Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Postfix mit SMTP-Auth gegen saslauthd und PAM unter Debian ohne chroot

Mitglied: Natureshadow

Natureshadow (Level 1) - Jetzt verbinden

19.10.2007, aktualisiert 12.03.2008, 12166 Aufrufe, 8 Kommentare

PAM-Stack für smtpd greift nicht.

Hallo,

ich habe es nun endlich geschafft, meinen Postfix unter Debian aus dem chroot zu holen und er authentifiziert ordentlich gegen saslauthd und damit gegen PAM.

Kurze Info vorweg: Der Cyrus-IMAPd authentifiziert auf dieselbe Art, und macht dabei im Gegensatz zum Postfix genau, was er soll.

Wie gesagt, die Authntifikation klappt grundlegend, daher vermute ich, dass sowohl der Postfix als auch der Saslauthd richtig konfiguriert sind. Daher spare ich mir die Konfigurationsdateien erst einmal.

Da ich mir nicht sicher war, welchen Dienstnamen des saslauthd im beschriebenen Fall verwendet, habe ich PAM-Stacks in /etc/pam.d für die Dienste saslauthd, smtp und smtpd angelegt. Allerdings scheint das Ganze immer wieder auf login hinauszulaufen, denn für die Beschränkungen in den drei Stacks interessiert sich der saslauthd nicht.

Daher zwei mögliche Fragen:

1. Welchen Dienstnamen benutzt der saslauthd in dem Fall?
2. Falls einer der drei oben genannten Dienstnamen stimmt (was laut einiger Tutorials der Fall ist), was könnte da noch falsch laufen?

-nik
Mitglied: 27688
11.03.2008 um 13:32 Uhr
Da ich mir nicht sicher war, welchen
Dienstnamen des saslauthd im beschriebenen
Fall verwendet, habe ich PAM-Stacks in
/etc/pam.d für die Dienste saslauthd,
smtp und smtpd angelegt. Allerdings scheint
das Ganze immer wieder auf login
hinauszulaufen, denn für die
Beschränkungen in den drei Stacks
interessiert sich der saslauthd nicht.

Daher zwei mögliche Fragen:

1. Welchen Dienstnamen benutzt der saslauthd
in dem Fall?

hatte lange zeit ganz ähnliche probleme mit postfix / sasl / pam und co.
soweit ich das inzw. herausfinden konnte meldet sich saslauthd bei PAM unter dem servicenamen "smtp" an. d.h. PAM sucht daraufhin unter /etc/pam.d nach einer datei "smtp" und liest die zu verwendenden PAM Module. zur Authentifizierung ist nur das auth modul notwendig. bei mir unter debian sieht das z.b. so aus:

hostname:~# cat /etc/pam.d/smtp
@include common-auth
hostname:~#

das es diese datei ist kannst du auch selbst testen. lösche mal all deine smtp, smtpd, saslauth oder was du da alles angelegt hast und versuche dann mal per SMTP eine email über deinen postfix server abzusetzen (achtung! localnet regel vorher rausnehmen sonst klappts sowieso immer. musst also dafür sorgen das ohne authentifizierung kein smtp relaying möglich ist).

das ergebniss war bei mir >> authentifizierung fehlgeschlagen! allerdings ohne gescheide fehlermeldungen zu liefern die mir sagen was wo das problem ist.

dann lege die datei /etc/pam.d/smtp mit dem inhalt oben an und versuche da gleiche nochmal. btw: ein neustart der dienste war bei mir nicht notwendig.

siehe da...die smtp authentifizierung funktioniert wieder.


2. Falls einer der drei oben genannten
Dienstnamen stimmt (was laut einiger
Tutorials der Fall ist), was könnte da
noch falsch laufen?

Was läuft denn noch falsch ?


soweit ich das überblicken kann funktioniert das prinzip so: (von unten nach oben)

[userdatenbank /etc/passwd] <=== PAM <
SASLAUTHD <
POSTFIX SMTPD etc
/etc/pam.d/smtp >>> -------------------^^
Bitte warten ..
Mitglied: Natureshadow
11.03.2008 um 14:05 Uhr
hostname:~# cat /etc/pam.d/smtp
@include common-auth

Bei mir ist da halt noch definiert, dass nur eine bestimmte Systemgruppe darf. Aber das greift, wie ich schon schrieb, leider nicht.

das es diese datei ist kannst du auch selbst
testen. lösche mal all deine smtp,
smtpd, saslauth oder was du da alles angelegt
hast und versuche dann mal per SMTP eine
email über deinen postfix server
abzusetzen

Nein, das hätte keinen Effekt. Ich hab's auch gerade getestet, und wie erwartet klappt die Authentifizierung immer noch. PAM fällt bei fehlendem Stack immer auf die common-* Stacks zurück.

Was läuft denn noch falsch ?

Tja, die Authentifikation fällt halt IMMER auf common-auth zurück. Die Direktiven im Stack smtp werden nicht abgearbeitet.

Grüße,
Nik
Bitte warten ..
Mitglied: 27688
11.03.2008 um 14:14 Uhr
> Was läuft denn noch falsch ?

