|
LDAP Authentifizierungsproblem
Hallo,
ich hab auf einem Gentoo-Server ein LDAP-directory installiert. Es funktioniert so weit auch und ich kann mich mit dem Java-Tool LDAP Browser/Editor wunderbar connecten, Dinge anlegen, löschen was ich will. Da ich aber auch von anderen Services auf das Directory zugreifen sollte (dafür ist es ja da) muss ich auch lokal etwas machen können, allerdings bekomme ich auf einen ldapsearch -D "cn=Manager,dc=meinweb,dc=at" -W und auch auf ldapadd etc immer folgenden Fehler: Code:
SASL/DIGEST-MD5 authentication startedNestrus |
Hi!
ldapsearch -x -D "cn=Manager,dc=meinweb,dc=at" -x = simple bind ohne SASL Grüße Manx |
Danke für den Hinweis, das hab ich eigentlich eh schon gewusst, aber in dem Moment als ich mein posting geschrieben hab dachte ich nicht mehr daran.
In der Zwischenzeit hab ich mal versucht herauszufinden ob ich SASL überhaupt brauche. (LDAP wurde mit SASL kompiliert weil ich später auch eine Kerberos-Anbindung realisieren soll.) Eigentlich dachte ich, dass ich so lange ich noch nichts mit Kerberos mache SASL nicht brauche, aber weder pureftpd noch qmail-ldap können auf das directory zugreifen. Ich vermute mittlerweile, dass es an besagter SALS-Authentifizierung liegt. Weiß jemand wie ich das richten könnte? Oder wie ich einfach das LDAP prinzipell auf simple bind umstellen kann? (Ist eh alles lokal, sollte also sicherheitstechnisch nicht so schlimm sein.) |
Hi!
Ich stell auch grad einen qmail/vpopmail Server auf qmail-ldap um ;) (Debian) Simple bind sollte IMHO reichen. Bei mir läuft der LDAP auf der selben Maschine und die (Backup-)Replikation könnte ja über SSL/TLS laufen. Meine Wünsche (beinahe alles realisiert) SMTP mit SMTP-Auth und TSL-required POP3-SSL IMAP-SSL Virenscan und Spamassassin via simscan Webmail - Squirrelmail Benutzerspezifische Spamassassin Config (geht IMHO nur mit MySQL und Squirrelmail als Web-Frontend) ... und die ganzen qmail-ldap Features ausnützen Grüße Manx PS: Kommst Du mit ldapsearch -x ... erfolgreich an LDAP? |
Hallo MANX,
das klingt ja schon sehr gut dass du das alles geschafft hast. Wir denken eigentlich an genau die gleichen features (am wichtigsten: SMTP, IMAP und squirrelmail) ich hoffe mit deiner Hilfe bekomme ich das auch noch hin... Ein simple bind ist mir mehr als recht, wie gesagt ist Kerberos support erst für die Zukunft geplant und ich muß das nicht vor der deadline dieses Projektes realisieren, wäre ein Problem weniger. Ein ldapsearch -D "cn=Manager,dc=meinweb,dc=at" -x -W funktioniert. Zuerst hab ich mal http://www.lifewithqmail.org/ldap/ durchgelesen, aber mitterlweile habe ich bemerkt, dass qmail bei mir überhaupt nicht funktioniert, es liegt also wohl nicht am LDAP. Da ich Gentoo verwende hab ich mich also an http://www.gentoo.org/doc/de/qmail-howto.xml gehalten. Beim Punkt 2.5 sollte qmail ja getestet werden und da bekomme ich schon keine mails. Das einzige Logfile das was zu sagen scheint ist /var/log/qmail/qmail-send/current: Code:
@400000004234894632a7eb1c new msg 1212631So wie es ausschaut, probiert er ja das mail an eine andere Maschine (yourhost.net?) zu senden... |
Hi!
... an den Start zurück ;) Mit Qmail-LDAP meinte ich Andre Oppermanns http://www.qmail-ldap.org/. Schaut am Anfang sehr kompliziert aus, ist es aber eigentlich gar nicht. Kann die z.B das von mir angepasste Makefile schicken. Grüße Manx |
Hallo,
ich glaube schon, dass wir das selbe meinen schließlich führt emerge bei der homepage unter anderem ww.nrg4u.com an, was nur eine andere domain für den deinen link ist. Nur kommt es mir nun so vor, als ob ich nicht ganz verstanden hab was qmail mit qmail-ldap zu tun hat.... (Und ob qmail-ldap den von mir durchgeführten qmail Test können sollte oder nicht.) Gruß Nestrus |
Hi!
O.k dann passt das schon. Ich patche qmail immer von Hand, passe das Makefile lt. Doku an usw. Andre Oppermann hat da schon tolle daemontools Startscripts drin. Was sagt denn bei dir lt. gentoo Doku: Code Listing 2.7: Beipiel /var/qmail/control/ Dateien für eine 3rd level Domain Grüße Manx |
... Nachtrag
... emerged Du dann auch vpopmail?
Grüße Manx |
vpopmail ist jetzt noch nicht installiert, soll das auch drauf?
