PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : cyradm Login disabled



Sam Fisher
06.07.08, 15:43
Hallo Linux Freunde !
Ich habe ein kleines Problem. Ich habe gerade den neuen Mail-Server zusammengebaut und installiert. Genommen habe ich openSUSE 11.0. Ich habe apache und Postfix darauf installiert. Das hat alles super funktioniert.
Jetzt wollte ich den Mailserver installieren. Da wir am alten Server auch Cyrus laufen hatten, habe ich ihn erneut installiert.

Leider komme ich nicht in das Verwaltungstool cyradm. Immer wenn ich

cyradm --auth plain localhost --user cyrus
eintippe bekomme ich folgende Fehlermeldung:

Login disabled.
cyradm: cannot authenticate to server with plain as cyrus

Ich kann mir diese Fehlermeldung aber nicht erklären, da ich den Benutzer Cyrus angelegt habe. Das Password ist auch gesetzt.


mailserver:/ # sasldblistusers2
cyrus@mailserver: userPassword


In der /etc/imap.conf ist auch User cyrus als Admin eingetragen:

configdirectory: /var/lib/imap
partition-default: /var/spool/imap
sievedir: /var/lib/sieve
admins: cyrus root
allowanonymouslogin: no
autocreatequota: 10000
reject8bit: no
quotawarn: 90
timeout: 30
poptimeout: 10
dracinterval: 0
drachost: localhost
sasl_pwcheck_method: saslauthd
lmtp_overquota_perm_failure: no
lmtp_downcase_rcpt: yes

Das ist hier das einzige was zu diesem Zeitpunkt im LOG-File zu finden ist:

Jul 6 15:41:18 mailserver master[9638]: about to exec /usr/lib/cyrus/bin/imapd
Jul 6 15:41:18 mailserver imap[9638]: executed
Jul 6 15:41:18 mailserver imap[9638]: accepted connection



Ich verstehe das nicht, da ich das schon oft gemacht habe. Entweder ich habe hier irgend was übersehen oder das ist ein Bug von openSUSE 11.0

Bitte kann mir jemand von euch weiter helfen.
Vielen Dank
Viele Grüße
Sam

Theo Retisch
06.07.08, 16:44
Läuft der saslauthd? Gibt der saslauthd beim Anmeldeversuch eine Meldung oder einen Fehler zurück?

Starte evtl. zu Diagnosezwecken saslauthd einmal mit dem Parameter "-d -V".

Auch die /var/log/auth.log kann evtl. Fehlermeldungen enthalten.

Das ist so das, was mir adhoc so einfällt.

Gruß
Theo

Theo Retisch
06.07.08, 16:46
Achso, noch etwas:

In Deiner imap.conf fehlt der Parameter:

sasl_mech_list: PLAIN LOGIN

Gruß zum zweiten
Theo

Sam Fisher
06.07.08, 17:06
Hallo !
Ich habe den Fehlenden Parameter ergänzt. Leider hat sich daran nix geändert. Es laufen alle wichtigen Dienste.
Ich bin nur etwas verwundert, da ich an dieser stelle schon oft Login-Probleme hatte, aber noch nie ein Login disabled. bekommen habe.

Weis sonst noch wer rat?
Viele Grüße
Sam

Theo Retisch
06.07.08, 17:31
Hat bei Dir der Systemuser, unter dem der Cyrus läuft ein Zugriffsrecht auf /var/run/saslauthd?

Ich packe unter Debian den Benutzer cyrus in die Gruppe "sasl" und mache einen "chgrp sasl" auf /var/run/saslauthd.

Sam Fisher
06.07.08, 17:37
Cyrus läuft ein Zugriffsrecht auf /var/run/saslauthd?

Hallo !
Unter SUSE gibt es diesen Pfad nicht, aber auf die saslpasswd hat der User Cyrus zurgiffsrechte. Ich glaube nicht, dass es sich um einen Berechtigungsfehler handelt, sondern eher und einem konfigurationsfehler. Kann es sein, dass sich bei irgend einem Update was geändert hat und dass ich cyradm erst in irgend einer config freischalten mus?
Vielen Dank
Sam

Theo Retisch
06.07.08, 17:43
Cyrus benötigt Zugriff auf das Unix-Socket, irgendwo müssen PID und Socket ja liegen ;)

Mach' doch mal einen "lsof |grep saslauthd".

Sam Fisher
06.07.08, 18:08
Hallo !
Unter openSUSE liegt sie unter /usr/sbin/. Die Rechte für die Datei waren auf 777. Ich habe das nicht eingestellt, das war schon so.

Irgend wie hilft das glaube ich nicht weiter.
Viele Grüße
Sam

Theo Retisch
06.07.08, 18:12
Unter /usr/sbin sollte nur das Binary liegen, Du benötigst Zugriff auf das Socket!

masa069
06.07.08, 21:54
Login disabled.
cyradm: cannot authenticate to server with plain as cyrus


Sind die Module für den saslauthd denn auch installiert?
Bei Debian sind die z.B. unter /usr/lib/sasl2/

Es sollten sich irgendwo diese Dateien finden lassen:




libplain.a
libplain.la
libplain.so
libplain.so.2
libplain.so.2.0.19




MfG
masa069

Sam Fisher
07.07.08, 08:15
Sind die Module für den saslauthd denn auch installiert?
Hallo !
Die liegen bei mir zwar unter /usr/lib64/sasl2/, aber die DAteien sind dort drin, ja.
Theo Retisch ist das mit mir gestern weiter im IRC durchgegangen. Leider konnten wir nicht wirklich den Fehler finden. Ich glaube es ist das beste, wenn ich die Kiste noch mal neu aufsetze. Vielleicht hilft das was.

