LDAP Authentifizierungsproblem

Nestrus · 04.03.2005, 19:23

Hallo,

ich hab auf einem Gentoo-Server ein LDAP-directory installiert.
Es funktioniert so weit auch und ich kann mich mit dem Java-Tool LDAP Browser/Editor wunderbar connecten, Dinge anlegen, löschen was ich will.

Da ich aber auch von anderen Services auf das Directory zugreifen sollte (dafür ist es ja da) muss ich auch lokal etwas machen können, allerdings bekomme ich auf einen ldapsearch -D "cn=Manager,dc=meinweb,dc=at" -W und auch auf ldapadd etc immer folgenden Fehler:

Code:

SASL/DIGEST-MD5 authentication started
ldap_sasl_interactive_bind_s: Internal (implementation specific) error (80)
        additional info: SASL(-13): user not found: no secret in database

Was mache ich den lokal falsch was das Tool richtig macht?

Nestrus

MANX · 04.03.2005, 20:28

Hi!

ldapsearch -x -D "cn=Manager,dc=meinweb,dc=at"

-x = simple bind ohne SASL

Grüße

Manx

Nestrus · 13.03.2005, 17:24

Danke für den Hinweis, das hab ich eigentlich eh schon gewusst, aber in dem Moment als ich mein posting geschrieben hab dachte ich nicht mehr daran.

In der Zwischenzeit hab ich mal versucht herauszufinden ob ich SASL überhaupt brauche. (LDAP wurde mit SASL kompiliert weil ich später auch eine Kerberos-Anbindung realisieren soll.)

Eigentlich dachte ich, dass ich so lange ich noch nichts mit Kerberos mache SASL nicht brauche, aber weder pureftpd noch qmail-ldap können auf das directory zugreifen. Ich vermute mittlerweile, dass es an besagter SALS-Authentifizierung liegt.

Weiß jemand wie ich das richten könnte?
Oder wie ich einfach das LDAP prinzipell auf simple bind umstellen kann? (Ist eh alles lokal, sollte also sicherheitstechnisch nicht so schlimm sein.)

MANX · 13.03.2005, 18:05

Hi!

Ich stell auch grad einen qmail/vpopmail Server auf qmail-ldap um

(Debian)
Simple bind sollte IMHO reichen.
Bei mir läuft der LDAP auf der selben Maschine und die (Backup-)Replikation könnte ja über SSL/TLS laufen.

Meine Wünsche (beinahe alles realisiert)

SMTP mit SMTP-Auth und TSL-required
POP3-SSL
IMAP-SSL
Virenscan und Spamassassin via simscan
Webmail - Squirrelmail
Benutzerspezifische Spamassassin Config (geht IMHO nur mit MySQL und Squirrelmail als Web-Frontend)
... und die ganzen qmail-ldap Features ausnützen

Grüße

Manx

PS: Kommst Du mit ldapsearch -x ... erfolgreich an LDAP?

Nestrus · 13.03.2005, 19:44

Hallo MANX,

das klingt ja schon sehr gut dass du das alles geschafft hast. Wir denken eigentlich an genau die gleichen features (am wichtigsten: SMTP, IMAP und squirrelmail) ich hoffe mit deiner Hilfe bekomme ich das auch noch hin...

Ein simple bind ist mir mehr als recht, wie gesagt ist Kerberos support erst für die Zukunft geplant und ich muß das nicht vor der deadline dieses Projektes realisieren, wäre ein Problem weniger.

Ein ldapsearch -D "cn=Manager,dc=meinweb,dc=at" -x -W funktioniert.

