AW: [Postfixbuch-users] saslfinger SMTP-AUTH sasldb2

Matthias Schaeffer info at spreeweg.de
So Aug 15 16:34:48 CEST 2004 

Hallo Andreas,

Du bist ja in so einigen Listen aktiv und weißt wovon Du sprichst, mein
Problem liegt momentan nicht im Detail sondern eher darin, den Zusammenhang
nicht zu verstehen. The Big Picture...

Der User antonius meldet sich auf Port 143 an und wird via sasldb2
authentifiziert, das kann gar nicht anders sein, den er hat kein
Systemkonto. Funktioniert auch, und kann Ordner anlegen.

"sasl_pwcheck_mathod: auxprop" habe ich in imapd.conf zu stehen

Mit den Daten aus der sasldb2 soll er jetzt auch versenden dürfen. Geht das
so, ja oder nein?

Wenn es so funktioniert, wer sagt den jetz Postfix: "der user hat sich
gültig für den IMAP-Server angemeldet, er darf deshalb auch senden"?

Oder werden die selben Daten für SMTP wie für die IMAP-Server-Anmeldung im
Mailclient eingetragen, und Postfix wird so konfiguriert, dass es damit
wiederum die sasldb2 abfragt?

Mir ist also völlig schleierhaft, wer wen wann und warum abfragt zu
Authentifizierung. Anmeldedaten verschlüsselt mit md5 oder nicht - erstmal
egal um es einfacher zu halten.

Im Buch steht auf Seite 212ff, dass man mit rimap eine bequeme SMTP-IMAP
Kombination der Nutzerkennung hat und Klartext kein Problem ist, wenn
SMTP/IMAP auf dem gleichen Server laufen. Ich verstehe es so, dass der
Austausch der Authentifizierungsdaten innerhalb SMTP<->IMAP unverschlüsselt
laufen darf da gleicher Server. Was bedeutet es aber jetzt, dem saslauthd
beim Start rimap zu übergeben?

Wenn ich mich dabei auch noch über die Fußnote auf Seite 162 "freuen" soll,
werde ich des Wahnsinns fette Beute!

Also nochmal:

user meldet sich an und will SENDEN, wird von Postfix zu SMTP-Auth gezwungen
oder aufgefordert, der kann das (gesicherte Kennwortauthentifizierung hat
Häckchen) Postfix muß dafür -wie auch immer konfiguriert werden- aber was
passiert dabei? Kann Postfix jetzt die sasldb2 nehmen, die auch IMAP bzw.
der saslauthd nimmt?

user meldet sich an und will LESEN, dann übergibt doch der imapd die
Anmeldung an den saslauthd und was passiert dann, nur vom Prinzip her?

Ich fahre jetzt erstmal 30 km mit dem Bike durchs Gelände vielleicht hilft's
zusammen mit Erleuchtung seitens der Liste...

Gruß Matthias

Etwas Nachsicht bitte mit unseren Anfängern, ich beschäftige mich erst seit
gut einem halben Jahr intensiv mit LINUX und Mailservern, aber als ich das
Postfixbuch gekauft hatte, wußte ich als MCSE und M$-Junkie noch nichts von
IMAP-Servern. Für die braucht es nämlich noch mal ein extra Büchlein.










