Postfix et SASL [RESOLU]

Postfix et SASL [RESOLU] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 10-11-2004 à 12:10:25    

Bonjour,
 
Je suis en train d'essayer de mettre en place l'authentification SASL sur mon serveur de messagerie Postfix. Comme je procede par etape je n'ai encore rien fait du coté SSL/TLS.
 
Je voudrais que Postfix fasse l'authentification a partir de mon fichier /etc/shadow mais cela ne fonctionne pas..., j'obtiens le message suivant dans mon log :
 


postfix/smtpd[10563]: connect from unknown[ip du poste client]
postfix/smtpd[10563]: warning: unknown[ip du poste client]: SASL PLAIN authentication failed
postfix/smtpd[10563]: warning: unknown[ip du poste client]: SASL LOGIN authentication failed


 
Les packages suivants sont installées (rpm) sur ma distribution (Mandrake 9.1) :
 
- postfix-2.0.6-1mdk (supporte SASL et TLS d'après la doc)
- cyrus-sasl-2.1.12-1mdk
 
- libsasl2-2.1.12-1.mdk
- libsasl2-plug-crammd5-2.1.12-1mdk
- libsasl2-plug-digestmd5-2.1.12-1mdk
- libsasl2-plug-login-2.1.12-1mdk
- libsasl2-plug-plain-2.1.12-1mdk
- libsasl2-plug-sasldb-2.1.12-1mdk
 
- libsasl-1.5.28-5mdk
- libsasl7-plug-crammd5-1.5.28-5mdk
- libsasl7-plug-digestmd5-1.5.28-5mdk
- libsasl7-plug-login-1.5.28-5mdk
- libsasl7-plug-plain-1.5.28-5mdk
 
 
Pour info :  
- la messagerie est opérationnelle sans SASL, je peux envoyer et recevoir des mails via le smtp de free.  
- postfix n'est pas chrooté
- le fichier smtpd.conf se trouve dans /usr/local/lib/sasl2 et /usr/local/lib/sasl et il y a un lien de /usr/lib/sasl2 vers /usr/local/lib/sasl2 et de /usr/lib/sasl vers /usr/local/lib/sasl  
 
Le fichier smtpd.conf contient :
 


pwcheck_method: saslauthd
mech_list: login plain digest-md5 cram-md5


 
 
Le fichier sysconfig/saslauthd contient
 


# $Id: saslauthd.sysconfig,v 1.1 2001/05/02 10:55:48 wiget Exp $
# Authentications mechanism (for list see saslauthd -v)
SASL_AUTHMECH=shadow
 
# Hostname for remote IMAP server (if rimap auth mech is used)
SASL_RIMAP_HOSTNAME=
 
# Honour time-of-day login restrictions (if shadow auth mech is used)
SASL_TIME_OF_DAY_LOGIN_RESTRICTIONS=yes


 
Le fichier postfix/main.cf contient :
 


queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
mail_owner = postfix
myhostname = hernon.xeg.home
mydomain = xeg.home
myorigin = $mydomain
inet_interfaces = $myhostname, localhost
mydestination = $myhostname, localhost.$mydomain, $mydomain
unknown_local_recipient_reject_code = 450
mynetworks  = 192.168.1.0/16, 127.0.0.1/8
relay_domains = $mydestination
relayhost = smtp.free.fr
alias_maps = hash:/etc/postfix/aliases
mail_spool_directory = /var/spool/mail
mailbox_command = /usr/bin/procmail -Y -a $DOMAIN
mail_name = Messagerie
mail_version = x.x
smtpd_banner = ESMTP $mail_name ($mail_version)
debug_peer_level = 2
debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         xxgdb $daemon_directory/$process_name $process_id & sleep 5
delay_warning_time = 4
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
setgid_group = postdrop
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/postfix-2.0.6/samples
readme_directory = /usr/share/doc/postfix-2.0.6/README_FILES
alias_database = hash:/etc/postfix/aliases
 
virtual_maps = hash:/etc/postfix/virtual
sender_canonical_maps = hash:/etc/postfix/sender_canonical
recipient_canonical_maps = hash:/etc/postfix/recipient_canonical
 
smtpd_recipient_restrictions = permit_mynetworks, check_relay_domains
smtpd_client_restrictions = reject_unknown_client, permit_mynetworks, check_client_access hash:/etc/postfix/access
content_filter = vscan:
 
## SASL
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_local_domain = $mydestination
smtpd_sasl_application_name = smtpd
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = permit_sasl_authenticated, reject_unknown_sender_domain, reject_non_fqdn_sender, check_sender_access hash:/etc/postfix/access  


 
Merci pour votre aide
E.


