[AlternC-dev] encore un probleme avec postfix :)

Retour à l'archive de la liste
Le site d'AlternC
Google Custom Search

jonathan jonathan at globenet.org
Mer 23 Nov 13:21:17 CET 2005


Nahuel ANGELINETTI wrote:
> On Sat, 19 Nov 2005 16:28:23 +0100
> Lunar <lunar at anargeek.net> wrote:
> 
> 
>>On Saturday 19 November 2005 14:48, Nahuel ANGELINETTI wrote:
>>
>>>Bon alors mon postfix chie, je sais pas pourquoi, quand il essaye de
>>>s'authentifier il trouve pas /etc/sasldb2, qui existe, mais pas ds
>>>le chroot, donc la je le copie, il dit :
>>>
>>>Nov 19 14:46:50 ahtna postfix/smtpd[4399]: warning: SASL
>>>authentication failure: no secret in database
>>>Nov 19 14:46:50 ahtna postfix/smtpd[4399]: warning: monhost[monip]:
>>>SASL CRAM-MD5 authentication failed
>>
>>Jonathan (bossant sur Globenet, entre autre) a réussi à utiliser une 
>>authentification par IMAP pour l'authentification Postfix. Cela rend 
>>inutile l'utilisation de sasldb (et donc les mots de passe en clair 
>>dans la base de donnée) et donc tous les problèmes qui vont avec.
>>
>>Du coup, faudrait qu'on finisse de publier un patch pour ça. :)

Pas de patch mais j'avais pris quelques notes (exceptionnel !) :

* D'abord il faut des paquets : un postfix qui marche avec sasl, tls 
configuré, et le paquet sasl2-bin. Normalement une install Alternc a 
tout ça (sauf peut-être sasl2-bin, mais c'est un bug connu, non ? :-D).

* Lancer saslauthd avec rimap comme methode d'authentification et poser 
le socket (mux) dans le chroot postfix : 
/var/spool/postfix/var/run/saslauthd

Tout ce chinois veut dire que le fichier /etc/default/saslauthd doit 
ressembler à :

-----8<-----8<-----8<-----8<-----8<-----8<-----8<-----8<-----

         START=yes
         MECHANISMS="rimap"
         PWDIR=/var/spool/postfix/var/run/saslauthd
         PARAMS="-r -m /var/spool/postfix/var/run/saslauthd -O 
mail.globenet.org"

-----8<-----8<-----8<-----8<-----8<-----8<-----8<-----8<-----

Là il faut remplacer mail.globenet.org par le nom du serveur IMAP. C'est 
là que c'est vraiment puissant puisqu'on peut mettre n'importe quel 
serveur, pas de questions à se poser.

En français moderne, on va lancer le démon saslauthd (qui ne l'est 
normalement pas par défaut, je crois), en lui demandant de transmettre 
les logins/mots de passe qu'il reçoit à un serveur IMAP. Si le serveur 
IMAP trouve le compte, ça passe, et sinon ...
C'est génial, puisque du moment qu'on a un serveur IMAP en état de 
marche, ça marche.

* Ajouter ce repertoire dans la base de dpkg-statoverride :

# dpkg-statoverride --add root sasl 710 /var/spool/postfix/var/run/saslauthd

* Expliquer à postfix qu'il doit interroger saslauthd pour vérifier les 
mots de passe en mettant dans
   /etc/postfix/sasl/smtpd.conf :

-----8<-----8<-----8<-----8<-----8<-----8<-----8<-----8<-----

         pwcheck_method: saslauthd
         mech_list: plain login

-----8<-----8<-----8<-----8<-----8<-----8<-----8<-----8<-----

* Ajouter postfix au groupe sasl
   # adduser postfix sasl

Démarrer saslauthd (dans /etc/init.d) et redémarrer postfix, normalement 
ç'est cuit !

Il est tout à fait possible que je me sois à l'époque inspiré de ça : 
http://alternc.org/marchives/dev/2005-August/001670.html

O+

-- 
Jonathan



Plus d'informations sur la liste de diffusion Dev