[Postfixbuch-users] welche SASL Version ?

Patrick Ben Koetter p at state-of-mind.de
Fr Jul 16 12:56:52 CEST 2004


* Dennis Kleinbaum <up2date at unimx.de> [040716 12:17]:
> >>Postfix soll mittels SASL bzw. saslauthd per rimap SMTP-AUTH
> >>realisieren.  Mein Problem ist das genau dies nicht funktioniert.
> >>Und zwar genau deshalb weil der saslauthd nicht die daten richtig an
> >>den IMAP server übergibt.  Macht es wirklich sinn unstable Pakete
> >>einzusetzen um so das Problem zu lösen ? Sprich Cyrus SASL 2.1.19 
> >>http://groups.google.de/groups?hl=de&lr=&ie=UTF-8&threadm=cd5iqf%242nk%241%40FreeBSD.csie.NCTU.edu.tw&rnum=4&prev=/groups%3Fhl%3Dde%26lr%3D%26ie%3DUTF-8%26q%3Dcyrus-sasl-2.1.19%26btnG%3DSuche
> >>   
> >
> >Was bedeutet den 'richtig' in Deinem Kontext?
> >
> Das bedeutet das es zwar funktioniert mit einem workaround aber nicht
> so wie es eigentlich sein soll.
> 
> Hier ein Beispiel:
> 
> Wenn ich folgendes bei einem Client bei SMTP einstelle: als Login
> name: user at domain.tld funktioniert die Anmeldung nicht da der
> (saslautd) das @domain.tld abschneidet und den imapd als login namen
> user vorwirft was natürlich nicht funktioniert (da in der mysql
> user at domain.tld steht und nicht nur user)
> 
> Was ich nun gemacht habe um das zu verifizieren hab ich den Login
> namen um @domain.tld erweitert sprich user at domain.tld@domain.tld. Mich
> würde jetzt interresieren wie man das Problem am elegantesten lößt ?

Also am elegantesten mit SASL 2.1.18 ist es saslauthd gar nicht zu
nützen. Das setzt allerdings voraus, das Du Zugriff auf die MySQL DB
hast.

Denn dann kannst Du das sog. auxprop:sql plugin benützen, welches in der
Lage ist, direkt Kontakt mit MySQL aufzunehmen.

Auf diese Weise gewinnst Du auch noch shared-secret Mechanismen mit
hinzu und bist nicht nur auf plaintext angewiesen, das typischerweise
eine TLS Konfiguration nach sich zieht, weil man username und password
vor bösen Augen schützen will.

Wenn Du das haben willst, dann such mal im Archiv der Liste. Da habe ich
vor ca. 2 Monaten (?) eine ausführliche Beschreibung geliefert, wie man
auxprop: sql konfiguriert.

Weniger elegant wäre 2.1.18 zu patchen; irgendwo fliegt bestimmt wieder
ein patch für saslauthd rum, der dann den REALM mit übertragen wird.

Noch weniger elegant wäre sicher 2.1.19 von SOURCE zu installieren, wenn
man den Rechner nur über packages auf dem Laufenden halten will.

BTW: rimap als methode ist IMO nicht nur architektonisch, sondern auch
in Bezug auf Sicherheit ein typischer SASL Knieschuß.

Da stellt ein Authentisierungs-Framework namens SASL eine Methode zur
Verfügung, die widerum eine andere Applikation dazu benützt, eine
Authentisierung herbeizuführen. Das ist architektonisch von hinten durch
die Brust ins Auge...

Aus Sicht der Sicherheit ist mir nicht bekannt, dass rimap ssl kann. Du
würdest also die Daten unverschlüsselt durch die Gegend schicken. Das
macht nur dann Sinn, wenn das über localhost geht. Alles andere wäre
eine Einladung an alle Helden dieser Erde mit einem sniffer einfach die
Kennwörter abzufangen.

Ach ja, habe ich schon erwähnt, dass SASL die Abkürzung für "Simple
Authentication and Security Layer" ist? Bei dem Anspruch an den Teil
"Security" denke ich manchmal, dass sie da was völlig falsch verstanden
haben...

Die Idee eines Authentication Frameworks ist gut, weil wirklich jede
Software die Authentisierung voraussetzt, SASL benötigen kann. Die
gegenwärtige Umsetzung ist jedoch nur bedingt zu geniessen.

Ich kann schon verstehen, warum Wietse Venema SASL soweit wie möglich
von Postfix weghaben will. Er hatte mal für Postfix 2.2 einen sasld
daemon angekündigt, der den SASL code zumindest aus dem smtpd daemon
fernhält, welche ja sozusagen der Türsteher für eingehende Mails im
Hause Postfix ist. Haut einer den flach, kommt er mit SASL ans Herz des
Systems, die User Datenbank.

Hmmm. Jetzt bin ich definitiv OT. Sorry, mußte ich mir mal von der Seele
schreiben ;)

Gruß

p at rick

-- 
Ich behalte mir vor Nachrichten, die nicht an die Liste zurückgesendet
werden, zu ignorieren. Open Source Software verlangt auch offenen Zugang
zu Wissen, das schildert wie man sie einsetzt.
Entzieht den anderen dieses Wissen nicht, indem ihr unaufgefordert auf
einen privaten Kanal wechselt!

SMTP AUTH HOWTO: <http://postfix.state-of-mind.de/patrick.koetter/>



Mehr Informationen über die Mailingliste Postfixbuch-users