SASL2 mit Postfix läuft nicht sauber

[Envader]

Hallo,

auf meinem Debian Sarge System gibt es folgendes Problem.

Ich habe Postfix installiert und will die SASL-AUTH für den Server aktivieren.
Ich habe nun auch schon alles eingestellt, nach allen Infos, die ich gefunden habe.
Der Auth über "testsaslauthd" funktioniert wunderbar und es kommt Success zurück, aber der Login
über Outlook ist nicht möglich. Hier erhalte ich immer folgende Fehlermeldung:

Apr 2 20:53:13 vs1 postfix/smtpd[16169]: warning: SASL authentication failure: cannot connect to saslauthd server: Permission denied
Apr 2 20:53:13 vs1 postfix/smtpd[16169]: warning: [IP]: SASL LOGIN authentication failed

Meine Konfiguration sieht wie folgt aus:

/etc/postfix/sasl/smtpd.conf

pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
saslauthd_path: /var/run/saslauthd/mux
autotransition:true

/etc/postfix/main.cf

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

/etc/postfix/master.cf

# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================
smtp inet n - n - - smtpd

/etc/default/saslauthd

MECHANISMS="pam"
START=yes

/etc/pam.d/smtp

auth required /lib/security/pam_unix_auth.so
account required /lib/security/pam_unix_acct.so
password required /lib/security/pam_unix_passwd.so
session required /lib/security/pam_unix_session.so

Das komische ist auch, dass das System unter dem Link /var/run/saslauthd ewig viele Links anlegt und sobald ich den saslauthd einmal gestoppt habe, kann ich ihn nicht mehr starten, weil er die Meldung bringt, dass /var/run/saslauthd: Datei bereits existiert.

Ich hoffe, ich habe nix vergessen und danke schonmal für die Hilfe.

Gruss
Mathias

 

[Huschi]

Lies mal bitte folgende Artikel:
Debian/Postfix: SMTP-Auth einrichten
Probleme mit Postfix und SASL

Beachte dabei, ob Du Deinen Postfix im chroot laufen läßt der nicht. Standardmässig läuft er im Chroot, aber Dein master.cf-Auszug zeigt, daß Du smtp aus dem chroot raus genommen hast.

Und dann brauchen wir die Ausgabe von "saslfinger".

huschi.

 

[Envader]

Hi, sorry, hat etwas gedauert die Antwort, aber hier ist die Ausgabe von saslfinger:

saslfinger - postfix Cyrus sasl configuration Fr Apr 6 17:08:32 CEST 2007
version: 1.0
mode: server-side SMTP AUTH

-- basics --
Postfix: 2.1.5
System: Debian GNU/Linux 3.1 \n \l

-- smtpd is linked to --
libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0xb7d8c000)

-- active SMTP AUTH and TLS parameters for smtpd --
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous


