PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : cyrus-sasl+ldaps+cyrus-imapd SSL-Auth. Problem



steam
16.12.05, 15:39
Hallo an alle. Ich bastle gerade an einem IMAP-Mail-server. Bekomme ein Problem mit Authentifikation über cyrus-sasl gegen den LDAP.
Folgende konfiguration IMAPD --> saslauthd --> LDAP. LDAP pflegt einen Userbaum, wo sasl sich die Infos hollt.
Das ganze habe ich auch hinbekommen, läuft, allerdings NUR ohne TLS. Die kommunikation zwieschen dem saslauthd und LDAP funzt. Sobalt ich aber auf TLS umsteigen will, bekomme ich folgende Fehlermeldung:


Dec 16 15:14:51 dienst imap[2471]: badlogin: maddog.<xxxxxxxxxx>.<xxx> [10.1.2.96] plain [SASL(-16): encryption needed to use mechanism: security flags do not match required]
Dec 16 15:14:54 dienst saslauthd[2429]: Retrying authentication
Dec 16 15:14:54 dienst saslauthd[2429]: do_auth : auth failure: [user=steam] [service=imap] [realm=] [mech=ldap] [reason=Unknown]
Dec 16 15:14:54 dienst imap[2471]: badlogin: maddog.<xxxxxxxxx>.<xxx> [10.1.2.96] plaintext steam SASL(-13): authentication failure: checkpass failed


die konfigurationsdateien sehen so aus:



# /etc/imapd.conf
postmaster: postmaster
configdirectory: /var/imap
partition-default: /var/spool/imap
sasl_pwcheck_method: saslauthd
sasl_minimum_layer: 0
sasl_mech_list: CRAM-MD5 DIGEST-MD5 PLAIN LOGIN
allowplaintext: yes
sasl_auto_transition: yes
sasl_saslauthd_path: /var/state/saslauthd/mux

servername: dienst.<xxxxxxxxx>.<xxx>
allowanonymouslogin: no

admins: cyrus root
srvtab: /var/imap/srvtab
hashimapspool: true
#
timeout: 30
poptimeout: 10
dracinterval: 0
drachost: localhost
#
sievedir: /usr/sieve
sieve_maxscriptsize: 32
sieve_maxscripts: 5
tls_require_cert: no
tls_ca_file: /etc/certs/cacert.pem
tls_cert_file: /etc/certs/cert.pem
tls_key_file: /etc/certs/key.pem
tls_cipher_list: HIGH:MEDIUM:+SSLv3




# /etc/saslauthd.conf
ldap_servers: ldaps://ldap-m/ # so funzt nicht
#ldap_servers: ldap://ldap-m/ # so funzt wunderbar !
ldap_tls_check_peer: no
ldap_tls_cacert_file: /etc/certs/cacert.pem
ldap_tls_cert: /etc/certs/cert.pem
ldap_tls_key: /etc/certs/key.pem
ldap_tls_ciphers: HIGH:MEDIUM:+SSLv3
ldap_search_base: dc=<xxxxxxxxxx>,dc=<xxx>


bin langsam am verzweifeln. Die Certifikate sind in Ordnung, da die für andere Dienste funktionieren. Vorallem interessiert mich, was für encryption für den mechanism er will und um welche security flags es geht.