Zuerst hab ich mal http://www.lifewithqmail.org/ldap/ durchgelesen, aber mitterlweile habe ich bemerkt, dass qmail bei mir überhaupt nicht funktioniert, es liegt also wohl nicht am LDAP.
Da ich Gentoo verwende hab ich mich also an http://www.gentoo.org/doc/de/qmail-howto.xml gehalten. Beim Punkt 2.5 sollte qmail ja getestet werden und da bekomme ich schon keine mails.
Das einzige Logfile das was zu sagen scheint ist /var/log/qmail/qmail-send/current:

Code:

@400000004234894632a7eb1c new msg 1212631
@400000004234894632a7fea4 info msg 1212631: bytes 241 from <nestrus@yourhost.net> qp 64 uid 1000
@400000004234894632a80a5c starting delivery 113: msg 1212631 to remote postmaster@yourhost.net
@400000004234894632a8122c status: local 0/10 remote 3/20
@400000004234895236d17c44 new msg 1212634
@400000004234895236d18fcc info msg 1212634: bytes 236 from <nestrus@yourhost.net> qp 24780 uid 1000
@400000004234895236d1979c starting delivery 114: msg 1212634 to remote nestrus@yourhost.net
@400000004234895236d19f6c status: local 0/10 remote 4/20
@4000000042348a3b17ec32ec delivery 111: deferral: Connected_to_63.251.163.112_but_connection_died._(#4.4.2)/
@4000000042348a3b17ec4a5c status: local 0/10 remote 3/20

Sagt das jemand etwas?
So wie es ausschaut, probiert er ja das mail an eine andere Maschine (yourhost.net?) zu senden...

MANX · 13.03.2005, 20:19

Hi!

... an den Start zurück

Mit Qmail-LDAP meinte ich Andre Oppermanns http://www.qmail-ldap.org/.

Schaut am Anfang sehr kompliziert aus, ist es aber eigentlich gar nicht.

Kann die z.B das von mir angepasste Makefile schicken.

Grüße

Manx

Nestrus · 13.03.2005, 22:10

Hallo,

ich glaube schon, dass wir das selbe meinen schließlich führt emerge bei der homepage unter anderem ww.nrg4u.com an, was nur eine andere domain für den deinen link ist.
Nur kommt es mir nun so vor, als ob ich nicht ganz verstanden hab was qmail mit qmail-ldap zu tun hat.... (Und ob qmail-ldap den von mir durchgeführten qmail Test können sollte oder nicht.)

Gruß
Nestrus

MANX · 13.03.2005, 22:19

Hi!

O.k dann passt das schon.
Ich patche qmail immer von Hand, passe das Makefile lt. Doku an usw.
Andre Oppermann hat da schon tolle daemontools Startscripts drin.

Was sagt denn bei dir lt. gentoo Doku:
Code Listing 2.7: Beipiel /var/qmail/control/ Dateien für eine 3rd level Domain

Grüße

Manx

MANX · 13.03.2005, 22:26

... emerged Du dann auch vpopmail?

Grüße

Manx

Nestrus · 13.03.2005, 22:35

vpopmail ist jetzt noch nicht installiert, soll das auch drauf?

In den Dateien steht:
meinweb control # hostname --fqdn
www.meinweb.at
meinweb control # cat me
mail.meinweb.at
meinweb control # cat defaultdomain
meinweb.at
meinweb control # cat plusdomain
meinweb.at
meinweb control # cat locals
meinweb.at
meinweb control # cat rcpthosts
meinweb.at
mail.meinweb.at

04.03.2005, 19:23	#1
Nestrus Elite Registriert seit: 01.07.2000 Alter: 40 Beiträge: 1.400	LDAP Authentifizierungsproblem Hallo, ich hab auf einem Gentoo-Server ein LDAP-directory installiert. Es funktioniert so weit auch und ich kann mich mit dem Java-Tool LDAP Browser/Editor wunderbar connecten, Dinge anlegen, löschen was ich will. Da ich aber auch von anderen Services auf das Directory zugreifen sollte (dafür ist es ja da) muss ich auch lokal etwas machen können, allerdings bekomme ich auf einen ldapsearch -D "cn=Manager,dc=meinweb,dc=at" -W und auch auf ldapadd etc immer folgenden Fehler: Code: SASL/DIGEST-MD5 authentication started ldap_sasl_interactive_bind_s: Internal (implementation specific) error (80) additional info: SASL(-13): user not found: no secret in database Was mache ich den lokal falsch was das Tool richtig macht? Nestrus ____________________________________ "reden 2 unsinn im wcm forum, meint der dritte is eh offtopic" (Gifty am 14. Apr 2002 um 22:47 in " WCM Rat & Tat Forum > Meinung > Guru, e-Zitate & Off Topic > Kommt ein Mann zum Arzt...")

