[Postfixbuch-users] SASL2 für lokale User

Patrick Ben Koetter p at state-of-mind.de
Di Nov 15 09:46:19 CET 2005


* Alexander Gran <alex at zodiac.dnsalias.org>:
> www:/usr/lib/sasl2 # saslfinger -s
> saslfinger - postfix Cyrus sasl configuration Di Nov 15 01:25:13 CET 2005
> version: 0.9.9.1
> mode: server-side SMTP AUTH
> 
> -- basics --
> Postfix: 2.2.1
> System:
> Welcome to SuSE Linux 9.3 (i586) - Kernel \r (\l).
> 
> -- smtpd is linked to --
>         libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x4006b000)

Cyrus-SASL.2.x

> -- active SMTP AUTH and TLS parameters for smtpd --
> broken_sasl_auth_clients = yes
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_security_options = noanonymous
> smtpd_tls_CAfile = /etc/postfix/cacert.pem
> smtpd_tls_cert_file = /etc/postfix/newcert.pem
> smtpd_tls_key_file = /etc/postfix/newreq.pem
> smtpd_tls_received_header = yes
> smtpd_tls_session_cache_timeout = 3600s
> smtpd_use_tls = yes

TLS ausschalten, während Du SASL einrichtest!

> -- listing of /usr/lib/sasl2 --
> insgesamt 313
> drwxr-xr-x   2 root root   760 2005-11-15 01:09 .
> drwxr-xr-x  43 root root 12904 2005-11-15 01:08 ..
> -rwxr-xr-x   1 root root   695 2005-03-19 21:29 libanonymous.la
> -rwxr-xr-x   1 root root 13560 2005-03-19 21:29 libanonymous.so
> -rwxr-xr-x   1 root root 13560 2005-03-19 21:29 libanonymous.so.2
> -rwxr-xr-x   1 root root 13560 2005-03-19 21:29 libanonymous.so.2.0.20
> -rwxr-xr-x   1 root root   679 2005-03-19 21:29 liblogin.la
> -rwxr-xr-x   1 root root 14420 2005-03-19 21:29 liblogin.so
> -rwxr-xr-x   1 root root 14420 2005-03-19 21:29 liblogin.so.2
> -rwxr-xr-x   1 root root 14420 2005-03-19 21:29 liblogin.so.2.0.20
> -rwxr-xr-x   1 root root   679 2005-03-19 21:29 libplain.la
> -rwxr-xr-x   1 root root 14420 2005-03-19 21:29 libplain.so
> -rwxr-xr-x   1 root root 14420 2005-03-19 21:29 libplain.so.2
> -rwxr-xr-x   1 root root 14420 2005-03-19 21:29 libplain.so.2.0.20
> -rwxr-xr-x   1 root root   707 2005-03-19 21:29 libsasldb.la
> -rwxr-xr-x   1 root root 18792 2005-03-19 21:29 libsasldb.so
> -rwxr-xr-x   1 root root 18792 2005-03-19 21:29 libsasldb.so.2
> -rwxr-xr-x   1 root root 18792 2005-03-19 21:29 libsasldb.so.2.0.20
> -rwxr-xr-x   1 root root   706 2005-03-19 21:29 libsql.la
> -rwxr-xr-x   1 root root 21928 2005-03-19 21:29 libsql.so
> -rwxr-xr-x   1 root root 21928 2005-03-19 21:29 libsql.so.2
> -rwxr-xr-x   1 root root 21928 2005-03-19 21:29 libsql.so.2.0.20
> -rw-r--r--   1 root root    74 2005-11-15 01:09 smtpd.conf
> 

OK.

Du hast nur die libraries für LOGIN und PLAIN installiert. Mit sasldb kannst
Du auch noch CRAM-MD5 und DIGEST-MD5 dazunehmen. Diese, shared-secret
Mechanismen sind sicherer, werden nicht von MS Outlook genutzt, aber von
vielen anderen Clients.

> -- content of /usr/lib/sasl2/smtpd.conf --
> #pwcheck_method: saslauthd
> pwcheck_method: auxprop
> auxprop_plugin: sasldb

OK.

> -- active services in /etc/postfix/master.cf --
> # service type  private unpriv  chroot  wakeup  maxproc command + args
> #               (yes)   (yes)   (yes)   (never) (100)
> smtp      inet  n       -       n       -       2       smtpd -o 
> content_filter=smtp:[127.0.0.1]:10024

OK.

> -- mechanisms on localhost --
> 
> Hoffe das reicht?
> Problem ist einfach, dass die user nicht erkannt werden. Beispiel:
> www:/usr/lib/sasl2 # sasldblistusers2 | grep alexg
> alexg at www.moduleworks.com: cmusaslsecretDIGEST-MD5
> alexg at www.moduleworks.com: cmusaslsecretPLAIN
> alexg at www.moduleworks.com: cmusaslsecretCRAM-MD5
> www:/usr/lib/sasl2 # telnet localhost smtp
> Trying 127.0.0.1...
> Connected to localhost.
> Escape character is '^]'.
> 220 www.moduleworks.com ESMTP Postfix
> mail from:a at web.de
> 250 Ok
> rcpt to:alexg at moduleworks.com
> 450 <alexg at moduleworks.com>: Recipient address rejected: User unknown in local recipient table

Das hier ist keine SASL Fehlermeldung; Postfix findet einfach keinen Empfänger
alexg at moduleworks.com in der aliases- oder virtual-Tabelle.

> quit
> 221 Bye
> Connection closed by foreign host.
> 
> Leider finde ich keine debug info, die mir sagt, warum nicht...

Also ein Beispiel, das einen SASL Fehler zeigt, hast Du (noch) nicht gezeigt.
Wir wissen also noch nicht, ob die SASL Config in Ordnung ist oder nicht.
Generell sieht sie sauber und richtig aus.

Wenn Du testest musst Du darauf achten, dass Du "alexg at www.moduleworks.com"
als SMTP AUTH Username übergibst, denn das hast Du als SMTP AUTH in der sasldb
angegeben.

p at rick

-- 
Das »Postfix«-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>



Mehr Informationen über die Mailingliste Postfixbuch-users