-- listing of /usr/lib/sasl2 --
insgesamt 844
drwxr-xr-x 2 root root 4096 2007-04-02 20:39 .
drwxr-xr-x 31 root root 8192 2007-04-02 20:39 ..
-rw-r--r-- 1 root root 13492 2006-08-08 00:40 libanonymous.a
-rw-r--r-- 1 root root 851 2006-08-08 00:40 libanonymous.la
-rw-r--r-- 1 root root 13824 2006-08-08 00:40 libanonymous.so
-rw-r--r-- 1 root root 13824 2006-08-08 00:40 libanonymous.so.2
-rw-r--r-- 1 root root 13824 2006-08-08 00:40 libanonymous.so.2.0.19
-rw-r--r-- 1 root root 16298 2006-08-08 00:40 libcrammd5.a
-rw-r--r-- 1 root root 837 2006-08-08 00:40 libcrammd5.la
-rw-r--r-- 1 root root 16180 2006-08-08 00:40 libcrammd5.so
-rw-r--r-- 1 root root 16180 2006-08-08 00:40 libcrammd5.so.2
-rw-r--r-- 1 root root 16180 2006-08-08 00:40 libcrammd5.so.2.0.19
-rw-r--r-- 1 root root 47520 2006-08-08 00:40 libdigestmd5.a
-rw-r--r-- 1 root root 860 2006-08-08 00:40 libdigestmd5.la
-rw-r--r-- 1 root root 43944 2006-08-08 00:40 libdigestmd5.so
-rw-r--r-- 1 root root 43944 2006-08-08 00:40 libdigestmd5.so.2
-rw-r--r-- 1 root root 43944 2006-08-08 00:40 libdigestmd5.so.2.0.19
-rw-r--r-- 1 root root 13726 2006-08-08 00:40 liblogin.a
-rw-r--r-- 1 root root 831 2006-08-08 00:40 liblogin.la
-rw-r--r-- 1 root root 14028 2006-08-08 00:40 liblogin.so
-rw-r--r-- 1 root root 14028 2006-08-08 00:40 liblogin.so.2
-rw-r--r-- 1 root root 14028 2006-08-08 00:40 liblogin.so.2.0.19
-rw-r--r-- 1 root root 31248 2006-08-08 00:40 libntlm.a
-rw-r--r-- 1 root root 825 2006-08-08 00:40 libntlm.la
-rw-r--r-- 1 root root 30692 2006-08-08 00:40 libntlm.so
-rw-r--r-- 1 root root 30692 2006-08-08 00:40 libntlm.so.2
-rw-r--r-- 1 root root 30692 2006-08-08 00:40 libntlm.so.2.0.19
-rw-r--r-- 1 root root 20142 2006-08-08 00:40 libotp.a
-rw-r--r-- 1 root root 825 2006-08-08 00:40 libotp.la
-rw-r--r-- 1 root root 43184 2006-08-08 00:40 libotp.so
-rw-r--r-- 1 root root 43184 2006-08-08 00:40 libotp.so.2
-rw-r--r-- 1 root root 43184 2006-08-08 00:40 libotp.so.2.0.19
-rw-r--r-- 1 root root 13886 2006-08-08 00:40 libplain.a
-rw-r--r-- 1 root root 831 2006-08-08 00:40 libplain.la
-rw-r--r-- 1 root root 14096 2006-08-08 00:40 libplain.so
-rw-r--r-- 1 root root 14096 2006-08-08 00:40 libplain.so.2
-rw-r--r-- 1 root root 14096 2006-08-08 00:40 libplain.so.2.0.19
-rw-r--r-- 1 root root 21810 2006-08-08 00:40 libsasldb.a
-rw-r--r-- 1 root root 852 2006-08-08 00:40 libsasldb.la
-rw-r--r-- 1 root root 18692 2006-08-08 00:40 libsasldb.so
-rw-r--r-- 1 root root 18692 2006-08-08 00:40 libsasldb.so.2
-rw-r--r-- 1 root root 18692 2006-08-08 00:40 libsasldb.so.2.0.19




-- content of /etc/postfix/sasl/smtpd.conf --
#pwcheck_method: saslauthd
#mech_list: PLAIN LOGIN
#saslauthd_path: /var/run/saslauthd/mux
#autotransition:true

#pwcheck_method: pwcheck


## Eintrag 30.03.07
pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
saslauthd_path: /var/run/saslauthd/mux
autotransition:true


-- active services in /etc/postfix/master.cf --
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
smtp inet n - n - - smtpd
pickup fifo n - - 60 1 pickup
cleanup unix n - - - 0 cleanup
qmgr fifo n - - 300 1 qmgr
rewrite unix - - - - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
trace unix - - - - 0 bounce
verify unix - - - - 1 verify
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
smtp unix - - - - - smtp
relay unix - - - - - smtp
showq unix n - - - - showq
error unix - - - - - error
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - n - - lmtp
anvil unix - - n - 1 anvil

amavis unix - - - - 2 smtp
-o smtp_data_done_timeout=1200
-o smtp_send_xforward_command=yes
127.0.0.1:10025 inet n - - - - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8
-o strict_rfc821_envelopes=yes
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks

maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -d -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}

-- mechanisms on localhost --
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN

-- end of saslfinger output --

 

[Huschi]

Da scheint alles ok zu sein. Mach mal Deinen smtp gesprächiger (Verbose-Logging in Postfix), versuch es nochmal eine Email zu verschicken und schau Dir dann die mail.log an.

huschi.

 

[Envader]

Dort bringt er die gleichen Fehler.
Was auch komisch ist, dass der SASL einmal sauber startet und den Link unter "var/run/saslauthd" anlegt, wenn man ihn dann aber stoppt und neustartet, legt er nochmal einen link an unter "var/run/saslauthd/saslauthd" und dieser läuft dann immer weiter. Und wenn man ihn dann stoppt und neustarten will, so klappt es nicht mehr.

Noch eine Idee?

