erledigt: Postfix vs. ldap: Authentifizierung schlägt fehl

[altmetaller]

Hallo,

ich bastel gerade an meinem E-Mail-Server-Lernprojekt weiter und möchte, dass sich MUA beim Postfix authentifizieren (müssen). Der Postfix soll die Zugangsdaten aus meinem LDAP-Server zuppeln.

/etc/default/saslauthd

Code: Alles auswählen

START=yes
DESC="SASL Authentication Daemon"
NAME="saslauthd"
MECHANISMS="pam"
MECH_OPTIONS=""
THREADS=5
OPTIONS="-c -m /var/run/saslauthd"

/etc/default/saslauthd-pfldap

Code: Alles auswählen

START=yes
DESC="SASL Authentication Daemon for Postfix (LDAP)"
NAME="saslauthd-pfl"
MECHANISMS="ldap"
MECH_OPTIONS=""
THREADS=5
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"

/etc/postfix/smtpd.conf

Code: Alles auswählen

pwcheck_method: saslauthd
mech_list: plain login
log_level: 3

ldap_servers: ldap://ldap.dmz.tux-net
ldap_search_base: ou=people,dc=testdomain,dc=de
ldap_timeout: 10
ldap_filter: uid=%U
ldap_bind_dn: cn=readonly,dc=testdomain,dc=de
ldap_password: <LDAP-Passwort vom ReadOnly-User>
ldap_deref: never
ldap_restart: yes
ldap_scope: sub
ldap_use_sasl: no
ldap_start_tls: no
ldap_version: 3
ldap_auth_method: bind

Ich habe den saslauthd und den postfix neu gestartet. Wenn ich

Code: Alles auswählen

testsaslauthd -u testuser -p <Passwort vom Testuser>

eingebe, erhalte ich jedoch einen Authentifizierungsfehler. In der /var/log/auth.log wird das auch bestätigt:

Code: Alles auswählen

Apr  8 13:51:32 mail saslauthd[4390]: pam_unix(imap:auth): check pass; user unknown
Apr  8 13:51:32 mail saslauthd[4390]: pam_unix(imap:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= 
Apr  8 13:51:34 mail saslauthd[4390]: DEBUG: auth_pam: pam_authenticate failed: Authentication failure
Apr  8 13:51:34 mail saslauthd[4390]:                 : auth failure: [user=testuser] [service=imap] [realm=] [mech=pam] [reason=PAM auth error]

1. Kann / darf ich die beiden SASL-Konfigurationen überhaupt gleichzeitig fahren?
2. Warum der Fehler?
3. Woraus wird das [service=imap] in der Fehlermeldung abgeleitet?

Der grundsätzliche Zugriff vom Mailserver auf den LDAP-Server funktioniert:

Code: Alles auswählen

ldapsearch -x -D "cn=readonly,dc=testdomain,dc=de" -w "<LDAP-Passwort vom ReadOnly-User>" -b "ou=people,dc=testdomain,dc=de" -H ldap://ldap.dmz.tux-net

...sagt mir:

Code: Alles auswählen

# extended LDIF
#
# LDAPv3
# base <ou=people,dc=testdomain,dc=de> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# people, testdomain.de
dn: ou=people,dc=testdomain,dc=de
objectClass: organizationalUnit
objectClass: top
ou: people

# testuser, people, testdomain.de
dn: uid=testuser,ou=people,dc=testdomain,dc=de
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: postfixUser
cn: User
sn: Test
loginShell: /bin/bash
uidNumber: 10000
gidNumber: 10000
homeDirectory: /home/testuser
shadowMax: 99999
shadowMin: 1
shadowWarning: 7
shadowInactive: 7
uid: testuser

# Testuser Postfix CN, testuser, people, testdomain.de
dn: cn=Testuser Postfix CN,uid=testuser,ou=people,dc=testdomain,dc=de
mailacceptinggeneralid: testuser@testdomain.de
maildrop: jka@testdomain.de
objectClass: inetOrgPerson
objectClass: postfixUser
objectClass: top
cn: Testuser Postfix CN
sn: Testuser Postfix SN

# search result
search: 2
result: 0 Success

# numResponses: 4
# numEntries: 3

...schwierig sind halt immer die Projekte, bei denen man sich in mehrere Themen (Postfix, LDAP, SASL) reinfuchst

Liebe Grüße,
Jörg

[altmetaller]

Hallo,

die Schönsten Fehler sind die, die man selber findet.

Thema erledigt

Gruß,
Jörg

[eggy]

und woran lag es nun?

[altmetaller]

Hallo,

an der Strategie. Statt eines zweiten, zusätzlichen PAM-Authentifizierungsdienstes für Postfix aufzusetzen nutzt man natürlich den bestehenden PAM-Authentifizierungsdienst und bittet ihn recht freundlich, zuerst die lokalen User und dann den LDAP-Server zu befragen

Gruß,
Jörg