WCM Forum - LDAP Authentifizierungsproblem

WCM Forum (http://www.wcm.at/forum/index.php)

- Linux, UNIX, Open Source (http://www.wcm.at/forum/forumdisplay.php?f=13)

- - LDAP Authentifizierungsproblem (http://www.wcm.at/forum/showthread.php?t=160379)

Zitat:

Original geschrieben von Nestrus
vpopmail ist jetzt noch nicht installiert, soll das auch drauf?

Nein, auf gar keinen Fall!

Die control-files schauen gut aus!
Beim Test dürfte folgendes schief gehen, Gentoo setzt vielleicht die Domain auf "yourhost.net" => keine Ahnung, wo Gentoo das reinschreibt /etc/resolv.conf, /etc/hostname ?

Ich fange morgen mit der qmail-ldap Installation nochmals bei Null an (nach kurzer Testphase) => werd natürlich mitdokumentieren (auf Debian sarge).

Grüße

Manx

Zitat:

Original geschrieben von MANX
Nein, auf gar keinen Fall!

Hehe, hätte mich auch gewundert...

Ich hab schon auf dem ganzen System nach yourhost.net grepen lassen und nichts gefunden, ich frag mal wegen dem im Gentoo-Forum.

Hi!

Im sample.ldif steht's drin!
http://mirror.hamakor.org.il/pub/mir...s/samples.ldif
Du solltest unbedingt das lesen:
http://www.nrg4u.com/qmail/QLDAPINSTALL

Grüße

Manx

Hallo,

bin jetzt etwas weiter gekommen, allerdings hab ich jetzt wieder ein Problem mit SASL.

Hier ist das log:

Code:

tail /var/log/qmail/qmail-send/current

@40000000423d99fe29f7bc7c starting delivery 1163: msg 1212597 to local root@meinweb.at

@40000000423d99fe29f7d7d4 status: local 1/10 remote 1/20

@40000000423d99fe2a8765d4 delivery 1163: deferral: Unable_to_login_into_LDAP_server,_bad_credentials._(#4.4.3)/

@40000000423d99fe2a87812c status: local 0/10 remote 1/20

@40000000423d9dd02e1595a4 delivery 1162: deferral: Connected_to_212.118.243.115_but_connection_died._(#4.4.2)/

@40000000423d9dd02e15b0fc status: local 0/10 remote 0/20

@40000000423d9fdb295abd14 starting delivery 1164: msg 1212666 to local root@meinweb.at

@40000000423d9fdb295ad484 status: local 1/10 remote 0/20

@40000000423d9fdb29ee081c delivery 1164: deferral: Unable_to_login_into_LDAP_server,_bad_credentials._(#4.4.3)/

@40000000423d9fdb29ee1f8c status: local 0/10 remote 0/20

Das ist ja der gleiche Fehler wie dieser hier, oder?

Code:

ldapsearch

SASL/DIGEST-MD5 authentication started

Please enter your password:

ldap_sasl_interactive_bind_s: Internal (implementation specific) error (80)

        additional info: SASL(-13): user not found: no secret in database

Da aber ein ldapsearch -x funktioniert, müsste das doch auch mit qmail funktionieren wenn qmail Simple authentication verwenden würde, aber wie stelle ich das ein?
Oder -was noch besser wäre- kann ich bei LDAP einstellen, dass die simple authentication der Standard ist und nicht über SASL?

Hi!

Kannst Du mit einem LDAP-Browser testen?
Für Linux z.B , GQ oder für Windows der LDAP Browser (der Browser ist free) oder für beide OS, was ich verwende

Wichtig wäre jetzt zum Testen die ACLs in der slapd.conf zu überprüfen, dass Du am Schluss eine ACL hast, die anonymes Lesen im Verzeichnis erlaubt. " ... to * by * read"

Bzw. gibt's in /var/qmail/control die files "ldaplogin" und "ldappasswd" bzw. "ldaprebind"

Manx

Zitat:

Original geschrieben von MANX
Hi!

Kannst Du mit einem LDAP-Browser testen?
Für Linux z.B , GQ oder für Windows der LDAP Browser (der Browser ist free) oder für beide OS, was ich verwende

Ich verwende auch den LDAP Browser/Editor, mit hat es immer schon funktioniert, da ist wohl simple bind Standard.

Zitat:

Wichtig wäre jetzt zum Testen die ACLs in der slapd.conf zu überprüfen, dass Du am Schluss eine ACL hast, die anonymes Lesen im Verzeichnis erlaubt. " ... to * by * read"

Die sind glaube ich nicht das Problem, auch wenn ich -da ich das noch nicht nachgelesen hab- nicht genau weiß was die beudeuten.
Ich hänge mal meine slapd.conf an.

