PAM Auth - Postfix

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
burgi
Posts: 74
Joined: 2003-03-14 21:19

PAM Auth - Postfix

Post by burgi » 2003-04-02 16:01

Hallo

Ich versuche schon seit längerem krampfhaft Postfix mit PAM-Auth zum Laufen zu bringen. Deshalb hab ich eine Datei in "/etc/pam.d/smtp" mit folgendem Inhalt erstellt:

Code: Select all

#%PAM-1.0
auth required /lib/security/pam_unix.so 
account required /lib/security/pam_unix.so 
session required /lib/security/pam_unix.so 
Und in "/usr//usr/lib/sasl/smtpd.conf" folgendes reingeschrieben:

Code: Select all

pwcheck_method: pam
Nun kann ich mich aber nicht einloggen resp. keine Mails versenden. In der Mail-Log steht folgendes:
Apr 2 15:30:50 login postfix/smtpd[28382]: warning: SASL authentication problem: unrecognized plaintext verifier pam?
Was ist da falsch gelaufen?

Nebenbei: Ich möchte die Systemuser für die Authentifikation benutzen.

Gruss und Dank
Christian

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: PAM Auth - Postfix

Post by dodolin » 2003-04-02 16:31

Nachdem du jetzt der 2. mit Problemen dieser Art bist, habe ich jetzt mal etwas gegoogelt. Vielleicht hilft http://www.paccomp.com/postfix/node11.html?
# In order to enable server-side authentication, build Postfix with
# SASL support, and install a configuration file /usr/lib/sasl/smtpd.conf
# with as contents, for example,
#
# pwcheck_method: sasldb
#
# or whatever method is suitable for your environment: PAM, shadow,
# etc. If you use sasldb, you can add users with the "saslpasswd"
# command that comes with the SASL library. If you configure Postfix
# to use PAM, the PAM service name for SASL authentication is "smtp",
# and adding users depends entirely on how PAM is set up.
#
# If you run your SMTP server chrooted, then you need to copy PAM
# and/or SASL support libraries and data files into the chroot jail.
# That's a lot of files, and it seems not very practical to do so.
Also: Gucken, ob dein Postfix überhaupt mit PAM gebaut wurde. "ldd" soll da helfen, habe ich mal gehört...

Darauf würde ich bei deiner Fehlermeldung tippen, dass PAM Support nicht einkompiliert wurde.

[EDIT: Ã?hm... bei genauerem Lesen denke ich, dass ich Quark geredet habe. Hört sich vielleicht eher danach an, als käme dein SASL nicht mit PAM zurecht? Aber da müsste man sich mal mit SASL auseinandersetzen, was ich bisher auch noch nicht gemacht habe...]

Gucken, ob er im chroot läuft.

Aber: Ich habe keinerlei Ahnung von Postfix und habe den noch nie benutzt, also Vorsicht vor meinen Ratschlägen! :wink:

burgi
Posts: 74
Joined: 2003-03-14 21:19

Re: PAM Auth - Postfix

Post by burgi » 2003-04-02 17:10

Danke für den Tip! Ich hab jedoch schon überprüft, ob Postfix chroot läuft und dem ist nicht so.

Aus den Informationen von LDD les ich heraus, dass pam laufen sollte:

