[Postfixbuch-users] SASL mit MySql Authentifizierung

Patrick Ben Koetter p at state-of-mind.de
Mo Jul 26 10:02:40 CEST 2004


* Windecker, Robert <R.Windecker at peak-networks.de> [040726 09:48]:
> also bei mir lag es daran das Sasl nicht user at domain.de wollte,
> sondern nur user. Außerdem hatte ich noch zwei kleine Fehler in der
> pam_mysql.  Das mit der Authentifizierung nur über Username ohne
> Domain soll ein Bug in der Cyrus-Sasl sein. Was bei mir immer noch ein
> Problem ist, da ich mehrer Domains habe. 

Es liegt für viele nahe, saslauthd zu benutzen, um an SASL und seine
Services ranzukommen. Dabei übersehen die meisten, dass die auxprop
plugins in fast allen Situationen dem saslauthd weit überlegen sind.

saslauthd mit mysql

saslauthd   -> pam_mysql  -> MySQL
auxprop:sql -> MySQL

So ist der Weg also schon einmal kürzer. Er ist auch weniger komplex und
dadurch grundsätzlich erst einmal weniger fehleranfällig.

Zählt man jetzt hinzu, dass der saslauthd von allem möglichen
Authentisierungsmechanismen nur diejenigen kann, die die Informationen
im Klartext (plaintext) übertragen und vergleicht dann die auxprop
Methoden, die im Prinzip jeden Mechanismus plaintext, shared-secret,
zertifikat etc. unterstützen neigt sie die Waage IMO schon eindeutig in
Richtung auxprop.

Bisher ausschlaggebend war, dass die auxprop Methoden allesamt in der
Lage sind den REALM, also den domainteil einer Mailadresse, auszuwerten.
Das war in der Vergangenheit mit saslauthd mal möglich und mal wieder
nicht; je nach Version von Cyrus-SASL.2.x...

Mit der aktuellen Version Cyrus-SASL.2.1.19 hat sich das aber erübrigt.
Jetzt ist es möglich das Übertragen des REALM per startoption '-r' ein
oder auszuschalten. Ein bug war das nicht, sondern eher ein interner
Streit unter den Entwicklern. Es war, glaube ich, Rob Siemborski der in
Version 2.1.18 das Übertragen des REALM kurzerhand rausgeworfen hatte...
;)

p at rick



> 
> Robert
> 
> -----Ursprüngliche Nachricht-----
> Von: Andreas Winkelmann [mailto:ml at awinkelmann.de] 
> Gesendet: Freitag, 23. Juli 2004 17:15
> An: postfixbuch-users at listi.jpberlin.de
> Betreff: Re: [Postfixbuch-users] SASL mit MySql Authentifizierung
> 
> Am Donnerstag, 22. Juli 2004 15:45 schrieb Windecker, Robert:
> 
> > könnt ihr damit was anfangen?
> >
> > Das steht in meinem warn.log:
> 
> > Jul 22 15:14:40 nemo saslauthd[29885]: Unknown option: password=DbPassword
> > Jul 22 15:14:40 nemo saslauthd[29885]: Unknown option: hosts=localhost
> > Jul 22 15:14:40 nemo saslauthd[29885]: database changed.
> > Jul 22 15:14:40 nemo saslauthd[29885]: table changed.
> > Jul 22 15:14:40 nemo saslauthd[29885]: usercolumn changed.
> > Jul 22 15:14:40 nemo saslauthd[29885]: passwdcolumn changed.
> > Jul 22 15:14:40 nemo saslauthd[29885]: crypt changed.
> > Jul 22 15:14:40 nemo saslauthd[29885]: db_connect  called.
> > Jul 22 15:14:40 nemo saslauthd[29885]: returning 7 .
> > Jul 22 15:14:40 nemo saslauthd[29885]: returning 7 after db_connect.
> > Jul 22 15:14:40 nemo postfix/smtpd[29889]: warning:
> > unknown[213.188.107.14]: SASL LOGIN authentication failed
> 
> saslauthd?
> 
> Wie kommt der denn ins Spiel? 
> 
> -- 
> 	Andreas
> 
> --
> _______________________________________________
> Postfixbuch-users mailingliste
> JPBerlin - Mailbox und Politischer Provider
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> 
> --
> _______________________________________________
> Postfixbuch-users mailingliste
> JPBerlin - Mailbox und Politischer Provider
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
Ich behalte mir vor Nachrichten, die nicht an die Liste zurückgesendet
werden, zu ignorieren. Open Source Software verlangt auch offenen Zugang
zu Wissen, das schildert wie man sie einsetzt.
Entzieht den anderen dieses Wissen nicht, indem ihr unaufgefordert auf
einen privaten Kanal wechselt!

SMTP AUTH HOWTO: <http://postfix.state-of-mind.de/patrick.koetter/>



Mehr Informationen über die Mailingliste Postfixbuch-users