[Postfixbuch-users] Problem beim Einrichten von SASL

Patrick Ben Koetter p at state-of-mind.de
Sa Dez 29 21:29:44 CET 2007 

* andreas.guenther at linuxmaker.de <andreas.guenther at linuxmaker.de>:
> ich habe trotz Patricks Buch "Postfix" meine Probleme mit der Konfiguration 

Das Buch haben Ralf und ich zusammen geschrieben. ;)


> von SASL. Patrick empfiehlt dort ja, zunächst Cyrus SASL zu testen, bevor man 
> SMTP AUTH konfiguriert.

Ja, das ist eine gute Idee.


> Da ich Debian Etch installiert habe, habe ich auch die Debian-Pakete für SASL 
> installiert. Meine /etc/postfix/sasl/smpt.conf sieht so aus:

Der Präzision halber: Es müsste /etc/postfix/sasl/smtpd.conf heissen.


> # Global parameters
> log_level: 7
> pwcheck_method: auxprop
> mech_list: PLAIN LOGIN CRAM-MD5 DIGEST-MD5
> # auxiliary Plugin parameters
> auxprop_plugin: sasldb
> saslauthd_path: /var/run/saslauthd/mux
> autotransition:true

ARGH...

Also wenn Du sasldb verwendest, kannst Du das vereinfachen:

# /etc/postfix/sasl/smtpd.conf
pwcheck_method: auxprop
auxprop_plugin: sasldb
# Die hier listen, wenn sie installiert sind:
mech_list: PLAIN LOGIN NTLM DIGEST-MD5

Das wäre alles...


> Und wenn ich saslauthd von Patrick vorgeschlagen (allerdings mit sasldb) 

Also mit saslauthd habe ich das nicht vorgeschlagen und machen würde ich das
auch nicht, weil man damit den eigentlichen Grund sasldb zu nutzen vermasselt
- die shared-secret-Mechanismen.

Bei Debian ist erst mal wichtig, das Du den smtpd daemon in der master.cf aus
dem chroot nimmst. Dann den user postfix in die Gruppe sasl aufnehmen, denn
sonst darf der die sasldb nicht lesen. IIRC ist die sasldb 640 für root:sasl.

> Jetzt kennt Debian allerdings nicht den Sample-Server nicht so
> server -s rcmd -p 8000
> wie im Buch beschrieben, sondern ich muss
> sasl-sample-server -s rcmd -m PLAIN
> verwenden. Vor allem ohne -p 8000, weil er dann nach einem Pfad 8000 sucht. 
> Und hier fangen meine Probleme an, der Prozess hängt sich auf
> Forcing use of mechanism PLAIN
> Sending list of 1 mechanism(s)
> S: UExBSU4=
> Waiting for client mechanism...

Vergiß sasldb über saslauthd einzubinden und es so zu testen. Das ist von
Hinten durch die Brust ins Auge... ;)

> Wie kann ich also mit den Debian-Bordmitteln SASL testen?

Momentan nur schlecht. Wir arbeiten daran ein Debian-SASL-Testpaket zu bauen
mit dem man SASL auf Herz und Nieren testen kann. Aber da ist noch ein weiter
Weg hin. Im Moment heißt es erst einmal Dokumentation schreiben.

Vorschlag: Nimm smtpd aus dem chroot. Sorge dafür, das postfix in der Gruppe
ist, die die sasldb lesen darf. Dann lade Dir gen-auth
<http://www.jetmore.org/john/code/#gen-auth> herunter. Mit dem kannst Du AUTH
strings bauen und die im Telnet-Dialog an Postfix senden.

Wenn Du den vollen usernamen, also login + realm, für den String verwendest,
sollte es sofort klappen.

p at rick





> 
> Vielen Dank
> 
> Andreas
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listi.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
Postfix - Einrichtung, Betrieb und Wartung
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>

Mehr Informationen über die Mailingliste Postfixbuch-users