LINUX.ORG.RU
ФорумAdmin

Dovecot + CRAM-MD5


0

1

Гммм что-то не то получается есть база mysql с именами и логинами пользователей (не шифрованы), делаю

Вот dovecot-sql.conf:
----------------
default_pass_scheme = CRAM-MD5
-----------
А в конфиге давкота:
-----------------
mechanisms = plain login digest-md5 cram-md5 

пытаюсь  аутглюком зайти на ящик - болты 
в логах: 
2011-05-30 11:18:23 auth(default): Info: new auth connection: pid=18924
2011-05-30 11:18:24 auth-worker(default): Info: pam(t3@dracon753.ru,192.168.4.15): pam_authenticate() failed: Authentication failure (password mismatch?) (given password: 759)
2011-05-30 11:18:24 auth-worker(default): Info: sql(t3@dracon753.ru,192.168.4.15): query: SELECT email as user, password FROM users WHERE email='t3@dracon753.ru';
2011-05-30 11:18:24 auth-worker(default): Error: sql(t3@dracon753.ru,192.168.4.15): Password in passdb is not in expected scheme CRAM-MD5
2011-05-30 11:18:26 auth(default): Info: client out: FAIL       1       user=t3@dracon753.ru
2011-05-30 11:18:27 imap-login: Info: Disconnected (auth failed, 1 attempts): user=<t3@dracon753.ru>, method=PLAIN, rip=192.168.4.15, lip=192.168.4.25, TLS: Disconnected
2011-05-30 11:18:31 imap-login: Info: Disconnected (auth failed, 1 attempts): user=<t3@dracon753.ru>, method=PLAIN, rip=192.168.4.15, lip=192.168.4.25, TLS: Disconnected
dovecot.conf
root@posts:/etc/dovecot# sed -e '/^ *#/d; /^ *$/d' dovecot.conf
protocols = imap imaps pop3 pop3s
disable_plaintext_auth = no
log_path = /var/log/dovecot.log
log_timestamp = "%Y-%m-%d %H:%M:%S "
mail_location = maildir:/home/vmail/%d/%n
mail_privileged_group = vmail
mail_debug = yes
verbose_proctitle = yes
protocol imap {
}
protocol pop3 {
  pop3_uidl_format = %08Xu%08Xv
}
protocol managesieve {
}
protocol lda {
  log_path = /home/vmail/dovecot-deliver.log
  auth_socket_path = /var/run/dovecot/auth-master
  postmaster_address = andrey@dracon753.ru
   mail_plugins = sieve
  global_script_path = /home/vmail/globalsieverc
}
auth_verbose = yes
auth_debug = yes
auth_debug_passwords = yes
auth default {
  mechanisms = plain login digest-md5 cram-md5
  passdb pam {
  }
  passdb sql {
    args = /etc/dovecot/dovecot-sql.conf
  }
  userdb passwd {
  }
  userdb static {
    args = uid=5000 gid=5000 home=/home/vmail/%d/%n allow_all_users=yes
  }
  user = root
  socket listen {
    master {
      path = /var/run/dovecot/auth-master
      mode = 0600
      user = vmail
    }
    client {
      path = /var/spool/postfix/private/auth
      mode = 0660
      user = postfix
      group = postfix
    }
  }
}
dict {
}
plugin {
}

По скажите где затупил ?

Если говоришь
>...база mysql с именами и логинами пользователей (не шифрованы)
Тогда,по-моему, здесь:

Вот dovecot-sql.conf:
----------------
default_pass_scheme = CRAM-MD5

Password scheme means the format in which the password is stored in password databases.

lnx ()

Аутлук не поддерживает CRAM-MD5

vlb ★★★ ()
Ответ на: комментарий от lnx

Cобственно в процессе всего этого вопрос нарисовывется , может авторизацией через Plain login обойтись , тем более tls/ssl настроено? Хотя конечно слать пароли от ящиков в открытом виде както стрёмновато :(

drac753 ★★ ()
Ответ на: комментарий от drac753

default_pass_scheme указывает, в каком виде хранится пароль в базе, а в каком виде он летает по сети между клиентом и сервером - это уже в конфиге давкота mechanisms и, соответственно, tls/ssl.

lnx ()
Ответ на: комментарий от lnx

Собственно, сам давкод прямым текстом говорит Password in passdb is not in expected scheme CRAM-MD5
Мол, «пароль в базе не в cram-md5, не понимаю я его»
А аутглюк авторизуется по механизму PLAIN, но с TLS (две последние строчки лога).

lnx ()
Ответ на: комментарий от drac753

Ну, в принципе, да, все соединения «наружу» я позволяю только шифрованные (pop3s, imaps).
Но, в твоём случае, важно - понять, что mechanisms в dovecot.conf и default_pass_scheme в dovecot-sql.conf никак не связаны.

lnx ()
Ответ на: комментарий от lnx

mechanisms = plain login cram-md5 получается что я использую все три механизма сразу ? А почему не остановится на каком нибудь одном из них ? К примеру на cram-md5 ?

drac753 ★★ ()
Ответ на: комментарий от drac753

не все сразу, а предлагаешь клиенту, на выбор, использовать один из трех. например, не все клиенты поддерживают все механизмы (вроде, аутглюк до сих пор не умеет cram-md5).
В случае использования TLS/SSL, не вижу особого смысла в дополнительном усложнении механизма аутенфикации.
почитай ихнее wiki на эту тему.

lnx ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.