Vielen Dank
Sam

JeanLuc12
07.07.08, 11:30
Hallo Sam,

ich habe genau das gleiche Problem (OpenSuse 11.0).
Der Befehl
cyradm --user cyrus --server localhost --auth plain
bringt das Ergebnis
Login disabled.
cyradm: cannot authenticate to server with plain as cyrus

Ich google schon das ganze Wochenende und dies ist der erste Beitrag, der meinem Problem gleicht! Hast Du das Problem mittlerweile gelöst bzw. hat es mit der Neuinstallation geklappt. Hast Du dabei evtl. etwas anders gemacht?

komaii
07.07.08, 14:23
probiers mal so:
cyradm -user cyrus -auth login -server localhost

lg,
-tom

wolfgangkueter
07.07.08, 16:31
Ich hatte das Problem mit einer 11.0er SuSE bis vor wenigen Minuten auch ...

Bei der SuSE 11.0 brauchst Du in /etc/imapd.conf

# SuSE 11.0 Fix, war vor 11.0 nicht noetig
allowplaintext: yes
# Ende 11.0 Fix

Du kriegst naemlich auch bei
telnet localhost 110
user eine_mailbox

-ERR [AUTH] USER command only available under a layer

Da scheinen sich Default Einstellungen geaendert zu haben, plaintext duerfte vorher normalerweise aktiviert gewesen sein.

Wolfgang

JeanLuc12
07.07.08, 22:25
Hallo wolfgangkueter,

vielen Dank für die schnelle Antwort!
Jetzt funktioniert es!

Sam Fisher
08.07.08, 11:20
Hallo !
@wolfgangkueter: Vielen dank für die Lösung des Problems. Jedoch habe ich es vorher schon anders gelöst. Ich habe openSUSE gelöscht und Debian installiert. Denn irgend wie kommt mir openSUSE 11.0 noch nicht wirklich ausgereift vor. Da hackt es noch an ein paar Ecken. Eigentlich schade..

Trotzdem vielen Dank an alle die hier zur Lösung mit beigetragen haben.
Viele Grüße an alle
Sam

leiner
31.08.08, 20:41
Bei der SuSE 11.0 brauchst Du in /etc/imapd.conf

# SuSE 11.0 Fix, war vor 11.0 nicht noetig
allowplaintext: yes
# Ende 11.0 Fix



Da scheinen sich Default Einstellungen geaendert zu haben, plaintext duerfte vorher normalerweise aktiviert gewesen sein.

Wolfgang

So auch von mir danke schön.
Hatte das gleich Problem und hier stand die Lösung.

Danke!

Leiner

Neander
17.04.09, 12:29
Bei der SuSE 11.0 brauchst Du in /etc/imapd.conf

# SuSE 11.0 Fix, war vor 11.0 nicht noetig
allowplaintext: yes
# Ende 11.0 Fix

...
Da scheinen sich Default Einstellungen geaendert zu haben, plaintext duerfte vorher normalerweise aktiviert gewesen sein.

Wolfgang

Habe ich Euch richtig verstanden, dass bei plaintext Passwörter im Klartext übertragen werden?

Wenn ja, gibt es da keine andere Lösung? Such auch schon seit ein paar Tagen danach

fubar
02.06.10, 15:40
allowplaintext: yes
Hat bei mir ebenfalls so funktioniert.
Eine Antwort auf die Fragen meines Vorposters wuerden mich sehr interessieren.

regards
fubar

hessijens
02.06.10, 16:10
Habe ich Euch richtig verstanden, dass bei plaintext Passwörter im Klartext übertragen werden?

Ja, stimmt völlig, ein LOGIN oder PLAIN wird das Passwort im Klartext übertragen. Aber wenn Cyrus eh nur auf "localhost" hörcht, wer soll dann wo das Passwort abfangen? Auch besagt die Option allow_plaintaxt="YES" nur, dass es erlaubt ist. Das heißt noch lange nicht, dass es auch verwendet wird.


Wenn ja, gibt es da keine andere Lösung? Such auch schon seit ein paar Tagen danach

Es gibt zwei/drei Möglichkeiten.

Erstens die Verbindung über SSL bzw. TLS laufen zu lassen (man imapd.conf nach TLS suchen, bzw. in man cyrus.conf nach ssl).

Zweitens DIGEST-MD5 oder CREAN-MD5 verwenden. Das geht aber nur wenn Cyurs die Passwörten im Klartext kennt, was meines Wissens nur über sasldb oder ldapdb funktioniert. Die stehen dann in der Datei sasldb bzw. im ldap Verzeichnis im Klartext.

Die dritte Möglichkeit wäre GSSAPI. Dazu braucht man aber eine Kerberosumgebung und die wenigsten Mailclients sprechen GSSAPI. Das gibt dann nur Ärger mit den Usern, daher eben eigentlich nur zwei Möglichkeiten, wobei die single sign Variante von Kerberos die eigentlich eleganteste ist.