AW: AW: [Postfixbuch-users] saslfinger SMTP-AUTH sasldb2

Matthias Schaeffer info at spreeweg.de
So Aug 15 20:39:18 CEST 2004


Hallo Andreas,

nachdem ich meinen Drahtesel durch die Havelberge getreten und die Mail hier
gelesen habe, darf man sich mir nur noch mit Sonnenbrille nähern, es
leuchtet hell und süß sind die Früchte der Erkenntnis...

Scherz bei Seite, ist jetzt wirklich deutlich klarer geworden. Ich mach die
Kisten jetzt aber mal aus und schmöcker noch ein bischen in den Andrew Twiki
Ausdrucken rum.

Many, many Thanks erstmal soweit, Danke auch an Carsten!


> 
> > Du bist ja in so einigen Listen aktiv und weißt wovon Du sprichst, 
> > mein Problem liegt momentan nicht im Detail sondern eher darin, den 
> > Zusammenhang nicht zu verstehen. The Big Picture...
> 
> Aprospos "The Big Picture", da gab es die Tage einen Link in 
> der cyrus-liste. 
> 
> http://www.postnewspapers.com.au/~craig/cyrus_authentication_map.sxd
> 
> Ist nicht verkehrt für's Verständnis.
> 
> > Der User antonius meldet sich auf Port 143 an und wird via sasldb2 
> > authentifiziert, das kann gar nicht anders sein, den er hat kein 
> > Systemkonto. Funktioniert auch, und kann Ordner anlegen.
> >
> > "sasl_pwcheck_mathod: auxprop" habe ich in imapd.conf zu stehen
> >
> > Mit den Daten aus der sasldb2 soll er jetzt auch versenden dürfen. 
> > Geht das so, ja oder nein?
> 
> Klar geht das.
> 
> > Wenn es so funktioniert, wer sagt den jetz Postfix: "der 
> user hat sich 
> > gültig für den IMAP-Server angemeldet, er darf deshalb auch senden"?
> 
> Postfix ist das egal. Postfix benutzt wie der Cyrus-Imap auch 
> die Cyrus-SASL 
> Library. Welches Backend diese jetzt zum Überprüfen verwendet ist 
> konfigurationssache. Du kannst natürlich beide Applikationen 
> auf die sasldb 
> zugreifen lassen. 
> 
> Im Cyrus-Imap:
> /etc/imapd.conf
> sasl_pwcheck_method: auxprop
> sasl_auxprop_plugin: sasldb
> 
> In Postfix:
> /usr/lib/sasl2/smtpd.conf
> pwcheck_method: auxprop
> auxprop_plugin: sasldb
> 
> Du musst dann nur auf ein paar Feinheiten achten.
> a.) Beide Applikationen müssen auf die /etc/sasldb2 zugreifen 
> können. Thema 
> Zugriffsrechte und chroot. Chroot betrifft Postfix. Wenn das 
> eingeschaltet 
> ist, benutzt Postfix /var/spool/postfix/etc/sasldb2. Diesem 
> könntest Du mit 
> einem Hardlink beikommen, allerdings nur wenn sich /var und /etc auf 
> derselben Partition befinden. Am einfachsten dürfte es sein, 
> chroot'ing 
> auszuschalten (master.cf).
> 
> b.) In der sasldb steht jeder User mit dem Usernamen at Realm 
> eingetragen. 
> Username kann auch aus user at domain bestehen, dann steht da 
> user at domain@realm. 
> Der Realm ist wichtig und muss in der main.cf angegeben 
> werden Dieser Wert 
> heisst smtpd_sasl_local_domain.
> 
> > Oder werden die selben Daten für SMTP wie für die 
> > IMAP-Server-Anmeldung im Mailclient eingetragen, und 
> Postfix wird so 
> > konfiguriert, dass es damit wiederum die sasldb2 abfragt?
> 
> Natürlich. Es sind zwei verschieden Wege. SMTP und IMAP. Für 
> beide braucht der 
> User normalerweise einen usernamen und ein passwort. Meistens ist es 
> allerdings gleich. Trotzdem sind es zwei sachen. Es gibt nur 
> im Server 
> transparent für den User eine Querverbindung, wo Postfix die 
> Daten nimmt und 
> beim IMAP-Server "ausprobiert". Dies geht über den saslauthd 
