[Postfixbuch-users] sasl tut nicht :-(

Patrick Ben Koetter p at state-of-mind.de
Di Jul 24 09:01:27 CEST 2007 

* Christian Schlaefcke <chris at wms-network.de>:
> Hallo Leute,
> 
> ist ja interessant. Ich kämpfe hier gerade an der gleichen Front und habe
> diesen Thread mit Spannung verfolgt. Nur leider scheint die Lösung bei mir
> nicht ganz so einfach zu sein.
> 
> Ich habe letzte Woche meinen Fedora-basierten Server nach einem Plattencrash
> neu aufsetzen müssen. Von den wichtigsten Konfigs habe ich zum Glück
> Sicherungen gehabt, die ich bereits mehr oder weniger erfolgreich
> zurückgespielt habe. Es läuft mittlerweile auch wieder fast alles nur das
> verflixte smtp auth eben nicht.
> 
> saslfinger -s
> -------------
> 
> saslfinger - postfix Cyrus sasl configuration Mo 23. Jul 23:57:16 CEST 2007
> version: 1.0.2
> mode: server-side SMTP AUTH
> 
> -- basics --
> Postfix: 2.4.3
> System: Fedora release 7 (Moonshine)
> 
> -- smtpd is linked to --
>         libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0x00199000)
> 
> -- active SMTP AUTH and TLS parameters for smtpd --
> broken_sasl_auth_clients = yes
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_local_domain = gandalf.wms-network.de
> smtpd_sasl_security_options = noanonymous
> smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
> smtpd_tls_auth_only = yes

Bei Dir sieht man AUTH nur im telnet (oder normalen SMTP-Dialog), wenn man
vorher TLS etabliert hat. Schalte smtpd_tls_auth_only mal auf no und teste
dann.


> smtpd_tls_cert_file = /etc/postfix/ssl/newcert.pem
> smtpd_tls_key_file = /etc/postfix/ssl/newreq.pem
> smtpd_tls_loglevel = 3
> smtpd_tls_received_header = yes
> smtpd_tls_session_cache_timeout = 3600s
> smtpd_use_tls = yes
> 
> 
> -- listing of /usr/lib/sasl --

Ignorieren.

> -- listing of /usr/lib/sasl2 --
> insgesamt 3824
> drwxr-xr-x   2 root root    4096 23. Jul 23:38 .
> drwxr-xr-x 115 root root   40960 23. Jul 20:20 ..
> -rwxr-xr-x   1 root root     870 26. Feb 23:25 libanonymous.la
> -rwxr-xr-x   1 root root   14340 26. Feb 23:25 libanonymous.so
> -rwxr-xr-x   1 root root   14340 26. Feb 23:25 libanonymous.so.2
> -rwxr-xr-x   1 root root   14340 26. Feb 23:25 libanonymous.so.2.0.22
> -rwxr-xr-x   1 root root     858 26. Feb 23:25 libcrammd5.la
> -rwxr-xr-x   1 root root   16832 26. Feb 23:25 libcrammd5.so
> -rwxr-xr-x   1 root root   16832 26. Feb 23:25 libcrammd5.so.2
> -rwxr-xr-x   1 root root   16832 26. Feb 23:25 libcrammd5.so.2.0.22
> -rwxr-xr-x   1 root root     879 26. Feb 23:25 libdigestmd5.la
> -rwxr-xr-x   1 root root   47204 26. Feb 23:25 libdigestmd5.so
> -rwxr-xr-x   1 root root   47204 26. Feb 23:25 libdigestmd5.so.2
> -rwxr-xr-x   1 root root   47204 26. Feb 23:25 libdigestmd5.so.2.0.22
> -rwxr-xr-x   1 root root     846 26. Feb 23:25 liblogin.la
> -rwxr-xr-x   1 root root   14752 26. Feb 23:25 liblogin.so
> -rwxr-xr-x   1 root root   14752 26. Feb 23:25 liblogin.so.2
> -rwxr-xr-x   1 root root   14752 26. Feb 23:25 liblogin.so.2.0.22
> -rwxr-xr-x   1 root root     846 26. Feb 23:25 libplain.la
> -rwxr-xr-x   1 root root   14848 26. Feb 23:25 libplain.so
> -rwxr-xr-x   1 root root   14848 26. Feb 23:25 libplain.so.2
> -rwxr-xr-x   1 root root   14848 26. Feb 23:25 libplain.so.2.0.22
> -rwxr-xr-x   1 root root     915 26. Feb 23:25 libsasldb.la
> -rwxr-xr-x   1 root root 1119152 26. Feb 23:25 libsasldb.so
> -rwxr-xr-x   1 root root 1119152 26. Feb 23:25 libsasldb.so.2
> -rwxr-xr-x   1 root root 1119152 26. Feb 23:25 libsasldb.so.2.0.22
> -rw-r--r--   1 root root      51 23. Jul 23:38 smtpd.conf
> 
> -- listing of /etc/sasl2 --
> insgesamt 24
> drwxr-xr-x   2 root root  4096 26. Feb 23:25 .
> drwxr-xr-x 113 root root 12288 23. Jul 21:39 ..

Hmmm, ob FC 7 das schon nutzt? Sehen wir, sobald Du AUTH im Telnet sehen
kannst. Leg da mal testweise auch eine smtpd.conf an:

# /etc/sasl2/smtpd.conf
pwcheck_method: saslauthd
mech_list: plain login


> -- content of /usr/lib/sasl/smtpd.conf --

Ignorieren.

> -- content of /usr/lib/sasl2/smtpd.conf --
> pwcheck_method: saslauthd
> # mech_list: plain login

Laß hier mech_list: plain login auskommentiert. Das brauchen wir für den Test
welcher Pfad der Richtige für die smtpd.conf ist.


> -- content of /etc/postfix/sasl/smtpd.conf --
> auth required /lib/security/pam_unix_auth.so
> account required /lib/security/pam_unix_acct.so
> password required /lib/security/pam_unix_passwd.so
> session required /lib/security/pam_unix_session.so

Häh??? Hast Du die /etc/postfix/sasl/smtpd.conf angelegt?


> -- active services in /etc/postfix/master.cf --
> # service type  private unpriv  chroot  wakeup  maxproc command + args
> #               (yes)   (yes)   (yes)   (never) (100)
> smtp     inet  n       -       n       -       -       smtpd -vv

okay.

> -- mechanisms on localhost --
> 
> -- end of saslfinger output --
> 
> Die letzten Zeilen hier wundern mich schon irgendwie. Da müsste wohl irgendwas stehen, gelle?

Nur wenn Du netcat installiert hast. Der telnet-Test mit bash ist, gelinde
gesagt, nicht so stabil. Da ist mit der bash halt ende...


> Auch ein telnet auf den server von draussen bringt nicht die gewünschten Informationen:
> 220 my_host.de ESMTP Postfix (2.4.3)
> EHLO test.de
> 250-my_host.de
> 250-PIPELINING
> 250-SIZE 51200000
> 250-VRFY
> 250-ETRN
> 250-STARTTLS
> 250-ENHANCEDSTATUSCODES
> 250-8BITMIME
> 250 DSN
> 
> Ich habe die Konfiguration schon rauf und runter gecheckt und finde den
> dusseligen Fehler einfach nicht.

Änderungen durchführen und dann telnet wie hier oben nochmal machen. Dann
wissen wir mehr.

p at rick

-- 
Postfix - Einrichtung, Betrieb und Wartung
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>

Mehr Informationen über die Mailingliste Postfixbuch-users