Forum Linux.debian/ubuntu Postfix et authentification via la GSSAPI

Posté par  .
Étiquettes : aucune
0
14
sept.
2009
Bonjour,

Je n'arrive pas à faire fonctionner l'authentification Kerberos avec Postfix. Mon but est d'authentifier les utilisateurs via cyrus-sasl par le mechanism GSSAPI pour les envois de courrier. J'ai installé les packages suivants :

- postfix (of course ;-))
- libsasl2-2
- libsasl2-dev
- libsasl2-modules
- libsasl2-modules-gssapi-mit
- sasl2-bin

Pour la configuration de la SASL (/etc/default/saslauthd) :
START=yes
DESC="SASL Authentication Daemon"
NAME="saslauthd"
MECHANISMS="kerberos5"
MECH_OPTIONS=""
THREADS=1
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r MON.REALM"

Postfix 1/3 (master.cf) :
smtps inet n - - - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING

Pour avoir un smtpd authentifié en SSL sur le port 465.

Postfix 2/3 (main.cf) :
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = cyrus
smtpd_sasl_path = /var/run/saslauthd (dans le chroot ??)
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

Postfix 3/3 (/etc/postfix/sasl/smtpd.conf) :
log_level: 6
pwcheck_method: saslauthd
mech_list: GSSAPI

Les tests :
openssl s_client -connect mailtest1:465
220 mailtest1.univ-orleans.fr ESMTP Postfix (Debian/GNU)
ehlo mailtest1
250-mailtest1.univ-orleans.fr
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH GSSAPI DIGEST-MD5 NTLM CRAM-MD5 PLAIN LOGIN
250-AUTH=GSSAPI DIGEST-MD5 NTLM CRAM-MD5 PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

Ok Postfix attend bien un login avec la GSSAPI.

Côté client, quand on tente de s'authentifier via thunderbird, on récupère bine le ticket smtp/mailtest1.univ-orleans.fr@MON.REALM. Ce client a déjà l'authentification squid et dovecot qui fonctionne en GSSAPI (donc pas de pb de DNS ou de NTP).

Les seuls logs que j'ai réussi à obtenir sont :

Sep 14 11:15:52 mailtest1 postfix/smtpd[29046]: warning: SASL authentication failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Generic unknown RC/IO error)

Sep 14 11:15:52 mailtest1 postfix/smtpd[29046]: warning: mon_client[192.168.X.X]: SASL GSSAPI authentication failed: generic failure

Côté thunderbird, j'ai configuré un smtp sortant en ssl sur le port 465 en cochent "utiliser un nom d'utilisateur et un mot de passe" et j'ai mis mon login (sans le @MON.REALM) comme nom d'utilisateur. je précise que j'ai bien mon ticket tgt pour cet utilisateur.

Merci d'avance,

  • # test sasl

    Posté par  (site web personnel) . Évalué à 1.

    J'y connais pas grand chose cependant as-tu validé l'authentification sasl avant de l'intégrer à postfix ?

    Système - Réseau - Sécurité Open Source

    • [^] # Re: test sasl

      Posté par  . Évalué à 1.

      Of course,

      J'ai même trouvé ce qui deconnait : il manque un /var/spool/postfix/var/tmp car le krb5.login en à besoin et il n'est pas présent dans le chroot de postfix.

      Now, It works !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.