Postfix, sasl y winbind

To: debian-user <debian-user-spanish@lists.debian.org>
Subject: Postfix, sasl y winbind
From: Rubén Salazar Estal <rsalazar@bombers.dva.gva.es>
Date: 11 Nov 2003 12:26:40 +0100
Message-id: <[🔎] 1068550000.3008.6.camel@cpv0489>
Buenas...

El mensaje es un poco largo, avisados estais ;-)

Antecedentes: Tenemos un par de dominios en W2000(tres maquinas en
total), una maquina linux que hace dns, servidor de impresoras y
samba. Los dominios estan en modo nativo, (lo que por lo que tengo
entendido hace bastante mas dificultoso su entendimiento con samba).
Una de las maquinas W2000 ademas tiene el exchange para el correo.

La intencion es realizar una migracion completa de los servidores y
tiene que haber una disponibilidad total de la red en todo momento.
Y copiar a mano todos los usuarios no es una opcion dada la cantidad.
Por lo que nos metemos con winbind.

He configurado una maquina con samba3 + winbind desde la que soy capaz
de autentificarme con un usuario del dominio del W2000. Usuario del
modo DOMINIO+user.

Uno de los primeros pasos seria migrar el servidor de correo, a eso
vamos:
Instalamos postfix y postfix-tls, lo que es la configuracion basica
parece ir correctamente, pero a la hora de juntar la autentificacion a
traves de winbind la liamos. (Al final pondre las versiones y los
ficheros de configuracion utilizados).

Para probar hago un telnet desde otra maquina al puerto 25, parece que
inicia la sesion y a los pocos segundos se cierra.
En los logs aparece:
Nov  6 13:26:42 xxx postfix/smtpd[491]: fatal: no SASL authentication
mechanisms
Nov  6 13:26:43 xxx postfix/master[343]: warning: process
/usr/lib/postfix/smtpd pid 491 exit status 1
Nov  6 13:26:43 xxx postfix/master[343]: warning:
/usr/lib/postfix/smtpd: bad command startup -- throttling

Ficheros de configuracion utilizados:

En /etc/postfix/main.cf añadimos:
# Configuracion sasl

smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions = permit_sasl_authenticated 
                               permit_mynetworks 
                               check_relay_domains
smtpd_sasl_security_options = noanonymous
#smtp_sasl_security_options = noanonymous
#smtp_sasl_auth_enable = yes

En /etc/postfix/sasl/smtpd.conf:
pwcheck_method: pam

Aqui he probado con pam, auxprop, saslauth

En /etc/pam.d/smtp

#%PAM-1.0
auth    required        /lib/security/pam_permit.so
#auth       required     /lib/security/pam_securetty.so
#auth       sufficient   /lib/security/pam_winbind.so
#auth       sufficient   /lib/security/pam_unix.so use_first_pass
#auth       required     /lib/security/pam_stack.so service=system-auth
#auth       required     /lib/security/pam_nologin.so
#account    sufficient   /lib/security/pam_winbind.so
#account    required     /lib/security/pam_stack.so service=system-auth
#password   required     /lib/security/pam_stack.so service=system-auth
#session    required     /lib/security/pam_stack.so service=system-auth
#session    optional     /lib/security/pam_console.so

Como podeis ver para probar lo he comentado todo y doy permiso, pero
tambien he probado sin la segunda linea(la primera auth) y todo lo
demas descomentado.

Versiones utilizadas:

winbind        3.0.0final-1
samba          3.0.0final-1
samba-common   3.0.0final-1
postfix        1.1.11-0.woody
postfix-ldap   1.1.11-0.woody
postfix-pcre   1.1.11-0.woody
postfix-tls    1.1.11+tls0.7.
libsasl2       2.1.12-1
libsasl2-modul 2.1.12-1
libsasl7       1.5.27-3
sasl2-bin      2.1.2-2


Bueno las preguntas:
El error ese de sasl de no haber mecanismos de autentificacion, alguna
forma de arreglarlo? (he pasado por google ya, y he encontrado de todo
un poco pero no parece que se arregle con nada).

Habeis llevado a cabo alguien una migracion como esta?, si es asi me
gustaria conocer como la habeis abordado.
Sobretodo me interesa "chupar" el maximo de datos posible del
directorio activo (usarios y contraseñas).
Desde ldap podria "chupar" esos datos?, no lo he tocado porque por lo
poco que he visto de ldap tengo que crear una estructura que me
gustaria obtener de lo que ya hay (el directorio activo).

Una vez postfix autentifique las cuentas de correo tendran la forma
DOMINIO+usuario@domain.com, y quiero que sean de la forma
usuario@domain.com esto es asi necesariamente y lo tendria
que arreglar utilizando alias para cada usuario o se puede hacer de
otra forma?


Bueno, pues eso de todo un poco, pongo algunos links de donde he
sacado informacion que seguro que a mas de uno os interesa este tema.

http://concepcion.upv.es/~pask/papers/SASL-POSTFIX-NTLM_AUTH
http://www.linuxparatodos.net/linux/15-1-como-postfix-sasl.php
http://postfix.wl0.org/es/enlaces-castellano/
http://pinsa.escomposlinux.org/sromero/linux/postfix_cf.html

y otros dos muy utiles:

http://www.wlug.org.nz/ActiveDirectorySamba
http://www.wlug.org.nz/ActiveDirectoryKerberos
Me parece que todo ese wiki es una mina....


Salu2 y gracias.
Reply to:
Prev by Date: Nuevo usuario WILOTAS
Next by Date: Mosqueante
Previous by thread: Nuevo usuario WILOTAS
Next by thread: Mosqueante
Index(es):
- Date
- Thread