Code: Select all

login:/usr/sbin # ldd postfix
        libldap.so.2 => /usr/lib/libldap.so.2 (0x4001d000)
        liblber.so.2 => /usr/lib/liblber.so.2 (0x40046000)
        libpcre.so.0 => /usr/lib/libpcre.so.0 (0x40050000)
        libsasl.so.7 => /usr/lib/libsasl.so.7 (0x40059000)
        libssl.so.0.9.6 => /usr/lib/libssl.so.0.9.6 (0x4006d000)
        libcrypto.so.0.9.6 => /usr/lib/libcrypto.so.0.9.6 (0x4009b000)
        libdb-4.0.so => /usr/lib/libdb-4.0.so (0x4016b000)
        libnsl.so.1 => /lib/libnsl.so.1 (0x40203000)
        libresolv.so.2 => /lib/libresolv.so.2 (0x40219000)
        libc.so.6 => /lib/libc.so.6 (0x4022a000)
        libdl.so.2 => /lib/libdl.so.2 (0x40353000)
        libcrypt.so.1 => /lib/libcrypt.so.1 (0x40357000)
        libpam.so.0 => /lib/libpam.so.0 (0x4038a000)
        libgssapi.so.1 => /usr/lib/libgssapi.so.1 (0x40393000)
        libkrb5.so.17 => /usr/lib/libkrb5.so.17 (0x4039f000)
        libasn1.so.5 => /usr/lib/libasn1.so.5 (0x403d8000)
        libroken.so.9 => /usr/lib/libroken.so.9 (0x403fa000)
        libcom_err.so.1 => /usr/lib/libcom_err.so.1 (0x4040c000)
        libgdbm.so.2 => /usr/lib/libgdbm.so.2 (0x4040f000)
        /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)
Oder seh ich das falsch?

Ich hab auch schon x Seiten, die Google ausgegeben hat, abgegrasst :(

Gruss
Christian

rootmaster
RSAC
Posts: 536
Joined: 2002-04-28 13:30
Location: Hannover

Re: PAM Auth - Postfix

Post by rootmaster » 2003-04-02 17:47

und wie siehts aus mit

Code: Select all

ldd `whereis libsasl.so.7`
??

"back to the roots"
Cahn's Axiom:

When all else fails, read the instructions

burgi
Posts: 74
Joined: 2003-03-14 21:19

Re: PAM Auth - Postfix

Post by burgi » 2003-04-02 17:55

Dein Code gibt folgendes aus:

Code: Select all

login:/usr/sbin # ldd 'whereis libsasl.so.7'
ldd: ./whereis libsasl.so.7: No such file or directory

rootmaster
RSAC
Posts: 536
Joined: 2002-04-28 13:30
Location: Hannover

Re: PAM Auth - Postfix

Post by rootmaster » 2003-04-02 18:09

ja okay, das oben sind backticks 8)

oder direkt

Code: Select all

ldd /usr/lib/libsasl.so.7 
"back to the roots"
Cahn's Axiom:

When all else fails, read the instructions

burgi
Posts: 74
Joined: 2003-03-14 21:19

Re: PAM Auth - Postfix

Post by burgi » 2003-04-02 18:13

rootmaster wrote:ja okay, das oben sind backticks 8)
Sorry, wusste ich nicht :oops:
oder direkt

Code: Select all

ldd /usr/lib/libsasl.so.7 
Das gibt folgendes aus:

Code: Select all

login:/usr/lib # ldd /usr/lib/libsasl.so.7
        libdb-4.0.so => /usr/lib/libdb-4.0.so (0x40019000)
        libdl.so.2 => /lib/libdl.so.2 (0x400b1000)
        libcrypt.so.1 => /lib/libcrypt.so.1 (0x400b5000)
        libpam.so.0 => /lib/libpam.so.0 (0x400e8000)
        libgssapi.so.1 => /usr/lib/libgssapi.so.1 (0x400f2000)
        libkrb5.so.17 => /usr/lib/libkrb5.so.17 (0x400fe000)
        libasn1.so.5 => /usr/lib/libasn1.so.5 (0x40137000)
        libroken.so.9 => /usr/lib/libroken.so.9 (0x40158000)
        libcom_err.so.1 => /usr/lib/libcom_err.so.1 (0x4016a000)
        libgdbm.so.2 => /usr/lib/libgdbm.so.2 (0x4016d000)
        libresolv.so.2 => /lib/libresolv.so.2 (0x40175000)
        libc.so.6 => /lib/libc.so.6 (0x40186000)
        libcrypto.so.0.9.6 => /usr/lib/libcrypto.so.0.9.6 (0x402ae000)
        /lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x80000000)

burgi
Posts: 74
Joined: 2003-03-14 21:19

Re: PAM Auth - Postfix

Post by burgi » 2003-04-03 16:44

So wie ich das sehe, sollte doch das funktionieren, oder nicht?

