[Postfixbuch-users] Postfix. smtpd-auth mit sasl

Patrick Ben Koetter p at state-of-mind.de
Fr Aug 18 09:40:37 CEST 2006 

* Axel Schmidat <axel.schmidat at lsg.nrw.de>:
> Aslo, wir sprechen schon dieselbe Sprache, vielleicht habe ich mich auch 
> nur durch die Einstellungsmöglichkeiten von Thunderbird etwas irritieren 
> lassen. Thunderbird kann halt so eingestellt werden, dass man zum einen 
> ein verschlüsselte Verbindung (SSL) aufbaut, die ja funzt und zum 
> anderen kann ein Häkchen bei "Sichere Authentifizierung" setzen.

Hmmm, ich frage mich die ganze Zeit, WAS die Thunderbird-Leute denn unter
"Sichere Authentifizierung" verstehen. Googlen hat da in der Kürze auch nicht
weitergeholfen. Ich habe aber gelesen, dass einige ihre User anweisen, es
explizit nicht anzuschalten, weil es buggy oder not suppported sein soll.


> Ich bin halt davon ausgegangen, dass dies default-mäßig unterstützt wird 
> bei Posteingang (Port 993).

Was ist "dies"? :/


> Ich kann natürlich Thunderbird nicht entnehmen, wofür in dem Fall 
> "Sichere Authentifizierung" steht.

Genau! Wie will man etwas zur Verfügung stellen, das man gar nicht kennt?


> Wenn dies halt nicht so funktionniert, dann lasse ich es halt weg.
> 
> saslfinger -s -->
> 
> saslfinger - postfix Cyrus sasl configuration Fr 18 Aug 09:08:46 CEST 2006
> version: 1.0
> mode: server-side SMTP AUTH
> 
> -- basics --
> Postfix: 2.2.10
> System: Ubuntu 6.06.1 LTS \n \l
> 
> -- smtpd is linked to --
>     libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x00002aaaab4f0000)
> 
> -- active SMTP AUTH and TLS parameters for smtpd --
> broken_sasl_auth_clients = yes
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_local_domain =
> smtpd_sasl_security_options = noanonymous
> smtpd_tls_CAfile = /etc/postfix/cacert.pem
> smtpd_tls_cert_file = /etc/postfix/imap-cert.pem
> smtpd_tls_key_file = /etc/postfix/imap-key.pem
> smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
> smtpd_use_tls = yes
> 
> 
> -- listing of /usr/lib/sasl2 --
> total 1068
> drwxr-xr-x  2 root root     1576 2006-08-17 14:40 .
> drwxr-xr-x 33 root root     6608 2006-08-18 08:26 ..
> -rw-r--r--  1 root root    19036 2006-04-24 13:38 libanonymous.a
> -rw-r--r--  1 root root      855 2006-04-24 13:38 libanonymous.la
> -rw-r--r--  1 root root    15712 2006-04-24 13:38 libanonymous.so
> -rw-r--r--  1 root root    15712 2006-04-24 13:38 libanonymous.so.2
> -rw-r--r--  1 root root    15712 2006-04-24 13:38 libanonymous.so.2.0.19
> -rw-r--r--  1 root root    21802 2006-04-24 13:38 libcrammd5.a
> -rw-r--r--  1 root root      841 2006-04-24 13:38 libcrammd5.la
> -rw-r--r--  1 root root    19104 2006-04-24 13:38 libcrammd5.so
> -rw-r--r--  1 root root    19104 2006-04-24 13:38 libcrammd5.so.2
> -rw-r--r--  1 root root    19104 2006-04-24 13:38 libcrammd5.so.2.0.19
> -rw-r--r--  1 root root    59792 2006-04-24 13:38 libdigestmd5.a
> -rw-r--r--  1 root root      864 2006-04-24 13:38 libdigestmd5.la
> -rw-r--r--  1 root root    46336 2006-04-24 13:38 libdigestmd5.so
> -rw-r--r--  1 root root    46336 2006-04-24 13:38 libdigestmd5.so.2
> -rw-r--r--  1 root root    46336 2006-04-24 13:38 libdigestmd5.so.2.0.19
> -rw-r--r--  1 root root    19262 2006-04-24 13:38 liblogin.a
> -rw-r--r--  1 root root      835 2006-04-24 13:38 liblogin.la
> -rw-r--r--  1 root root    16352 2006-04-24 13:38 liblogin.so
> -rw-r--r--  1 root root    16352 2006-04-24 13:38 liblogin.so.2
> -rw-r--r--  1 root root    16352 2006-04-24 13:38 liblogin.so.2.0.19
> -rw-r--r--  1 root root    38724 2006-04-24 13:38 libntlm.a
> -rw-r--r--  1 root root      829 2006-04-24 13:38 libntlm.la
> -rw-r--r--  1 root root    32264 2006-04-24 13:38 libntlm.so
> -rw-r--r--  1 root root    32264 2006-04-24 13:38 libntlm.so.2
> -rw-r--r--  1 root root    32264 2006-04-24 13:38 libntlm.so.2.0.19
> -rw-r--r--  1 root root    27142 2006-04-24 13:38 libotp.a
> -rw-r--r--  1 root root      829 2006-04-24 13:38 libotp.la
> -rw-r--r--  1 root root    48856 2006-04-24 13:38 libotp.so
> -rw-r--r--  1 root root    48856 2006-04-24 13:38 libotp.so.2
> -rw-r--r--  1 root root    48856 2006-04-24 13:38 libotp.so.2.0.19
> -rw-r--r--  1 root root    19342 2006-04-24 13:38 libplain.a
> -rw-r--r--  1 root root      835 2006-04-24 13:38 libplain.la
> -rw-r--r--  1 root root    16384 2006-04-24 13:38 libplain.so
> -rw-r--r--  1 root root    16384 2006-04-24 13:38 libplain.so.2
> -rw-r--r--  1 root root    16384 2006-04-24 13:38 libplain.so.2.0.19
> -rw-r--r--  1 root root    29164 2006-04-24 13:38 libsasldb.a
> -rw-r--r--  1 root root      856 2006-04-24 13:38 libsasldb.la
> -rw-r--r--  1 root root    21288 2006-04-24 13:38 libsasldb.so
> -rw-r--r--  1 root root    21288 2006-04-24 13:38 libsasldb.so.2
> -rw-r--r--  1 root root    21288 2006-04-24 13:38 libsasldb.so.2.0.19
> -rw-r--r--  1 root root    30856 2006-04-24 13:38 libsql.a
> -rw-r--r--  1 root root      895 2006-04-24 13:38 libsql.la
> -rw-r--r--  1 root root    24848 2006-04-24 13:38 libsql.so
> -rw-r--r--  1 root root    24848 2006-04-24 13:38 libsql.so.2
> -rw-r--r--  1 root root    24848 2006-04-24 13:38 libsql.so.2.0.19
> -rw-r--r--  1 root postfix   265 2006-08-17 16:26 smtpd.conf
> 
> 
> 
> 
> -- content of /usr/lib/sasl2/smtpd.conf --
> pwcheck_method: auxprop
> auxprop_plugin: sql
> mech_list: plain login
> allow_plaintext: true
> sql_engine: mysql
> sql_hostnames: 127.0.0.1
> sql_user: --- replaced ---
> sql_passwd: --- replaced ---
> sql_database: mailbase
> sql_select: select password from mailbase where id="%u@%r"
> log_level: 7

