[postfix-users] SMTP-Gateway vor Exchangeserver
Folgende Situation: Ein Postfix mit der öffentlichen MX-IP als Gateway für einen internen Exchangeserver. Der Postfix holt sich per LDAP das OK für gültige Accounts und leitet die Mails entsprechend weiter. Klappt auch alles so weit. Das einzige Problem ist das Versenden von Mails der IMAP-Clients per SMTP von außen.
Wie kriege ich Postfix konfiguriert, so daß er auch diese Mails zur Authentifizierung an den Exchange weiterleitet. Hab schon einiges versucht, aber auch nichts passendes im Netz gefunden. Muß ich etwa auf dem Postfix SASL dafür aktivieren?
Meine letzten Versuche waren Folgendes (aus main.cf): ... smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_sender_access ldap:/etc/postfix/ldap_benutzer_recipient_maps.cf, check_recipient_access ldap:/etc/postfix/ldap_benutzer_recipient_maps.cf smtpd_sender_restrictions = permit_mynetworks, check_sender_access ldap:/etc/postfix/ldap_benutzer_recipient_maps.cf ...
transport_maps und relay_recipient_maps für die entsprechenden Domains sind auch korrekt gesetzt. Ich möchte, daß Mails, die von einem der internen User kommen, bis zum Exchange durchgereicht werden. Ich weiß, daß da sicherlich auch noch eine Menge Spam durchkommt, aber das ist evtl. nicht so wild. Habe ich eher einen Denk- oder einen Konfigurationsfehler?
Tobias
On Wed, Sep 09, 2009 at 02:31:45PM +0200, Tobias Walkowiak wrote:
Folgende Situation: Ein Postfix mit der öffentlichen MX-IP als Gateway für einen internen Exchangeserver. Der Postfix holt sich per LDAP das OK für gültige Accounts und leitet die Mails entsprechend weiter. Klappt auch alles so weit. Das einzige Problem ist das Versenden von Mails der IMAP-Clients per SMTP von außen.
Wie kriege ich Postfix konfiguriert, so daß er auch diese Mails zur Authentifizierung an den Exchange weiterleitet. Hab schon einiges versucht, aber auch nichts passendes im Netz gefunden. Muß ich etwa auf dem Postfix SASL dafür aktivieren?
Ich vergaß zu erwähnen, daß die Fehlermeldung in meinem Fall ein "Relay access denied" ist.
Zitat von Tobias Walkowiak tw@tobias-walkowiak.de:
On Wed, Sep 09, 2009 at 02:31:45PM +0200, Tobias Walkowiak wrote:
Folgende Situation: Ein Postfix mit der öffentlichen MX-IP als Gateway für einen internen Exchangeserver. Der Postfix holt sich per LDAP das OK für gültige Accounts und leitet die Mails entsprechend weiter. Klappt auch alles so weit. Das einzige Problem ist das Versenden von Mails der IMAP-Clients per SMTP von außen.
Wie kriege ich Postfix konfiguriert, so daß er auch diese Mails zur Authentifizierung an den Exchange weiterleitet. Hab schon einiges versucht, aber auch nichts passendes im Netz gefunden. Muß ich etwa auf dem Postfix SASL dafür aktivieren?
Ich vergaß zu erwähnen, daß die Fehlermeldung in meinem Fall ein "Relay access denied" ist.
Die Stichworte sind SMTP-AUTH, SASL, LDAP, Active Directory, d.h. man muß SMTP-AUTH mit SASL konfigurieren sodaß eine Authentifizierung gegen das Active Directory (LDAP!) erfolgt. Da ich selbst kein Exchange haben müssen Sie für den Rest die Suchmaschine der Wahl bemühen.
Für SMTP-AUTH -> SASL in etwa folgendes
smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous
und in "smtpd.conf" (Vorsicht : Speicherort je nach Distribution unterschiedlich)
http://www.postfix.org/SASL_README.html
man saslauthd
pwcheck_method : saslauthd mechlist : plain login
Dann saslauthd -> LDAP konfigurieren und starten.
Gruß
Andreas
On Wed, Sep 09, 2009 at 04:15:56PM +0200, lst_hoe02@kwsoft.de wrote:
Wie kriege ich Postfix konfiguriert, so daß er auch diese Mails zur Authentifizierung an den Exchange weiterleitet. Hab schon einiges versucht, aber auch nichts passendes im Netz gefunden. Muß ich etwa auf dem Postfix SASL dafür aktivieren?
