[Postfixbuch-users] saslauthd - mehrere authentication mechanisms

Patrick Ben Koetter p at state-of-mind.de
Fr Apr 29 16:11:36 CEST 2005 

* Markus Winkler <markus.winkler at hrz.tu-chemnitz.de>:
> Der Mailserver mit Postfix und Cyrus (Debian) soll für SMTPAUTH, IMAP,
> POP3 die Userdaten via SASL von einem (Open-)LDAP-Server holen, der
> auf einer zweiten Maschine läuft.
> 
> Dabei bin ich auf eine widersprüchliche bzw. uneindeutige Aussage
> bzgl. der Möglichkeiten des saslauthd gestoßen:
> 
> Entsprechend der config-Datei und der man-Page kann ich für den
> saslauthd mehrere Auth-Mechanismen gleichzeitig angeben, die dieser
> dann auch nacheinander nutzt.
> 
> In /etc/default/saslauthd ist daher:
> 
> MECHANISMS="pam ldap"
> 
> eingetragen, der saslauthd verwendet aber offenbar nur immer den
> ersten der angegebenen Mechanismen. Ist eindeutig reproduzierbar.
> 
> Nach langem Suchen hatte ich diesen Hinweis gefunden:
> > saslauthd unterstützt nur einen auth-mechanismus, auch wenn es
> > anders dokumentiert ist.! Gibt's auch einen Bugreport zu BTS #274182
> 
> Weiß zufällig jemand, ob das stimmt und der saslauthd nun prinzipiell
> wirklich nur einen Mechanismus gleichzeitig beherrscht und demzufolge
> sowohl die man-Page als auch die Erläuterungen in der Config falsch sind?

Geh davon aus, das saslauthd das dann nicht kann. Die Doku von sasl ist alles
andere als richtig oder aktuell.

> Oder handelt es sich "nur" um einen Fehler im Paket (bei mir sasl2-bin
> 2.1.19-1.5)? Ich bin da momentan etwas verunsichert.
> 
> Neben LDAP hätte ich gerne noch eine zweite, lokale und vor allem
> andersartige Quelle, falls der LDAP-Server mal nicht verfügbar ist.

Wenn Du fit bist, dann schnapp Dir das ldapdb auxprop Plugin aus den contrib
tree von OpenLDAP, patche SASL damit und baue es mit ldapdb.

Dann konfiguriere saslauthd für pam und ldapdb für deinen entfernten OpenLDAP
Server.

In der smtpd.conf gibst Du dann bei pwcheck_method folgendes an:

pwcheck_method: ldapdb pam
...

DAS sollte funktionieren, auch wenn ich es selber so noch nicht gemacht habe.

p at rick







> Ja, ich weiß, LDAP kann man replizieren. ;-) Mich interessiert das
> aber auch prinzipiell.
> 
> Danke und Gruß
> Markus
> 
> -- 
> _______________________________________________
> Postfixbuch-users mailingliste
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
The Book of Postfix
<http://www.postfix-book.com>
SMTP AUTH debug utility:
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>

Mehr Informationen über die Mailingliste Postfixbuch-users