LINUX.ORG.RU
ФорумAdmin

Dovecot+Kerberos как добавить Postfix

 , ,


0

1

Делаю почтовый сервер.

Сначала все настроил на авторизация по PLAIN c пользователями из AD, за авторизацию как для себя так и для Postfix отвечает Dovecot. Тут все получилось и работает вопросов нет.

Решил к этому прикрутить Kerberos

Создал keytab smtp,imap собрал их в один подгрузил в krb5 проверил

kinit -k imap/mail.domain.com
kinit -k imap/mail.domain.com
все работает без ошибки в klist видно что принципал подгружается.

Авторизация по IMAP в Thunderbird через Gssapi работает без вопросов, а вот с SMTP проблема при попытке авторизации вижу

postfix/smtpd[4264]: warning: PC06.domain.com[10.0.0.29]: request longer than 2048: AUTH GSSAPI YIIHCQYJKoZIhvcSAQ...
dovecot: auth: gssapi(?,10.0.0.29): While processing incoming data: Unspecified GSS failure.  Minor code may provide more information
dovecot: auth: gssapi(?,10.0.0.29): While processing incoming data: Success
postfix/smtpd[4264]: warning: PC06.domain.com[10.0.0.29]: SASL GSSAPI authentication failed:
Смущает это
gssapi(?,10.0.0.29)
Судя по знаку ? postfix почему то не передает Dovecot логин с которым пользователь пытается залогинится.

Если кто то сталкивался с таким прошу совета.

Ответ на: комментарий от blind_oracle

Огромное огромное спасибо!!! Я 4-ре дня маны вкуривал раз 6 пересоздавал ключи с разными вариантами шифрования и нигде не увидел такой штуки.

Еще раз огромное спасибо помогло.

kosticik ()
Ответ на: комментарий от blind_oracle

Подскажите, а есть что то подобное для самого Dovecotа.

После перевода на GSSAPI при попытке редактировать ACL на папки через плагин в Thunderbird получаю ошибку.

 dovecot: imap-login: Aborted login (no auth attempts in 0 secs): user=<>, rip=10.0.2.1, lip=10.0.0.7, TLS, session=<Dr6LmMgjhwAKHwKo>

Просто работа с письмами в папке проходит нормально без вопросов.

kosticik ()
Ответ на: комментарий от blind_oracle

Спасибо за ответ. Но увы не помогло.

Проблема явно связа в керберосом но непонятно как, если тандербирд настраиваю на обычный пароль то ACL нормально можно править, а на керберосе не хочет и в лог сыплется ошибка которую указал выше.

И подобная ошибка есть также с управлением sieve через плагины почтовика, в roundcube что ACL что sieve работают, а в Thunderbird ACL отпал после перехода на GSSAPI, а sieve так и не заработало.

Если кто то поборол это посоветуйте куда копать.

kosticik ()
Ответ на: комментарий от kosticik

Я так понимаю, что плагины Thunderbird, которые ответственные за ACL и Managesieve могут не уметь авторизовываться через GSSAPI.

Сакральный вопрос: нафига тебе GSSAPI? Чем не устроил plain + TLS?

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

Сам сначала настраивал все на plain + TLS

Но потом встали 2 вопроса 1. Пользователи часто меняю машины и ох напрягает каждый раз забивать три раза свой пасс в почтовике (imap,smtp,adress book ad) предложил сократить до двух и тут уперлись много типа.

2. Ну и если с первым еще можно бодаться то потом появился еще умный который увидел что птица хранить пасы внутри себя и если утянуть файл из профиля то можно выколупать пароль, а это жутко не безопасно.

Видно придется забивать либо на плагины либо на безопастников если ничего не придумаю ну или искать другой почтовик.

Может еще подскажешь еще один вопрос можно ли как то настроить работу master user при условии что все пользователи берутся из АД или может есть какой-то другой способ дать пользователю право работать с ящиком другого пользователя не передавая ему пасс пользователя.

kosticik ()
Ответ на: комментарий от kosticik

1. Там жеж все равно получается что нужно ручками настраивать аккаунт, вводить, как минимум, логин...

2. Это можно вырубить так или иначе. http://forums.mozillazine.org/viewtopic.php?f=39&t=195390 к примеру.

Вообще, если такие специфические требования - отправляй их всех в Roundcube через броузер - там тебе и Sieve отличный, и LDAP книга, всяких плагинов вагон, да и пароль один раз вводить. Красота.

На тему GSSAPI/Sieve: http://sourceforge.net/p/managesieve/blog/2012/04/gssapi/

Может еще подскажешь еще один вопрос можно ли как то настроить работу master user при условии что все пользователи берутся из АД или может есть какой-то другой способ дать пользователю право работать с ящиком другого пользователя не передавая ему пасс пользователя.

Да вроде там без проблем, всё тут описано http://wiki2.dovecot.org/Authentication/MasterUsers

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

1. Там жеж все равно получается что нужно ручками настраивать аккаунт, вводить, как минимум, логин...

Нет все на полном автомате, при запуске тандербирд идет на веб сервер передает туда логин и в ответ получает конфиг где уже настроены все учетки, сервера и логины, ну а за счет GSSAP пароли тоже не требуются так что с этим все ок.

2. Это можно вырубить так или иначе

Да это решают проблему два то возвращает к проблеме 1 с необходимостью ввода пасов.

3. Пробовал как там описано оно наверное работает, а вот с включенной авторизацией в LDAP у меня фиг работает. Как я понял система проверяет мастер пользователя находит его пароль говорит Ок, а замет (как я понимаю из логов) зачем то лезит в LDAP и пытается проверить этот пароль уже для того пользователя к которому я хочу подключиться и получает естественно отворот поворот.

Вот такой лог сыплется

Nov  6 14:28:58 dovecot: auth: passdb(master@domain.com,10.0.0.8,master,<feZaXt4joAAKHwKo>): Master user logging in as user@domain.com
Nov  6 14:28:58 dovecot: auth: ldap(user@domain.com,10.0.0.8,<feZaXt4joAAKHwKo>): invalid credentials (given password: Test112)
Вот не могу понять как заставить не проверять пасс для реального юзера

kosticik ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.