[Postfixbuch-users] Postfix (Relay) LDAP | TLS Problem

Andreas Winkelmann ml at awinkelmann.de
Sa Nov 17 08:26:05 CET 2007


On Mittwoch, 14. November 2007, Artur Mücke wrote:

> Moin Leute, ich habe ein kleines Problem mit Postfix und LDAP. Ich hab
> einen separaten Postfix-Server aufgesetzt, der lediglich als
> Viren-Spam-Filter funktioniert und die gecheckten Mails dann an den
> finalen Mailserver relayed. An welche Domains bzw. User die Mails
> weitergeleitet werden sollen, fragt der Postfix über LDAP ab. Mein
> Problem ist nun, dass ich die Verbindung zwischen Postfix und LDAP nicht
> über TLS hinbekomme. :-/
>
> Hier mal die relevanten Config-Ausschnitte:
>
> ####### main.cf #######################################################
> Code:
> relayhost = [10.3.4.234]:25
> relay_domains = ldap:relay_domain
> relay_recipient_maps = ldap:relay_recipient
>
> ## RELAY - DOMAINS ##
> relay_domain_server_host = 10.3.5.195
> relay_domain_server_port = 389
> relay_domain_start_tls = yes
> relay_domain_tls_require_cert = no
> relay_domain_version = 3
> relay_domain_bind = no
> relay_domain_search_base =
> ou=DNSObjects,ou=AdminObjects,ou=OxObjects,dc=ldap,dc=meinedomain,dc=biz
> relay_domain_query_filter = (domainName=%s)
> relay_domain_result_attribute = domainName
>
> ## RELAY RECIPIENTS ##
> relay_recipient_server_host = 10.3.5.195
> relay_recipient_server_port = 389
> relay_recipient_start_tls = yes
> relay_recipient_tls_require_cert = no
> relay_recipient_version = 3
> relay_recipient_bind = no
> relay_recipient_search_base =
> ou=Users,ou=OxObjects,dc=ldap,dc=meinedomain,dc=biz
> relay_recipient_query_filter = (alias=%s)
> relay_recipient_result_attribute = alias
> #######################################################
>
>
> ####### ldap.conf #####################################################
> host 10.3.5.195
> base dc=ldap,dc=meinedomain,dc=biz
> ssl start_tls
> TLS_CACERTDIR /etc/ldap/cacerts
> TLS_REQCERT never
> slapd.conf # Auf dem OpenLDAP-Server
>
> # TLS
> TLSCertificateFile /etc/ldap/certs/newcert.pem
> TLSCertificateKeyFile /etc/ldap/certs/ldapkey.pem
> TLSCACertificateFile /etc/ldap/certs/cacert.pem
> TLSVerifyClient never
> #######################################################
>
> Mein Problem ist jetzt, dass meine config mit TLS nicht funktioniert.
> Ohne TLS funzt die LDAP-Anbindung von Postfix problemlos. Sobald ich TLS
> in der Postfix-Config aktiviere, funktioniert die Anbindung nicht mehr.
> In den Logs erscheinen die folgenden Fehlermeldungen:
>
> #######################################################################
> postfix/master[3678]: warning: process /usr/lib/postfix/trivial-rewrite
> pid 3689 exit status 2
> postfix/smtpd[3685]: warning: premature end-of-input on private/rewrite
> socket while reading input attribute name
> postfix/smtpd[3685]: warning: premature end-of-input on private/rewrite
> socket while reading input attribute name
> postfix/smtpd[3685]: warning: problem talking to service rewrite: Success
> postfix/master[3678]: warning: process /usr/lib/postfix/trivial-rewrite
> pid 3690 exit status 2
> postfix/master[3678]: warning: /usr/lib/postfix/trivial-rewrite: bad
> command startup -- throttling
> postfix/smtpd[3685]: warning: premature end-of-input on private/rewrite
> socket while reading input attribute name
> postfix/smtpd[3685]: warning: problem talking to service rewrite: Success

Ist das Debian?

Ausserdem sehe ich zwar smtpd und master denen auffällt dass trivial-rewrite 
weg ist, aber von dem Daemon selber ist nix da. Prüf das. Vielleicht bist Du 
im falschen Log oder Du verschweigst uns was?

> #######################################################################
>
>
> Hab echt keine Ahnung woran das liegen könnte. Wenn ich es mit Postmap
> oder ldapsearch auf der Konsole wie folgt teste, funktionert es auch
> wunderbar.

postmap machst Du als root? Vielleicht ein Berechtigungs oder chroot Problem?

> #######################################################################
> postmap -q "domain.de" ldap:relay_domain
> ldapsearch -x -ZZ
> #######################################################################
>
> Durch den Parameter -ZZ wird die TLS-Verbindung erzwungen, ergo kann ich
> davon ausgehen, dass TLS auf dem LDAP richtig konfiguriert ist.
>
> Hat jemand ne Ahnung was ich bei Postfix falsch mache!?

-- 
	Andreas



Mehr Informationen über die Mailingliste Postfixbuch-users