Ich bin langsam am Verzweifeln... :cry:

rootmaster
RSAC
Posts: 536
Joined: 2002-04-28 13:30
Location: Hannover

Re: PAM Auth - Postfix

Post by rootmaster » 2003-04-03 20:50

welches release von saslv1 benutzt du denn ??
versuchs doch mal mit saslauthd ;)

"back to the roots"
Cahn's Axiom:

When all else fails, read the instructions

burgi
Posts: 74
Joined: 2003-03-14 21:19

Re: PAM Auth - Postfix

Post by burgi » 2003-04-04 17:29

rootmaster wrote:welches release von saslv1 benutzt du denn ??
versuchs doch mal mit saslauthd ;)

"back to the roots"
Wie find ich das heraus, was das für ein Release ist? :oops:

Was hat saslauthd für einen Vorteil?

Herzlichen Dank für deine Hilfe!

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: PAM Auth - Postfix

Post by dodolin » 2003-04-04 17:40

Andere Frage: Unter welchem User läuft dein Postfix? Hoffentlich nicht root, oder? Verwendest du Shadow-Passwörter?

Wenn du beides mit "Ja" beantwortest, dann kann das prinzipiell nicht gehen, da nur root Zugriff auf /etc/shadow hat und somit dein Postfix User keine Leserechte hat.

Ein Workaround für Exim wurde gerade in der Newsgruppe de.comm.software.mailserver gepostet.

burgi
Posts: 74
Joined: 2003-03-14 21:19

Re: PAM Auth - Postfix

Post by burgi » 2003-04-04 18:37

Bin nicht ganz sicher, aber ich glaube Postfix läuft über den User postfix. Kann ich das irgendwie checken?

Laut main.cf hat Postfix als Defaul-Priv nobody, weiter hab ich zum testen den User postfix zur Gruppe "shadow" hinzugefügt.

Dort scheint jedoch das Problem, das Confixx-User Passwörter in einer andern Verschlüsselungsart (glaube MD5) gespeichert werden als das System.

burgi
Posts: 74
Joined: 2003-03-14 21:19

Re: PAM Auth - Postfix

Post by burgi » 2003-04-05 17:17

Ich hab jetzt rausgefunden, dass bei mir "cyrus-sasl-1.5.27-166.i386.rpm" und "cyrus-sasl-devel-1.5.27-166.i386.rpm" installiert ist.

Hier nochmals die Mail-Log:

Code: Select all

Apr  5 17:06:48 login postfix/smtpd[14406]: connect from 196.176.186.195.dial.bluewin.ch[195.186.176.196]
Apr  5 17:06:48 login postfix/smtpd[14406]: warning: SASL authentication problem: unrecognized plaintext verifier pam?
Apr  5 17:06:48 login postfix/smtpd[14406]: warning: 196.176.186.195.dial.bluewin.ch[195.186.176.196]: SASL LOGIN authentication failed
Apr  5 17:06:53 login postfix/smtpd[14406]: lost connection after AUTH from 196.176.186.195.dial.bluewin.ch[195.186.176.196]
Apr  5 17:06:53 login postfix/smtpd[14406]: disconnect from 196.176.186.195.dial.bluewin.ch[195.186.176.196]
Bin für jede Hilfe dankbar!

burgi
Posts: 74
Joined: 2003-03-14 21:19

Re: PAM Auth - Postfix

Post by burgi » 2003-04-06 20:12

Ich hab schwer das Gefühl, dass das an Postfix liegt, denn WU imapd arbeitet auch mit PAM und der selben PAM-Datei, d.h das müsste eigentlich gehen.

Ich habe die RPM-Datei (postfix-1.1.4-47.i386.rpm) von ftp://ftp.suse.com/pub/suse/i386/8.0/suse/n4/. Vielleicht ist dort effektiv kein SASL einkompiliert, was soll ich den anstelle dieser für eine RPM nehmen, oder soll ich Postfix lieber selber kompilieren?