Ich vergaß zu erwähnen, daß die Fehlermeldung in meinem Fall ein "Relay access denied" ist.
Die Stichworte sind SMTP-AUTH, SASL, LDAP, Active Directory, d.h. man muß SMTP-AUTH mit SASL konfigurieren sodaß eine
Also doch -- ich hatte das schon befürchtet ;)
Für SMTP-AUTH -> SASL in etwa folgendes smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous und in "smtpd.conf" (Vorsicht : Speicherort je nach Distribution unterschiedlich) pwcheck_method : saslauthd mechlist : plain login Dann saslauthd -> LDAP konfigurieren und starten.
OK, dann weiß ich schonmal die grobe Richtung. Den Rest bekomme ich auch so hin.
Vielen Dank auf jeden Fall! Tobias
On Wed, Sep 09, 2009 at 04:15:56PM +0200, lst_hoe02@kwsoft.de wrote:
Die Stichworte sind SMTP-AUTH, SASL, LDAP, Active Directory, d.h. man muß SMTP-AUTH mit SASL konfigurieren sodaß eine Authentifizierung gegen das Active Directory (LDAP!) erfolgt. Da ich selbst kein Exchange haben müssen Sie für den Rest die Suchmaschine der Wahl bemühen.
Für SMTP-AUTH -> SASL in etwa folgendes
smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous
und in "smtpd.conf" (Vorsicht : Speicherort je nach Distribution unterschiedlich)
pwcheck_method : saslauthd mechlist : plain login
Dann saslauthd -> LDAP konfigurieren und starten.
Mittlerweile konnte ich die wesentlichen Fehler beheben (kam die Tage nicht ständig dazu). Was aber immer noch nicht klappt, ist die Authentifizierung von SASL gegen das AD. Ich bekomme die Meldungen (/var/log/maillog) warning: SASL authentication failure: Password verification failed ... SASL LOGIN authentication failed: authentication failure
Der Fehler tritt auf, wenn sich ein User per SMTP authentifiziert und Mails über den Weg Postfix-Gateway -> Exchange verschicken will. Die angebotenen AUTH-Methoden des Exchange sind 250-AUTH GSSAPI NTLM LOGIN 250-AUTH=LOGIN Die /etc/postfix/sasl/smtpd.conf sieht daher so aus: pwcheck_method: saslauthd mech_list: PLAIN
Die /etc/saslauthd.conf ist soweit korrekt konfiguriert, die Anfragen bzgl. eines gültigen Users klappen ja auch. Jedoch scheint es bei der Kommunikation zwischen Gateway und dem AD irgendwo Probleme zu geben. Ist die /etc/saslauthd.conf vielleicht nur für die Authtentifizierung gültiger User da und gar nicht für die Überprüfung User/Passwort?
Ich bin doch bestimmt nicht der einzige, der mit solch einem Szenario zu tun hat, oder? Im Netz sind ulkigerweise immer nur andere Konstellationen zu finden.
Vielen Dank Tobias
Tobias Walkowiak schrieb:
On Wed, Sep 09, 2009 at 04:15:56PM +0200, lst_hoe02@kwsoft.de wrote:
Die Stichworte sind SMTP-AUTH, SASL, LDAP, Active Directory, d.h. man muß SMTP-AUTH mit SASL konfigurieren sodaß eine Authentifizierung gegen das Active Directory (LDAP!) erfolgt. Da ich selbst kein Exchange haben müssen Sie für den Rest die Suchmaschine der Wahl bemühen.
Für SMTP-AUTH -> SASL in etwa folgendes
smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous
und in "smtpd.conf" (Vorsicht : Speicherort je nach Distribution unterschiedlich)
pwcheck_method : saslauthd mechlist : plain login
Dann saslauthd -> LDAP konfigurieren und starten.
