RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

https://www.rootforum.org/forum/viewtopic.php?t=13105

Page 1 of 1

Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-06-26 11:42
by tino
Hallo zusammen,

Gott sei Dank liest man hier auch von anderen Probleme bei Postfix mit smtp auth, so daß ich ganz ungeniert hier mein Problem schildern kann ;-)

Ich habe konfiguriert bzw. installiert u.a.:

postfix, smth auth via sasl, pwcheck als pw_check-methode in smtpd.conf
confixx 2.0
qpopper

und das alles unter Debian.

Die verschiedenen Beiträge hier im Forum gehen damit auch konform:

- gem. dem HowTo sind main.cf und master.cf in Ordnung, die smtpd.conf ist auch in /etc/postfix/sasl/
- das Verzeichnis /var/pwcheck/ existiert auch, pwcheck ist gestartet.
- die sasldb habe ich erstellt mit dummy-user, den ich dann wieder gelöscht habe, um quasi eine leere sasldb zu erhalten
- sogar die datei /etc/pam.d/smtp und die links ln -s /lib/security/pam_unix.so /lib/security/unix_auth.so
ln -s /lib/security/pam_unix.so /lib/security/unix_acct.so habe ich aus verzweiflung angelegt (wieso eigentlich, ich will doch nicht über pam, sondern pwcheck prüfen)
- /var/run/pwcheck ist auch vorhanden mit richtigem User und Rechten

shadow:x:42:postfix habe ich jedoch nicht eingetragen, da ich ja über den pwcheck gehen möchte...

Per Webmail kann ich senden, ist ja aber auch keine Kunst, da ja dort auch nicht ge-auth-et wird.

Nun, kurzum, die mail.log verrät mir:
- SASL LOGIN authentication failed
- Passwort und Username werden aber richtig vom Client empfangen und dekodiert und der User (in confixx so liebevoll web1p1 z.B. genannt) existiert auch in shadow

Welche passwd bzw. shadow liest postfix bzw. pwcheck? Die in /etc/ ?
Ist die sasldb2 nötig?

Hat jemand eine Idee, wo der Fehler liegen könnte?

Vielen Dank vorab

Tino

Re: Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-06-26 11:45
by captaincrunch
Ich hab zwar keine Ahnung von Postfix, verschiebe aber mal ins Mail & MTA ... ;)

Re: Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-06-26 13:07
by tino
Das is' doch schonmal was ... ;-)

Sorry! :oops:

Re: Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-06-26 17:34
by ice
Oh gut, dann brauche ich ja keinen neuen Thread aufmachen.

Mich quält das gleiche Problem, nur dass ich gern die sasldb nutzen würde und meine zentrale Frage wäre somit :

Wie kommen die User in die sasldb ?

Zu meiner Konfiguration:

Confixx 2.0.10
Postfix
qpopper + stunnel
spamassassin
sasl-bin
libsasl-digestm5
libsasl-modules-plain
libsasl-gssapi-mit
libsasl-krb4-mit
libsasl-dev
libsasl-digestmd5-des

Alles mit apt.

/etc/postfix/sasl/smtp.conf

Code: Select all

pwcheck_method:sasldb
/etc/postfix/main.cf

Code: Select all

command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
program_directory = /usr/lib/postfix

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
setgid_group = postdrop
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no
myhostname = mail.db2.allstats.de
mydomain = db2.allstats.de
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = db2.allstats.de, localhost.db2.allstats.de, localhost
#relayhost =
relay_domains = /etc/postfix/confixx_localDomains
#mynetworks = 127.0.0.0/8
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 51200000
recipient_delimiter =

### CONFIXX POSTFIX ENTRY ###
virtual_maps = hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains
### /CONFIXX POSTFIX ENTRY ###

#SMTPD Auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

#TLS Support
smtpd_use_tls = yes
smtpd_tls_auth_only = no
smtpd_tls_key_file = /etc/postfix/key.pem
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
/etc/postfix/master.cf

Code: Select all

smtp      inet  n       -       -       -       -       smtpd
#628      inet  n       -       -       -       -       qmqpd
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       -       300     1       qmgr
#qmgr     fifo  n       -       -       300     1       nqmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
flush     unix  n       -       -       1000?   0       flush
smtp      unix  -       -       -       -       -       smtp
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
#
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
# The Cyrus deliver program has changed incompatibly.
#
cyrus     unix  -       n       n       -       -       pipe
  flags=R user=cyrus argv=/usr/sbin/cyrdeliver -e -m ${extension} ${user}
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -d -t$nexthop -f$sender $recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}

