[postfix-es] Postfix+SASL+Debian

José Luis Tallón jltallon en adv-solutions.net
Lun Nov 18 22:19:48 CET 2002 

At 11:05 18/11/2002 +0100, you wrote:

>   Se puede aplicar, pero sigue sin funcionar.
>   Haciendo un strace al pid del master de postfix he podido ver que:
>      lee /etc/services (imagino que para leer el puerto de conexión a mysql,
>                         aunque eso dudo que pueda saberlo)

Entre otros. No va a tener todos los puertos cableados.... ;)

>      intenta conectar a mysql
>           (falla por usar el usuario 'postfix', pero aún así no veo claro
>            por qué conecta porque no hay bb.dd. a consultar)

Si tiene puesto en algún lugar que conecte.... ¿hay algún mapa 'mysql:' en 
tu main.cf?
( típicamente en virtual_mailbox_maps o similar )

>     lee /etc/passwd (---> los usuarios que pueden acceder, ¿han de estar en
>            algún grupo en especial?)

Seguramente busque los usuarios de postfix: 'postfix' y 'postdrop', también 
leerá /etc/group.
Estos usuarios se utilizan para aplicar la política de "mínimo privilegio", 
que es lo que hace seguro a Postfix.

No hay grupos especiales para conectar con Postfix.

>
>      y luego falla: más que nada me preocupa que lea el passwd y lo deniegue
>            directamente por no pertenecer a cierto grupo los usuarios

Seguro que no es eso.



>On Nov/18/2002, Dionisio Ruiz de Zarate wrote:
> > En una apgina dedicada a suse (www.susehispano.org) hay un muy buen manual
> > para configurarlo.
> > el portal y el doc esta dedicado a suse pero creo que se peude aplicar,
> > obviando las zonas donde te dice algo particular de suse, a todo.
> >
> > Espero que te sirva
> >
> >
> >
> > >
> > >
> > >   Después de mucho luchar con Postfix sigo sin poder autenticar con SSL,

SSL o SASL??? parece que lo segundo, no??

> > > así
> > > que a ver si alguien me echa una mano o acabaré por quitar los .deb e
> > > instalar el postfix directamente desde www.postfix.org.
> > >
> > >   Tengo instalados:
> > >
> > > postfix-tls
> > > libsasl-digestmd5-des
> > > libsasl-gssapi-mit
> > > libsasl-modules-plain
> > > sasl-bin
> > >
> > >   Y  en /usr/lib/sasl/smtpd.conf (y también en
> > > /etc/postfix/sasl/smtpd.conf):
> > > check_method: PAM
> > >
> > >   Con lo que si en /etc/pam.d/smtp he colocado esto:
> > > #%PAM-1.0
> > > auth       required   pam_unix.so
> > >
> > >   Debería ser capaz de autenticar (me falta mostraros el main.cf):
> > > smtpd_sasl_auth_enable      = yes
> > > broken_sasl_auth_clients    = yes
> > > smtpd_sasl_local_domain     = $localhost
> > > smtpd_sasl_security_options = noanonymous
> > > smtpd_recipient_restrictions = permit_sasl_authenticated, ..

Bien, veamos: Postfix, como parte de su política de seguridad, _soporta_ 
trabajar en una 'jaula chroot' ( que además es la configuración por defecto 
que ponen los paquetes Debian, no así la instalación "desde fuente" del 
Postfix oficial ).
Puesto que tu 'smtpd'( quien va a realizar la autentificación ) corre 
dentro de una jaula, los ficheros que lee son, en realidad,
/var/spool/postfix/etc/pam.conf, /var/spool/postfix/etc/pam.d/smtpd, 
/var/spool/etc/passwd, etc

Solución fácil: en master.cf, deshabilita el chroot para 'smtpd'. Con eso, 
el demonio leerá los ficheros que tú quieres.

Solución más elaborada: dejar el chroot como está ( más seguro ) y 
habilitar una forma de que smtpd pueda acceder a los datos necesarios: por 
ejemplo, mediante saslauthd ( yo nunca conseguí hacerlo funcionar ), o 
mediante otro "proveedor de autentificación" -- los módulos pam que 
consultan una fuente de datos externa como LDAP, por ejemplo.

Ten en cuenta que PAM va a ejecutar como usuario 'Postfix', con lo cual no 
tiene acceso a algunos ficheros ( 'shadow' es un ejemplo ) -- parche 
'chapuza' para la "solución fácil": hacer al usuario Postfix miembro del 
grupo 'shadow'

> > >
> > >   Pues bien, aunque tras un EHLO veo que dispone de autenticación:
> > > 250-AUTH NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
> > > 250-AUTH=NTLM LOGIN PLAIN DIGEST-MD5 CRAM-MD5
> > >
> > >   Si luego pruebo por ejemplo con login:
> > > Nov 18 09:26:57 Galway postfix/smtpd[13552]: smtpd_sasl_authenticate:
> > > sasl_method login, init_response cHJ1ZWJhcwBwcnVlYmFzAHBydWViYXM= Nov 18
> > > 09:26:57 Galway postfix/smtpd[13552]: smtpd_sasl_authenticate: decoded
> > > initial response pruebas Nov 18 09:26:57 Galway postfix/smtpd[13552]:
> > > warning: SASL authentication failure: Remote sent first but mech does
> > > not allow it. Nov 18 09:26:57 Galway postfix/smtpd[13552]: warning:
> > > localhost[127.0.0.1]: SASL login authentication failed Nov 18 09:26:57
> > > Galway postfix/smtpd[13552]: > localhost[127.0.0.1]: 535 Error:
> > > authentication failed
> > >
> > >   Y parecido si uso plain:
> > > Nov 18 09:28:16 Galway postfix/smtpd[13605]: smtpd_sasl_authenticate:
> > > sasl_method plain, init_response cHJ1ZWJhcwBwcnVlYmFzAHBydWViYXM= Nov 18
> > > 09:28:16 Galway postfix/smtpd[13605]: smtpd_sasl_authenticate: decoded
> > > initial response pruebas Nov 18 09:28:16 Galway postfix/smtpd[13605]:
> > > warning: SASL authentication problem: unknown password verifier Nov 18
> > > 09:28:16 Galway postfix/smtpd[13605]: warning: SASL authentication
> > > failure: Password verification failed Nov 18 09:28:16 Galway
> > > postfix/smtpd[13605]: warning: localhost[127.0.0.1]: SASL plain
> > > authentication failed Nov 18 09:28:16 Galway postfix/smtpd[13605]: >
> > > localhost[127.0.0.1]: 535 Error: authentication failed
> > >
> > >   ¿Alguna idea de por qué falla?

Si no puede autentificar el login, mal lo lleva, no? ;)
( la explicación, más arriba )

> >

Suerte con la configuración.

Un saludo,
         José Luis Tallón

-
Para ENVIAR mensajes a esta lista tienes que estar SUSCRITA a ella.
.
Envía la linea "unsubscribe postfix-es" en el cuerpo de un mensaje
a majordomo en WL0.org para quitarte de la lista.

Más información sobre la lista de distribución Postfix-es