Mittlerweile konnte ich die wesentlichen Fehler beheben (kam die Tage nicht ständig dazu). Was aber immer noch nicht klappt, ist die Authentifizierung von SASL gegen das AD. Ich bekomme die Meldungen (/var/log/maillog) warning: SASL authentication failure: Password verification failed ... SASL LOGIN authentication failed: authentication failure
Der Fehler tritt auf, wenn sich ein User per SMTP authentifiziert und Mails über den Weg Postfix-Gateway -> Exchange verschicken will. Die angebotenen AUTH-Methoden des Exchange sind 250-AUTH GSSAPI NTLM LOGIN 250-AUTH=LOGIN Die /etc/postfix/sasl/smtpd.conf sieht daher so aus: pwcheck_method: saslauthd mech_list: PLAIN
Die /etc/saslauthd.conf ist soweit korrekt konfiguriert, die Anfragen bzgl. eines gültigen Users klappen ja auch. Jedoch scheint es bei der Kommunikation zwischen Gateway und dem AD irgendwo Probleme zu geben. Ist die /etc/saslauthd.conf vielleicht nur für die Authtentifizierung gültiger User da und gar nicht für die Überprüfung User/Passwort?
Ich bin doch bestimmt nicht der einzige, der mit solch einem Szenario zu tun hat, oder? Im Netz sind ulkigerweise immer nur andere Konstellationen zu finden.
Vielen Dank Tobias
Hi Tobias, ich bin jetzt nicht der sasl spezi,und hab auch nicht den ganzen thread gelesen aber ich sehe nicht was deinen saslauthd derzeit ( benutzt du den als daemon ?) dazu veranlassen sollte irgendwo anders als in der lokalen userliste nach auth zu suchen der sasl muesste evtl per ldap am Ad fragen, eventuelle waere es auch einfacher den exchange per sasl ueber imap nach auth zu fragen
bei mir laeuft das so mit saslauthd auf einem suse imap abfrage an einem lokalen courier imap server
/usr/sbin/saslauthd -V -n 50 -r -a rimap -O 127.0.0.1
wobei die ip , in deinem Fall, mit der ip des exchange zu ersetzen waere auf dem ein imap laufen muss die restlichen parameter erklaeren sich man saslauthd
leider unterscheidet sich die sasl handhabe und vor allem die standart Voreinstellungen bei den div Linux distros zum Teil erheblich so dass nicht jeder Tip eins zu eins zu uebernehmen ist
ausserdem sind sicher auch noch andere ldap auth varianten denkbar
On Fri, Sep 18, 2009 at 11:50:12AM +0200, Robert Schetterer wrote:
Mittlerweile konnte ich die wesentlichen Fehler beheben (kam die Tage nicht ständig dazu). Was aber immer noch nicht klappt, ist die Authentifizierung von SASL gegen das AD. Ich bekomme die Meldungen (/var/log/maillog) warning: SASL authentication failure: Password verification failed ... SASL LOGIN authentication failed: authentication failure
Der Fehler tritt auf, wenn sich ein User per SMTP authentifiziert und Mails über den Weg Postfix-Gateway -> Exchange verschicken will. Die angebotenen AUTH-Methoden des Exchange sind 250-AUTH GSSAPI NTLM LOGIN 250-AUTH=LOGIN Die /etc/postfix/sasl/smtpd.conf sieht daher so aus: pwcheck_method: saslauthd mech_list: PLAIN
Die /etc/saslauthd.conf ist soweit korrekt konfiguriert, die Anfragen bzgl. eines gültigen Users klappen ja auch. Jedoch scheint es bei der Kommunikation zwischen Gateway und dem AD irgendwo Probleme zu geben. Ist die /etc/saslauthd.conf vielleicht nur für die Authtentifizierung gültiger User da und gar nicht für die Überprüfung User/Passwort?
Hi Tobias, ich bin jetzt nicht der sasl spezi,und hab auch nicht den ganzen thread gelesen aber ich sehe nicht was deinen saslauthd derzeit ( benutzt du den als daemon ?) dazu veranlassen sollte irgendwo anders als in der lokalen
Ja, der läuft als Daemon.
userliste nach auth zu suchen der sasl muesste evtl per ldap am Ad fragen, eventuelle waere es auch einfacher den exchange per sasl ueber imap nach auth zu fragen
Wie gesagt, für die reinkommenden Mails wird der AD gefragt. Wenn ein externer IMAP-User dann per SMTP Mails verschicken will, klappt das nicht.
Muß dazu sagen, daß IMAP nicht vom Postfix/SASL abgefangen wird, sondern (noch) direkt auf den Exchange geht.
Tobias
Hallo!
