Tobias Walkowiak schrieb:
On Wed, Sep 09, 2009 at 04:15:56PM +0200, lst_hoe02@kwsoft.de wrote:
Die Stichworte sind SMTP-AUTH, SASL, LDAP, Active Directory, d.h. man muß SMTP-AUTH mit SASL konfigurieren sodaß eine Authentifizierung gegen das Active Directory (LDAP!) erfolgt. Da ich selbst kein Exchange haben müssen Sie für den Rest die Suchmaschine der Wahl bemühen.
Für SMTP-AUTH -> SASL in etwa folgendes
smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous
und in "smtpd.conf" (Vorsicht : Speicherort je nach Distribution unterschiedlich)
pwcheck_method : saslauthd mechlist : plain login
Dann saslauthd -> LDAP konfigurieren und starten.
Mittlerweile konnte ich die wesentlichen Fehler beheben (kam die Tage nicht ständig dazu). Was aber immer noch nicht klappt, ist die Authentifizierung von SASL gegen das AD. Ich bekomme die Meldungen (/var/log/maillog) warning: SASL authentication failure: Password verification failed ... SASL LOGIN authentication failed: authentication failure
Der Fehler tritt auf, wenn sich ein User per SMTP authentifiziert und Mails über den Weg Postfix-Gateway -> Exchange verschicken will. Die angebotenen AUTH-Methoden des Exchange sind 250-AUTH GSSAPI NTLM LOGIN 250-AUTH=LOGIN Die /etc/postfix/sasl/smtpd.conf sieht daher so aus: pwcheck_method: saslauthd mech_list: PLAIN
Die /etc/saslauthd.conf ist soweit korrekt konfiguriert, die Anfragen bzgl. eines gültigen Users klappen ja auch. Jedoch scheint es bei der Kommunikation zwischen Gateway und dem AD irgendwo Probleme zu geben. Ist die /etc/saslauthd.conf vielleicht nur für die Authtentifizierung gültiger User da und gar nicht für die Überprüfung User/Passwort?
Ich bin doch bestimmt nicht der einzige, der mit solch einem Szenario zu tun hat, oder? Im Netz sind ulkigerweise immer nur andere Konstellationen zu finden.
Vielen Dank Tobias
Hi Tobias, ich bin jetzt nicht der sasl spezi,und hab auch nicht den ganzen thread gelesen aber ich sehe nicht was deinen saslauthd derzeit ( benutzt du den als daemon ?) dazu veranlassen sollte irgendwo anders als in der lokalen userliste nach auth zu suchen der sasl muesste evtl per ldap am Ad fragen, eventuelle waere es auch einfacher den exchange per sasl ueber imap nach auth zu fragen
bei mir laeuft das so mit saslauthd auf einem suse imap abfrage an einem lokalen courier imap server
/usr/sbin/saslauthd -V -n 50 -r -a rimap -O 127.0.0.1
wobei die ip , in deinem Fall, mit der ip des exchange zu ersetzen waere auf dem ein imap laufen muss die restlichen parameter erklaeren sich man saslauthd
leider unterscheidet sich die sasl handhabe und vor allem die standart Voreinstellungen bei den div Linux distros zum Teil erheblich so dass nicht jeder Tip eins zu eins zu uebernehmen ist
ausserdem sind sicher auch noch andere ldap auth varianten denkbar