, тогда какие варианты разрешения этой проблемы существуют?

"SASL для postfix используя courier-authlib"
Отправлено ALex_hha , 24-Фев-10 14:02

зачем тебе authlib, если cyrus-sasl напрямую поддерживает ldap?

"SASL для postfix используя courier-authlib"
Отправлено byy , 24-Фев-10 14:34

>зачем тебе authlib, если cyrus-sasl напрямую поддерживает ldap?
просто authlib уже стоит и настроен, для courier-imap, так почему не воспользоваться им, когда такая возможность имеется..

"SASL для postfix используя courier-authlib"
Отправлено byy , 24-Фев-10 17:42

почему LOGIN не работал - разобрался, забыл убрать из конфига postfix'а запрет на plaintext
вопрос приобрел следующий характер:
какой механизм использовать, если в базе пароли хранятся в MD5

"SASL для postfix используя courier-authlib"
Отправлено PavelR , 24-Фев-10 18:51

>почему LOGIN не работал - разобрался, забыл убрать из конфига postfix'а запрет
>на plaintext
>
>вопрос приобрел следующий характер:
>какой механизм использовать, если в базе пароли хранятся в MD5
а что, есть много вариантов ?

"SASL для postfix используя courier-authlib"
Отправлено byy , 25-Фев-10 09:40

>
>а что, есть много вариантов ?
если бы я точно знал, наверное этого вопроса не было бы ;)
получается остается только LOGIN? шифрованно никак?