Message édité par everest01 le 16-11-2004 à 15:52:38
Reply

Marsh Posté le 10-11-2004 à 12:10:25   

Reply

Marsh Posté le 10-11-2004 à 17:59:34    

:cry: Y a donc personne qui utilise SASL avec Postfix ?  :cry:  
 
 :cry: Snifff alors  :cry:
 

Reply

Marsh Posté le 12-11-2004 à 09:56:19    

JoWiLe a écrit :

j'ai pas le temps d'étudier ton cas en particulier, mais j'espère que ça t'aidera


 
Je te remercie pour ton aide mais je ne veux pas utiliser sasldb et mon postfix n'est pas chrooté. Je crois que tes infos ne vont donc pas beaucoup m'aider. Mais merci qd meme.
 
E.

Reply

Marsh Posté le 16-11-2004 à 11:13:07    

Comme j'ai supposé que la Mandrake 9.1 etait peut etre la cause du probleme, j'ai migré en 10.0. De ce fait je suis en :
- postfix-2.1.1
- cyrus-sasl-2.1.15
- saslauthd-2.1.15
 
- libsasl2-2.1.15
- libsasl2-plug-crammd5-2.1.15
- libsasl2-plug-digestmd5-2.1.15
- libsasl2-plug-login-2.1.15
- libsasl2-plug-plain-2.1.15
- libsasl2-plug-sasldb-2.1.15
 
Maintenant j'ai du mieux....j'ai un autre message d'erreur :
 
 


postfix/smtpd[6022]: warning: SASL authentication problem: unable to open Berkeley db /var/lib/sasl2/sasl.db: No such file or directory
postfix/smtpd[6022]: warning: SASL authentication problem: unable to open Berkeley db /var/lib/sasl2/sasl.db: No such file or directory
postfix/smtpd[6022]: warning: SASL authentication failure: Password verification failed
postfix/smtpd[6022]: warning: client.xeg.home[192.168.0.4]: SASL PLAIN authentication failed


 
Le problème c'est que je ne veux pas faire d'auth a partir de sasldb. Je veux que cela se fasse a partir de mon fichier /etc/shadow. Ce qui est bizarre c'est que mon fichier smtpd.conf contient pourtant
 


pwcheck_method: saslauthd
mech_list: plain login digest-md5 cram-md5


 
...et qu'avec la ligne "pwcheck_method: saslauthd", l'auth ne devrait pas chercher sasldb.
 
Qq1 a-t-il une idée ?
E.

Reply

Marsh Posté le 16-11-2004 à 14:01:28    

En regardant dasn le fichier auth.log j'ai :
 
saslauthd[16002]: do_auth : auth failure: [user=mon_login@hernon.xeg.home, localhost.xeg.home, xeg.home] [service=smtp] [realm=hernon.xeg.home, localhost.xeg.home, xeg.home] [mech=shadow] [reason=Unknown]
 
 
Je ne comprend pas pourquoi user=mon_login@hernon.xeg.home....ca devrait plutot etre mon_login ou encore mon_login@xeg.home, sachant que xeg.home est le nom de domaine local et hernon le nom du serveur.
 
J'ai egalement fait qq testes vaec testsaslauthd :
 
testsaslauthd -u mon_login -p mon_passwd ---> OK
testsaslauthd -u mon_login@xeg.home -p mon_passwd ---> NO
testsaslauthd -u mon_login@hernon.xeg.home -p mon_passwd ---> NO
 
Voila,
 
Si jamais qq1 a une idée je suis preneur, mais il semblerait qu'il n'y as pas beaucoup de personnes qui utilisent SASL via shadow d'oh!
 
E.

Reply

Marsh Posté le 16-11-2004 à 15:52:17    

J'ai resolu mon problème de la facon suivante :
 
Dans postfix/main.cf :
 
smtpd_sasl_local_domain = "vide" car il semblerait que si l'on met qq chose cela pose un pb a SASL2 et saslauthd (mais pas sasldb)
 
J'ai bien galèré mais j'y suis arrivé....dommage que trop peu de personnes m'aient aidé.
 
E.


Message édité par everest01 le 19-11-2004 à 09:49:43
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed