[Postfixbuch-users] smtp sasl authentication

Uwe Hering uhering2 at hhrm.de
Do Dez 15 20:19:33 CET 2005


Am Donnerstag 15 Dezember 2005 16:48 schrieb Patrick Ben Koetter:
> * Uwe Hering <uhering2 at hhrm.de>:
> > > Ja, aber ich kann GSSAPI nicht hinfiltern ;-)
> > >
> > > Ok, schaue ich mir den Snapshot mal unter diesem Aspekt an.
> >
> > postfix-2.3-20051212 löst dieses Problem vortrefflich. Man muß also immer
> > am Ball bleiben...danke für den Tip.
> >
> > Desweiteren hatte ich eine Lösung über die transport map, um auf
> > verschiedene Destinations und somit verschiedene
> > Username/Password-Kombinationen zu kommen.
> >
> > Auch dieses Problem läßt sich nun durch
> > "smtp_sender_dependent_authentication" wesentlich eleganter lösen.
> >
> > Bleibt die Frage: geht es auch mit GSSAPI und keytabs?
> >
> > Die Versuche, verschiedene Principals in der sasl_passwd-Map einzutragen,
> > haben nicht gefruchtet. Mit Hilfe eines höheren Debug-Levels habe ich es
> > soweit verfolgt, daß man es noch bis zu "smtp_sasl_start"
> > (smtp_sasl_glue.c), dort gehe ich bei/nach "session->sasl_callbacks ..."
> > verloren.
> >
> > Da "smtp_sasl_get_user" noch ein Ergebnis bringt und
> > "smtp_sasl_get_passwd" nicht mehr auftaucht, gehe ich davon aus, daß
> > diese Funktion stirbt (kein Passwort vorhanden).
> >
> > Wenn ein Passwort vorhanden ist, geht's hier aber auch nicht weiter.
> >
> > Die Fehlermeldung sieht wie folgt aus:
> >
> >
> > Dec 15 16:30:15 host postfix/smtp[18053]: smtp_sasl_get_user:
> > smtp/mailer1.bla.blub at BLA.BLUB
> > Dec 15 16:30:15 host postfix/smtp[18053]: warning: SASL authentication
> > failure: GSSAPI Error:  Miscellaneous failure (see text) (Matching
> > credential not found)
> >
> >
> > Leider ist an keiner Stelle 'rauszukriegen, was für Credentials gesucht
> > werden.
> >
> > Kerberos funktioniert als solches, auch die Keytab läßt sich für ein
> > Service-Ticket benutzen.
> >
> > Irgendeine Idee?
>
> Ich leider nein. Dazu fehlt mir die Erfahrung mit MS AD und deren KERBEROS
> Implementierung. Ich habe nur gehört, dass sich KERBEROS und die MS
> KERBEROS version nicht vertragen - ob das wirklich so ist, kann ich nicht
> sagen.

Es ist ein bißchen umständlich zu konfigurieren, mich haben die 
Fehlermeldungen von Kerberos (Heimal) oft in die Irre geführt. Aber wenn man 
die Konfiguration mal hat, geht es eigentlich sehr gut.


Uwe



Mehr Informationen über die Mailingliste Postfixbuch-users