[eside-ghost] Fwd: Re: [postfix-es] problema solucionado

Ender eduvedder en terra.es
Vie Nov 5 12:52:50 CET 2004 

Aupa!

Los últimos días me he tenido que pelear bastante con un tema de correo que 
igual os interesa.

Se trata de hacer que un MTA (Postfix) haga smtp_auth (autenticacion para 
permitir el envio) contra las cuentas de usuario del directorio activo de 
kk2k.

Además también debe comprobar cuando recibe mails para el dominio que la 
cuenta existe en el AD.

No es un tema muy difícil, pero tampoco fácil si nunca se ha hecho.
Os escribo un mini-resumen para que tengais de referencia si alguna vez lo 
necesitais. Cualquier duda me podeis comentar.

Thx a lot a txipi y aktor por la ayuda prestada ;-)

Saludos,
   Ender

(PD - cuando haga el howto lo meto en la web del ghost ;-) )

----------  Mensaje reenviado  ----------

Subject: Re: [postfix-es] problema solucionado
Date: Jueves, 4 de Noviembre de 2004 17:22
From: Eduardo González de la Herrán <egonzalez en nht-norwick.net>
To: postfix-es en wl0.org

Hola!

En vista de que ya sois 5 los que me habeis escrito pidiendome info sobre
 como lo he logrado voy a escribir un mini howto con las cosas que he hecho.
 Cuando lo tenga (meteré tambien la configuración de winbind y como consultar
 al AD por una cuenta de correo) os lo mando.

En resumen lo hecho ahora para el postfix es:

en debian sarge:
postfix + postfix tls + openssl + libsasl2 + libsasl2-modules + sasl2-bin +
samba (opcional) + winbind

En postfix se configura sasl para que intente autenticar por medio de
saslauthd (en /etc/postfix/sasl/smtpd.conf):
pwcheck_method: saslauthd
mech_list: plain login

Asegurarse de que saslauthd está corriendo. Modificar /etc/default/saslauthd:
START=yes
MECHANISMS="pam"

/etc/pam.d/smtp
#%PAM-1.0
auth       sufficient   /lib/security/pam_winbind.so
#account    sufficient   /lib/security/pam_winbind.so
account sufficient      /lib/security/pam_permit.so
(esto está en proceso de ver si lo dejo así finalmente).

He quitado el chroot del smtpd (si no no conecta con saslauthd). Investigaré
que hace falta para mantener el chroot... probablemente un mapeo del ficheor
mux que utiliza saslauthd:
master.cf:
smtp      inet  n       -       n       -       -       smtpd -v

main.cf (sasl):
# Soporte SASL
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions =
  permit_mynetworks
  permit_sasl_authenticated
  reject
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks

El proceso es:
postfix recibe la conexion, utiliza al demonio saslauthd para autenticar, y
saslauth autentica con pam diciendole que el proceso es smtp por lo que se
llama a /etc/pam.d/smtp finalmente...

Aqui os dejo un par de tracillas...

en auth.log (se ve lo del saslauthd --> pam)

Nov  4 13:56:57 localhost pam_winbind[1919]: user 'NHT-LAN+egonzalez' granted
acces

----------------
(la de ahora es de cuando no estaba la linea en pam.s/smtp de pam_permit.so,
que daba error al comprobar el account. Se puede ver en la ultima linea la
llamada completa al modulo pam)
Nov  4 13:25:48 localhost pam_winbind[1916]: user 'NHT-LAN+egonzalez' granted
acces
Nov  4 13:25:48 localhost saslauthd[1916]: DEBUG: auth_pam: pam_acct_mgmt
failed: Permission denied
Nov  4 13:25:48 localhost saslauthd[1916]: do_auth         : auth failure:
[user=NHT-LAN+egonzalez] [service=smtp] [realm=correo.piloto-correo.net]
[mech=pam] [reason=PAM acct error]
---------

y en el postfix...... con smtp -v para mas logs...
cuando todo va bien...
Nov  4 13:49:16 localhost postfix/smtpd[2325]: smtpd_sasl_authenticate:
sasl_method PLAIN, init_response
TkhULUxBTitlZ29uemFsZXoATkhULUxBTitlZ29uemFsZXoAZVEqMDNwbGdl
Nov  4 13:49:16 localhost postfix/smtpd[2325]: smtpd_sasl_authenticate:
decoded initial response NHT-LAN+egonzalez
Nov  4 13:49:16 localhost postfix/smtpd[2325]: > unknown[192.168.1.107]: 235
Authentication successful

y cuando iba mal......
Nov  4 12:32:28 localhost postfix/smtpd[1758]: < unknown[192.168.1.107]: AUTH
PLAIN ZWdvbnphbGV6AGVnb256YWxlegBlUSowM3BsZ2U=
Nov  4 12:32:28 localhost postfix/smtpd[1758]: smtpd_sasl_authenticate:
sasl_method PLAIN, init_response ZWdvbnphbGV6AGVnb25
6YWxlegBlUSowM3BsZ2U=
Nov  4 12:32:28 localhost postfix/smtpd[1758]: smtpd_sasl_authenticate:
decoded initial response egonzalez
Nov  4 12:32:28 localhost postfix/smtpd[1758]: warning: SASL authentication
failure: Password verification failed


Y bueno, cuando tenga algo de tiempo me pongo con el documentillo.
Saludos a todos,
   Ender

--
Eduardo González de la Herrán
NHT-Norwick
Tel: +34 902 22 88 77
e-Mail: egonzalez en nht-norwick.net

-------------------------------------------------------

Más información sobre la lista de distribución eside-ghost