PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : cyrus an SAMBA-PDC authentifizieren



leiner
22.11.11, 14:16
Hay Leute

Ich möchte eine Cyrus-Imap-Server aufsetzen der seine user gegen meinen Samba-PDC authentifiziert.

Mir leuchtet aber im Moment nicht so recht ein wie ich winbind und/oder pam konfigurieren muss, und ob da Nsswitch auch noch mit spielt.

Im Moment authentifiziert cyrus über sasl und pam gegen die locale passwd/shadow. Aber ich möchte nicht die user auf zwei Servern pflegen.

LDAP habe ich nicht am laufen - ist für später auf meiner Wunschliste, aber im Moment würde es mehr fragen als Lösungen bringen.

Danke für eure Mithilfe

Gruss Leiner

stefaan
23.11.11, 19:16
Servus,

Samba braucht eh lokale User, d.h. die müssen auch über LDAP laufen.
Dann ist Cyrus-Auth über PAM (das geht dann auf LDAP) kein Problem.

Läuft hier in etwa nach dem hier (+Cyrus):
http://www.howtoforge.com/openldap-samba-domain-controller-ubuntu7.10-p2

(nur auf Ubuntu 10.04 und mit Gosa)

Edit:
Zu früh geschossen, ohne LDAP:
Ev. versuchen, Samba & PAM zu verknüpfen... Google bringt was dazu...

Grüße, Stefan

leiner
06.12.11, 16:47
So habs hin bekommen

Wirklich verstanden hab ich aber noch nicht.
In meiner openSuse 11.4 nach dieser http://gertranssmb3.berlios.de/output/winbind.html Anleitung winbind konfiguriert so weit die Anforderung passt.
Bei mir soll ja nur Cyrus-Imap gegen Winbind Authentifiziert werden.
Also in die /etc/pam.d/imap bei auth die Zeile
auth sufficient pam_winbind.so debug eingefügt.
Danach kommt in meiner Suse noch "auth include common-auth" das wars für auth.

Nach meinem Verständniss hätte aber bei erfolgreichen Authentifizierung gegen Winbind_pam die Common-Auth gar nicht mehr aufgerufen werden dürfen.
Wie gesagt hab da wohl einiges noch nicht ganz verstanden.

Nach viel probieren/googlen/... habe ich mir eine eigen /etc/pam.d/imap gebaut, aus den zusammen kopierten common-xxx und einem Beitrag im einem Ubuntu-Forum.

#%PAM-1.0
#
auth required pam_env.so
auth optional pam_gnome_keyring.so
auth sufficient pam_unix2.so
auth required pam_winbind.so use_first_pass
#
account required pam_unix2.so debug
#
password requisite pam_pwcheck.so nullok cracklib
password optional pam_gnome_keyring.so use_authtok
password required pam_unix2.so use_authtok nullok debug
#
session required pam_limits.so
session required pam_unix2.so
session optional pam_umask.so
session optional pam_gnome_keyring.so auto_start only_if=gdm,lxdm


Der wesentlichste Unterschied zu meinem Versuch ist, das nun pam_unix2.so mit sufficient vor pam_winbind.so als required steht.

Warum die Reihenfolge nicht egal ist wüst ich auch gern.

Wirklich zufrieden bin ich irgend wie noch nicht.
1. Ich muss die Cyrus Postfächer als domaine_user legen,und irgendwie aus eine normalen Emailadresse eine DOMAINE_user@ email bauen. (bislang in de aliases)

2. Bislang habe ich nur den Unterstrich gefunden als Domainentrenner den cyrus als Bestandteil des user-postfachnamen akzeptiert. Bei zum Beispiel "+" oder ":" sagt er das es das Postfach nicht gibt.

So weit erst mal

Kommentare / Ideen sind sehr willkommen!!

Leiner