[AlternC-dev] SASL, postfix et AlternC

Retour à l'archive de la liste
Le site d'AlternC
Google Custom Search

The Anarcat anarcat at anarcat.ath.cx
Mar 30 Aou 00:24:14 CEST 2005


Nous venons, chez Koumbit, de mettre à jour notre serveur principal vers
Sarge. Évidemment, nous avons eu tout le lot de pépins avec SASL que
vous avez probablement également expérimenté.

Ne voulant pas avoir à remettre à zéro les passwords POP de tous les
comptes de Koumbit, j'ai essayé de trouver une solution alternative et
je crois en avoir trouvé une.

En bref, il s'agit d'utiliser saslauthd pour vérifier les
username/passwords envoyés et dire à saslauthd de parler au serveur IMAP
pour la vérification. Une procédure pour monter cette folie est décrite
à la fin du bug report inclus ici.

J'aimerais avoir votre avis sur ceci avant de commencer le travail pour
inclure ceci directement dans AlternC.

A.

----- Forwarded message from bugs at koumbit.net -----

Date: Mon, 29 Aug 2005 18:11:30 -0400
From: bugs at koumbit.net
To: bugs at koumbit.net
Subject: [bugs] [Membres Koumbit.org 0000514]: Plus possible d'utiliser le
	SMTP de Koumbit
List-Id: liste d'envoi et de discussion des bugs <bugs-koumbit.net>
List-Post: <mailto:bugs at koumbit.net>
List-Subscribe: <https://koumbit.net/cgi-bin/mailman/listinfo/bugs-koumbit.net>,
	<mailto:bugs-request at koumbit.net?subject=subscribe>


Le bug suivant a été résolu.
======================================================================
<http://bugs.koumbit.net/view.php?id=514> 
======================================================================
Rapporteur:                 tatien
Responsable:                anarcat
======================================================================
Projet:                     Membres Koumbit.org
Bug ID:                     514
Catégorie:                  Courriel Postfix (SMTP)
Reproductibilité:           toujours
Sévérité:                   mineur
Priorité:                   normale
Etat:                       résolu
Référence AlternC:          
Résolution:                 résolu
Résolu dans la version:     
======================================================================
Date de soumission:         08-26-2005 12:03 EDT
Dernière modification:      08-29-2005 18:11 EDT
======================================================================
Résumé:                     Plus possible d'utiliser le SMTP de Koumbit
Description: 
Le SMTP de Koumbit ne marche plus. Avant-hier, j'arrivais à l'utiliser,
mais là il ne semble plus reconnaître mon login/password.
======================================================================

----------------------------------------------------------------------
 anarcat - 08-29-05 16:34 
----------------------------------------------------------------------
truc bizarre:

Aug 29 16:34:14 homere postfix/smtpd[14050]: warning: SASL authentication
problem: unable to open Berkeley db /etc/sasldb2: Invalid argument

----------------------------------------------------------------------
 anarcat - 08-29-05 17:27 
----------------------------------------------------------------------
on devrait pouvoir utiliser /etc/sasldb et le convertir en /etc/sasldb2,
selon le bug report suivant.

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=170740

evidemment, ca marche po:

homere:~/dist/cyrus-sasl2-2.1.19/build-tree/cyrus-sasl-2.1.19#
./utils/.libs/dbconverter-2  /etc/sasldb

This program will take the sasldb file specified on the
command line and convert it to a new sasldb file in the default
location (usually /etc/sasldb2). It is STRONGLY RECOMMENDED that you
backup sasldb before allowing this program to run

We are going to convert /etc/sasldb and our output will be in
/etc/sasldb2

Press return to continue

Error opening password file /etc/sasldb

----------------------------------------------------------------------
 anarcat - 08-29-05 17:29 
----------------------------------------------------------------------
autres refs:

http://www.alternc.org/wiki/FAQ
http://alternc.org/marchives/dev/2005-May/001627.html

----------------------------------------------------------------------
 anarcat - 08-29-05 18:11 
----------------------------------------------------------------------
Je crois que j'ai trouvé une solution propre. À partir de maintenant, les
SMTP Auth devrait fonctionner correctement, mais seulement en PLAIN et par
TLS.