Tobias Walkowiak schrieb:
Der Fehler tritt auf, wenn sich ein User per SMTP authentifiziert und Mails über den Weg Postfix-Gateway -> Exchange verschicken will. Die angebotenen AUTH-Methoden des Exchange sind 250-AUTH GSSAPI NTLM LOGIN 250-AUTH=LOGIN
Das kommt wenn man sich auf Port 25 des Exchange-Servers verbindet, ja?
Die /etc/postfix/sasl/smtpd.conf sieht daher so aus: pwcheck_method: saslauthd mech_list: PLAIN
In welcher Beziehung soll diese Einstellung zur Exchangekonfiguration stehen?
Die /etc/saslauthd.conf ist soweit korrekt konfiguriert, die Anfragen bzgl. eines gültigen Users klappen ja auch.
Wenn ich das aus deiner ersten Mail richtig lese, meist du damit wohl die Überprüfung auf gültige Empfängeradressen, richtig? "Der Postfix holt sich per LDAP das OK für gültige Accounts und leitet die Mails entsprechend weiter." Das hat dann mit SASL/saslauthd nichts zu tun (eher relay_recipient_maps). postconf -n / saslfinger
Außerdem wird dabei sicher eine andere LDAP-Abfrage (mail=?) gemacht als zur Anmeldung (Bind) notwendig ist.
a) Welche Daten geben User zur Authentifizierung am SMTPd an? username + password b) Kann man sich damit per LDAP an Exchange anmelden (Bind)? (Test mit ldapsearch?) c) Ist der Authentifizierungsmechanismus entsprechend konfiguriert?
Marc
On Fri, Sep 18, 2009 at 02:21:39PM +0200, Marc Patermann wrote:
angebotenen AUTH-Methoden des Exchange sind 250-AUTH GSSAPI NTLM LOGIN 250-AUTH=LOGIN
Das kommt wenn man sich auf Port 25 des Exchange-Servers verbindet, ja?
Genau
Die /etc/postfix/sasl/smtpd.conf sieht daher so aus: pwcheck_method: saslauthd mech_list: PLAIN
In welcher Beziehung soll diese Einstellung zur Exchangekonfiguration stehen?
Sorry, meinte natürlich mech_list: LOGIN. Ich gehe davon aus, daß die /etc/postfix/sasl/smtpd.conf entsprechend der Authentifizierungsmethoden des Exchange konfiguriert sein muß. Oder liege ich da völlig falsch?
Die /etc/saslauthd.conf ist soweit korrekt konfiguriert, die Anfragen bzgl. eines gültigen Users klappen ja auch.
Wenn ich das aus deiner ersten Mail richtig lese, meist du damit wohl die Überprüfung auf gültige Empfängeradressen, richtig?
Ja
"Der Postfix holt sich per LDAP das OK für gültige Accounts und leitet die Mails entsprechend weiter." Das hat dann mit SASL/saslauthd nichts zu tun (eher relay_recipient_maps). postconf -n / saslfinger
Klar. Das ist auch soweit schon eingestellt: # postconf relay_recipient_maps relay_recipient_maps = ldap:/etc/postfix/ldap_benutzer_recipient_maps.cf
Außerdem wird dabei sicher eine andere LDAP-Abfrage (mail=?) gemacht als zur Anmeldung (Bind) notwendig ist.
a) Welche Daten geben User zur Authentifizierung am SMTPd an? username + password
Ja genau. Ihren (Domain-)Anmeldenamen und das Passwort (Mailclients in dem Fall Thunderbird).
b) Kann man sich damit per LDAP an Exchange anmelden (Bind)? (Test mit ldapsearch?)
ldapsearch werd ich gleich mal testen.
c) Ist der Authentifizierungsmechanismus entsprechend konfiguriert?
Das ist ja eben der Punkt, wo ich mir mittlerweile nicht mehr ganz sicher bin.
On Fri, Sep 18, 2009 at 03:05:16PM +0200, Tobias Walkowiak wrote:
b) Kann man sich damit per LDAP an Exchange anmelden (Bind)? (Test mit ldapsearch?)
ldapsearch werd ich gleich mal testen.
'ldapsearch -x ...' klappt - ohne '-x' klappt es nicht. Komischerweise klappt es ohne '-x' von einem anderen Rechner im Netz (auf dem _kein_ saslauthd läuft). So langsam weiß ich nicht mehr weiter.