# only used by postfix-tls
smtps     inet  n       -       n       -       -       smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
#587      inet  n       -       n       -       -       smtpd -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes
sasldblistusers

Code: Select all

db2:~# sasldblistusers
user: u34854029 realm: db2.allstats.de mech: DIGEST-MD5
user: u34854029 realm: db2.allstats.de mech: PLAIN
user: u34854029 realm: db2.allstats.de mech: CRAM-MD5
db2:~#
ls -l /etc/sasldb

Code: Select all

-rw-------    1 postfix  root        20480 Jun 26 17:25 /etc/sasldb
Installiert wurde das ganze nach diesem HowTO: http://postfix.state-of-mind.de/patrick ... /smtpauth/

Leider kommt auch bei mir die von meinem Vorredner genannte Fehlermeldung herraus:

Code: Select all

Jun 26 17:29:31 db2 postfix/smtpd[4080]: connect from pD4B9DF8B.dip.t-dialin.net[212.185.223.139]
Jun 26 17:29:32 db2 postfix/smtpd[4080]: warning: pD4B9DF8B.dip.t-dialin.net[212.185.223.139]: SASL LOGIN authentication failed
Jun 26 17:29:37 db2 postfix/smtpd[4080]: lost connection after AUTH from pD4B9DF8B.dip.t-dialin.net[212.185.223.139]
Jun 26 17:29:37 db2 postfix/smtpd[4080]: disconnect from pD4B9DF8B.dip.t-dialin.net[212.185.223.139]
Wobei ich zu meiner Frage zurückkomme. Wie kommen die User in die sasldb. Wenn ich das Prinzip richtig verstanden habe müssen alle User dort drinstehen, sonst gibts kein auth.

Klar kann ich sie alle von Hand eintragen, nur ist das doch nicht der Sinn der Sache, oder?

Re: Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-06-26 17:45
by tino
Zwischenzeitlich klappt es mit auth wenn ich als pwcheck_method: PAM setze und die shadow auf chmod 644 setze. Das kann doch aber nicht im Sinne des Erfinders sein...
Vielleicht einer noch'ne Idee?

Gruß

Tino

Re: Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-06-26 21:02
by captaincrunch
und die shadow auf chmod 644 setze. Das kann doch aber nicht im Sinne des Erfinders sein...
Genaugenommen ist das das abolute Gegenteil dessen, was sich der Erfinder dabei gedachte hat, denn die /etc/shadow ist genau zu dem Zweck gemacht, damit nur root auf das File zugreifen kann. Also : kidz, don't try this at rooties ...

Re: Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-06-26 21:19
by tino
CaptainCrunch wrote:Genaugenommen ist das das abolute Gegenteil dessen, was sich der Erfinder dabei gedachte hat, denn die /etc/shadow ist genau zu dem Zweck gemacht, damit nur root auf das File zugreifen kann. Also : kidz, don't try this at rooties ...
Danke, war eigentlich auch eher ironisch gemeint.
Sorry für das Fettnäpfchen, is' wohl heute nicht mein Tag :(

Nun, das ursprüngliche Problem besteht also weiter...

Re: Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-06-26 22:20
by static
Hi,
ich weiss nicht ob ich dir damit wirklich helfen kann... Ich habe ein HowTo geschrieben, in dem ich genau deine Gewünschte Umgebung installiert habe. Also müsste es ja eigentlich bei dir auch so funzen:

http://www.rootforum.org/forum/viewtopi ... highlight=

so long
static

Re: Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-06-27 01:38
by tino
Ich weiß nicht, warum, aber jetzt funktioniert es.
Es lag wohl aber scheinbar an der sasldb ...
Naja, nix für ungut! :-D

Re: Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-06-27 07:26
by ice
Mist, ich wünschte ich könnte sowas auch berichten.

Bei mir ist glaube ich aber ein Wurm drin. Vermutlich stehe ich im Wald und sehe die Bäume nicht. Ich habe inzwischen schon von sasldb über pam nach pwckeck umgestellt und es kommt immer exakt die gleiche Kommunikation zwischen Mailserver und client zustande.

Inklusive der Warnung: SASL AUTH failed.

@static: Ich werde Dein HowTo auch nochmal durchführen. Mal sehen, obs klappt. Vermutlich eher nicht, weil ich wahrscheinlich ein Grundlagenfehler gemacht habe. Sonst kann das ja nicht sein. :cry:

@tino: Was hast denn mit der sasldb gemacht?

