[Postfixbuch-users] smtp sasl authentication

Patrick Ben Koetter p at state-of-mind.de
Do Dez 15 16:48:34 CET 2005


* Uwe Hering <uhering2 at hhrm.de>:
> > Ja, aber ich kann GSSAPI nicht hinfiltern ;-)
> >
> > Ok, schaue ich mir den Snapshot mal unter diesem Aspekt an.
> >
> 
> postfix-2.3-20051212 löst dieses Problem vortrefflich. Man muß also immer am 
> Ball bleiben...danke für den Tip.
> 
> Desweiteren hatte ich eine Lösung über die transport map, um auf verschiedene 
> Destinations und somit verschiedene Username/Password-Kombinationen zu 
> kommen.
> 
> Auch dieses Problem läßt sich nun durch "smtp_sender_dependent_authentication" 
> wesentlich eleganter lösen.
> 
> Bleibt die Frage: geht es auch mit GSSAPI und keytabs?
> 
> Die Versuche, verschiedene Principals in der sasl_passwd-Map einzutragen, 
> haben nicht gefruchtet. Mit Hilfe eines höheren Debug-Levels habe ich es 
> soweit verfolgt, daß man es noch bis zu "smtp_sasl_start" (smtp_sasl_glue.c), 
> dort gehe ich bei/nach "session->sasl_callbacks ..." verloren.
> 
> Da "smtp_sasl_get_user" noch ein Ergebnis bringt und "smtp_sasl_get_passwd" 
> nicht mehr auftaucht, gehe ich davon aus, daß diese Funktion stirbt (kein 
> Passwort vorhanden).
> 
> Wenn ein Passwort vorhanden ist, geht's hier aber auch nicht weiter.
> 
> Die Fehlermeldung sieht wie folgt aus:
> 
> 
> Dec 15 16:30:15 host postfix/smtp[18053]: smtp_sasl_get_user: 
> smtp/mailer1.bla.blub at BLA.BLUB
> Dec 15 16:30:15 host postfix/smtp[18053]: warning: SASL authentication 
> failure: GSSAPI Error:  Miscellaneous failure (see text) (Matching credential 
> not found)
> 
> 
> Leider ist an keiner Stelle 'rauszukriegen, was für Credentials gesucht 
> werden.
> 
> Kerberos funktioniert als solches, auch die Keytab läßt sich für ein 
> Service-Ticket benutzen.
> 
> Irgendeine Idee?

Ich leider nein. Dazu fehlt mir die Erfahrung mit MS AD und deren KERBEROS
Implementierung. Ich habe nur gehört, dass sich KERBEROS und die MS KERBEROS
version nicht vertragen - ob das wirklich so ist, kann ich nicht sagen.

Vielleicht weiß Andreas Winkelmann mehr. Der ist immer gegen Wochenende auf
der Liste unterwegs.

p at rick

-- 
Das »Postfix«-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>



Mehr Informationen über die Mailingliste Postfixbuch-users