[postfix-users] SMTP-Gateway vor Exchangeserver

Robert Schetterer robert at schetterer.org
Fr Sep 18 11:50:12 CEST 2009 

Tobias Walkowiak schrieb:
> On Wed, Sep 09, 2009 at 04:15:56PM +0200, lst_hoe02 at kwsoft.de wrote:
>> Die Stichworte sind SMTP-AUTH, SASL, LDAP, Active Directory, d.h.
>> man muß SMTP-AUTH mit SASL konfigurieren sodaß eine
>> Authentifizierung gegen das Active Directory (LDAP!) erfolgt. Da ich
>> selbst kein Exchange haben müssen Sie für den Rest die Suchmaschine
>> der Wahl bemühen.
>>
>> Für SMTP-AUTH -> SASL in etwa folgendes
>>
>> smtpd_sasl_auth_enable = yes
>> smtpd_sasl_security_options = noanonymous
>>
>> und in "smtpd.conf" (Vorsicht : Speicherort je nach Distribution
>> unterschiedlich)
>>
>> pwcheck_method : saslauthd
>> mechlist  : plain login
>>
>> Dann saslauthd -> LDAP konfigurieren und starten.
> 
> Mittlerweile konnte ich die wesentlichen Fehler beheben (kam die Tage
> nicht ständig dazu). Was aber immer noch nicht klappt, ist die
> Authentifizierung von SASL gegen das AD. Ich bekomme die Meldungen
> (/var/log/maillog)
> warning: SASL authentication failure: Password verification failed
> ...
> SASL LOGIN authentication failed: authentication failure
> 
> Der Fehler tritt auf, wenn sich ein User per SMTP authentifiziert und
> Mails über den Weg Postfix-Gateway -> Exchange verschicken will. Die
> angebotenen AUTH-Methoden des Exchange sind
> 250-AUTH GSSAPI NTLM LOGIN
> 250-AUTH=LOGIN
> Die /etc/postfix/sasl/smtpd.conf sieht daher so aus:
> pwcheck_method: saslauthd
> mech_list: PLAIN
> 
> Die /etc/saslauthd.conf ist soweit korrekt konfiguriert, die Anfragen
> bzgl. eines gültigen Users klappen ja auch. Jedoch scheint es bei der
> Kommunikation zwischen Gateway und dem AD irgendwo Probleme zu geben.
> Ist die /etc/saslauthd.conf vielleicht nur für die Authtentifizierung
> gültiger User da und gar nicht für die Überprüfung User/Passwort?
> 
> Ich bin doch bestimmt nicht der einzige, der mit solch einem Szenario
> zu tun hat, oder? Im Netz sind ulkigerweise immer nur andere
> Konstellationen zu finden.
> 
> Vielen Dank
> Tobias

Hi Tobias, ich bin jetzt nicht der sasl spezi,und hab auch nicht den
ganzen thread gelesen
aber ich sehe nicht was deinen saslauthd derzeit ( benutzt du den als
daemon ?) dazu veranlassen sollte irgendwo anders als in der lokalen
userliste nach auth zu suchen
der sasl muesste evtl per ldap am Ad fragen,
eventuelle waere es auch einfacher den exchange per sasl ueber imap nach
auth zu fragen

bei mir laeuft das so mit saslauthd auf einem suse imap abfrage an einem
lokalen courier imap server

/usr/sbin/saslauthd -V -n 50 -r -a rimap -O 127.0.0.1


wobei die ip , in deinem Fall, mit der ip des exchange zu ersetzen waere
auf dem ein imap laufen muss
die restlichen parameter erklaeren sich man saslauthd

leider unterscheidet sich die sasl handhabe und vor allem die standart
Voreinstellungen bei den div Linux distros zum Teil erheblich
so dass nicht jeder Tip eins zu eins zu uebernehmen ist

ausserdem sind sicher auch noch andere ldap auth varianten denkbar

-- 
Best Regards

MfG Robert Schetterer

Germany/Munich/Bavaria

Mehr Informationen über die Mailingliste postfix-users