[Postfixbuch-users] trotz SMTPAUTH keine sichere Authentifikation

[Mark Riemann]

Patrick Ben Koetter schrieb:
> einwahl wäre Authentisierung über einen RADIUS Server. das wäre ein ganz
> anderes Thema...
> 
> sasldb ist OK, denn es ist einfach, stabil und eine eigene DB, die
> nichts mit /etc/shadow zu tun hat.

Im Prinzip habe ich nichts gegen die Authentifizierung per sasldb(2). Es 
ist nur so, dass Peter Heinlein in seinem Buch davon abrät, weil es 
immer wieder zu Problemen führt (seinem Geschreibe nach).


> Hast Du zwei VErzeichnisse /usr/lib/sasl2 und /usr/local/lib/sasl2 oder
> ist /usr/lib/sasl2 ein Link auf /usr/local/lib/sasl2?

Also ich habe:
"/usr/lib/sasl"	 als richtiges Verzeichnis und
"/usr/lib/sasl2 -> /usr/local/lib/sasl2/" als Soft-Link und
"/usr/local/lib/sasl2" als richtiges Verzeichnis


>># Check mit SASL Datenbank
>># pwcheck_method: sasldb
>>
>># pwcheck_method: pam 		Hier wird PAM benutzt; hiermit lassen sich Anmeldungen ?ber LDAP, RADIUS oder NIS durchf?hren
> 
> Das galt für Cyrus-SASL.1.x aber nicht für deine Version. Ist auch nicht
> ratsam.

Ist ja auch auskommentiert. Wirkt also nicht.


>># pwcheck_method: shadow 	Es wird die Datei /etc/shadow gelesen. Problematisch da der Postfix-User Leserechte auf die Datei braucht
> 
> Falsch

Ist auch auskommentiert. Wirkt also auch nicht.


>># pwcheck_method: sasldb 	SASL benutzt seine eigene Datenbank
>># pwcheck_method: pwcheck 	Eine alternative zum Lesen der /etc/shadow. Hier wird ein pwcheck helper daemon benutzt

dito (man beachte die Rauten am Anfang der Zeile). Das habe ich nur als 
Kommentar drin, damit ich weiß, was alles möglich ist, da die smtp.conf 
ja erst händisch angelegt werden muss.


>># pwcheck_method: kerberos_v4 	Authentifizierung mit Kerberos
> 
> auch falsch.
> Das sind alles Angaben für Cyrus-SASL.1.x kannste also getrost
> vergessen.

Deswegen ist ja auch alle auskommentiert ;-)


>># Check ?bernimmt saslauthd
>>pwcheck_method: saslauthd
>>saslauthd_path: /var/state/saslauthd
>>mech_list: PLAIN LOGIN
>>log_level: 3
> 
> Ja, richtig.

Bingo, das ist nicht auskommentiert und kommt deshalb auch zur Wirkung. 
Übrigens ist das die Umsetzung Deiner Ratschläge aus den vorhergehenden 
Postings.


>>-- content of /usr/local/lib/sasl2/smtpd.conf --
>># Check mit SASL Datenbank
>># pwcheck_method: sasldb
>>
>># pwcheck_method: pam 		Hier wird PAM benutzt; hiermit lassen sich Anmeldungen ?ber LDAP, RADIUS oder NIS durchf?hren
>># pwcheck_method: shadow 		Es wird die Datei /etc/shadow gelesen. Problematisch da der Postfix-User Leserechte auf die Datei braucht
>># pwcheck_method: sasldb 		SASL benutzt seine eigene Datenbank
>># pwcheck_method: pwcheck 		Eine alternative zum Lesen der /etc/shadow. Hier wird ein pwcheck helper daemon benutzt
>># pwcheck_method: kerberos_v4 	Authentifizierung mit Kerberos
>>
>># Check ?bernimmt saslauthd
>>pwcheck_method: saslauthd
>>saslauthd_path: /var/state/saslauthd
>>mech_list: PLAIN LOGIN
>>log_level: 3
> 
> Scheint identisch mit /usr/lib/sasl2/smtpd.conf zu sein.

Richtig, da es sich bei dem Verzeichnis /usr/lib/sasl2 um einen 
Soft-Link auf /usr/local/lib/sasl2/ handelt (s.o.).


> Also irgendwas ist mächtig verbockt mit deinem saslauthd socket. Die
> Config scheint richtig nur kann Postfix nicht mit saslauthd
> kommunizieren.
> 
> Ich schlage vor, dass Du mal einen "testuser" "testpass" (ohne !)
> anlegst und mit dem testest ob testsaslauthd authentifizieren kann.
> Vorher macht es gar keinen Sinn mit Postfix zu testen.

Ich habe das Pass jetzt dementsprechend abgeändert. Bringt aber leider 
auch nicht das gewünschte Ergebnis.


> Wenn Du aber keinen IMAP Server hast, den saslauthd fragen kann, dann
> sollest Du auf sasldb umschwenken. Später, wenn Du das im Griff hast,
> kannst Du dir ja immer noch eine andere Lösung bauen.

Einen IMAP-Server habe ich nicht, aber einen POP3 Server (popa3d). Kann 
saslauthd nicht einfach den fragen?


MfG
Mark