[postfix-users] SMTP-Gateway vor Exchangeserver

Tobias Walkowiak tube at count0.net
Fr Sep 18 13:24:02 CEST 2009 

On Fri, Sep 18, 2009 at 12:07:50PM +0200, Patrick Ben Koetter wrote:
> > 
> > Mittlerweile konnte ich die wesentlichen Fehler beheben (kam die Tage
> > nicht ständig dazu). Was aber immer noch nicht klappt, ist die
> > Authentifizierung von SASL gegen das AD. Ich bekomme die Meldungen
> > (/var/log/maillog)
> > warning: SASL authentication failure: Password verification failed
> > ...
> > SASL LOGIN authentication failed: authentication failure
> 
> Ich verstehe Deinen Ansatz wie folgt:
> 
> Auf den Gateway läuft saslauthd.

Ja

> Der versucht bei einem AUTH per LDAP den User in einem nachgelagerten AD zu
> authentifizieren. Gelingt der LDAP simple bind auf dem AD, gilt der User als
> authentifiziert.
> Ist das so richtig?

Das ist richtig. Das gilt für jede Mail, die ankommt und ist die
Entscheidung dafür, ob sie weitergeleitet wird.

> Siehst Du connects auf dem AD von saslauthd?

Ja, die sind da.

> Was sagt der debug output von saslauthd?

saslauthd[14021] :rel_accept_lock : released accept lock
saslauthd[14021] :cache_get_rlock : attempting a read lock on slot: 851
saslauthd[14021] :cache_lookup    : [login=t.walkowiak] [service=] [realm=smtp]: not found, update pending
saslauthd[14021] :cache_un_lock   : attempting to release lock on slot: 851
saslauthd[14021] :do_auth         : auth failure: [user=t.walkowiak] [service=smtp] [realm=] [mech=ldap] [reason=Unknown]
saslauthd[14021] :do_request      : response: NO

> Wie testest Du denn im Moment Authentifizierung?

Direkt teste ich das nicht. Die Anfragen gehen für incoming mail gegen
das AD, und bei gültigen Usern werden die Mails durchgelassen. Das
Problem liegt bei den Mails, die von außen per SMTP über unser Gateway
verschickt werden sollen.

> > Die /etc/saslauthd.conf ist soweit korrekt konfiguriert, die Anfragen
> > bzgl. eines gültigen Users klappen ja auch. Jedoch scheint es bei der
> > Kommunikation zwischen Gateway und dem AD irgendwo Probleme zu geben.
> > Ist die /etc/saslauthd.conf vielleicht nur für die Authtentifizierung
> > gültiger User da und gar nicht für die Überprüfung User/Passwort?
> 
> Die Authentifizierung ist ein black-box-Verfahren. Die Frage von saslauthd ist
> "matched das?". Eine Überprüfung von User/Passwort in saslauthd findet nicht
> statt.

So habe ich das auch verstanden: der saslauthd soll ja die
Authentifizierungsdaten an den AD weiterreichen. Aber das klappt wohl
offensichtlich nicht. Habe ich denn dafür noch etwas übersehen? Oder ist
die entsprechende Konfig dafür nicht auch die /etc/saslauthd.conf?

Tobias
-- 
tube at count0.net

Mehr Informationen über die Mailingliste postfix-users