[Postfixbuch-users] smtp sasl authentication
Uwe Hering
uhering2 at hhrm.de
Do Dez 15 16:35:19 CET 2005
Am Mittwoch, 14. Dezember 2005 19:04 schrieb Uwe Hering:
> Am Mittwoch 14 Dezember 2005 17:30 schrieb Patrick Ben Koetter:
> > * Uwe Hering <uhering2 at hhrm.de>:
> > > Hallo,
> > >
> > > hier dient ein zentraler Postfix (2.1.1) als Gateway zur Einlieferung
> > > von Mails an einen Exchange-Server (Version gerade nicht parat).
> > >
> > > Dies soll nun mit Authentisierung geschehen, was grundsätzlich auch
> > > funktioniert.
> > >
> > > Ein paar kleine Haken gibt es aber schon noch:
> > >
> > > 1.) AUTH
> > >
> > > Der Exchange sendet:
> > >
> > > 250-AUTH GSSAPI NTLM LOGIN
> > > 250-AUTH=LOGIN
> > >
> > > Da Postfix auch die "AUTH=" explizit interpretiert, fällt
> > > offensichtlich nur "LOGIN" heraus. Dies scheint mir ein
> > > Konfigurationsproblem bei Exchange zu sein - weiß jemand, ob man das
> > > dort beheben kann?
> >
> > Das ist/war auch ein Postfix Problem, denn Postfix hat bis vor kurzem bei
> > mehr als einer AUTH line alle vorhergendende weggeworfen. Das kannst Du
> > mit einem aktuellen snapshot in den Griff kriegen.
> >
> > Unerwünschte Mechanismsn kannst Du dann mit smtp_sasl_mechanism_filter
> > wegfiltern.
>
> Ja, aber ich kann GSSAPI nicht hinfiltern ;-)
>
> Ok, schaue ich mir den Snapshot mal unter diesem Aspekt an.
>
postfix-2.3-20051212 löst dieses Problem vortrefflich. Man muß also immer am
Ball bleiben...danke für den Tip.
Desweiteren hatte ich eine Lösung über die transport map, um auf verschiedene
Destinations und somit verschiedene Username/Password-Kombinationen zu
kommen.
Auch dieses Problem läßt sich nun durch "smtp_sender_dependent_authentication"
wesentlich eleganter lösen.
Bleibt die Frage: geht es auch mit GSSAPI und keytabs?
Die Versuche, verschiedene Principals in der sasl_passwd-Map einzutragen,
haben nicht gefruchtet. Mit Hilfe eines höheren Debug-Levels habe ich es
soweit verfolgt, daß man es noch bis zu "smtp_sasl_start" (smtp_sasl_glue.c),
dort gehe ich bei/nach "session->sasl_callbacks ..." verloren.
Da "smtp_sasl_get_user" noch ein Ergebnis bringt und "smtp_sasl_get_passwd"
nicht mehr auftaucht, gehe ich davon aus, daß diese Funktion stirbt (kein
Passwort vorhanden).
Wenn ein Passwort vorhanden ist, geht's hier aber auch nicht weiter.
Die Fehlermeldung sieht wie folgt aus:
Dec 15 16:30:15 host postfix/smtp[18053]: smtp_sasl_get_user:
smtp/mailer1.bla.blub at BLA.BLUB
Dec 15 16:30:15 host postfix/smtp[18053]: warning: SASL authentication
failure: GSSAPI Error: Miscellaneous failure (see text) (Matching credential
not found)
Leider ist an keiner Stelle 'rauszukriegen, was für Credentials gesucht
werden.
Kerberos funktioniert als solches, auch die Keytab läßt sich für ein
Service-Ticket benutzen.
Irgendeine Idee?
Uwe
Mehr Informationen über die Mailingliste Postfixbuch-users