* Tobias Walkowiak postfix-users@de.postfix.org:
On Fri, Sep 18, 2009 at 12:07:50PM +0200, Patrick Ben Koetter wrote:
Mittlerweile konnte ich die wesentlichen Fehler beheben (kam die Tage nicht ständig dazu). Was aber immer noch nicht klappt, ist die Authentifizierung von SASL gegen das AD. Ich bekomme die Meldungen (/var/log/maillog) warning: SASL authentication failure: Password verification failed ... SASL LOGIN authentication failed: authentication failure
Ich verstehe Deinen Ansatz wie folgt:
Auf den Gateway läuft saslauthd.
Ja
Der versucht bei einem AUTH per LDAP den User in einem nachgelagerten AD zu authentifizieren. Gelingt der LDAP simple bind auf dem AD, gilt der User als authentifiziert. Ist das so richtig?
Das ist richtig. Das gilt für jede Mail, die ankommt und ist die Entscheidung dafür, ob sie weitergeleitet wird.
Siehst Du connects auf dem AD von saslauthd?
Ja, die sind da.
Was sagt der debug output von saslauthd?
saslauthd[14021] :rel_accept_lock : released accept lock saslauthd[14021] :cache_get_rlock : attempting a read lock on slot: 851 saslauthd[14021] :cache_lookup : [login=t.walkowiak] [service=] [realm=smtp]: not found, update pending saslauthd[14021] :cache_un_lock : attempting to release lock on slot: 851 saslauthd[14021] :do_auth : auth failure: [user=t.walkowiak] [service=smtp] [realm=] [mech=ldap] [reason=Unknown] saslauthd[14021] :do_request : response: NO
Ich sehe keinen connect zum AD. Siehst Du auf dem AD einen connect im Protokoll?
Wie testest Du denn im Moment Authentifizierung?
Direkt teste ich das nicht. Die Anfragen gehen für incoming mail gegen das AD, und bei gültigen Usern werden die Mails durchgelassen. Das Problem liegt bei den Mails, die von außen per SMTP über unser Gateway verschickt werden sollen.
Die /etc/saslauthd.conf ist soweit korrekt konfiguriert, die Anfragen bzgl. eines gültigen Users klappen ja auch. Jedoch scheint es bei der Kommunikation zwischen Gateway und dem AD irgendwo Probleme zu geben. Ist die /etc/saslauthd.conf vielleicht nur für die Authtentifizierung gültiger User da und gar nicht für die Überprüfung User/Passwort?
Die Authentifizierung ist ein black-box-Verfahren. Die Frage von saslauthd ist "matched das?". Eine Überprüfung von User/Passwort in saslauthd findet nicht statt.
So habe ich das auch verstanden: der saslauthd soll ja die Authentifizierungsdaten an den AD weiterreichen. Aber das klappt wohl offensichtlich nicht. Habe ich denn dafür noch etwas übersehen? Oder ist die entsprechende Konfig dafür nicht auch die /etc/saslauthd.conf?
doch doch. Es sollte in etwa so ausssehen:
$ saslauthd -a ldap -O /etc/saslauthd.conf
Tobias
tube@count0.net _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users