sasl - saslpasswd2 -c Frage!

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
rpq
Posts: 15
Joined: 2004-05-25 09:02
Location: Lübeck

sasl - saslpasswd2 -c Frage!

Post by rpq » 2004-10-05 19:17

Bei mir ergibt sich folgendes Problem bei der Authentifizierung mit sasl2:

Auf meinem "alten" root-Server mit Suse 8.1 hatte ich sasl 1.x laufen. Nach dem Anlegen mit saslpasswd -c user hatte ich folgende Einträge in der sasldb(host servi):

user@servi: cmusaslsecretPLAIN
user@servi: cmusaslsecretCRAM-MD5

220 Willkommen auf Ralfis Server!
ehlo rp0.de
250-servi.ralfis-server.de
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN PLAIN
250-XVERP
250 8BITMIME

Und die Authentifizierung klappt...

Auf meinem "neuen" root mit Suse 9.0 läuft sasl2.
Aber die Einträge in der sasldb2 sehen nach Eintrag mit saslpasswd2 -c user nur so aus(host server):

user@server: userPassword

Leider klappt dann auch die Authentifizierung nicht. Postfix fragt zwar nach dem Passwort für "user", leht dann aber wg. falschen PW ab :(

warning: SASL authentication failure: Password verification failed
Oct 5 22:25:45 server postfix/smtpd[2508]: warning: i3ED686DB.versanet.de[62.214.134.219]: SASL PLAIN authentication failed

In der /usr/lib/sasl2/smtpd.conf steht:

pwcheck_method: saslauthd
mech_list: plain login

Trotz intensiver Googlei finde ich keine Antwort auf mein Problem.
Hat vielleicht jemand eine Idee??

Vorab vielen Dank!!
Muss ich beim Useranlegen irgendwie -d nutzen?
Last edited by rpq on 2004-10-05 23:07, edited 4 times in total.

rpq
Posts: 15
Joined: 2004-05-25 09:02
Location: Lübeck

Re: sasl - saslpasswd2 -c Frage!

Post by rpq » 2004-10-05 22:55

Beim Check siehts so aus:

220 Willkommen auf Ralfis Server!
ehlo rp00.de
250-server.paque-werbetechnik.de
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250 8BITMIME

Die saslauthd-Conf sieht so aus:

server:/etc # /usr/sbin/saslauthd -v
saslauthd 2.1.15
authentication mechanisms: getpwent kerberos5 pam rimap shadow


## Path: System/Security/SASL
## Type: list(getpwent,kerberos5,pam,rimap,shadow,ldap)
## Default: pam
## ServiceRestart: saslauthd
#
# Authentication mechanism to use by saslauthd.
# See man 8 saslauthd for available mechanisms.
#
SASLAUTHD_AUTHMECH=pam


Meiner Meinung nach passt das doch zusammen und müßte funktionieren. ImProtokoll siehts dann so aus:

warning: SASL authentication failure: Password verification failed
Oct 5 22:25:45 server postfix/smtpd[2508]: warning: i3ED686DB.versanet.de[62.214.134.219]: SASL PLAIN authentication failed

rpq
Posts: 15
Joined: 2004-05-25 09:02
Location: Lübeck

Re: sasl - saslpasswd2 -c Frage!

Post by rpq » 2004-10-11 20:58

Schniff, kein SASL-Geek hier?

Oder habe ich das Problem nicht präzise genug geschildert????

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: sasl - saslpasswd2 -c Frage!

Post by Roger Wilco » 2004-10-11 22:37

Was steht denn in /etc/pam.d/imap?

rpq
Posts: 15
Joined: 2004-05-25 09:02
Location: Lübeck

Re: sasl - saslpasswd2 -c Frage!

Post by rpq » 2004-10-12 22:38

Ahh, jemand hat mich erhöhrt ;-)


#%PAM-1.0
auth required pam_unix2.so nullok
account required pam_unix2.so
password required pam_pwcheck.so nullok
password required pam_unix2.so nullok use_first_pass use_authtok
session required pam_unix2.so none # debug or trace

Ist das so alles OK??