Ich werd noch bekloppt!
Tobias Walkowiak schrieb:
On Fri, Sep 18, 2009 at 03:05:16PM +0200, Tobias Walkowiak wrote:
b) Kann man sich damit per LDAP an Exchange anmelden (Bind)? (Test mit ldapsearch?)
ldapsearch werd ich gleich mal testen.
'ldapsearch -x ...' klappt - ohne '-x' klappt es nicht. Komischerweise klappt es ohne '-x' von einem anderen Rechner im Netz (auf dem _kein_ saslauthd läuft). So langsam weiß ich nicht mehr weiter.
Ich werd noch bekloppt!
du kannst es auch mit einem recipient verify direkt ueber smtp am exchange machen oder die ad neue email adis ueber ssh pushen lassen, oder per cron ueber ldap script holen, keine der Methoden ist wirklich super optimal fuer jeden denkbaren Fall, und sie sind stark davon abhaengig wie deine Netzwerkstruktur ist etc, sollten sich die mail adressen nicht oft aendern ist am einfachsten die empfaenger liste des postfix per hand zu pflegen Anleitungen fuer saemtliche Moeglichkeiten finden sich im www
Tobias Walkowiak schrieb:
On Fri, Sep 18, 2009 at 03:05:16PM +0200, Tobias Walkowiak wrote:
b) Kann man sich damit per LDAP an Exchange anmelden (Bind)? (Test mit ldapsearch?)
ldapsearch werd ich gleich mal testen.
'ldapsearch -x ...' klappt - ohne '-x' klappt es nicht. Komischerweise klappt es ohne '-x' von einem anderen Rechner im Netz (auf dem _kein_ saslauthd läuft). So langsam weiß ich nicht mehr weiter.
Ich werd noch bekloppt!
Ich glaube, es gibt hier (mindestens) zwei Probleme: 1. Du stocherst mit einer langen Stange im Nebel, weil du eigentlich gar nicht genau weißt, wozu welche der vielen Funktionen da ist. => Die Grundlagen lesen. 2. Du stellst nur minimalen Informationen bereit (s.o.). => siehe 1. und dann vollständige Eingaben / Ausgaben posten.
Marc
On Mon, Sep 21, 2009 at 10:46:57AM +0200, Marc Patermann wrote:
Ich glaube, es gibt hier (mindestens) zwei Probleme:
- Du stocherst mit einer langen Stange im Nebel, weil du eigentlich gar nicht genau weißt, wozu welche der vielen Funktionen da ist. => Die Grundlagen lesen.
Nein, das ist nicht nötig. Immerhin ist das nicht mein erster Postfix-Server. Ich hab mich da vielleicht ungeschickt ausgedrückt. Die Lösung ist für mich auf jeden Fall jetzt die, daß ich beim saslauthd als Mechanismus 'rimap' genommen habe. Somit werden nun Mailempfänger per LDAP verifizert (das hatte ja, wie gesagt, schon vorher geklappt) und Mailversender, die über IMAP/SMTP Mails verschicken wollen, werden über ihr IMAP 'LOGIN', was an den Exchangeserver weitergereicht wird, authentifizert. So klappt nun alles.
- Du stellst nur minimalen Informationen bereit (s.o.). => siehe 1. und dann vollständige Eingaben / Ausgaben posten.
Ich hatte mich mit langen Listings erstmal bewußt zurückgehalten.
Vielen Dank an alle für Eure Hilfe und Tips! Tobias
* Tobias Walkowiak postfix-users@de.postfix.org:
pwcheck_method : saslauthd mechlist : plain login
Dann saslauthd -> LDAP konfigurieren und starten.
Mittlerweile konnte ich die wesentlichen Fehler beheben (kam die Tage nicht ständig dazu). Was aber immer noch nicht klappt, ist die Authentifizierung von SASL gegen das AD. Ich bekomme die Meldungen (/var/log/maillog) warning: SASL authentication failure: Password verification failed ... SASL LOGIN authentication failed: authentication failure
Ich verstehe Deinen Ansatz wie folgt:
Auf den Gateway läuft saslauthd. Der versucht bei einem AUTH per LDAP den User in einem nachgelagerten AD zu authentifizieren. Gelingt der LDAP simple bind auf dem AD, gilt der User als authentifiziert.
Ist das so richtig?