Le problème, version courte: originalement, AlternC patentait une affaire
bizarre pour stocker les mots de passes des usagers en clair dans
/etc/sasldb. Ça fonctionnait nickel, mais c'était pas génial parce que
justement, tous les mots de passe pops étaient dans /etc/sasldb. Avec
l'upgrade, le format de la BD /etc/sasldb a changé et a été renommé, si
bien que ln -s /etc/sasldb2 /etc/sasldb ne fonctionne pas, et les scripts
de conversion non plus. Benji avait tenté d'entrer le password en clair
dans une nouvelle colonne de la table mail_users. Je trouvait pas ça
génial, et il n'y avait pas moyen de migrer les anciens mots de passe car
le /etc/sasldb restait toujours aussi opaque.

Ma solution tordue, mais qui marche bien, s'appelle saslauthd. C'est un
daemon d'authentification, un peu comme le authdaemon de courier, mais
pour le SASL. Il y a une bonne description de l'infrastructure dans:

http://www.asyd.net/docs/sasl.html

quoiqu'on parle là de LDAP. M'enfin... saslauthd peut parler à
/etc/sasldb, à /etc/shadow, etc, mais surtout parler à un serveur IMAP
avec lequel il vérifie les user/pass donnés. Voici donc la configuration
magique:

1. activer saslauthd:

# This needs to be uncommented before saslauthd will be run automatically
START=yes

# You must specify the authentication mechanisms you wish to use.
# This defaults to "pam" for PAM support, but may also include
# "shadow" or "sasldb", like this:
# MECHANISMS="pam shadow"

MECHANISMS="rimap"

PARAMS="-O localhost -r -c"

Notez le -O localhost: on parle à localhost comme serveur imap. -r sert à
authentifier avec test at koumbit.org au lieu de juste test. -c cache les
requêtes pour pas toujours taper sur le imap.

2- on démarre saslauthd:

# /etc/init.d/saslauthd restart
Stopping SASL Authentication Daemon: saslauthd.
Starting SASL Authentication Daemon: saslauthd.

On peut déjà tester pour voir si ça fonctionne:

# testsaslauthd -u test at koumbit.org -p test
0: OK "Success."

3- on ajoute postfix au groupe sasl pour qu'il puisse y parler:

usermod -G sasl postfix

4- dit à postfix de parler à saslauthd:

# cat /etc/postfix/sasl/smtpd.conf 
pwcheck_method: saslauthd
mech_list: plain

5- on repart postfix:

/etc/init.d/postfix restart

À partir de maintenant, ça devrait fonctionner correctement. Notons enfin
que seule l'auth en PLAIN est acceptée de cette façon car on n'a plus le
password en clair. J'ai aussi déplacé les bases sasldb dans les backups
pour éviter de garder ceci.

Je vais aussi tenter d'intégrer ceci à alternc, ce qui inclus patcher
m_mail et changer les scripts d'install pour configurer tout ceci
automatiquement.

Historique du bug
Date modifiée  Utilisateur    Champ                    Changer             
======================================================================
08-26-05 12:03 tatien         Nouveau bug                                  
08-29-05 16:04 anarcat        Etat                     nouveau => affecté  
08-29-05 16:04 anarcat        Assigné à                 => anarcat         
08-29-05 16:34 anarcat        Note ajoutée: 0001617                        
08-29-05 17:27 anarcat        Note ajoutée: 0001621                        
08-29-05 17:29 anarcat        Note ajoutée: 0001622                        
08-29-05 18:11 anarcat        Etat                     affecté => résolu   
08-29-05 18:11 anarcat        Résolution               ouvert => résolu    
08-29-05 18:11 anarcat        Note ajoutée: 0001623                        
======================================================================


_______________________________________________
bugs mailing list
bugs at koumbit.net
https://koumbit.net/cgi-bin/mailman/listinfo/bugs-koumbit.net


----- End forwarded message -----
-------------- section suivante --------------
Une pièce jointe autre que texte a été nettoyée...
Nom: non disponible
Type: application/pgp-signature
Taille: 189 octets
Desc: non disponible
URL: <http://lists.alternc.org/arch/dev/attachments/20050829/9416d273/attachment.pgp>


Plus d'informations sur la liste de diffusion Dev