[postfix-users] SMTP-Gateway vor Exchangeserver

[Patrick Ben Koetter]

* Tobias Walkowiak <postfix-users at de.postfix.org>:
> On Fri, Sep 18, 2009 at 12:07:50PM +0200, Patrick Ben Koetter wrote:
> > > 
> > > Mittlerweile konnte ich die wesentlichen Fehler beheben (kam die Tage
> > > nicht ständig dazu). Was aber immer noch nicht klappt, ist die
> > > Authentifizierung von SASL gegen das AD. Ich bekomme die Meldungen
> > > (/var/log/maillog)
> > > warning: SASL authentication failure: Password verification failed
> > > ...
> > > SASL LOGIN authentication failed: authentication failure
> > 
> > Ich verstehe Deinen Ansatz wie folgt:
> > 
> > Auf den Gateway läuft saslauthd.
> 
> Ja
> 
> > Der versucht bei einem AUTH per LDAP den User in einem nachgelagerten AD zu
> > authentifizieren. Gelingt der LDAP simple bind auf dem AD, gilt der User als
> > authentifiziert.
> > Ist das so richtig?
> 
> Das ist richtig. Das gilt für jede Mail, die ankommt und ist die
> Entscheidung dafür, ob sie weitergeleitet wird.
> 
> > Siehst Du connects auf dem AD von saslauthd?
> 
> Ja, die sind da.
> 
> > Was sagt der debug output von saslauthd?
> 
> saslauthd[14021] :rel_accept_lock : released accept lock
> saslauthd[14021] :cache_get_rlock : attempting a read lock on slot: 851
> saslauthd[14021] :cache_lookup    : [login=t.walkowiak] [service=] [realm=smtp]: not found, update pending
> saslauthd[14021] :cache_un_lock   : attempting to release lock on slot: 851
> saslauthd[14021] :do_auth         : auth failure: [user=t.walkowiak] [service=smtp] [realm=] [mech=ldap] [reason=Unknown]
> saslauthd[14021] :do_request      : response: NO

Ich sehe keinen connect zum AD. Siehst Du auf dem AD einen connect im
Protokoll?


> > Wie testest Du denn im Moment Authentifizierung?
> 
> Direkt teste ich das nicht. Die Anfragen gehen für incoming mail gegen
> das AD, und bei gültigen Usern werden die Mails durchgelassen. Das
> Problem liegt bei den Mails, die von außen per SMTP über unser Gateway
> verschickt werden sollen.
> 
> > > Die /etc/saslauthd.conf ist soweit korrekt konfiguriert, die Anfragen
> > > bzgl. eines gültigen Users klappen ja auch. Jedoch scheint es bei der
> > > Kommunikation zwischen Gateway und dem AD irgendwo Probleme zu geben.
> > > Ist die /etc/saslauthd.conf vielleicht nur für die Authtentifizierung
> > > gültiger User da und gar nicht für die Überprüfung User/Passwort?
> > 
> > Die Authentifizierung ist ein black-box-Verfahren. Die Frage von saslauthd ist
> > "matched das?". Eine Überprüfung von User/Passwort in saslauthd findet nicht
> > statt.
> 
> So habe ich das auch verstanden: der saslauthd soll ja die
> Authentifizierungsdaten an den AD weiterreichen. Aber das klappt wohl
> offensichtlich nicht. Habe ich denn dafür noch etwas übersehen? Oder ist
> die entsprechende Konfig dafür nicht auch die /etc/saslauthd.conf?

doch doch. Es sollte in etwa so ausssehen:

$ saslauthd -a ldap -O /etc/saslauthd.conf


> 
> Tobias
> -- 
> tube at count0.net
> _______________________________________________
> postfix-users mailing list
> postfix-users at de.postfix.org
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users