[Postfixbuch-users] Postfix & SASL - SMTP authentication failed
David Geiger
info at david-geiger.de
Mi Mär 9 20:06:30 CET 2005
Super, das war es, danke!
Lag an der /etc/postfix/sasl/smtpd.conf
Kann ich außer PLAIN und LOGIN denn auch noch andere Mechanismen nutzen?
Ich würde für Nicht-TLS Verbindungen gerne etwas anderes anbieten...
In /var/log/mail.warn sagt er
Mar 9 19:38:06 txxx postfix/smtpd[13624]: warning: SASL authentication
failure: no secret in database
Mar 9 19:38:06 txxx postfix/smtpd[13624]: warning:
p....dip0.t-ipconnect.de[...]: SASL CRAM-MD5 authentication failed
Mar 9 19:38:06 txxx postfix/smtpd[13624]: warning: SASL authentication
failure: no secret in database
Mar 9 19:38:06 txxx postfix/smtpd[13624]: warning:
p....dip0.t-ipconnect.de[...]: SASL NTLM authentication failed
Liegt das an PAM oder schlicht und einfach an Mozilla? Welche
Mechanismen kann denn Thunderbird?
http://www.melnikov.ca/mel/devel/SASL_ClientRef.html ist leider schon
etwas veraltet...
Und kann ich irgendwo die Reihenfolge einstellen, in der die Mechanismen
bei einer SMTP Connection abgefragt werden?
Grüße, David
Patrick Ben Koetter schrieb:
>* David Geiger <info at david-geiger.de>:
>
>
>>Hi,
>>
>>erstmal danke für die Antwort.
>>Die Paketversionen waren die "aktuellen" stables von Debian, hab jetzt
>>mit etwas Mühe die testing-Versionen postfix 2.1.5-6 und sasl 2.1.19-1.5
>>draufgemacht. Jetzt habe ich auch saslauthd (der hat vorhin gefehlt, da
>>gab's nur pwcheck).
>>
>>saslauthd läuft zwar, allerdings nimmt er nach wie vor mein Passwort
>>nicht. Postfix ist in der sasl Gruppe. Ich vermute, es liegt daran, dass
>>die Datei /etc/pam.d/cyrus nicht existiert..? Was muss denn da rein?
>>
>>
>
>Nö, die brauchst Du nicht wenn dann sollte sie smtp heißen.
>
>
>
>>Ansonsten sieht es so aus:
>>drwx--x--- 2 root sasl 4096 9. Mär 13:23 /var/run/saslauthd
>>srwxrwxrwx 1 root root 0 9. Mär 13:23 mux
>>-rw------- 1 root root 0 9. Mär 13:23 mux.accept
>>-rw------- 1 root root 5 9. Mär 13:23 saslauthd.pid
>>---
>>
>>~ cat /etc/default/saslauthd:
>># This needs to be uncommented before saslauthd will be run automatically
>>START=yes
>>
>># You must specify the authentication mechanisms you wish to use.
>># This defaults to "pam" for PAM support, but may also include
>># "shadow" or "sasldb", like this:
>># MECHANISMS="pam shadow"
>>
>>MECHANISMS="pam"
>>
>>
>
>Nimm für den Anfang mal shadow, das ist einfacher.
>
>
>
>
>>---
>>
>>~ vi ps wax | grep saslauthd
>>4535 ? S 0:00 /usr/sbin/saslauthd -a pam
>>4536 ? S 0:00 /usr/sbin/saslauthd -a pam
>>4537 ? S 0:00 /usr/sbin/saslauthd -a pam
>>4538 ? S 0:00 /usr/sbin/saslauthd -a pam
>>4539 ? S 0:00 /usr/sbin/saslauthd -a pam
>>4697 pts/0 S 0:00 grep saslauthd
>>
>>---
>>
>>~ ls /etc/pam.d
>>chfn chsh common-account common-auth common-password
>>common-session cron login other passwd proftpd qpopper samba
>>ssh su webmin
>>
>>---
>>
>>~ saslfinger -s
>>saslfinger - postfix Cyrus sasl configuration Mi Mär 9 13:32:00 CET 2005
>>version: 0.9.9.1
>>mode: server-side SMTP AUTH
>>
>>-- basics --
>>Postfix: 2.1.5
>>System: Debian GNU/\s 3.0 \n \l
>>
>>-- smtpd is linked to --
>> libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x4019f000)
>>
>>-- active SMTP AUTH and TLS parameters for smtpd --
>>broken_sasl_auth_clients = yes
>>smtpd_sasl_auth_enable = yes
>>smtpd_sasl_security_options = noanonymous
>>
>>
>>-- listing of /usr/lib/sasl2 --
>>insgesamt 848
>>drwxr-xr-x 2 root root 4096 9. Mär 12:19 .
