Подскажите с Dovecot + Kerberos/GSSAPI
Подскажите как настроить Dovecot с Kerberos/GSSAPI аутентификацией, установил Dovecot 1.2.15 с репа на дебиан а понятной доки по настройке найти не могу. Может есть примеры какие?
спосиб ща читану))
ну тут все ясно а керберос как соеденить с dovecot?, я ввел дебиан в домен, керберос получает билеты.
С помощью pam (Pluggable Authentication Modules).
mail_debug = yes
auth_verbose = yes
auth_debug_passwords = yes
protocols = imap pop3
mail_location = maildir:/var/mail/%u
first_valid_uid = 0
mail_uid = 8
mail_gid = 8
userdb static <
args = uid=mail gid=mail home=/var/vmail/%u
>
passdb pam <
>
client <
path = /var/spool/postfix/private/auth
mode = 0777
>
>
>
@include common-auth
@include common-account
@include common-session
auth sufficient pam_krb5.so
account sufficient pam_krb5.so
Mar 20 16:45:01 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 20 16:45:01 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 20 16:45:02 newmail dovecot: auth(default): new auth connection: pid=30414
Mar 20 16:45:02 newmail dovecot: auth(default): new auth connection: pid=30413
как проверить имеются ли в наличии эти модули, работают ли они, и почему пишет imap-login .
# telnet localhost 143
Trying ::1.
Trying 127.0.0.1.
Connected to localhost.
Escape character is ‘^]’.
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE AUTH=GSSAPI] Dovecot ready.
openssl s_client -connect localhost:993
openssl BAD Error in IMAP command received by server.
a capability
* CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE SORT SORT=DISPLAY THREAD=REFERENCES THREAD=REFS MULTIAPPEND UNSELECT IDLE CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS AUTH=GSSAPI
a OK Capability completed.
a authenticate GSSAPI
a NO [UNAVAILABLE] Temporary authentication failure.
Kerberos не настроен(не создан keytab).
Вот по этой статье я в свое время создавал keytab http://xgu.ru/wiki/Squid,_Kerberos_%D0%B8_LDAP]
Смотри там про создание keytab’а и описание протокола kerberos.
поправил
a authenticate GSSAPI
+
чего еще не хватает?))
ktpass -princ imap/newmail.domain.ru@DOMAIN.RU -mapuser
DOMAIN\user -pass «pass» -ptype KRB5_NT_SRV_HST -out c:\krb5.keytab
Targeting domain controller: ADC-1.domain.ru
Using legacy password setting method
Successfully mapped imap/newmail.domain.ru to user.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to c:\krb5.keytab:
Keytab version: 0x502
keysize 71 imap/newmail.domain.ru@DOMAIN.RU ptype 3 (KRB5_NT_SRV_HST) vno 12 etype 0x17 (RC4-HMAC) keylength 16 (0x00957a6cdb8eea58a460643d04dec703)
скопировал в etc
добавил в dovecot.conf —> auth_krb5_keytab = /etc/krb5.keytab
подскажите чего еще не настроено? не авторизируется
Mar 21 10:03:04 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 21 10:03:04 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 21 10:03:05 newmail dovecot: auth(default): new auth connection: pid=11234
Mar 21 10:03:05 newmail dovecot: auth(default): new auth connection: pid=11233
Источник
Билет керберос не был принят сервером исходящей почты astra linux
ab52003
Имя и пароль — да
Поставь, TLS по возможности, а не TLS!
И еще в свойствах учетной записи (на самой учетной записи левой кнопкой и внизу) поставь для этой учетной записи сервер исходящей почты (SMTP) . @mail.ru — smtp.mail.ru
Через сомнения приходим к истине. Цицерон
№7 10-08-2006 08:52:48
Re: Проблема с отправкой почты в Thunderbird
ab52003
Имя и пароль — да
Поставь, TLS по возможности, а не TLS!
И еще в свойствах учетной записи (на самой учетной записи левой кнопкой и внизу) поставь для этой учетной записи сервер исходящей почты (SMTP) . @mail.ru — smtp.mail.ru
Сделал все, как сказали. После этого запрос на пароль стал появляться и для входящей и для исходящей почты. Однако отправка почты по-прежнему не происходит, а выдается сообщение:
Предупреждение: Ошибка отправления почты. Почтовый сервер ответил: Убедитесь, что указанный вами в настройках адрес электронной почты верен, и попробуйте снова.
