LINUX.ORG.RU
ФорумAdmin

2Alex_Iza:smtp-auth-другое решение проблемы+еще вопрос


0

0

>Надо настроить DNS правильно.
>Тоесть sasl хранит пароли в виде юзер хост пароль тоесть если он ваш хост(сервера)
>резолвит не так как у него в файле то аутентификация не проходит, соответственно кога
>вы шлете пользователя user@host все работает.
>И после настройки DNS перезаведите всех юзверов.
Aleks IZA (*) (2002-06-07 07:54:37.207)

1. Хоть убейте :), не пойму, что означает правильная настройка ДНС в этом контексте?
ДНС настроен вроде бы как полагается:
в файле mydomain.ru.db :
ns1 A w.x.y.z
(пробовалось также и ns1.mydomain.ru. A w.x.y.z)
ns1 - named-сервер, а также тестовый почтовик, на котором я отлаживаю
smtp-авторизацию. Почта на ns1.mydomain.ru извне доходит и также уходит в мир.
В обратной зоне:
z PTR ns1.mydomain.ru.
Cooтветственно в настройках Netscape Messanger'a в качестве входящего/исходящего
серверов указан ns1.mydomain.ru
traceroute w.x.y.z дает полное имя ns1.mydomain.ru.

Оказалось, что sasl берет имя хоста из /etc/hosts.
Там было только имя хоста (ns1), после изменения его на FQDN ns1.mydomain.ru
(c/п hostname -v ns1.mydomain.ru) новый юзер в sasldb действительно завелся с полным именем
newuser@ns1.mydomain.ru и авторизация прошла на ура при просто указанном newuser
в настройках клиента!
Только остается вопрос, не выйдет ли потОм боком FQDN в hosts?

2. Доку не то чтобы внимательно читать , уже на свет, на вкус, на цвет ;) Но нашлось
только вот это из SMTP AUTH for sendmail 8.10: Realms and Examples :
"Realms and PLAIN/LOGIN
As it can see from the list of possible pwcheck_methods, some of them support realms for
PLAIN/LOGIN while others don't. This requires either a patch for lib/checkpw.c (applies to
1.5.15, at least integrated since 1.5.20) or the client to add @HOST.DOMAIN to the authid. "

Насколько я понимаю, эта проблема решается либо патчем, который
интегрирован в sasl начиная с версии 1.5.20 (у меня же 1.5.27, значит checkpw.c уже должен быть с
этой правкой)Проверяю этот патч - ничего подобного, мой checkpw.c в этой части отличается,
этого стоило ожидать - простая авторизация же не проходит (интересно, чего же они
врут про integrated since 1.5.20 ?)
Если вручную править checkpw.c в соответствии с этим патчем, то ведь
нужно будет пересобирать sasl? Ладно, пойдем дальше. А дальше там говориться: "...
или добавить @HOST.DOMAIN в клиенте" - ну это мы проходили, так оно
срабатывает.

3. Остался только один вопрос: для того чтобы плюс к авторизации происходила еще и проверка поля
From: на одинаковость с именем авторизующегося юзера, нужно писать дополнительные правила в sendmail.cf?
Не встречались ли в сети какие-нибудь заготовки?

Да, огромное спасибо за ответ, направивший-таки меня по правильному пути :)
Wbr, Sciurus.

anonymous

Еще одно решение обнаружилось :)

hosts cначала нужно вернуть в нормальный вид: ns1
saslpasswd -a sendmail -u ns1.mydomain.ru newuser

sasldblistusers:
user:newuser realm:ns1.anrb.ru mech:PLAIN

Авторизация на ура походит!

Только удалять юзера нужно также с ключом u - иначе говорит unknown user:
saslpasswd -d -u ns1.mydomain.ru newuser

Wbr, Sciurus.

anonymous
()

Опечатки :(

В обоих сообщениях вместо hosts следует читать HOSTNAME
Sciurus.

anonymous
()

Точки над i :)

Во-первых, в предыдущих сообщениях у меня опечатки: не /etc/hosts, a /etc/HOSTNAME
Во-вторых, как выяснилось, для того чтобы изменение имени хоста на полное доменное
осталось и после перезагрузки, нужно редактировать не HOSTNAME, а файл
/etc/sysconfig/network
Теперь вроде все прояснилось , кроме вопроса о соответствии поля FROM и
username

anonymous
()

Ну с первым вопрос как я понял все OK.

Второй вопрос , я ставил sasl на сервак более года назад и уже давно его не поддерживаю , plain работал на ура без дополнительных пачей.

3

В доке к sendmail будет идти описаине макросов . Есть там три макроса именно
для sasl , на память не помню тоесть сравниваем макрос имени юзера из sasl
с полем from: если не сходится то денайтим юзвера.

Желаю удачи. Если что у меня где-то есть мой старый кронфиг с эими макросами
могу посмотреть , если еще не нашли то мыло iza@mail.ru

Aleks_IZA
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.