>>drwxr-xr-x 44 root root 8192 9. Mär 13:05 ..
>>-rw-r--r-- 1 root root 13488 16. Okt 23:02 libanonymous.a
>>-rw-r--r-- 1 root root 851 16. Okt 23:02 libanonymous.la
>>-rw-r--r-- 1 root root 13824 16. Okt 23:02 libanonymous.so
>>-rw-r--r-- 1 root root 13824 16. Okt 23:02 libanonymous.so.2
>>-rw-r--r-- 1 root root 13824 16. Okt 23:02
>>libanonymous.so.2.0.19
>>-rw-r--r-- 1 root root 16298 16. Okt 23:02 libcrammd5.a
>>-rw-r--r-- 1 root root 837 16. Okt 23:02 libcrammd5.la
>>-rw-r--r-- 1 root root 16180 16. Okt 23:02 libcrammd5.so
>>-rw-r--r-- 1 root root 16180 16. Okt 23:02 libcrammd5.so.2
>>-rw-r--r-- 1 root root 16180 16. Okt 23:02
>>libcrammd5.so.2.0.19
>>-rw-r--r-- 1 root root 47516 16. Okt 23:02 libdigestmd5.a
>>-rw-r--r-- 1 root root 860 16. Okt 23:02 libdigestmd5.la
>>-rw-r--r-- 1 root root 43944 16. Okt 23:02 libdigestmd5.so
>>-rw-r--r-- 1 root root 43944 16. Okt 23:02 libdigestmd5.so.2
>>-rw-r--r-- 1 root root 43944 16. Okt 23:02
>>libdigestmd5.so.2.0.19
>>-rw-r--r-- 1 root root 13726 16. Okt 23:02 liblogin.a
>>-rw-r--r-- 1 root root 831 16. Okt 23:02 liblogin.la
>>-rw-r--r-- 1 root root 14028 16. Okt 23:02 liblogin.so
>>-rw-r--r-- 1 root root 14028 16. Okt 23:02 liblogin.so.2
>>-rw-r--r-- 1 root root 14028 16. Okt 23:02 liblogin.so.2.0.19
>>-rw-r--r-- 1 root root 31248 16. Okt 23:02 libntlm.a
>>-rw-r--r-- 1 root root 825 16. Okt 23:02 libntlm.la
>>-rw-r--r-- 1 root root 30660 16. Okt 23:02 libntlm.so
>>-rw-r--r-- 1 root root 30660 16. Okt 23:02 libntlm.so.2
>>-rw-r--r-- 1 root root 30660 16. Okt 23:02 libntlm.so.2.0.19
>>-rw-r--r-- 1 root root 20142 16. Okt 23:02 libotp.a
>>-rw-r--r-- 1 root root 825 16. Okt 23:02 libotp.la
>>-rw-r--r-- 1 root root 43184 16. Okt 23:02 libotp.so
>>-rw-r--r-- 1 root root 43184 16. Okt 23:02 libotp.so.2
>>-rw-r--r-- 1 root root 43184 16. Okt 23:02 libotp.so.2.0.19
>>-rw-r--r-- 1 root root 13886 16. Okt 23:02 libplain.a
>>-rw-r--r-- 1 root root 831 16. Okt 23:02 libplain.la
>>-rw-r--r-- 1 root root 14096 16. Okt 23:02 libplain.so
>>-rw-r--r-- 1 root root 14096 16. Okt 23:02 libplain.so.2
>>-rw-r--r-- 1 root root 14096 16. Okt 23:02 libplain.so.2.0.19
>>-rw-r--r-- 1 root root 21798 16. Okt 23:02 libsasldb.a
>>-rw-r--r-- 1 root root 852 16. Okt 23:02 libsasldb.la
>>-rw-r--r-- 1 root root 18692 16. Okt 23:02 libsasldb.so
>>-rw-r--r-- 1 root root 18692 16. Okt 23:02 libsasldb.so.2
>>-rw-r--r-- 1 root root 18692 16. Okt 23:02 libsasldb.so.2.0.19
>>-rw-r--r-- 1 root root 25 9. Mär 12:59 smtpd.conf
>>
>>
>>
>>
>>-- content of /usr/lib/sasl2/smtpd.conf --
>>pwcheck_method:saslauthd
>>
>>
>
>Neuere Debian Versionen von Postfix erwarten die smtpd.conf in
>/etc/postfix/sasl/smtpd.conf:
>
>pwcheck_method: saslauthd
>mech_list: plain login
>
>
>Ändere das in /etc/postfix/sasl/smtpd.conf und wenn Du einen telnet auf
>localhost machst, sollte nach dem reload von Postfix nur PLAIN und LOGIN
>als AUTH mechs announced werden.