In den Dateien steht: meinweb control # hostname --fqdn www.meinweb.at meinweb control # cat me mail.meinweb.at meinweb control # cat defaultdomain meinweb.at meinweb control # cat plusdomain meinweb.at meinweb control # cat locals meinweb.at meinweb control # cat rcpthosts meinweb.at mail.meinweb.at |
Zitat:
Die control-files schauen gut aus! Beim Test dürfte folgendes schief gehen, Gentoo setzt vielleicht die Domain auf "yourhost.net" => keine Ahnung, wo Gentoo das reinschreibt /etc/resolv.conf, /etc/hostname ? Ich fange morgen mit der qmail-ldap Installation nochmals bei Null an (nach kurzer Testphase) => werd natürlich mitdokumentieren (auf Debian sarge). Grüße Manx |
Zitat:
Ich hab schon auf dem ganzen System nach yourhost.net grepen lassen und nichts gefunden, ich frag mal wegen dem im Gentoo-Forum. |
Hi!
Im sample.ldif steht's drin! http://mirror.hamakor.org.il/pub/mir...s/samples.ldif Du solltest unbedingt das lesen: http://www.nrg4u.com/qmail/QLDAPINSTALL Grüße Manx |
Hallo,
bin jetzt etwas weiter gekommen, allerdings hab ich jetzt wieder ein Problem mit SASL. Hier ist das log: Code:
tail /var/log/qmail/qmail-send/currentCode:
ldapsearchOder -was noch besser wäre- kann ich bei LDAP einstellen, dass die simple authentication der Standard ist und nicht über SASL? |
Hi!
Kannst Du mit einem LDAP-Browser testen? Für Linux z.B , GQ oder für Windows der LDAP Browser (der Browser ist free) oder für beide OS, was ich verwende Wichtig wäre jetzt zum Testen die ACLs in der slapd.conf zu überprüfen, dass Du am Schluss eine ACL hast, die anonymes Lesen im Verzeichnis erlaubt. " ... to * by * read" Bzw. gibt's in /var/qmail/control die files "ldaplogin" und "ldappasswd" bzw. "ldaprebind" Manx |
Zitat:
Zitat:
Ich hänge mal meine slapd.conf an. Zitat:
Interresant ist, dass wenn ich eine mail schreiben will in der /var/log/qmail/qmail-send/current für jedes mail Code:
@400000004240e5be15a494ac starting delivery 521: msg 1212592 to local root@meinweb.atCode:
Mar 23 03:42:44 meinweb slapd[279]: conn=349 fd=12 ACCEPT from IP=127.0.0.1:55710 (IP=0.0.0.0:389) |
Hi!
Ich hab meine Kiste mittlerweile mit den Grundfeatures wieder "up and running"! Grundfeatures: qmail-ldap mit "smtp-auth" und "SSL/TLS required" pop3s imap4s squirrelmail fehlen tut noch: spamassassin, virenscan, proxy, vpn, iptables, ... Ich binde qmail-ldap anonym an's directory, nur die Passwörter sind geschützt und nur durch den Mail-User selber bzw. von Admin lesbar, deshalb brauch ich ldaprebind auf "1". Was mir noch einfallen würde, passt in den control files "ldapbasedn" Sollte bei Dir dc=meineb,dc=at beinhalten. Ein ls -al in meinem control-Verzeichnis: Code:
root@gateway:/var/qmail/control# llManx |
Der baseDN sollte passen. (dc=meinweb,dc=at) bzw soll es mal (ou=user,dc=meinweb,dc=at) werden, aber zu Testzwecken hab ich auch sozusagen im Wurzelverzeichnis posixAccounts gemacht, aber so weit kommt qmail ja noch gar nicht.
Bei mir schaut das ziemlich anders aus: Code:
meinweb control # ls -al |
... das sollte schon passen, leider gibt's sehr viele verschiedene Möglichkeiten qmail-ldap zu installieren bzw. zu konfigurieren und auch zu starten.
z.B die Sachen mit den ENVIRONMENT-Variablen kann man auf verschiedene Weise angehen. Ich mach's über tcpserver.cdb files (daher die qmail-smtpd.cdb usw) mit dem mitgelieferten Makefile im control Verzeichnis. BTW: Vielleicht ein Typo? Code:
Mar 23 03:42:44 meinweb slapd[21167]: conn=349 op=0 BIND dn="cn=Manager,dc=meineb,dc=at" method=128 |
Hab den Rechtschreibfehler ausgebessert, brachte aber auch nichts.
Hast du qmail von Hand kompliliert? Und hast du es -wie angekündigt- dokumentiert? Weil wenn ja, denn bitte ich dich um deine "Anleitung" dann versuche ich es noch einmal so, sonst fällt mir jetzt nur noch ein es mal mit Postfix o.ä. zu probieren, da ich nicht so viel Zeit damit verschwenden kann... |
Hi!
Ja, von Hand kompiliert ;) Ja, mitdokumentiert :D Schick mir Deine Email-Adresse als PN. Vielleicht hilft's ein wenig. Grüße Manx |
Hi!
Ich hoffe die Mail ist angekommen. Was ich noch vergessen habe. Für SMTP-Authentifizierung: In order for qmail-smtpd to support this functionality, its run script will have to be adjusted to include the auth_smtp program. Open the file /var/qmail/boot/qmail-smtpd/run in your editor and adjust the last line in the file as follows: From this: /var/qmail/bin/qmail-smtpd To this: /var/qmail/bin/qmail-smtpd /var/qmail/bin/auth_smtp /usr/bin/true Manx |
Ja, die mail ist angekommen, hab aber wohl erst am MO wieder Zeit...
|
| Alle Zeitangaben in WEZ +2. Es ist jetzt 16:33 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag