[Postfixbuch-users] welche SASL Version ?

Dennis Kleinbaum up2date at unimx.de
Fr Jul 16 13:13:29 CEST 2004


Patrick Ben Koetter wrote:

>* Dennis Kleinbaum <up2date at unimx.de> [040716 12:17]:
>  
>
>>>>Postfix soll mittels SASL bzw. saslauthd per rimap SMTP-AUTH
>>>>realisieren.  Mein Problem ist das genau dies nicht funktioniert.
>>>>Und zwar genau deshalb weil der saslauthd nicht die daten richtig an
>>>>den IMAP server übergibt.  Macht es wirklich sinn unstable Pakete
>>>>einzusetzen um so das Problem zu lösen ? Sprich Cyrus SASL 2.1.19 
>>>>http://groups.google.de/groups?hl=de&lr=&ie=UTF-8&threadm=cd5iqf%242nk%241%40FreeBSD.csie.NCTU.edu.tw&rnum=4&prev=/groups%3Fhl%3Dde%26lr%3D%26ie%3DUTF-8%26q%3Dcyrus-sasl-2.1.19%26btnG%3DSuche
>>>>  
>>>>        
>>>>
>>>Was bedeutet den 'richtig' in Deinem Kontext?
>>>
>>>      
>>>
>>Das bedeutet das es zwar funktioniert mit einem workaround aber nicht
>>so wie es eigentlich sein soll.
>>
>>Hier ein Beispiel:
>>
>>Wenn ich folgendes bei einem Client bei SMTP einstelle: als Login
>>name: user at domain.tld funktioniert die Anmeldung nicht da der
>>(saslautd) das @domain.tld abschneidet und den imapd als login namen
>>user vorwirft was natürlich nicht funktioniert (da in der mysql
>>user at domain.tld steht und nicht nur user)
>>
>>Was ich nun gemacht habe um das zu verifizieren hab ich den Login
>>namen um @domain.tld erweitert sprich user at domain.tld@domain.tld. Mich
>>würde jetzt interresieren wie man das Problem am elegantesten lößt ?
>>    
>>
>
>Also am elegantesten mit SASL 2.1.18 ist es saslauthd gar nicht zu
>nützen. Das setzt allerdings voraus, das Du Zugriff auf die MySQL DB
>hast.
>
>Denn dann kannst Du das sog. auxprop:sql plugin benützen, welches in der
>Lage ist, direkt Kontakt mit MySQL aufzunehmen.
>
>Auf diese Weise gewinnst Du auch noch shared-secret Mechanismen mit
>hinzu und bist nicht nur auf plaintext angewiesen, das typischerweise
>eine TLS Konfiguration nach sich zieht, weil man username und password
>vor bösen Augen schützen will.
>
>Wenn Du das haben willst, dann such mal im Archiv der Liste. Da habe ich
>vor ca. 2 Monaten (?) eine ausführliche Beschreibung geliefert, wie man
>auxprop: sql konfiguriert.
>
>Weniger elegant wäre 2.1.18 zu patchen; irgendwo fliegt bestimmt wieder
>ein patch für saslauthd rum, der dann den REALM mit übertragen wird.
>
>Noch weniger elegant wäre sicher 2.1.19 von SOURCE zu installieren, wenn
>man den Rechner nur über packages auf dem Laufenden halten will.
>
>BTW: rimap als methode ist IMO nicht nur architektonisch, sondern auch
>in Bezug auf Sicherheit ein typischer SASL Knieschuß.
>
>Da stellt ein Authentisierungs-Framework namens SASL eine Methode zur
>Verfügung, die widerum eine andere Applikation dazu benützt, eine
>Authentisierung herbeizuführen. Das ist architektonisch von hinten durch
>die Brust ins Auge...
>
>Aus Sicht der Sicherheit ist mir nicht bekannt, dass rimap ssl kann. Du
>würdest also die Daten unverschlüsselt durch die Gegend schicken. Das
>macht nur dann Sinn, wenn das über localhost geht. Alles andere wäre
>eine Einladung an alle Helden dieser Erde mit einem sniffer einfach die
>Kennwörter abzufangen.
>
>Ach ja, habe ich schon erwähnt, dass SASL die Abkürzung für "Simple
>Authentication and Security Layer" ist? Bei dem Anspruch an den Teil
>"Security" denke ich manchmal, dass sie da was völlig falsch verstanden
>haben...
>
>Die Idee eines Authentication Frameworks ist gut, weil wirklich jede
>Software die Authentisierung voraussetzt, SASL benötigen kann. Die
>gegenwärtige Umsetzung ist jedoch nur bedingt zu geniessen.
>
>Ich kann schon verstehen, warum Wietse Venema SASL soweit wie möglich
>von Postfix weghaben will. Er hatte mal für Postfix 2.2 einen sasld
>daemon angekündigt, der den SASL code zumindest aus dem smtpd daemon
>fernhält, welche ja sozusagen der Türsteher für eingehende Mails im
>Hause Postfix ist. Haut einer den flach, kommt er mit SASL ans Herz des
>Systems, die User Datenbank.
>
>Hmmm. Jetzt bin ich definitiv OT. Sorry, mußte ich mir mal von der Seele
>schreiben ;)
>
>Gruß
>
>p at rick
>
>  
>
Nicht wirklich OT,  genau das wollte ich hören :)
Vielen Dank für das ausführliche Statement!!! Mit der Erkenntnis kann 
ich auf jedenfall was drauß machen als nichts aussagende Kommentare.

Gruß
Dennis







Mehr Informationen über die Mailingliste Postfixbuch-users