>
>
>
>>-- active services in /etc/postfix/master.cf --
>># service type private unpriv chroot wakeup maxproc command + args
>># (yes) (yes) (yes) (never) (100)
>>smtp inet n - n - - smtpd
>>pickup fifo n - n 60 1 pickup
>>cleanup unix n - n - 0 cleanup
>>qmgr fifo n - n 300 1 qmgr
>>rewrite unix - - n - - trivial-rewrite
>>bounce unix - - n - 0 bounce
>>defer unix - - n - 0 bounce
>>trace unix - - n - 0 bounce
>>verify unix - - n - 1 verify
>>flush unix n - n 1000? 0 flush
>>proxymap unix - - n - - proxymap
>>smtp unix - - n - - smtp
>>relay unix - - n - - smtp
>>showq unix n - n - - showq
>>error unix - - n - - error
>>local unix - n n - - local
>>virtual unix - n n - - virtual
>>lmtp unix - - n - - lmtp
>>anvil unix - - n - 1 anvil
>>maildrop unix - n n - - pipe
>> flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
>>old-cyrus unix - n n - - pipe
>> flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
>>cyrus unix - n n - - pipe
>> user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
>>uucp unix - n n - - pipe
>> flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail
>>($recipient)
>>ifmail unix - n n - - pipe
>> flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
>>bsmtp unix - n n - - pipe
>> flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop
>>$recipient
>>
>>-- mechanisms on localhost --
>>250-AUTH NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
>>250-AUTH=NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
>>
>>-- end of saslfinger output --
>>
>>
>>...übrigens ein sehr praktisches Tool! :)
>>
>>Grüße, David
>>
>>Patrick Ben Koetter schrieb:
>>
>>
>>
>>>* David Geiger <info at david-geiger.de>:
>>>
>>>
>>>
>>>
>>>>ich versuche Postfix 1.1.11 mit SASL 1.5.27 zur SMTP Authentication
>>>>unter Debian Woody aufzusetzen.
>>>>Installierte Pakete: postfix, postfix-tls, libsasl7,
>>>>libsasl-modules-plain.
>>>>
>>>>
>>>>
>>>>
>>>Woa. Muß es so alt sein? Die Woche kommt wahrscheinlich Postfix 2.2 raus
>>>und
>>>SASL gibt es mittlerweile in Version 2.1.20.
>>>
>>>
>>>
>>>
>>>
>>>>Allerdings akzeptiert SASL bei SMTP mein Passwort weder mit AUTH PLAIN
>>>>noch LOGIN (telnet & mozilla).
>>>>Als pwcheck_method habe ich in /usr/lib/sasl/smtpd.conf shadow
>>>>eingestellt - Postfix ist in der Gruppe, die Read-Zugriff auf
>>>>/etc/shadow hat. Außerdem läuft Postfix nicht im chroot (steht für smtp
>>>>auf n in der master.cf).
>>>>
>>>>
>>>>
>>>>
>>>pwcheck_method: saslauthd
>>>
>>>Postfix RAUS aus der Gruppe die shadow lesen darf, sonst hat jeder der
>>>Postfix
>>>erobert sofort root Rechte...
>>>
>>>Stattdessen Postfix ein in die (sasl) Gruppe, die den saslauthd socket
>>>anlangen darf.
>>>
>>>
>>>
>>>
>>>
>>>>Ich habe das Gefühl, dass Postfix meine smtpd.conf ignoriert - wenn ich
>>>>ungültige Werte für pwcheck_method reinschreibe oder Werte für mech_list
>>>>angebe, ändert sich nichts. Wenn ich jedoch z.B. das plain-module aus
>>>>
>>>>
>>>>
>>>>
>>>mech_list gab es IIRC in 1.5.27 noch nicht.
