Bonjour,
Je n'arrive pas à faire fonctionner l'authentification Kerberos avec Postfix. Mon but est d'authentifier les utilisateurs via cyrus-sasl par le mechanism GSSAPI pour les envois de courrier. J'ai installé les packages suivants :
- postfix (of course ;-))
- libsasl2-2
- libsasl2-dev
- libsasl2-modules
- libsasl2-modules-gssapi-mit
- sasl2-bin
Pour la configuration de la SASL (/etc/default/saslauthd) :
START=yes
DESC="SASL Authentication Daemon"
NAME="saslauthd"
MECHANISMS="kerberos5"
MECH_OPTIONS=""
THREADS=1
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r MON.REALM"
Postfix 1/3 (master.cf) :
smtps inet n - - - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING
Pour avoir un smtpd authentifié en SSL sur le port 465.
Postfix 2/3 (main.cf) :
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = cyrus
smtpd_sasl_path = /var/run/saslauthd (dans le chroot ??)
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
Postfix 3/3 (/etc/postfix/sasl/smtpd.conf) :
log_level: 6
pwcheck_method: saslauthd
mech_list: GSSAPI
Les tests :
openssl s_client -connect mailtest1:465
220 mailtest1.univ-orleans.fr ESMTP Postfix (Debian/GNU)
ehlo mailtest1
250-mailtest1.univ-orleans.fr
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH GSSAPI DIGEST-MD5 NTLM CRAM-MD5 PLAIN LOGIN
250-AUTH=GSSAPI DIGEST-MD5 NTLM CRAM-MD5 PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
Ok Postfix attend bien un login avec la GSSAPI.
Côté client, quand on tente de s'authentifier via thunderbird, on récupère bine le ticket smtp/mailtest1.univ-orleans.fr@MON.REALM. Ce client a déjà l'authentification squid et dovecot qui fonctionne en GSSAPI (donc pas de pb de DNS ou de NTP).
Les seuls logs que j'ai réussi à obtenir sont :
Sep 14 11:15:52 mailtest1 postfix/smtpd[29046]: warning: SASL authentication failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Generic unknown RC/IO error)
Sep 14 11:15:52 mailtest1 postfix/smtpd[29046]: warning: mon_client[192.168.X.X]: SASL GSSAPI authentication failed: generic failure
Côté thunderbird, j'ai configuré un smtp sortant en ssl sur le port 465 en cochent "utiliser un nom d'utilisateur et un mot de passe" et j'ai mis mon login (sans le @MON.REALM) comme nom d'utilisateur. je précise que j'ai bien mon ticket tgt pour cet utilisateur.
Merci d'avance,
# test sasl
Posté par nono14 (site web personnel) . Évalué à 1.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: test sasl
Posté par Nicolas Greneche . Évalué à 1.
J'ai même trouvé ce qui deconnait : il manque un /var/spool/postfix/var/tmp car le krb5.login en à besoin et il n'est pas présent dans le chroot de postfix.
Now, It works !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.