[Postfixbuch-users] smtp-auth mit rimap und "@" im Usernamen

Patrick Ben Koetter p at state-of-mind.de
Do Sep 2 12:25:23 CEST 2004 

* Goetz Rieger <GRieger at probusiness.de> [040902 11:58]:
> > > -Die Benutzer heissen "user at domain.tld". Die AUTH PLAIN-Anmeldung
> > > schlägt damit aber fehl ("[reason=remote server rejected your
> > > credentials]". Testhalber mit einem Benutzernamen nach Muster
> > > "user" geht es.
> > 
> > Setz saslauthd ab Version 2.1.19 ein und rufe ihn zusätzlich mit der
> > Option "-r" auf. Dann stripped er nicht den domainpart.
> 
> Schade, wir hatten gerade entschieden, zwecks einfacher Updates beim
> Distributions- Standard zu bleiben (2.1.18). Zumindest weiss ich
> jetzt, wie das zu machen ist.

Was benützt Du? SUSE? RedHat? Fedora? Debian?

> > > -Gibt es eine Methode, verschlüsselte Passwörter für smtp-auth mit rimap
> > >zu verwenden?
> > > "Einfach so" geht es jedenfalls nicht, es kommt dann: "SASL authentication
> > > problem: unable to open Berkeley db /etc/sasldb2"
> > 
> > Das verstehe ich nicht. Kannst Du das bitte ausführlicher erläutern?
> 
> Ich möchte smtp-auth gegen einen IMAP authentifizieren, das geht wenn
> ich im Client PLAIN als Methode angebe. Natürlich wäre es gut, wenn
> die Passwörter verschlüsselt würden. Als relativ unbeschlagener
> SASL-User konfiguriere ich den Client dann auf CRAM-MD5, was Postfix
> auch anbietet.

Das geht leider nicht, denn saslauthd unerstützt nur die plaintext
Mechanismen PLAIN und LOGIN. Postfix bietet die anderen Mechanismen
trotzdem an, weil Cyrus SASL ihm einfach alle verfügbaren Mechanismen
nennt. Cyrus SASL prüft da nicht, ob saslauthd die Authentifizierung
machen soll und limitiert die Mechanismen dann automatisch.

Wenn Du saslauthd benützt, mußt Du die Mechanismen von Hand limitieren.
Dazu setzt zu in smtpd.conf folgenden Eintrag:

mech_list: PLAIN LOGIN


Wenn Du jetzt aber shared-secret Mechanismen wie CRAM-MD5 und DIGEST-MD5
benützen willst, mußt Du dich von saslauthd trennen und auf die auxprop
plugins umschwenken. Das kann auch gut gehen, wenn die Daten auf die
Dein IMAP server zugreift z.B. in einer SQL DB drin sind. DAS kann SASL
mit auxprop nämlich direkt lesen. DANN ist aber 2.1.19 auch wieder die
bessere Lösung...

> Es gibt dann vom Postfix den Fehler:
> 
> warning: SASL authentication problem: unable to open Berkeley db /etc/sasldb2:
> No such file or directory

Wenn Du nicht auxprop als pwcheck_method in smtpd.conf eingestellt hast,
dann ist das eine fehlleitende Fehlermeldung von Cyrus SASL.

Überlege erst einmal, welches authentication backend (rimap, sql, etc.)
Du nützen willst und dann entscheiden wir, ob wir das hier debuggen oder
gleich auf was anderes abzielen.

BTW: Komm doch am Samstag zu Postfixtreffen nach Berlin. Da halte ich
einen Vortrag über "Cyrus SASL, das unbekannte Wesen". ;)

p at rick


> Sep  2 11:02:48 smtpcl03 postfix/smtpd[6825]: warning: SASL authentication
> failure: no secret in database
> Sep  2 11:02:48 smtpcl03 postfix/smtpd[6825]: warning: unknown[193.30.60.200]:
> SASL CRAM-MD5 authentication failed
>  
> Das jetzt verschlüsselte Passwort muss ja mit einer Datenbank mit
> verschlüsselten Passwörtern verglichen werden, wenn ich richtig liege. Über
> rimap kann das wohl nicht
> gehen, der IMAP will ein Klartext-Passwort. Anscheinend wird dann automatisch 
> versucht, in einer sasldb2 nachzuschlagen.
> 
> Ich benutze wie gesagt die Standard SuSE 9.1-Versionen, wenn ich hier einen
> Denk- oder
> Verständnisfehler habe, wäre ich Dir für Aufklärung dankbar...;-).
> 
> > >[...] 
> > TLS von wo nach wo?
> > Vom mail client zu Postfix ist das OK.
> > Von SASL zu IMAP Server sind credentials im plaintext unterwegs...
> 
> Vom Client zum Postfix, damit die Passwörter im Internet nicht im Klartext
> übertragen werden.
> 
> Gruß + Danke,
> Götz
> 
> 
> > 
> > p at rick
> > 
> > -- 
> > Ich behalte mir vor Nachrichten, die nicht an die Liste zurückgesendet
> > werden, zu ignorieren. Open Source Software verlangt auch offenen Zugang
> > zu Wissen, das schildert wie man sie einsetzt.
> > Entzieht den anderen dieses Wissen nicht, indem ihr unaufgefordert auf
> > einen privaten Kanal wechselt!
> > 
> > SMTP AUTH HOWTO: <http://postfix.state-of-mind.de/patrick.koetter/>
> > -- 
> > _______________________________________________
> > Postfixbuch-users mailingliste
> > JPBerlin - Mailbox und Politischer Provider
> > Postfixbuch-users at listi.jpberlin.de
> > http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> > 
> 
> 
> 
> 
> -------------------------------------------------
> This mail sent through IMP: http://horde.org/imp/
> 
> -- 
> _______________________________________________
> Postfixbuch-users mailingliste
> JPBerlin - Mailbox und Politischer Provider
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
Ich behalte mir vor Nachrichten, die nicht an die Liste zurückgesendet
werden, zu ignorieren. Open Source Software verlangt auch offenen Zugang
zu Wissen, das schildert wie man sie einsetzt.
Entzieht den anderen dieses Wissen nicht, indem ihr unaufgefordert auf
einen privaten Kanal wechselt!

SMTP AUTH HOWTO: <http://postfix.state-of-mind.de/patrick.koetter/>

Mehr Informationen über die Mailingliste Postfixbuch-users