Zitat:

Bzw. gibt's in /var/qmail/control die files "ldaplogin" und "ldappasswd" bzw. "ldaprebind"

ldaplogin udn ldappassword stimmen, ldaprebind hab ich vorhin nicht gehabt, jetzt hab ich es auf 1 was aber auch nicht hilft.

Interresant ist, dass wenn ich eine mail schreiben will in der /var/log/qmail/qmail-send/current für jedes mail

Code:

@400000004240e5be15a494ac starting delivery 521: msg 1212592 to local root@meinweb.at

@400000004240e5be15a4a834 status: local 1/10 remote 0/20

@400000004240e5be1632f9cc delivery 521: deferral: Unable_to_login_into_LDAP_server,_bad_credentials._(#4.4.3)/

@400000004240e5be1633113c status: local 0/10 remote 0/20

steht, in /var/log/messages steht:

Code:

Mar 23 03:42:44 meinweb slapd[279]: conn=349 fd=12 ACCEPT from IP=127.0.0.1:55710 (IP=0.0.0.0:389)

Mar 23 03:42:44 meinweb slapd[21167]: conn=349 op=0 BIND dn="cn=Manager,dc=meineb,dc=at" method=128

Mar 23 03:42:44 meinweb slapd[21167]: conn=349 op=0 RESULT tag=97 err=49 text=

Mar 23 03:42:44 meinweb slapd[21167]: conn=349 op=1 UNBIND

Mar 23 03:42:44 meinweb slapd[21167]: conn=349 fd=12 closed

Es schaut also so aus, als ob der bind korrekt abläuft, aber qmail geht trozdem nicht, ich bin immer verwirrter...

Hi!

Ich hab meine Kiste mittlerweile mit den Grundfeatures wieder "up and running"!

Grundfeatures:
qmail-ldap mit "smtp-auth" und "SSL/TLS required"
pop3s
imap4s
squirrelmail

fehlen tut noch:
spamassassin, virenscan, proxy, vpn, iptables, ...

Ich binde qmail-ldap anonym an's directory, nur die Passwörter sind geschützt und nur durch den Mail-User selber bzw. von Admin lesbar, deshalb brauch ich ldaprebind auf "1".

Was mir noch einfallen würde, passt in den control files "ldapbasedn"
Sollte bei Dir dc=meineb,dc=at beinhalten.

Ein ls -al in meinem control-Verzeichnis:

Code:

root@gateway:/var/qmail/control# ll

insgesamt 104

drwxr-xr-x   2 root   qmail 4096 2005-03-23 15:21 .

drwxr-xr-x  12 root   qmail 4096 2005-03-21 10:58 ..

