LINUX.ORG.RU

Ответ на: комментарий от menzoberronzan

ну тут все ясно а керберос как соеденить с dovecot?, я ввел дебиан в домен, керберос получает билеты.

provodnik
() автор топика
Ответ на: комментарий от provodnik

С помощью pam (Pluggable Authentication Modules).

В dovecot.conf

auth default {
  ..
  passdb pam {
  }
}
В /etc/pam.d/dovecot
auth sufficient pam_krb5.so
account sufficient pam_krb5.so
P.S. В доке это есть

menzoberronzan
()
Ответ на: комментарий от menzoberronzan

mail_debug = yes
auth_verbose = yes
auth_debug_passwords = yes
protocols = imap pop3
mail_location = maildir:/var/mail/%u
first_valid_uid = 0
mail_uid = 8
mail_gid = 8


auth default {

userdb static {
args = uid=mail gid=mail home=/var/vmail/%u
}
passdb pam {
}


socket listen {


client {
path = /var/spool/postfix/private/auth
mode = 0777
}
}
}



/etc/pam.d/dovecot

#%PAM-1.0

@include common-auth
@include common-account
@include common-session

auth sufficient pam_krb5.so
account sufficient pam_krb5.so



Mar 20 16:45:01 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 20 16:45:01 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 20 16:45:02 newmail dovecot: auth(default): new auth connection: pid=30414
Mar 20 16:45:02 newmail dovecot: auth(default): new auth connection: pid=30413

как проверить имеются ли в наличии эти модули, работают ли они, и почему пишет imap-login ???

provodnik
() автор топика
Ответ на: комментарий от menzoberronzan

# telnet localhost 143
Trying ::1...
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE AUTH=GSSAPI] Dovecot ready.
openssl s_client -connect localhost:993
openssl BAD Error in IMAP command received by server.
a capability
* CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE SORT SORT=DISPLAY THREAD=REFERENCES THREAD=REFS MULTIAPPEND UNSELECT IDLE CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS AUTH=GSSAPI
a OK Capability completed.
a authenticate GSSAPI
a NO [UNAVAILABLE] Temporary authentication failure.

provodnik
() автор топика
Ответ на: комментарий от menzoberronzan

поправил
a authenticate GSSAPI
+

auth_gssapi_hostname = «$ALL»

чего еще не хватает?))

provodnik
() автор топика
Ответ на: комментарий от menzoberronzan

создал ключ

ktpass -princ imap/newmail.domain.ru@DOMAIN.RU -mapuser

DOMAIN\user -pass «pass» -ptype KRB5_NT_SRV_HST -out c:\krb5.keytab
Targeting domain controller: ADC-1.domain.ru
Using legacy password setting method
Successfully mapped imap/newmail.domain.ru to user.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to c:\krb5.keytab:
Keytab version: 0x502
keysize 71 imap/newmail.domain.ru@DOMAIN.RU ptype 3 (KRB5_NT_SRV_HST) vno 12 etype 0x17 (RC4-HMAC) keylength 16 (0x00957a6cdb8eea58a460643d04dec703)

скопировал в etc

# klist -k /etc/krb5.keytab
Keytab name: WRFILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
12 imap/newmail.domain.ru@DOMAIN.RU

добавил в dovecot.conf --> auth_krb5_keytab = /etc/krb5.keytab

подскажите чего еще не настроено? не авторизируется

в syslog

Mar 21 10:03:04 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 21 10:03:04 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 21 10:03:05 newmail dovecot: auth(default): new auth connection: pid=11234
Mar 21 10:03:05 newmail dovecot: auth(default): new auth connection: pid=11233

provodnik
() автор топика
Ответ на: комментарий от provodnik

Disconnected (no auth attempts)

Ошибка говорит о том что клиент даже не попытался авторизоваться, скорее всего thunderbird не может найти kerberos билет. Что пишет thunderbird при соединении?

решить не удалось

Ну у меня авторизация по gssapi работает.

menzoberronzan
()
Ответ на: комментарий от menzoberronzan

не пойму что значит:

thunderbird не может найти kerberos биле

должен быть еще какой то билет со стороны клиента или тот что в etc поясните механизм для полного понимания

provodnik
() автор топика
Ответ на: комментарий от provodnik

Лучше чем вики, я не расскажу http://ru.wikipedia.org/wiki/Kerberos
Да, вспомнил один момент - для работы kerberos необходим настроенный dns и в настройках почтового клиента надо указывать не ip сервера, а его dns имя.

Что пишет thunderbird при соединении?

menzoberronzan
()
Ответ на: комментарий от menzoberronzan

Что пишет thunderbird при соединении?

Билет Kerberos/GSSAPI небыл принят IMAP-сервером «user@domain.ru». Проверьте что вы вошли в Kerberos/GSSAPI realm

provodnik
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.