[postfix-es] postfix + pam + winbind + active directory

Eduardo González de la Herrán egonzalez en nht-norwick.net
Jue Nov 4 12:11:36 CET 2004 

Hola!

Soy un nuevo miembro de la lista. Lo primero de todo saludaros a todos.
Llevo poco tiempo con postfix y me acabo de meter en un marroncillo del que no 
consigo salir. He buscado un montón de información por internet, y algún foro 
en el que comentan mi problema nadie llega a responder... :-S

Os cuento:
Mi objetivo es que postfix haga 2 cosas contra el directorio activo de 
microsoft:
1) Autenticar usuarios contra el AD para permitirles hacer relay (smtp auth)
2) Comprobar que cuando llega un mail, la cuenta de correo de destino existe 
en el active directory.

Como veis son cosas distintas... con 2) no he llegado a ponerme al no haber 
conseguido la 1) (que parece bastante facil).
Todo este mail va sobre 1) de todas formas si sabeis de algun documento o 
sitio que me pueda a ayudar a 2) 

Lo que he conseguido:
0) POSTFIX esta instalado en debian con paquetes (sarge). SASL2 y TLS tambien. 
Instalado postfix-tls, postfix-ldap. El smtpd corre chrooteado.

1) El winbind está instalado y configurado. La máquina está metida en el 
dominio con el comando net. los comandos wbinfo -u, -g y -a funcionan 
perfectamente y me devuelven usuarios, grupos o autentica bien. (donde creo 
que tengo el problema es en el modulo pam de winbind, como explicaré)

2) TLS en el postfix funciona perfectamente.

3) SASL2: si pongo pwcheck_method: auxprop funciona bien tirando de sasldb2

Para que SASL2 pregunte al active directory he intentado un montón de cosas 
que he encontrado por ahi, pero no lo he conseguido.
Parece que no tengo problemas de errores en la autenticación, sino que 
directamente el postfix pasa de preguntar... lo que me sale en el log es:

#----------- log
#Al arrancar postfix, (con pwcheck_method: saslauthd)
Nov  3 17:23:45 piloto-correo postfix/smtp[11792]: fatal: specify a password 
table via the `smtp_sasl_password_maps' configuration parameter
Nov  3 17:23:46 piloto-correo postfix/master[11773]: warning: 
process /usr/lib/postfix/smtp pid 11792 exit status 1
Nov  3 17:23:46 piloto-correo postfix/master[11773]: 
warning: /usr/lib/postfix/smtp: bad command startup -- throttling

(no se que poner en smtp_sasl_password_maps, pero creo que no habría que poner 
nada, ya que tendría que hacerlo por pam o por saslauth-->pam)


#Al arrancar postfix, (con pwcheck_method: pam)
Nov  4 12:01:03 localhost postfix/postfix-script: starting the Postfix mail 
system
Nov  4 12:01:03 localhost postfix/master[1398]: daemon started -- version 
2.1.4

(parece que va bien)
###################


#--------log
#En el momento del "intento" de autenticacion (method:  saslauthd)
Nov  3 17:22:10 piloto-correo postfix/smtpd[11780]: connect from 
unknown[192.168.1.107]
Nov  3 17:22:10 piloto-correo postfix/smtpd[11780]: setting up TLS connection 
from unknown[192.168.1.107]
Nov  3 17:22:10 piloto-correo postfix/smtpd[11780]: TLS connection established 
from unknown[192.168.1.107]: TLSv1 with cipher RC4-MD5 (128/128 bits)
Nov  3 17:22:10 piloto-correo postfix/smtpd[11780]: warning: SASL 
authentication failure: cannot connect to saslauthd server: No such file or 
directory
Nov  3 17:22:10 piloto-correo postfix/smtpd[11780]: warning: SASL 
authentication failure: Password verification failed
Nov  3 17:22:10 piloto-correo postfix/smtpd[11780]: warning: 
unknown[192.168.1.107]: SASL PLAIN authentication failed

#En el momento del "intento" de autenticacion (method:  pam)
Nov  4 11:57:09 localhost postfix/smtpd[1267]: setting up TLS connection from 
unknown[192.168.1.107]
Nov  4 11:57:09 localhost postfix/smtpd[1267]: TLS connection established from 
unknown[192.168.1.107]: TLSv1 with cipher RC4-MD5 (128/128 bits)
Nov  4 11:57:09 localhost postfix/smtpd[1267]: warning: SASL authentication 
problem: unknown password verifier
Nov  4 11:57:09 localhost postfix/smtpd[1267]: warning: SASL authentication 
failure: Password verification failed
Nov  4 11:57:09 localhost postfix/smtpd[1267]: warning: 
unknown[192.168.1.107]: SASL PLAIN authentication failed
####################

Pues eso, cualquier ayuda será bienvenida... :-(
Direcciones de internet o explicaciones...

Notas:
 - saslauthd se levanta bien con MECHANISM="pam"

 - problema chroot?

 - en /etc/pam.d/ he creado un smtp (y smtpd por si acaso) con:
auth    sufficient      /lib/security/pam_winbind.so
account sufficient      /lib/security/pam_winbind.so

 - mail_version = 2.1.4

 - ¿es obligatorio kerberos?

 - ¿alguna forma sencilla de probar pam y pam_winbind.so?

 - postconf -n:
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
mailbox_command =
mailbox_size_limit = 0
mydestination = localhost, localhost.localdomain
mydomain = piloto-correo.net
myhostname = correo.piloto-correo.net
mynetworks = 127.0.0.0/8, 192.168.1.0/24
myorigin = /etc/mailname
recipient_delimiter = +
relay_domains = piloto-correo.net, nht-norwick.net
relayhost =
smtp_tls_note_starttls_offer = yes
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_helo_required = yes
smtpd_helo_restrictions = reject_invalid_hostname, reject_non_fqdn_hostname, 
reject_unknown_hostname, permit
smtpd_recipient_restrictions = permit_mynetworks  permit_sasl_authenticated  
reject
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks
smtpd_tls_CAfile = /etc/postfix/ssl/smtpd.pem
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
transport_maps = hash:/etc/postfix/tabla.rutas

Saludos y muchas gracias, cualquier cosa más que necesiteis me preguntais...

-- 
Eduardo González de la Herrán
NHT-Norwick
Tel: +34 902 22 88 77
e-Mail: egonzalez en nht-norwick.net
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 827 bytes
Descripción: no disponible
Url        : http://lists.wl0.org/pipermail/postfix-es/attachments/20041104/f0a2607c/attachment.bin

Más información sobre la lista de distribución Postfix-es