"SASL для postfix используя courier-authlib"
Отправлено byy , 27-Фев-10 11:07

решил воспользоваться cyrus-sasl, он пропатчен для криптованных паролей
переключил на saslauthd, настроил saslauthd.conf, изменил smtpd.conf, так же указал в нем
password_format: crypt
при попытке отправить имеем:
Feb 27 11:03:01 mail postfix/smtpd[28778]: connect from unknown[192.168.10.120]
Feb 27 11:03:01 mail postfix/smtpd[28778]: match_list_match: unknown: no match
Feb 27 11:03:01 mail postfix/smtpd[28778]: match_list_match: 192.168.10.120: no match
Feb 27 11:03:01 mail postfix/smtpd[28778]: match_list_match: unknown: no match
Feb 27 11:03:01 mail postfix/smtpd[28778]: match_list_match: 192.168.10.120: no match
Feb 27 11:03:01 mail postfix/smtpd[28778]: match_hostname: unknown ~? 192.168.10.0/24
Feb 27 11:03:01 mail postfix/smtpd[28778]: match_hostaddr: 192.168.10.120 ~? 192.168.10.0/24
Feb 27 11:03:01 mail postfix/smtpd[28778]: > unknown[192.168.10.120]: 220 mail.mydomain.ru ESMTP Postfix
Feb 27 11:03:01 mail postfix/smtpd[28778]: xsasl_cyrus_server_create: SASL service=smtp, realm=(null)
Feb 27 11:03:01 mail postfix/smtpd[28778]: name_mask: noanonymous
Feb 27 11:03:01 mail postfix/smtpd[28778]: name_mask: noplaintext
Feb 27 11:03:01 mail postfix/smtpd[28778]: < unknown[192.168.10.120]: EHLO [192.168.10.120]
Feb 27 11:03:01 mail postfix/smtpd[28778]: > unknown[192.168.10.120]: 250-mail.mydomain.ru
Feb 27 11:03:01 mail postfix/smtpd[28778]: > unknown[192.168.10.120]: 250-PIPELINING
Feb 27 11:03:01 mail postfix/smtpd[28778]: > unknown[192.168.10.120]: 250-SIZE 10240000
Feb 27 11:03:01 mail postfix/smtpd[28778]: > unknown[192.168.10.120]: 250-VRFY
Feb 27 11:03:01 mail postfix/smtpd[28778]: > unknown[192.168.10.120]: 250-ETRN
Feb 27 11:03:01 mail postfix/smtpd[28778]: > unknown[192.168.10.120]: 250-STARTTLS
Feb 27 11:03:01 mail postfix/smtpd[28778]: > unknown[192.168.10.120]: 250-AUTH CRAM-MD5
Feb 27 11:03:01 mail postfix/smtpd[28778]: match_list_match: unknown: no match
Feb 27 11:03:01 mail postfix/smtpd[28778]: match_list_match: 192.168.10.120: no match
Feb 27 11:03:01 mail postfix/smtpd[28778]: > unknown[192.168.10.120]: 250-AUTH=CRAM-MD5
Feb 27 11:03:01 mail postfix/smtpd[28778]: > unknown[192.168.10.120]: 250-ENHANCEDSTATUSCODES
Feb 27 11:03:01 mail postfix/smtpd[28778]: > unknown[192.168.10.120]: 250-8BITMIME
Feb 27 11:03:01 mail postfix/smtpd[28778]: > unknown[192.168.10.120]: 250 DSN
Feb 27 11:03:01 mail postfix/smtpd[28778]: < unknown[192.168.10.120]: AUTH CRAM-MD5
Feb 27 11:03:01 mail postfix/smtpd[28778]: xsasl_cyrus_server_first: sasl_method CRAM-MD5
Feb 27 11:03:01 mail postfix/smtpd[28778]: xsasl_cyrus_server_auth_response: uncoded server challenge: <3566669232.8977456@mail.mydomain.ru>
Feb 27 11:03:01 mail postfix/smtpd[28778]: > unknown[192.168.10.120]: 334 PDM1NjY2NjkyMzIuODk3NzQ1NkBtYWlsLmFrdmFyb20ucnU+
Feb 27 11:03:01 mail postfix/smtpd[28778]: < unknown[192.168.10.120]: bmV3IDJjNDc5NTE0NzZmZTdkZWUxNGY1ZTY5NmViNjNmMzc5
Feb 27 11:03:01 mail postfix/smtpd[28778]: xsasl_cyrus_server_next: decoded response: new 2c47951476fe7dee14f5e696eb63f379
Feb 27 11:03:01 mail postfix/smtpd[28778]: warning: SASL authentication failure: no secret in database
Feb 27 11:03:01 mail postfix/smtpd[28778]: warning: unknown[192.168.10.120]: SASL CRAM-MD5 authentication failed: authentication failure
Feb 27 11:03:01 mail postfix/smtpd[28778]: > unknown[192.168.10.120]: 535 5.7.8 Error: authentication failed: authentication failure
Feb 27 11:03:01 mail postfix/smtpd[28778]: < unknown[192.168.10.120]: QUIT
Feb 27 11:03:01 mail postfix/smtpd[28778]: > unknown[192.168.10.120]: 221 2.0.0 Bye
Feb 27 11:03:01 mail postfix/smtpd[28778]: match_hostname: unknown ~? 192.168.10.0/24
Feb 27 11:03:01 mail postfix/smtpd[28778]: match_hostaddr: 192.168.10.120 ~? 192.168.10.0/24
Feb 27 11:03:01 mail postfix/smtpd[28778]: disconnect from unknown[192.168.10.120]
Feb 27 11:03:01 mail postfix/smtpd[28778]: master_notify: status 1
Feb 27 11:03:01 mail postfix/smtpd[28778]: connection closed
Feb 27 11:03:06 mail postfix/smtpd[28778]: auto_clnt_close: disconnect private/tlsmgr stream

"SASL для postfix используя courier-authlib"
Отправлено ALex_hha , 27-Фев-10 22:58

Исчо раз, CRAM-MD5 не будет работать с шифрованными паролями

"SASL для postfix используя courier-authlib"
Отправлено byy , 01-Мрт-10 09:21

>Исчо раз, CRAM-MD5 не будет работать с шифрованными паролями
на сколько я понял, crypt патч как раз исправляет проблему несовместимости cram-md5 c криптованными паролями.. или я ошибаюсь?

"SASL для postfix используя courier-authlib"
Отправлено ALex_hha , 01-Мрт-10 14:56

>>Исчо раз, CRAM-MD5 не будет работать с шифрованными паролями
>
>на сколько я понял, crypt патч как раз исправляет проблему несовместимости cram-md5
>c криптованными паролями.. или я ошибаюсь?
Ошибаешься, он позволяет в методах PLAIN и LOGIN использовать криптованные пароли

"SASL для postfix используя courier-authlib"
Отправлено byy , 02-Мрт-10 12:18

>>>Исчо раз, CRAM-MD5 не будет работать с шифрованными паролями
>>
>>на сколько я понял, crypt патч как раз исправляет проблему несовместимости cram-md5
>>c криптованными паролями.. или я ошибаюсь?
>
>Ошибаешься, он позволяет в методах PLAIN и LOGIN использовать криптованные пароли
понятно, спасибо. вопрос исчерпан.