Siehst Du connects auf dem AD von saslauthd? Was sagt der debug output von saslauthd? Wie testest Du denn im Moment Authentifizierung?
Die /etc/saslauthd.conf ist soweit korrekt konfiguriert, die Anfragen bzgl. eines gültigen Users klappen ja auch. Jedoch scheint es bei der Kommunikation zwischen Gateway und dem AD irgendwo Probleme zu geben. Ist die /etc/saslauthd.conf vielleicht nur für die Authtentifizierung gültiger User da und gar nicht für die Überprüfung User/Passwort?
Die Authentifizierung ist ein black-box-Verfahren. Die Frage von saslauthd ist "matched das?". Eine Überprüfung von User/Passwort in saslauthd findet nicht statt.
p@rick
On Fri, Sep 18, 2009 at 12:07:50PM +0200, Patrick Ben Koetter wrote:
Mittlerweile konnte ich die wesentlichen Fehler beheben (kam die Tage nicht ständig dazu). Was aber immer noch nicht klappt, ist die Authentifizierung von SASL gegen das AD. Ich bekomme die Meldungen (/var/log/maillog) warning: SASL authentication failure: Password verification failed ... SASL LOGIN authentication failed: authentication failure
Ich verstehe Deinen Ansatz wie folgt:
Auf den Gateway läuft saslauthd.
Ja
Der versucht bei einem AUTH per LDAP den User in einem nachgelagerten AD zu authentifizieren. Gelingt der LDAP simple bind auf dem AD, gilt der User als authentifiziert. Ist das so richtig?
Das ist richtig. Das gilt für jede Mail, die ankommt und ist die Entscheidung dafür, ob sie weitergeleitet wird.
Siehst Du connects auf dem AD von saslauthd?
Ja, die sind da.
Was sagt der debug output von saslauthd?
saslauthd[14021] :rel_accept_lock : released accept lock saslauthd[14021] :cache_get_rlock : attempting a read lock on slot: 851 saslauthd[14021] :cache_lookup : [login=t.walkowiak] [service=] [realm=smtp]: not found, update pending saslauthd[14021] :cache_un_lock : attempting to release lock on slot: 851 saslauthd[14021] :do_auth : auth failure: [user=t.walkowiak] [service=smtp] [realm=] [mech=ldap] [reason=Unknown] saslauthd[14021] :do_request : response: NO
Wie testest Du denn im Moment Authentifizierung?
Direkt teste ich das nicht. Die Anfragen gehen für incoming mail gegen das AD, und bei gültigen Usern werden die Mails durchgelassen. Das Problem liegt bei den Mails, die von außen per SMTP über unser Gateway verschickt werden sollen.
Die /etc/saslauthd.conf ist soweit korrekt konfiguriert, die Anfragen bzgl. eines gültigen Users klappen ja auch. Jedoch scheint es bei der Kommunikation zwischen Gateway und dem AD irgendwo Probleme zu geben. Ist die /etc/saslauthd.conf vielleicht nur für die Authtentifizierung gültiger User da und gar nicht für die Überprüfung User/Passwort?
Die Authentifizierung ist ein black-box-Verfahren. Die Frage von saslauthd ist "matched das?". Eine Überprüfung von User/Passwort in saslauthd findet nicht statt.
So habe ich das auch verstanden: der saslauthd soll ja die Authentifizierungsdaten an den AD weiterreichen. Aber das klappt wohl offensichtlich nicht. Habe ich denn dafür noch etwas übersehen? Oder ist die entsprechende Konfig dafür nicht auch die /etc/saslauthd.conf?
Tobias
* Tobias Walkowiak postfix-users@de.postfix.org:
On Fri, Sep 18, 2009 at 12:07:50PM +0200, Patrick Ben Koetter wrote:
Mittlerweile konnte ich die wesentlichen Fehler beheben (kam die Tage nicht ständig dazu). Was aber immer noch nicht klappt, ist die Authentifizierung von SASL gegen das AD. Ich bekomme die Meldungen (/var/log/maillog) warning: SASL authentication failure: Password verification failed ... SASL LOGIN authentication failed: authentication failure
Ich verstehe Deinen Ansatz wie folgt:
Auf den Gateway läuft saslauthd.
Ja
Der versucht bei einem AUTH per LDAP den User in einem nachgelagerten AD zu authentifizieren. Gelingt der LDAP simple bind auf dem AD, gilt der User als authentifiziert. Ist das so richtig?