>>>
>>>
>>>
>>>
>>>
>>>>/usr/lib/sasl entferne, wird es beim SMTP-Connect auch nicht mehr
>>>>angezeigt.
>>>>
>>>>Ich habe auch schon pam als pwcheck_method eingetragen, hat ebenfalls
>>>>nichts geändert. sasldb kann ich nicht verwenden, da es sich um ein
>>>>multi-domain System handelt und andauernd neue User hinzukommen. Mit
>>>>saslauthd habe ich keine Erfahrung (gibt es das in der Version überhaupt
>>>>schon?).
>>>>
>>>>
>>>>
>>>>
>>>Ja, da gab es saslauthd schon.
>>>
>>>
>>>
>>>
>>>
>>>>Hat vielleicht jemand eine Idee? Danke...
>>>>
>>>>
>>>>
>>>>
>>>saslfinger (siehe meine Signatur) laufen lassen und output an die Liste.
>>>Ich
>>>geh jetzt aber erst mal schlafen. Ansehen kann ich es mir also erst morgen.
>>>
>>>p at rick
>>>
>>>
>>>
>>>
>>>
>>>
>>>>Grüße, David
>>>>
>>>>
>>>>Die config-Files:
>>>>
>>>>/etc/postfix/main.cf:
>>>>*Code:*
>>>>
>>>>command_directory = /usr/sbin
>>>>daemon_directory = /usr/lib/postfix
>>>>program_directory = /usr/lib/postfix
>>>>
>>>>smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
>>>>setgid_group = postdrop
>>>>biff = no
>>>>
>>>># appending .domain is the MUA's job.
>>>>append_dot_mydomain = no
>>>>myhostname = txxx.greatnet.de
>>>>alias_maps = hash:/etc/aliases
>>>>alias_database = hash:/etc/aliases
>>>>myorigin = /etc/mailname
>>>>mydestination = txxx.greatnet.de, localhost.greatnet.de, txxx, localhost
>>>>relayhost =
>>>>mynetworks = 127.0.0.0/8
>>>>mailbox_command = procmail -a "$EXTENSION"
>>>>mailbox_size_limit = 0
>>>>recipient_delimiter = +
>>>>
>>>>
>>>># SASL
>>>>smtpd_sasl_auth_enable = yes
>>>>smtpd_sasl_security_options = noanonymous
>>>>#smtpd_sasl_local_domain = txxx
>>>>broken_sasl_auth_clients = yes
>>>>
>>>>
>>>># Anti-UCE
>>>>#smtpd_helo_required=yes
>>>>#relay_domains =
>>>>smtpd_recipient_restrictions = permit_mynetworks,
>>>>permit_sasl_authenticated, check_relay_domains
>>>>
>>>>
>>>>### CONFIXX POSTFIX ENTRY ###
>>>>virtual_maps = hash:/etc/postfix/confixx_virtualUsers,
>>>>hash:/etc/postfix/confixx_localDomains
>>>>virtual_alias_domains = hash:/etc/postfix/confixx_localDomains
>>>>### /CONFIXX POSTFIX ENTRY ###
>>>>
>>>>
>>>>
>>>>
>>>>/usr/lib/sasl/smtpd.conf (scheint aber nichts zu bewirken):
>>>>*Code:*
>>>>
>>>>pwcheck_method: shadow
>>>>
>>>>
>>>>
>>>>
>>>>Auszug aus /var/log/mail.warn:
>>>>*Code:*
>>>>
>>>>Mar 7 21:58:18 txxx postfix/smtpd[30159]: warning:
>>>>p....dip0.t-ipconnect.de[...]: SASL LOGIN authentication failed
>>>>Mar 7 22:06:33 txxx postfix/smtpd[30907]: warning:
>>>>p....dip0.t-ipconnect.de[...]: SASL PLAIN authentication failed
>>>>
>>>>--
>>>>_______________________________________________
>>>>Postfixbuch-users mailingliste
>>>>Heinlein Professional Linux Support GmbH
>>>>
>>>>Postfixbuch-users at listi.jpberlin.de
>>>>http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>>>>
>>>>
>>>>
>>>>
>>>
>>>
>>>
>
>
>
>>--
>>_______________________________________________
>>Postfixbuch-users mailingliste
>>Heinlein Professional Linux Support GmbH
>>
>>Postfixbuch-users at listi.jpberlin.de
>>http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>>
>>
>
>
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20050309/946c0ab9/attachment.html>
Mehr Informationen über die Mailingliste Postfixbuch-users