Danke!
Mathias

 

[Huschi]

"var/run/saslauthd/saslauthd"

Der Pfad ist auf jedenfall falsch.
Nach korrektem Einschalten von Verbose-Loggin, sollte die mail.log deutlich größer ausfallen.

huschi.

 

[Envader]

Hi,

das logging sieht wie folgt aus mit verbose:

Apr 10 22:18:34 vs1 postfix/smtpd[6966]: smtpd_sasl_authenticate: sasl_method LOGIN
Apr 10 22:18:34 vs1 postfix/smtpd[6966]: smtpd_sasl_authenticate: uncoded challenge: Username:
Apr 10 22:18:34 vs1 postfix/smtpd[6966]: > dyndslewe-ip-backbone.de[IP]: 334 VXNlcm5hbWU6
Apr 10 22:18:34 vs1 postfix/smtpd[6966]: < dyndslewe-ip-backbone.de[IP]: d2ViMXA0
Apr 10 22:18:34 vs1 postfix/smtpd[6966]: smtpd_sasl_authenticate: decoded response: web1p4
Apr 10 22:18:34 vs1 postfix/smtpd[6966]: smtpd_sasl_authenticate: uncoded challenge: Password:
Apr 10 22:18:34 vs1 postfix/smtpd[6966]: > dyndslewe-ip-backbone.de[IP]: 334 UGFzc3dvcmQ6
Apr 10 22:18:34 vs1 postfix/smtpd[6966]: < dyndslewe-ip-backbone.de[IP]: dGVzdDEy
Apr 10 22:18:34 vs1 postfix/smtpd[6966]: smtpd_sasl_authenticate: decoded response: test12
Apr 10 22:18:34 vs1 postfix/smtpd[6966]: warning: SASL authentication failure: cannot connect to saslauthd server: No such file or directory
Apr 10 22:18:34 vs1 postfix/smtpd[6966]: warning: dyndslewe-ip-backbone.de[IP]: SASL LOGIN authentication failed
Apr 10 22:18:34 vs1 postfix/smtpd[6966]: > dyndslewe-ip-backbone.de[IP]: 535 Error: authentication failed

Gruss
Mathias

 

[Huschi]

warning: SASL authentication failure: cannot connect to saslauthd server: No such file or directory

Ah, siehst Du! Hier wird es doch richtig deutlich.
Gemeint ist übrigends der Socket namens "mux".
Versichere Dich, daß er in /var/run/saslauthd/ liegt und alle nötigen Rechte hat.
(Gib uns mal ein "ls -l" von dem Verzeichnis.)

Ließ Dir nochmal folgendes Howto durch: Debian/Postfix: SMTP-Auth einrichten

Und verrate mir mal, warum Du smtpd (erste Zeile in der master.cf) nicht im chroot laufen läßt. Das wäre nämlich die std. Einstellung bei Debian.

huschi.

 

[Envader]

Hi,

der postfix läuft nun auch wieder im chroot in der master.cf, das war nur spielerei zum probieren.

Aber die Rechte sehen wie folgt aus:

srwxrwxrwx 1 root root 0 2007-04-11 21:35 mux
-rw------- 1 root root 0 2007-04-11 21:35 mux.accept
lrwxrwxrwx 1 root root 37 2007-04-07 16:38 saslauthd -> /var/spool/postfix/var/run/saslauthd/

Gruss
Mathias

 

[Envader]

Hallo,

der Post kann geschlossen werden, der Fehler ist gefunden.
Leerzeichen in einer Config können verhängnisvoll sein.

Danke trotzdem für die Hilfe.

Mathias

 

[Huschi]

Verrätst Du mir bitte wo das Leerzeichen zuviel war?

huschi.

 

[Envader]

in der /etc/postfix/sasl/smtpd.conf
war beim Pfad /var/run/saslauthd/
ein Leerzeichen zuviel, was leider nicht so einfach zu sehen war.

Gruss
Mathias

 

[Envader]

Ich hab doch noch eine Frage.
Wenn ich saslauthd das erste mal starte, geht alles normal, wenn ich ihn dann aber nochmal starten will, erscheint folgende Fehlermeldung:

Starting SASL Authentication Daemon: ln: ,,/var/run/saslauthd/saslauthd": Datei existiert

Und in dem Ordner /var/run/saslauthd/ gibt es ewig weit runterverzweigte Links auf saslauthd. Wie kann ich das abschalten?

Danke!
Mathias