PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : saslauthd Authentifizierung über LDAP



Awacs
28.09.08, 13:41
Hallo,

kennt sich jemand mit saslauthd und LDAP aus ???

Ich habe mir einen Mail-Server aufgesetzt und mich dabei an das Debian Mailserver Howto (http://www.linuxforen.de/forums/showthread.php?t=240031) von OliverH gehalten.
Das hat auch alles wunderbar funktioniert. Jetzt will ich die Authentifizierung aber nicht über PAM, sondern über LDAP an ein Microsoft AD.

Dazu habe ich die /etc/default/saslauthd angepasst:

START=yes
MECHANISMS="ldap"
MECH_OPTIONS=""
THREADS=5
OPTIONS="-c"


und die /etc/saslauthd.conf auch:


ldap_servers: ldap://dc.home.local
ldap_bind_dn: cn=cyrus,ou=Benuter,dc=home,dc=local
ldap_search_base: ou=Benutzer,dc=home,dc=local
ldap_password: mail
ldap_filter: (cn=%u)
#ldap_auth_method: bind


Wenn ich dann teste:

mail:/home/awacs# testsaslauthd -u cyrus -p mail
0: NO "authentication failed"

und in der /var/log/auth.log

Sep 28 13:37:58 mail saslauthd[3592]: server_exit : master exited: 3592
Sep 28 13:37:58 mail saslauthd[3672]: detach_tty : master pid is: 3672
Sep 28 13:37:58 mail saslauthd[3672]: ipc_init : listening on socket: /var/run/saslauthd/mux
Sep 28 13:38:01 mail saslauthd[3673]: Authentication failed for cyrus: Bind to ldap server failed (invalid user/password or insufficient access) (-7)
Sep 28 13:38:01 mail saslauthd[3673]: do_auth : auth failure: [user=cyrus] [service=imap] [realm=] [mech=ldap] [reason=Unknown]

Kann mir da jemand weiterhelfen?

Das System ist ein Debian Etch.

Roger Wilco
28.09.08, 13:57
Sep 28 13:38:01 mail saslauthd[3673]: Authentication failed for cyrus: Bind to ldap server failed (invalid user/password or insufficient access) (-7)
Das ist doch ein schöner eindeutiger Hinweis. Du hast dich nicht (korrekt) an deinem LDAP-Server authentifiziert.

Kleiner Tipp dazu: ldap_password

Awacs
28.09.08, 14:24
Kleiner Tipp dazu: ldap_password

Den Tipp verstehe ich nicht. :confused:

Das Passwort ist richtig. Mit einem LDAP-Browser kann ich mich mit dem User/Pass problemlos anmelden.

Roger Wilco
28.09.08, 14:29
Ok, das heißt das Passwort stimmt deiner Meinung nach. Stimmt auch der Wert für ldap_bind_dn bzw. kannst du dich mit dem Passwort und diesen Daten mit einem normalen LDAP-Client am Server anmelden?

Awacs
28.09.08, 15:11
Mit meinem LDAP Browser kann ich mich mit dem DN anmelden.

Awacs
28.09.08, 17:25
Ich hab einen Teilerfolg :)

Ich habe den Benutzer cyrus in den Ordner Users (da wo der Administrator auch liegt) geschoben und schon klappt es auch mit dem authentifizieren.
Ich verstehe zwar noch nicht ganz wieso, aber das ist erstmal zweitrangig.

Mein Problem ist aber das ich nur Benutzer authentifizieren kann die direkt in der OU Benutzer liegen. Die OUs dadrunter werden nicht durchsucht. Kann man das irgendwie erweitern?