-rw-r-----   1 qmaild qmail 1953 2005-03-21 15:51 cert.pem

-rw-r--r--   1 root   root    11 2005-03-21 10:29 defaultdelivery

-rw-r--r--   1 root   root    26 2005-03-21 10:31 ldapbasedn

-rw-r--r--   1 root   root     5 2005-03-21 10:37 ldapgid

-rw-r--r--   1 root   root    10 2005-03-21 10:32 ldapobjectclass

-rw-r--r--   1 root   root     2 2005-03-21 11:43 ldaprebind

-rw-r--r--   1 root   root    10 2005-03-21 10:30 ldapserver

-rw-r--r--   1 root   root     5 2005-03-21 10:37 ldapuid

-rw-r--r--   1 root   root    39 2005-03-21 10:42 locals

-rw-r--r--   1 root   root  2133 2005-03-21 11:24 locals.cdb

-rw-r--r--   1 root   qmail 2449 2005-03-18 21:58 Makefile

-rw-r--r--   1 root   root    22 2005-03-21 10:26 me

-rw-r--r--   1 root   root  2189 2005-03-22 19:45 qmail-imapd.cdb

-rw-r--r--   1 root   qmail  267 2005-03-22 19:45 qmail-imapd.rules

-rw-r--r--   1 root   root  2138 2005-03-22 10:03 qmail-pop3d.cdb

-rw-r--r--   1 root   qmail  246 2005-03-22 10:03 qmail-pop3d.rules

-rw-r--r--   1 root   root  2074 2005-03-21 11:24 qmail-qmqpd.cdb

-rw-r--r--   1 root   qmail  330 2005-03-18 21:58 qmail-qmqpd.rules

-rw-r--r--   1 root   root  2168 2005-03-22 10:31 qmail-smtpd.cdb

-rw-r--r--   1 root   qmail 1617 2005-03-22 10:31 qmail-smtpd.rules

-rw-r--r--   1 root   root    39 2005-03-21 10:43 rcpthosts

-rw-r--r--   1 root   root  2133 2005-03-21 11:24 rcpthosts.cdb

-rw-r--r--   1 root   qmail 2131 2005-03-18 21:58 signatures

-rw-r--r--   1 root   root    17 2005-03-21 18:02 smtpcert

Grüße

Manx

Der baseDN sollte passen. (dc=meinweb,dc=at) bzw soll es mal (ou=user,dc=meinweb,dc=at) werden, aber zu Testzwecken hab ich auch sozusagen im Wurzelverzeichnis posixAccounts gemacht, aber so weit kommt qmail ja noch gar nicht.

Bei mir schaut das ziemlich anders aus:

Code:

meinweb control # ls -al

total 112

drwxr-xr-x   2 qmaill qmail 4096 Mar 23 14:39 .

drwxr-xr-x  10 root   root  4096 Mar  7 13:09 ..

-rw-r--r--   1 root   root    17 Mar  7 19:26 1

-rw-r--r--   1 root   root  1163 Mar  4 17:01 conf-common

-rw-r--r--   1 root   root  1136 Mar  4 17:01 conf-pop3d

-rw-r--r--   1 root   root   531 Mar  4 17:01 conf-qmqpd

-rw-r--r--   1 root   root   623 Mar  4 17:01 conf-qmtpd

-rw-r--r--   1 root   root  1805 Mar  4 17:01 conf-smtpd

-rw-r--r--   1 root   root    82 Mar  4 17:01 defaultdelivery

-rw-r--r--   1 root   root    11 Mar  8 00:41 defaultdomain

-rw-r--r--   1 root   root    11 Mar 16 19:54 defaulthost

-rw-r--r--   1 root   root    24 Mar  4 17:01 dirmaker

-rw-r--r--   1 root   root    26 Mar 23 14:39 ldapbasedn

-rw-r--r--   1 root   root     4 Mar  7 17:25 ldapgid

-rw-r--r--   1 root   root     2 Mar  4 17:01 ldaplocaldelivery

-rw-r--r--   1 root   root    27 Mar  7 19:27 ldaplogin

-rw-r--r--   1 root   root    21 Mar  4 17:01 ldapmessagestore

-rw-r--r--   1 root   root    10 Mar  7 19:29 ldapobjectclass

-rw-------   1 qmaild root     7 Mar  7 19:28 ldappassword

-rw-r--r--   1 root   root     2 Mar 22 17:12 ldaprebind

-rw-r--r--   1 root   root    20 Mar  7 19:27 ldapserver

-rw-r--r--   1 root   root     4 Mar  7 17:24 ldapuid

-rw-r--r--   1 root   root    11 Mar  8 00:41 locals

-rw-r--r--   1 root   root    16 Mar  7 17:46 me

-rw-r--r--   1 root   root    11 Mar  8 00:41 plusdomain

-rw-r--r--   1 root   root    27 Mar  7 19:23 rcpthosts

-rw-------   1 qmaild qmail  497 Mar 23 03:10 rsa512.pem

-rw-r--r--   1 root   root  1108 Mar  8 00:39 servercert.cnf

Fehlt da was wichtiges?

... das sollte schon passen, leider gibt's sehr viele verschiedene Möglichkeiten qmail-ldap zu installieren bzw. zu konfigurieren und auch zu starten.

z.B die Sachen mit den ENVIRONMENT-Variablen kann man auf verschiedene Weise angehen.
Ich mach's über tcpserver.cdb files (daher die qmail-smtpd.cdb usw) mit dem mitgelieferten Makefile im control Verzeichnis.

BTW: Vielleicht ein Typo?

Code:

Mar 23 03:42:44 meinweb slapd[21167]: conn=349 op=0 BIND dn="cn=Manager,dc=meineb,dc=at" method=128

Manx

Hab den Rechtschreibfehler ausgebessert, brachte aber auch nichts.

Hast du qmail von Hand kompliliert? Und hast du es -wie angekündigt- dokumentiert?
Weil wenn ja, denn bitte ich dich um deine "Anleitung" dann versuche ich es noch einmal so, sonst fällt mir jetzt nur noch ein es mal mit Postfix o.ä. zu probieren, da ich nicht so viel Zeit damit verschwenden kann...