04.03.2005, 20:28	#2
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi! ldapsearch -x -D "cn=Manager,dc=meinweb,dc=at" -x = simple bind ohne SASL Grüße Manx ____________________________________ Broadcasting from the Isle of Man: >> Manx Radio <<

13.03.2005, 17:24	#3
Nestrus Elite Registriert seit: 01.07.2000 Alter: 40 Beiträge: 1.400	Danke für den Hinweis, das hab ich eigentlich eh schon gewusst, aber in dem Moment als ich mein posting geschrieben hab dachte ich nicht mehr daran. In der Zwischenzeit hab ich mal versucht herauszufinden ob ich SASL überhaupt brauche. (LDAP wurde mit SASL kompiliert weil ich später auch eine Kerberos-Anbindung realisieren soll.) Eigentlich dachte ich, dass ich so lange ich noch nichts mit Kerberos mache SASL nicht brauche, aber weder pureftpd noch qmail-ldap können auf das directory zugreifen. Ich vermute mittlerweile, dass es an besagter SALS-Authentifizierung liegt. Weiß jemand wie ich das richten könnte? Oder wie ich einfach das LDAP prinzipell auf simple bind umstellen kann? (Ist eh alles lokal, sollte also sicherheitstechnisch nicht so schlimm sein.) ____________________________________ "reden 2 unsinn im wcm forum, meint der dritte is eh offtopic" (Gifty am 14. Apr 2002 um 22:47 in " WCM Rat & Tat Forum > Meinung > Guru, e-Zitate & Off Topic > Kommt ein Mann zum Arzt...")

13.03.2005, 19:44	#5
Nestrus Elite Registriert seit: 01.07.2000 Alter: 40 Beiträge: 1.400	Hallo MANX, das klingt ja schon sehr gut dass du das alles geschafft hast. Wir denken eigentlich an genau die gleichen features (am wichtigsten: SMTP, IMAP und squirrelmail) ich hoffe mit deiner Hilfe bekomme ich das auch noch hin... Ein simple bind ist mir mehr als recht, wie gesagt ist Kerberos support erst für die Zukunft geplant und ich muß das nicht vor der deadline dieses Projektes realisieren, wäre ein Problem weniger. Ein ldapsearch -D "cn=Manager,dc=meinweb,dc=at" -x -W funktioniert. Zuerst hab ich mal http://www.lifewithqmail.org/ldap/ durchgelesen, aber mitterlweile habe ich bemerkt, dass qmail bei mir überhaupt nicht funktioniert, es liegt also wohl nicht am LDAP. Da ich Gentoo verwende hab ich mich also an http://www.gentoo.org/doc/de/qmail-howto.xml gehalten. Beim Punkt 2.5 sollte qmail ja getestet werden und da bekomme ich schon keine mails. Das einzige Logfile das was zu sagen scheint ist /var/log/qmail/qmail-send/current: Code: @400000004234894632a7eb1c new msg 1212631 @400000004234894632a7fea4 info msg 1212631: bytes 241 from <nestrus@yourhost.net> qp 64 uid 1000 @400000004234894632a80a5c starting delivery 113: msg 1212631 to remote postmaster@yourhost.net @400000004234894632a8122c status: local 0/10 remote 3/20 @400000004234895236d17c44 new msg 1212634 @400000004234895236d18fcc info msg 1212634: bytes 236 from <nestrus@yourhost.net> qp 24780 uid 1000 @400000004234895236d1979c starting delivery 114: msg 1212634 to remote nestrus@yourhost.net @400000004234895236d19f6c status: local 0/10 remote 4/20 @4000000042348a3b17ec32ec delivery 111: deferral: Connected_to_63.251.163.112_but_connection_died._(#4.4.2)/ @4000000042348a3b17ec4a5c status: local 0/10 remote 3/20 Sagt das jemand etwas? So wie es ausschaut, probiert er ja das mail an eine andere Maschine (yourhost.net?) zu senden... ____________________________________ "reden 2 unsinn im wcm forum, meint der dritte is eh offtopic" (Gifty am 14. Apr 2002 um 22:47 in " WCM Rat & Tat Forum > Meinung > Guru, e-Zitate & Off Topic > Kommt ein Mann zum Arzt...")