Kenne die Bedeutung der Einträge leider (noch) nicht...

Schon mal Danke!!

sascha
RSAC
Posts: 1345
Joined: 2002-04-22 23:08

Re: sasl - saslpasswd2 -c Frage!

Post by sascha » 2004-10-13 00:10

Mal so am Rande...

Code: Select all

220 Willkommen auf Ralfis Server! 
Ist AFAIK nicht RfC konform.

rpq
Posts: 15
Joined: 2004-05-25 09:02
Location: Lübeck

Re: sasl - saslpasswd2 -c Frage!

Post by rpq » 2004-10-13 10:34

Ich finds nett ;)

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: sasl - saslpasswd2 -c Frage!

Post by Roger Wilco » 2004-10-13 11:31

Also ich bin jetzt nicht so der PAM-Guru, aber du benutzt den saslauthd zur Authentifizierung, welcher dann PAM nutzt, um die tatsächlichen Daten zu erhalten.
Natürlich war das mit der /etc/pam.d/imap Quatsch, ich meinte /etc/pam.d/smtp :roll: , Sorry.

Aber wenn der Inhalt von /etc/pam.d/smtp mit dem Inhalt der /etc/pam.d/imap identisch ist, werden die Benutzerdaten aus /etc/passwd und das Passwort aus /etc/shadow geholt, also die normalen Benutzeraccounts, und nicht aus der SASLDB.

rpq
Posts: 15
Joined: 2004-05-25 09:02
Location: Lübeck

Re: sasl - saslpasswd2 -c Frage!

Post by rpq » 2004-10-13 20:17

HHmmm, die /etc/pam.d/smtp gibts nicht:

Hier ll /etc/pam.d/


drwxr-xr-x 2 root root 4096 Sep 17 17:49 .
drwxr-xr-x 47 root root 8192 Oct 9 16:31 ..
-rw-r--r-- 1 root root 214 Oct 3 2003 chage
-rw-r--r-- 1 root root 249 Oct 3 2003 chfn
-rw-r--r-- 1 root root 248 Oct 3 2003 chsh
-rw-r--r-- 1 root root 271 Oct 3 2003 imap
-rw-r--r-- 1 root root 476 Oct 3 2003 login
-rw-r--r-- 1 root root 396 Oct 2 2003 other
-rw-r--r-- 1 root root 254 Oct 3 2003 passwd
-rw-r--r-- 1 root root 271 Oct 3 2003 pop3
-rw-r--r-- 1 root root 254 Oct 3 2003 rpasswd
-rw-r--r-- 1 root root 209 Oct 3 2003 shadow
-rw-r--r-- 1 root root 568 Oct 14 2003 sshd
-rw-r--r-- 1 root root 356 Oct 21 2003 su
-rw-r--r-- 1 root root 172 Oct 3 2003 useradd
-rw-r--r-- 1 root root 523 Oct 2 2003 vsftpd
-rw-r--r-- 1 root root 101 Sep 5 12:12 webmin

antondollmaier
Posts: 485
Joined: 2004-03-30 10:06

Re: sasl - saslpasswd2 -c Frage!

Post by antondollmaier » 2004-10-13 21:32

meine /etc/pam.d/smtp, wenns hilft:

Code: Select all

auth     requisite      pam_realm.so    debug realm=servername
auth     required       pam_unix.so
account  required       pam_unix.so
password required       pam_unix.so
session  required       pam_unix.so
die pam_realm gibts laut google hier ...

rpq
Posts: 15
Joined: 2004-05-25 09:02
Location: Lübeck

Re: sasl - saslpasswd2 -c Frage!

Post by rpq » 2004-10-13 21:54

:confused:

Habe smtp mit Deinem Inhalt erzeugt, leider ohne Erfolg.

> die pam_realm gibts laut google hier ...

D. h. palm_realm muss installiert sein !?!?!?!?

Alter Schwede...

Wenn ich das alles so rauslese, kann postfix auch über die shadow authentifizieren?!?

Wenn das so ist, wozu brauche ich denn dann saslauthd??
Ist ja ziemlich umständlich, da ich ja jeden Mailuser doppelt anlegen muss. Und falls ein User sein Passwort ändert, muß ich es in der sasldb auch noch ändrern :(

Oder ist es irgendwie unsicherer über die shadow zu authentifizieren??

THX:THX:THX

sascha
RSAC
Posts: 1345
Joined: 2002-04-22 23:08

Re: sasl - saslpasswd2 -c Frage!

Post by sascha » 2004-10-13 22:42

Dazu muss Postfix AFAIK in der shadow Gruppe sein. Das will man normalerweise aus Sicherheitsgründen nicht. Daher nimmt man den saslauthd.

rpq
Posts: 15
Joined: 2004-05-25 09:02
Location: Lübeck

Re: sasl - saslpasswd2 -c Frage!

Post by rpq » 2004-10-13 22:45

Sowas dachte ich mir, schade...

rpq
Posts: 15
Joined: 2004-05-25 09:02
Location: Lübeck

Re: sasl - saslpasswd2 -c Frage!

Post by rpq » 2004-10-14 23:54

Aber eine konkrete Idee hat sonst niemand???

eisbärmann
Posts: 28
Joined: 2004-06-27 14:04

Re: sasl - saslpasswd2 -c Frage!

Post by eisbärmann » 2004-10-20 14:59

wirf mal einen Blick in /usr/lib/sasl/
Hier wird für jedes Programm eine conf angelegt, in der du festlegst, wie sich sasl verhalten soll bzw. wie die auth erfolgen soll.
bei den meisten systemen ist es möglich sasl mitzuteilen, dass es "neuzugänge" mit korrektem Login nach /etc/sasldb oder etwas dergleichen schreiben soll.
hier z.B. für Sendmail.conf:

Code: Select all

pwcheck_method: PAM
auto_transition: true
Die pam-Auth wird wieder unter /etc/pam.d/smtp definiert:

Code: Select all

auth       required     pam_unix.so nullok try_first_pass
das ist die "geringste" AUTH-Dev.
Für sasl sollten wie gesagt die neusten daten nach /etc/sasldb geschrieben werden. Für gewöhnlich wird hierbei saslpasswd verwendet.
da sasl erst mal wissen muss, was mit saslpasswd erreicht werden soll die datei /usr/lib/sasl/saslpasswd.conf anlegen:

Code: Select all

pwcheck_method: sasldb
auto_transition: true
Ich weis nicht, ob Dir das ganze ein wenig weiterhilft. Mit Postfix habe ich noch nicht so meine Erfahrungen gemacht, aber zumeist scheitern die Auth-Versuche bei SMTP an der Konfig von sasl

rpq
Posts: 15
Joined: 2004-05-25 09:02
Location: Lübeck

Re: sasl - saslpasswd2 -c Frage!

Post by rpq » 2004-10-26 21:15

Mensch, habe schon gar nicht mehr mit einer Reaktion gerechnet ;-)

In der /usr/lib/sasl2/ siehts bei mir so aus:

drwxr-xr-x 2 root root 4096 Sep 27 21:08 .
drwxr-xr-x 40 root root 12288 Oct 4 22:29 ..
-rwxr-xr-x 1 root root 712 Oct 3 2003 libanonymous.la
lrwxrwxrwx 1 root root 22 Sep 17 20:07 libanonymous.so -> libanonymous.so.2.0.15
lrwxrwxrwx 1 root root 22 Sep 17 20:07 libanonymous.so.2 -> libanonymous.so.2.0.15
-rwxr-xr-x 1 root root 15091 Oct 3 2003 libanonymous.so.2.0.15
-rwxr-xr-x 1 root root 696 Oct 3 2003 liblogin.la
lrwxrwxrwx 1 root root 18 Sep 17 20:07 liblogin.so -> liblogin.so.2.0.15
lrwxrwxrwx 1 root root 18 Sep 17 20:07 liblogin.so.2 -> liblogin.so.2.0.15
-rwxr-xr-x 1 root root 15643 Oct 3 2003 liblogin.so.2.0.15
-rwxr-xr-x 1 root root 696 Oct 3 2003 libplain.la
lrwxrwxrwx 1 root root 18 Sep 17 20:07 libplain.so -> libplain.so.2.0.15
lrwxrwxrwx 1 root root 18 Sep 17 20:07 libplain.so.2 -> libplain.so.2.0.15
-rwxr-xr-x 1 root root 15605 Oct 3 2003 libplain.so.2.0.15
-rwxr-xr-x 1 root root 721 Oct 3 2003 libsasldb.la
lrwxrwxrwx 1 root root 19 Sep 17 20:07 libsasldb.so -> libsasldb.so.2.0.15
lrwxrwxrwx 1 root root 19 Sep 17 20:07 libsasldb.so.2 -> libsasldb.so.2.0.15
-rwxr-xr-x 1 root root 18856 Oct 3 2003 libsasldb.so.2.0.15
lrwxrwxrwx 1 root root 20 Sep 27 21:08 sasl2 -> /usr/local/lib/sasl2
-rw------- 1 root root 49 Oct 15 2003 smtpd.conf

Den In halt der smtpd.conf hab ich ja schon gepostet.

Die pam-Auth ist bei mir wie folgt:

IW smtp Row 1 Col 1 9:03 Ctrl-K H for help
auth requisite pam_realm.so debug realm=servername
auth required pam_unix.so
account required pam_unix.so
password required pam_unix.so
session required pam_unix.so

Die datei /usr/lib/sasl/saslpasswd.conf habe ich angelegt.

Code:
pwcheck_method: sasldb
auto_transition: true

---

Aber was soll das bewirken?

Soll das bedeuten, daß beim Anlegen eines neuen Users automatisch ein Eintrag in der sasl2db erstellt wird?

Die paar User die ich habe lege ich gerne auch manuell mit saslpasswd an, das ist nicht mein Problem.
Das Problem ist, daß die Einträge nach dem Anlegen in der sasl so aussehen:

testuser@server: userPassword
rpq@server: userPassword

Bei meinem alten Server mit sasl sehen die User nach dem Anlegen mit saslpasswd so aus:
iuw@servi: cmusaslsecretDIGEST-MD5

Und da klappt alles

:roll:

rpq
Posts: 15
Joined: 2004-05-25 09:02
Location: Lübeck

Re: sasl - saslpasswd2 -c Frage!

Post by rpq » 2004-12-01 23:02

Beim weiteren Testen bin ich gerade auf diese Meldung im Mail-Log gestossen, wenn ich versuche mich gegen sasl zu authentifizieren:

--------------
warning: SASL authentication problem: unknown password verifier
Dec 1 22:56:53 server postfix/smtpd[27377]: warning: SASL authentication failure: Password verification failed
Dec 1 22:56:53 server postfix/smtpd[27377]: warning: i3ED65B40.versanet.de[62.214.91.64]: SASL PLAIN authentication failed
Dec 1 22:56:53 server postfix/smtpd[27377]: warning: SASL authentication problem: unknown password verifier
Dec 1 22:56:53 server postfix/smtpd[27377]: warning: i3ED65B40.versanet.de[62.214.91.64]: SASL LOGIN authentication failed
---------------

Könnte mich diese Meldung evtl weiterbringen??

rpq
Posts: 15
Joined: 2004-05-25 09:02
Location: Lübeck

Re: sasl - saslpasswd2 -c Frage!

Post by rpq » 2004-12-01 23:45

Das Problem scheint definitiv daran zu liegen, dass die Passwörter mit saslpasswd2 nicht verschlüsselt (oder zumindest anders verschlüsselt als sasl das erwartet) gespeichert werden.

Denn im Gegensatz zu der funktionierenden sasl-Version 1.x sehen die Einträge in der sasldbuerlist so aus:

------
sasl2 (Authentifizierung scheitert) auf neuem Sever (server):

testuser@server: userPassword
rpq@server: userPassword

----
Gleicher User auf anderem Server(servi) mit sasl1:

rpq@servi: cmusaslsecretDIGEST-MD5
----

Kann vielleicht jemand erklären, wie die un terschiedlichen Einträge zustande kommen??

THX... Ralf