 
> Am Sonntag, 15. August 2004 13:57 schrieb Matthias Schaeffer:
> 
> > na ja, ein Script sagt mehr als 1000 Worte...
> >
> > ich verstehe es einfach nicht: habe suse 9.1 
> Minimal-Testinstallation 
> > auf der cyrus-imap läuft, ein Benutzer antonius steht in 
> der sasldb2, 
> > er hat KEIN Systemkonto, und es wurde mit cyradm ein Verzeichnis 
> > erstellt (cm
> > user.antonius) Postfix und IMAP-Server sprechen LMTP, macht 
> Yast in der
> > MTA-Konfiguration (Auslieferungsmodus: An Cyrus IMAP-Server).
> >
> > Ein "chown cyrus:mail /etc/sasldb2" und -frohlocken- Outlook freut 
> > sich auf dem Server Ordner anlegen zu dürfen und Mails zu empfangen.
> >
> > Was mir einfach nicht in den Schädel geht: wie kriege ich den jetzt 
> > Postfix als SMTP-AUTH-Server dazu, auf diese /etc/sasldb2 
> zu zugreifen 
> > um den guten antonius -nach Anmeldung!- auch in alle Welt senden zu 
> > lassen? Das ist doch gerade der Sinn vons Ganze nur eine 
> Datenbank zur 
> > Authentifizierung und zwar Systemunabhängig zu haben. Braucht man 
> > dieses rimap dazu? Wo liegt mein Denkfehler? Oder braucht 
> es zwingend 
> > eine eigene Authentifizierung wie in 
> > http://postfix.state-of-mind.de/patrick.koetter/smtpauth/ bzw. 
> > Easterhegg2004 beschrieben?
> 
> Mit der sasldb bist Du in der Lage Mechanismen wie digest-md5 
> bzw. cram-md5 zu 
> benutzen. Im gegensatz zu plain bzw. login geht bei denen nicht das 
> Klartextkennwort über die Leitung. Wenn Du rimap bzw. 
> saslauthd benutzt, geht 
> dieser Vorteil verloren. Also solltest Du auch mit Postfix die sasldb 
> benutzen.
> 
> Mach mal ein sasldblistusers2 und schau Dir die Einträge an. 
> Der Teil nach dem 
> @ ist der Realm, den musst Du in Postfix als 
> smtpd_sasl_local_domain angeben.
> 
> Dann noch am besten das chroot ausschalten (master.cf) oder 
> bei Suse in der / etc/sysconfig/postfix (?) mit einem 
> SuSEconfig hinterher.
> 
> Dafür sorgen, dass auch Postfix lesend auf die sasldb zugreifen kann.
> 
> Und smtpd_sasl_auth_enable auf yes setzen.
> 
> > Files in /usr/lib/sasl2:
> > total 208
> > drwxr-xr-x   2 root root  4096 Aug 12 16:07 .
> > drwxr-xr-x  28 root root  8192 Aug 15 13:46 ..
> > -rwxr-xr-x   1 root root   695 Apr  6 03:44 libanonymous.la
> > -rwxr-xr-x   1 root root 16099 Apr  6 03:44 libanonymous.so
> > -rwxr-xr-x   1 root root 16099 Apr  6 03:44 libanonymous.so.2
> > -rwxr-xr-x   1 root root 16099 Apr  6 03:44 libanonymous.so.2.0.18
> > -rwxr-xr-x   1 root root   679 Apr  6 03:44 liblogin.la
> > -rwxr-xr-x   1 root root 16811 Apr  6 03:44 liblogin.so
> > -rwxr-xr-x   1 root root 16811 Apr  6 03:44 liblogin.so.2
> > -rwxr-xr-x   1 root root 16811 Apr  6 03:44 liblogin.so.2.0.18
> > -rwxr-xr-x   1 root root   704 Apr  6 03:44 libsasldb.la
> > -rwxr-xr-x   1 root root 21330 Apr  6 03:44 libsasldb.so
> > -rwxr-xr-x   1 root root 21330 Apr  6 03:44 libsasldb.so.2
> > -rwxr-xr-x   1 root root 21330 Apr  6 03:44 libsasldb.so.2.0.18
> > -rw-------   1 root root    49 Apr  6 04:27 smtpd.conf
> 
> Die *-md5 Mechanismen sind in extra rpms aufgeteilt. 
> Installier diese noch.
> 
> -- 
> 	Andreas
> 
> -- 
> _______________________________________________
> Postfixbuch-users mailingliste
> JPBerlin - Mailbox und Politischer Provider 
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>

Mehr Informationen über die Mailingliste Postfixbuch-users