> und heisst dort 
> "rimap". IMHO keine besonders tolle Möglichkeit.
> 
> > Mir ist also völlig schleierhaft, wer wen wann und warum abfragt zu 
> > Authentifizierung. Anmeldedaten verschlüsselt mit md5 oder nicht - 
> > erstmal egal um es einfacher zu halten.
> >
> > Im Buch steht auf Seite 212ff, dass man mit rimap eine bequeme 
> > SMTP-IMAP Kombination der Nutzerkennung hat und Klartext 
> kein Problem 
> > ist, wenn SMTP/IMAP auf dem gleichen Server laufen. Ich verstehe es 
> > so, dass der Austausch der Authentifizierungsdaten innerhalb 
> > SMTP<->IMAP unverschlüsselt laufen darf da gleicher Server. Was 
> > bedeutet es aber jetzt, dem saslauthd beim Start rimap zu übergeben?
> 
> User (MUA) --a-> SMTP (Postfix) -> saslauthd (rimap) -> 
> Cyrus-IMAP -> sasldb
> 
> Ja, der grosse Nachteil ist der saslauthd. Dieser spricht ein 
> Protokoll mit 
> dem es ein Muss ist das Unverschlüsselte Kennwort zu 
> verwenden. Damit muss 
> das Kennwort über die komplette Strecke gesendet werden auch 
> über (-a-). Also sind solche sachen wie SSL/TLS Pflicht!
> 
> Wenn Postfix allerdings schon die sasldb benutzt, kann man 
> bei (-a-) auch 
> Mechanismen wie DIGEST-MD5 bzw. CRAM-MD5 verwenden.
> 
> > Wenn ich mich dabei auch noch über die Fußnote auf Seite 
> 162 "freuen" 
> > soll, werde ich des Wahnsinns fette Beute!
> 
> Dort wird die Möglichkeit angesprochen vom saslauthd die 
> sasldb benutzen zu 
> können. Der Sinn dieses Features ist IMHO äusserst fragwürdig 
> (ich möchte mal 
> so sachen wie "bescheuert" aussen vor lassen) und ich habe 
> das auch noch nie 
> in Aktion gesehen.
> 
> > Also nochmal:
> >
> > user meldet sich an und will SENDEN, wird von Postfix zu SMTP-Auth 
> > gezwungen oder aufgefordert, der kann das (gesicherte 
> > Kennwortauthentifizierung hat Häckchen) Postfix muß dafür -wie auch 
> > immer konfiguriert werden- aber was passiert dabei? Kann 
> Postfix jetzt 
> > die sasldb2 nehmen, die auch IMAP bzw. der saslauthd nimmt?
> 
> Klar.
> 
> > user meldet sich an und will LESEN, dann übergibt doch der 
> imapd die 
> > Anmeldung an den saslauthd und was passiert dann, nur vom 
> Prinzip her?
> 
> Vergiss die Querverbindung "saslauthd mit rimap" und trenne 
> IMAP von SMTP. Es 
> sind zwei verschiedene Protokolle bzw. Server die nix 
> mitenander zu tun 
> haben. Es ist halt nur Möglich für eine Applikation den 
> Usernamen bzw. das 
> Passwort von dem anderen Server überprüfen zu lassen. Wenn 
> die Cyrus-Leute 
> auch nen smtp-server entwickeln würden gäbe es evtl auch 
> einen rsmtp im 
> saslauthd.
> 
> > Ich fahre jetzt erstmal 30 km mit dem Bike durchs Gelände 
> vielleicht 
> > hilft's zusammen mit Erleuchtung seitens der Liste...
> 
> > Etwas Nachsicht bitte mit unseren Anfängern, ich 
> beschäftige mich erst 
> > seit gut einem halben Jahr intensiv mit LINUX und Mailservern, aber 
> > als ich das Postfixbuch gekauft hatte, wußte ich als MCSE und 
> > M$-Junkie noch nichts von IMAP-Servern. Für die braucht es nämlich 
> > noch mal ein extra Büchlein.
> 
> Sobald Du mit Exchange2k(3) anfängst, wirst Du Dich auch mit 
> SMTP-AUTH und 
> ähnlichem mehr beschäftigen dürfen. Auch Exchange hat einen SMTP- und 
> IMAP-Server an Board. Die Parallellen sind manchmal witzig 
> manchmal auch 
> erschreckend ;-)




Mehr Informationen über die Mailingliste Postfixbuch-users