Re: postfix et authentification

[mouss <mouss@netoyen.net>]

Remi Suinot wrote:
> Bonsoir;
>
> En ce Tue, 05 Feb 2008 20:04:56 +0100, le sermon de Nicolas KOWALSKI <niko@petole.dyndns.org> contenait:
>
>   
> > mouss <mouss@netoyen.net> writes:
> >
> >     
> > > je ne vois pas PLAIN comme mecanisme d'authentification. vérifie que
> > > t'as bien module sasl PLAIN. C'est un comble d'avoir LOGIN (qui
> > > n'est pas standard) mais pas PLAIN (qui est standard).
> > >       
> > Effectivement, mea culpa maxima pour cette erreur.
> >
> > A modifier dans /etc/postfix/sasl/smtpd.conf:
> >
> > mech_list: plain login
> >     
>
> J'ai (enfin!) pu faire des essai de l'extérieur de mon réseau:
> config de sylpheed ssl + méthode login. Voila une partie des log:
> xsasl_cyrus_server_create: SASL service=smtp, realm=master.suinot.org
> name_mask: noanonymous
> connect from lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]
> .../...
> send attr request = connect
> send attr ident = smtp:xx.yy.zz.ww
> private/anvil: wanted attribute: status
> input attribute name: status
> input attribute value: 0
> private/anvil: wanted attribute: count
> input attribute name: count
> input attribute value: 1
> private/anvil: wanted attribute: rate
> input attribute name: rate
> input attribute value: 1
> private/anvil: wanted attribute: (list terminator)
> input attribute name: (end)
>   
> > lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: 220 master.suinot.org ESMTP Postfix (Debian/GNU)
> >     
> < lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: ?t???
> match_string: ?t??? ~? CONNECT
> match_string: ?t??? ~? GET
> match_string: ?t??? ~? POST
> match_list_match: ?t???: no match
>   
> > lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: 502 5.5.2 Error: command not recognized
> >     
>
> Autre test: méthode login + utiliser statls pour ssl
> là, c'est un peu mieux:
> TLS connection established from lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: TLSv1 with cipher DHE-RSA-AES256-SHA (2
> 56/256 bits)
> < lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: EHLO localhost.localdomain
>   
> > lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: 250-master.suinot.org
> > lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: 250-PIPELINING
> > lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: 250-SIZE 10240000
> > lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: 250-VRFY
> > lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: 250-ETRN
> > lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: 250-AUTH LOGIN
> >     
> match_list_match: lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net: no match
> match_list_match: xx.yy.zz.ww: no match
>   
> > lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: 250-AUTH= LOGIN
> > lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: 250-ENHANCEDSTATUSCODES
> > lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: 250-8BITMIME
> > lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: 250 DSN
> >     
> < lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: AUTH LOGIN
> xsasl_cyrus_server_first: sasl_method LOGIN 
> xsasl_cyrus_server_auth_response: uncoded server challenge: Username:
>   
> > lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: 334 VXNlcm5hbWU6
> >     
> < lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: ZnJlZGVyaWM=
> xsasl_cyrus_server_next: decoded response: frederic
> xsasl_cyrus_server_auth_response: uncoded server challenge: Password:
>   
> > lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: 334 UGFzc3dvcmQ6
> >     
> < lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: ZnJlZGVyaWM=
> xsasl_cyrus_server_next: decoded response: frederic
> warning: SASL authentication failure: cannot connect to saslauthd server: No such file or directory 
> warning: lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: SASL LOGIN authentication failed: generic failure
>   
> > lns-bzn-37-xx.yy.zz.ww.adsl.proxad.net[xx.yy.zz.ww]: 535 5.7.0 Error: authentication failed: generic failure
> >     
>
> je ne pense pas que ce soit le mot de passe, puisque le pops fonctionne avec les même valeurs de login/mot de passe.
>   

si tu ne l'as pas déjà fait, je te conseille de changer le mot de passe 
immédiatement. la prochaine fois, utilise un compte de test "limité" 
avant d'envoyer le login et password au public (base64, c'est pas 
chiffré, c'est juste mis en base64).

- est-ce que saslauthd est lancé?
- est-ce que postfix est en chroot? Dans master.cf, à la colonne du 
chroot, il doit y avoir un 'n' et non un 'y' ni un '-'.


grande question: tu utilises quoi comme serveur pop/imap?
- si tu utilises dovecot, alors il vaut mieux utiliser dovecot-auth au 
lieu de cyrus-sasl
- si tu utilises courier, tu peux configurer cyrus-sasl pour utiliser 
authdaemon

dans tous les cas, tu peux utiliser dovecot-auth (même sans utiliser 
dovecot comme serveur pop/imap). c'est bien plus simple que cryus-sasl, 
qui semble poser tellement de problèmes à plein de monde...