Re: Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-06-27 08:53
by tino
ICE wrote:@tino: Was hast denn mit der sasldb gemacht?
Ich habe eigentlich nur die sasldb auf user und group von root auf postfix geändert.
Dachte eigentlich, das hätte ich vorher auch gemacht, aber naja.
Ich schiebe es einfach auf den gestrigen Tag :wink:

Ich habe nach dem vielen rumspielen nochmal Debian neu draufgeschoben und das HowTo von static durchgenommen.
Dann noch die sasldb chown postfix:postfix und fertsch.
Achja, den dummy-user in der sasldb habe ich auch nach Erstellung gleich wieder gelöscht.
Dann hoff' ich jetzt mal, daß CaptainCrunch mir meine gestrige Verzweiflungstat (ich sag nur chmod 664) nicht mehr übel nimmt und wünsche ein schönes Wochenende ... 8)

Grüße

Tino

Re: Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-06-27 09:02
by captaincrunch
Dann hoff' ich jetzt mal, daß CaptainCrunch mir meine gestrige Verzweiflungstat (ich sag nur chmod 664) nicht mehr übel nimmt und wünsche ein schönes Wochenende ...
Aber nicht doch ... ich wollte nur für die Nachwelt festgehalten haben, dass man das auf keinen Fall macht ... ;)

Re: Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-06-27 13:55
by tino
@CaptainCrunch:

Das macht doch nicht wirklich jemand ernsthaft, oder? :wink:
Ã?brigens: cooles howto ...
Einwas nur am Rand aufgefallen: der Name des .deb-paketes nach dem Bauen des neuen Kernels ist bei mir nicht
kernel-image-2.4.18-grsec-1.9.4_rootserver.01_i386.deb sondern nur
kernel-image-2.4.18_rootserver.01_i386.deb ...

@ICE:

Einen hab ich noch: schau nach, ob pwcheck wirklich läuft (z.b. mit pstree), sonst klappet auch nich'

Bis dahin,

nice weekend

cu

Tino

Re: Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-06-27 13:59
by captaincrunch
Einwas nur am Rand aufgefallen: der Name des .deb-paketes nach dem Bauen des neuen Kernels ist bei mir nicht
kernel-image-2.4.18-grsec-1.9.4_rootserver.01_i386.deb sondern nur
kernel-image-2.4.18_rootserver.01_i386.deb ...
Ist bekannt. Die neuen Debian-Kernelsourcen stehen dem GRSecurity-Patch im Wege, und lassen sich nicht damit patchen.

Daher : siehe Mailinglist, ich habe extra dafür GRSecurity-gepatchte Kernel gebaut.

Falls dich das Thema noch weiter interessiert, mach bitte einen eigenen Thread dazu im Linux und spezielle dazu auf, OK ?!?
Das macht doch nicht wirklich jemand ernsthaft, oder?
Man weiß ja nie ... ;)

Re: Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-07-01 22:44
by ice
Man man, kaum macht mans richtig, gehts plötzlich.(Hatte mal einer ne Sig :lol: )

Der User Postfix ist in der Gruppe Shadow besser aufgehoben. :roll:

Re: Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-07-02 11:16
by cyrus
Bei mir läuft die sasl Authentifizierung über die Methode PAM (folgendes trifft aber auch für pwcheck zu):

Das Problem war das Postfix bei Debian standartmäßig in einer chroot Umgebung läuft. Daher kann es nicht auf die zur Authentifizierung notwendigen Dateien (/etc/shadow) zugreifen. In static's Tutorial wird diese Chroot Umgebung aufgehoben:

Code: Select all

< smtp    inet  n       -       -       -       -       smtpd  
---  
> smtp    inet  n       -       n       -       -       smtpd
Dasselbe habe ich bei mir auch gemacht und seitdem funktioniert pam und pwcheck ohne Probleme. Ich frage mich jetzt nur in wie weit die Sicherheit des Mailsystems durch die Aufhebung der chroot Umgebung beeinträchtigt wird. Weiß dazu jemand mehr?

Re: Debian+ Postfix: smtp auth über pwcheck - sasl auth. failed

Posted: 2003-07-02 11:18
by cyrus
hat sicher erledigt, ich habe zu diesem Thema doch noch einen anderen Thread gefunden: http://www.rootforum.org/forum/viewtopic.php?t=6387
All times are UTC+01:00
Page 1 of 1