Das ist richtig. Das gilt für jede Mail, die ankommt und ist die Entscheidung dafür, ob sie weitergeleitet wird.
Siehst Du connects auf dem AD von saslauthd?
Ja, die sind da.
Was sagt der debug output von saslauthd?
saslauthd[14021] :rel_accept_lock : released accept lock saslauthd[14021] :cache_get_rlock : attempting a read lock on slot: 851 saslauthd[14021] :cache_lookup : [login=t.walkowiak] [service=] [realm=smtp]: not found, update pending saslauthd[14021] :cache_un_lock : attempting to release lock on slot: 851 saslauthd[14021] :do_auth : auth failure: [user=t.walkowiak] [service=smtp] [realm=] [mech=ldap] [reason=Unknown] saslauthd[14021] :do_request : response: NO
Ich sehe keinen connect zum AD. Siehst Du auf dem AD einen connect im Protokoll?
Wie testest Du denn im Moment Authentifizierung?
Direkt teste ich das nicht. Die Anfragen gehen für incoming mail gegen das AD, und bei gültigen Usern werden die Mails durchgelassen. Das Problem liegt bei den Mails, die von außen per SMTP über unser Gateway verschickt werden sollen.
Die /etc/saslauthd.conf ist soweit korrekt konfiguriert, die Anfragen bzgl. eines gültigen Users klappen ja auch. Jedoch scheint es bei der Kommunikation zwischen Gateway und dem AD irgendwo Probleme zu geben. Ist die /etc/saslauthd.conf vielleicht nur für die Authtentifizierung gültiger User da und gar nicht für die Überprüfung User/Passwort?
Die Authentifizierung ist ein black-box-Verfahren. Die Frage von saslauthd ist "matched das?". Eine Überprüfung von User/Passwort in saslauthd findet nicht statt.
So habe ich das auch verstanden: der saslauthd soll ja die Authentifizierungsdaten an den AD weiterreichen. Aber das klappt wohl offensichtlich nicht. Habe ich denn dafür noch etwas übersehen? Oder ist die entsprechende Konfig dafür nicht auch die /etc/saslauthd.conf?
doch doch. Es sollte in etwa so ausssehen:
$ saslauthd -a ldap -O /etc/saslauthd.conf
Tobias
tube@count0.net _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Tobias Walkowiak schrieb:
On Wed, Sep 09, 2009 at 02:31:45PM +0200, Tobias Walkowiak wrote:
Folgende Situation: Ein Postfix mit der öffentlichen MX-IP als Gateway für einen internen Exchangeserver. Der Postfix holt sich per LDAP das OK für gültige Accounts und leitet die Mails entsprechend weiter. Klappt auch alles so weit. Das einzige Problem ist das Versenden von Mails der IMAP-Clients per SMTP von außen.
Wie kriege ich Postfix konfiguriert, so daß er auch diese Mails zur Authentifizierung an den Exchange weiterleitet. Hab schon einiges versucht, aber auch nichts passendes im Netz gefunden. Muß ich etwa auf dem Postfix SASL dafür aktivieren?
Ich vergaß zu erwähnen, daß die Fehlermeldung in meinem Fall ein "Relay access denied" ist.
Hi,
willst du, dass deine Clients über den Postfix Nachrichten versenden oder über deinen Exchange?
Ciao, Werner
On Wed, Sep 09, 2009 at 04:39:36PM +0200, Werner Detter wrote:
Wie kriege ich Postfix konfiguriert, so daß er auch diese Mails zur Authentifizierung an den Exchange weiterleitet. Hab schon einiges versucht, aber auch nichts passendes im Netz gefunden. Muß ich etwa auf dem Postfix SASL dafür aktivieren?
Ich vergaß zu erwähnen, daß die Fehlermeldung in meinem Fall ein "Relay access denied" ist.
willst du, dass deine Clients über den Postfix Nachrichten versenden oder über deinen Exchange?
Am liebsten über den Exchange, obwohl das bei den wenigen IMAP-Usern eigentlich egal wäre.
Tobias
participants (7)
-
lst_hoe02@kwsoft.de -
Marc Patermann -
Patrick Ben Koetter -
Robert Schetterer -
Tobias Walkowiak -
Tobias Walkowiak -
Werner Detter