Wenn Ubuntu die default Postfix Pakete von Debian verwendet, dann kannst Du
die /usr/lib/sasl2/smtpd.conf entfernen. Das Postfix Paket von Debian ist
gepatched und verwendet nur /etc/postfix/sasl/smtpd.conf.


> -- content of /etc/postfix/sasl/smtpd.conf --
> pwcheck_method: auxprop
> auxprop_plugin: sql
> mech_list: plain login

Mit dem auxprop plugin kannst Du mehr anbieten: 

mech_list: PLAIN LOGIN CRAM-MD5 DIGEST-MD5


> allow_plaintext: true

allow_plaintext brauchst Du nicht...


> sql_engine: mysql
> sql_hostnames: 127.0.0.1
> sql_user: --- replaced ---
> sql_passwd: --- replaced ---
> sql_database: mailbase
> sql_select: select password from mailbase where id="%u@%r"
> log_level: 7

In einer vorhergehende Mail hattest Du geschrieben, es hätte noch pam_mysql
gefehlt und jetzt ginge es. Die Config hier oben wird pam_mysql nie benutzen.
Stattdessen nutzt sie das auxprop plugin /usr/lib/sasl2/libsql.*, um die
Authentifizierung direkt durchzuführen.


> -- active services in /etc/postfix/master.cf --
> # service type  private unpriv  chroot  wakeup  maxproc command + args
> #               (yes)   (yes)   (yes)   (never) (100)
> smtp      inet  n       -       -       -       -       smtpd

Dein Server läuft chrooted. Kann gut sein, dass /usr/lib/sasl2/libsql.* über
einen socket (127.0.0.1) auf MySQL zugreifen will und den im chroot nicht
findet...

p at rick

-- 
Das Postfix-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>

Mehr Informationen über die Mailingliste Postfixbuch-users