dovecot passdb Passwörter nicht über Linux Authentifizierung sondern separate Passwörter

[mgolbs]

Hallo,

ich bin dabei einen dovcot für IMAP aufzusetzen. Das funktioniert auch soweit, aber halt nur mit den usern und deren Passwörtern vom Linux System. Ich möchte aber für IMAP nicht das Linux Passwort für den Nutzer verwenden und statt dessen ein IMAP eigenes Passwort für jeden Nutzer definieren. Das scheint aber nicht so einfach zu sein. Seit Stunden versuche ich mit der Dovecot Doku da einen Lösung zu finden... Ich bin mir noch nicht mal sicher ob ich das über virtuelle User machen muss, analog samba unsern.

golbs@debian-amd64:~$ telnet 192.168.1.140 143
Trying 192.168.1.140...
Connected to 192.168.1.140.
Escape character is '^]'.
* OK [CAPABILITY IMAP4rev1 SASL-IR LOGIN-REFERRALS ID ENABLE IDLE LITERAL+ STARTTLS AUTH=PLAIN] Dovecot (Debian) ready.

Ich dachte das geht relativ einfach über (in /etc/dovecot/users als ASCII - enthält gültige user und neue Passwörter):

This file can be used as a passdb:

user:{plain}password
user2:{plain}password2

Das funktioniert aber leider so nicht bei mir, trotz systemctl ohne Fehler:

Code: Alles auswählen

root@server-buero:/etc/dovecot# systemctl restart dovecot 
root@server-buero:/etc/dovecot# 

root@server-buero:/etc/dovecot# doveadm user golbs

userdb lookup: user golbs doesn't exist
field value

Der User wird bei Konfiguration über (/etc/dovecot/conf.d/auth-passwdfile.conf.ext):

passdb {
driver = passwd-file
args = scheme=plain-md5 username_format=%n /etc/dovecot/users
}
userdb {
driver = passwd-file
args = username_format=%n /etc/dovecot/users
default_fields = uid=vmail gid=vmail home=/home/vmail/%u
}

In /etc/dovecot/conf.d/auth-checkpassword.conf.ext :

passdb {
driver = passwd-file
args = scheme=plain-md5 username_format=%n /etc/dovecot/users
}
userdb {
driver = passwd-file
args = username_format=%n /etc/dovecot/users
default_fields = uid=vmail gid=vmail home=/home/vmail/%u
}

Da muss ich doch bestimmt irgend etswas wie damals bei Postfix über "postmap db" ASCII in db Format durchführen durchführen? Leider finde ich in der dovecot Doku nichts darüber. Verschiedene Versuche brachten da auch nichts, wie z.B.

doveadm pw -s SHA512-CRYPT

Hat da jemand einen Tipp?

Gruß Markus

[debilian]

mach doch die auth per mysql?!
das mach ich mit dovecot....

siehe z.B. https://doc.dovecot.org/configuration_m ... ation/sql/

[TRex]

auth_verbose und so haben nichts gezeigt? Müsste ja in den Logs auffallen, wenn der lookup nicht funktioniert.

[uname]

Ich kenne dovecot nicht. Aber was ist mit PAM?
https://doc.dovecot.org/configuration_m ... ation/pam/

[mgolbs]

Hallo,

vielen Dank für die Antworten. PAM ist doch die jetzt schon funktionierende Authentifizierung mit den Linux eigenen Nutzernamen und deren Passwörtern, oder? Das will ich auf keinen Fall. Wenn sich primär verseuchte Betriebssysteme wie Windo**" und darauf laufende E-Mail Programme damit anmelden (Linux Nutzername und dessen Passwort), kann ich die Usernamen und deren Passwörter doch gleich öffentlich in Internet stellen?

"mysql?!" Eine richtige Datenbank möchte ich bei meinen "wenigen" Usern nicht nutzen, ein möglichst einfaches System aufsetzen, keine SQL Maschine verwenden. Da muss es doch was wie damals mit Postfix und "ASCII Datei (username:Passwort) + "dovemap" auch bei Dovecot geben?


Bei Postfix war es wohl so:

# Konvertieren des Files
/usr/syno/mailstation/sbin/postmap /path/to/file.ext
# Neueinlesen der Files
/usr/syno/mailstation/sbin/postfix reload

Gruß Markus

[debilian]

du kannst doch den Emailnutzern das log in ausserhalb dovecot verbieten....

Code: Alles auswählen

:/usr/sbin/nologin

in die

Code: Alles auswählen

/etc/passwd

[mgolbs]

Hallo,

"verbieten.... " klingt gut Nur will ich gar nicht erst den reinen Email Nutzern überhaupt das Geheimnis der Linux Passwörter am System für "Email Dienst" überhaupt geben. Ich will es so wie bei Samba machen, ein ganz anderes Passwort für das Subsystem als für des Betriebssystem. Wenn das reinen Email Passwort dann halt in falsche Hände fällt ist es doch nur das IMAP Problem, nicht aber das gesamte Linux "des Users" Problem.

Gruß Markus

[TRex]

Jetzt bist du auf alles eingegangen außer meiner Frage nach dem debugging

[mgolbs]

Hallo,

ja war mein Fehler. Ich hätte mal in den logs nachschauen können,

passdb {
driver = passwd-file
args = scheme=plain-md5 username_format=%n /etc/dovecot/users
}
userdb {
driver = passwd-file
args = username_format=%n /etc/dovecot/users
default_fields = uid=vmail gid=vmail home=/home/vmail/%u
}

ob da ein Hinweis kommt. Muss das System erst wieder verkabeln um dann weiter machen zu können. Melde mich bei neuen Infos.

Gruß Markus

[4A4B]

Ich hatte mit einem ähnlichen Setup auch Probleme und dabei folgende Fehlermeldungen im Logfile:

pam_unix(dovecot:auth): authentication failure;

Ein noch bestehender passdb Abschnitt mit PAM kam hierbei zuerst zum Zuge, wie hier beschrieben:

https://www.christianroessler.net/tech/ ... error.html

Nach der Auskommentierung dieses Abschnitts und einem Neustart von Dovecot funktionierte die Authentifizierung mit der Password-Datei

[mgolbs]

Hallo,

vielen Dank für die Antwort. Werde ich auch versuchen.

Gruß Markus