Tja, die Authentifikation fällt halt
IMMER auf common-auth zurück. Die
Direktiven im Stack smtp werden nicht
abgearbeitet.

Grüße,
Nik

hmm.. also dem IMMER möchte ich widersprechen. wenn du die Datei /etc/pam.d/other umbenennst is vorbei mit fallback. spätestens dann muss es fehlschlagen.

was hast du denn in deiner /etc/pam.d/smtp stehen ?
Bitte warten ..
Mitglied: Natureshadow
12.03.2008 um 08:12 Uhr
was hast du denn in deiner /etc/pam.d/smtp
stehen ?


@include common-auth
@include common-account

auth required pam_succeed_if.so debug user ingroup nnmailers
Bitte warten ..
Mitglied: 27688
12.03.2008 um 09:18 Uhr
@include common-auth
@include common-account

auth required pam_succeed_if.so debug user
ingroup nnmailers

Auszug aus der Seite http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/sag-overview.ht ...

"
The Linux-PAM library (in the center) consults the contents of the PAM configuration file and loads the modules that are appropriate for application-X. These modules fall into one of four management groups (lower-center) and are stacked in the order they appear in the configuration file.
"

Könnte also die Reihenfolge etwas damit zu tun haben ? Schonmal versucht deine Zeile ganz nach oben zu verschieben ?
Bitte warten ..
Mitglied: Natureshadow
12.03.2008 um 11:02 Uhr
Habe ich gerade, bringt nichts.

Aber wie ich schon in meinem ursprünglichen Beitrag schrieb, sieht die Config für Cyrus genau so aus, und es funktioniert einwandfrei.

-nik
Bitte warten ..
Mitglied: 27688
12.03.2008 um 12:40 Uhr
Grundsätzliche Frage...

schlägt dein SMTP PAM Modul (/etc/pam.d/smtp ) grundsätzlich fehl oder lässt es mehr zu als du willst ?

Hast du das schonmal folgendes versucht?

1. benenne /etc/pam.d/other um nach DISABLED.other
2. benenne /etc/pam.d/smtp um nach DISABLED.smtp
3. funktioniert die smtp authentifizierung noch immer ? sollte nicht
4. setze dafür folgendes in die Datei /etc/pam.d/smtp ein:
"
auth requisite pam_succeed_if.so debug user ingroup nnmailers
auth required pam_unix.so nullok_secure
"
dies sollte alle OTHER und common-auth etc fallbacks umgehen.

also meinem verständniss nach sollte smtp auth jetzt nur noch leuten der gruppe nnmailers möglich sein.
Bitte warten ..
Mitglied: Natureshadow
12.03.2008 um 15:07 Uhr
Werde ich versuchen.

Aber nochmal: GENAU dieser Stack funktioniert mit Cyrus einwandfrei!

-nik
Bitte warten ..
Ähnliche Inhalte
Debian
Debian Postfix Einrichtung
Frage von Diamond72Debian4 Kommentare

Hallo Zusammen, ich möchte gerne auf meinem Webserver (Debian Jessie) postfix konfigurieren. Ziel ist es den Server so zu ...

E-Mail

Postfix SMTP Relay per SASL-Auth nicht grundsätzlich für alle Accounts erlauben

Frage von christophhE-Mail3 Kommentare

Hallo, kann mir jemand vielleicht in Sachen Postfix Konfiguration auf die Sprünge helfen? Ist-Zustand: - Linux Mailserver (Zimbra) mit ...

Debian

Zarafa smtp-auth via CRAM-MD5

Frage von zwirniDebian1 Kommentar

Hallo zusammen, nach tagelangen Kopfzerbrechen möchte ich mich nun an die Admin Kollegen wenden. Mein Mailservers läuft auf Debian ...

Debian

ISPConfig Debian 7.0 Probleme mit dem SMTP-Server Postfix and Dovecot SASL

Frage von DestEDebian2 Kommentare

Hallo zusammen, ich komme gerade nicht mehr weiter -> auch googlen hat nicht wirklich geholfen. Sobald ich einen neuen ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 4 TagenHumor (lol)6 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 5 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 8 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 8 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Samba
Windows 10 Client in Samba-Domäne hinzufügen scheitert
Frage von diwaffmSamba31 Kommentare

Hi Leute, ich habe einen Samba Server in der Version 4.9.3 auf einer OpenSuse Maschine laufen. Damit sind momentan ...

Windows Server
Kleine Umfrage: Windows Server Desktop oder Core?
Frage von doomfreakWindows Server22 Kommentare

Hey :) Ich wollte mal eine kleine Umfrage hier starten. Ich bin schon etwas länger auf dieser Seite hier ...

Windows Systemdateien
Verknüpfungen nach Pfadwechsel
Frage von Hendrik2586Windows Systemdateien17 Kommentare

Guten Morgen meine lieben Kollegen und Kolleginnen, ich hab da mal eine Frage die Ihr sicher schon kennt. Es ...

Batch & Shell
CMD-Fenster nach Task schließen
gelöst Frage von Hyperlink.93Batch & Shell16 Kommentare

Hallo, ich habe ein Skript was über einen Task bei jeder User Anmeldung läuft. Der Task startet eine CMD ...