13.03.2005, 20:19	#6
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi! ... an den Start zurück Mit Qmail-LDAP meinte ich Andre Oppermanns http://www.qmail-ldap.org/. Schaut am Anfang sehr kompliziert aus, ist es aber eigentlich gar nicht. Kann die z.B das von mir angepasste Makefile schicken. Grüße Manx ____________________________________ Broadcasting from the Isle of Man: >> Manx Radio <<

13.03.2005, 18:05	#4
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi! Ich stell auch grad einen qmail/vpopmail Server auf qmail-ldap um (Debian) Simple bind sollte IMHO reichen. Bei mir läuft der LDAP auf der selben Maschine und die (Backup-)Replikation könnte ja über SSL/TLS laufen. Meine Wünsche (beinahe alles realisiert) SMTP mit SMTP-Auth und TSL-required POP3-SSL IMAP-SSL Virenscan und Spamassassin via simscan Webmail - Squirrelmail Benutzerspezifische Spamassassin Config (geht IMHO nur mit MySQL und Squirrelmail als Web-Frontend) ... und die ganzen qmail-ldap Features ausnützen Grüße Manx PS: Kommst Du mit ldapsearch -x ... erfolgreich an LDAP? ____________________________________ Broadcasting from the Isle of Man: >> Manx Radio <<

13.03.2005, 22:10	#7
Nestrus Elite Registriert seit: 01.07.2000 Alter: 40 Beiträge: 1.400	Hallo, ich glaube schon, dass wir das selbe meinen schließlich führt emerge bei der homepage unter anderem ww.nrg4u.com an, was nur eine andere domain für den deinen link ist. Nur kommt es mir nun so vor, als ob ich nicht ganz verstanden hab was qmail mit qmail-ldap zu tun hat.... (Und ob qmail-ldap den von mir durchgeführten qmail Test können sollte oder nicht.) Gruß Nestrus ____________________________________ "reden 2 unsinn im wcm forum, meint der dritte is eh offtopic" (Gifty am 14. Apr 2002 um 22:47 in " WCM Rat & Tat Forum > Meinung > Guru, e-Zitate & Off Topic > Kommt ein Mann zum Arzt...")

13.03.2005, 22:19	#8
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi! O.k dann passt das schon. Ich patche qmail immer von Hand, passe das Makefile lt. Doku an usw. Andre Oppermann hat da schon tolle daemontools Startscripts drin. Was sagt denn bei dir lt. gentoo Doku: Code Listing 2.7: Beipiel /var/qmail/control/ Dateien für eine 3rd level Domain Grüße Manx ____________________________________ Broadcasting from the Isle of Man: >> Manx Radio <<

13.03.2005, 22:26	#9
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	... Nachtrag ... emerged Du dann auch vpopmail? Grüße Manx ____________________________________ Broadcasting from the Isle of Man: >> Manx Radio <<

13.03.2005, 22:35	#10
Nestrus Elite Registriert seit: 01.07.2000 Alter: 40 Beiträge: 1.400	vpopmail ist jetzt noch nicht installiert, soll das auch drauf? In den Dateien steht: meinweb control # hostname --fqdn www.meinweb.at meinweb control # cat me mail.meinweb.at meinweb control # cat defaultdomain meinweb.at meinweb control # cat plusdomain meinweb.at meinweb control # cat locals meinweb.at meinweb control # cat rcpthosts meinweb.at mail.meinweb.at ____________________________________ "reden 2 unsinn im wcm forum, meint der dritte is eh offtopic" (Gifty am 14. Apr 2002 um 22:47 in " WCM Rat & Tat Forum > Meinung > Guru, e-Zitate & Off Topic > Kommt ein Mann zum Arzt...")

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)