Настройки исходящей почты в учетной записи (учетная запись у меня одна) такие:
Сервер исходящей почты (SMTP):
Параметры сервера исходящей почты (SMTP):
В окне надпись: ab52003@mail.ru-smtp.mail.ru (По умолчанию)
Вкладка «Изменить…»:
SMTP-сервер:
Описание: (не указано)
Имя сервера: smtp.mail.ru
Имя пользователя: ab52003@mail.ru
Порт: 25
Использовать имя и пароль: Да
Использовать защищенное соединение: TLS, по возможности
А в менеджере паролей информация по входящей и исходящей почте отображается так (сами пароли отображаются правильно):
По входящей почте:
Сервер: mailbox://ab52003@pop.mail.ru
Имя пользователя: ab52003
По исходящей почте:
Сервер: smtp://ab52003%40mail.ru@smtp.mail.ru
Имя пользователя: (не указано)
Как видно, в исходящей почте информация указывается неверно.
Не пойму, почему. Вроде в учетной записи все указано правильно, никаких лишних пробелов и знаков нет. Может, надо заполнить поле «Описание», но как?
Источник
Прозрачная авторизация клиентов Dovecot
Исходные данные:
Домен (dom.lan): Microsoft Windows 2008
Почтовый сервер (mail.dom.lan): FreeBSD 10.0+Postfix 2.11.1+Dovecot 2.2.15
На почтовом сервере настроена Samba 3.6.24, является членом домена, предоставляет прозрачный доступ к сетевым ресурсам, используя winbind.
Т.е. пользователям, которые авторизовались в домене, не приходится повторно вводить доменный пароль, чтобы получить доступ к сетевому ресурсу.
отрабатывают правильно, выводя информацию о пользователях и группах домена.
Задача: настроить прозрачную авторизацию клиентов Dovecot. Т.е. сделать так, чтобы почтовый клиент забирал почту не с помощью пароля, указанного в почтовом клиенте, а на основе существующей доменной сессии (пароли пользователей в домене периодически подлежат замене).
Подозреваю, что это можно реализовать, используя Samba+PAM+Winbind. Делал так:
Создал файл /etc/pam.d/dovecot следующего содержания:
Вам нужна аутентификация через kerberos, с pam_winbind прозрачную авторизацию не сделать.
http://wiki2.dovecot.org/Authentication/Kerberos
И клиент должен её уметь.
Microsoft Outlook умеет?
Я пытался настроить Dovecot+Kerberos+AD, не получалось сгенерить такой файл-keytab, чтобы получать билет kerberos. Открыл тему:
Ошибку свою при генерации файла нашел. Я давал команду:
Дальше с настройкой kerberos продвинуться не удалось. Все клиенты у меня Microsoft Outlook, пытался настроить это:
Так как решить эту задачу?
Freebsd+Dovecot+AD+Microsoft Outlook+прозрачная авторизация. Уверен, что это возможно! Прошу помочь, очень нужно реализовать.
Спасибо!
Добрый день!
Жаль, что тема не нашла отклика. На мой взгляд типовая задача для корпоративной почты. Тем не менее, продолжаю ковырять kerberos.
Читая и перечитывая:
стараюсь привести свои настройки в полное соответствие.
В каталоге /usr/lib присутствовал файл pam_krb5.so. Однако указание на него в /etc/pam.d/dovecot к изменениям ситуации не привело.
Установил порт /usr/ports/security/pam_krb5 и переписал /etc/pam.d/dovecot к такому виду:
Радует, что ситуация изменилась. И вроде как в лучшую сторону. Но почему в логе user=<> — непонятно. Получается, что ip-клиента определился, а имя пользователся нет? Может быть кто-то сможет это прокомментировать?
Файл /etc/krb5.keytab работает нормально. Команды:
может быть все-таки поменять auth_mechanism = plain на что-то другое?
Надо же, опять опечатался. В конфиге:
Как то так получается, что после поста находится решение или происходит движение вперед. Поэтому продолжаю 🙂 , но от помощи не отказываюсь.
Когда надоело мучать Mozilla Thunderbird и GSSAPI, закрыл его и снова открыл Microsoft Outlook. Тут случилось чудо! Он залогинился! К этому моменту в 10-ssl.conf было:
В /var/log/debug.log много всего, красиво и без ошибок.
При этом в Microsoft Outlook поле ПАРОЛЬ не заполнено!
Так исторически сложилось, что имя пользователя домена и адрес электронной почты не совпадают, причем имя пользователся может быть по русски. Например, login — «Смирнов» и email — «smirnov@dom.lan«.
А Microsoft Outlook не позволяет оставить поле ПОЛЬЗОВАТЕЛЬ пустым. Написал для начала туда не login пользователя, а его адрес электронной почты (user@dom.lan). В Maildir создался ящик электронной почты. Отлично! Затем в поле ПОЛЬЗОВАТЕЛЬ написал адрес электронной почты (например, user1@dom.lan), которого не существует в AD. Ящик создался! Это нехорошо! Затем написал адрес электронной почты ДРУГОГО ПОЛЬЗОВАТЕЛЯ. Ящик загрузился. А вот это уже совсем плохо! Вся почта принадлежит пользователю vmail.
Вопрос: можно ли сделать так, чтобы в поле ПОЛЬЗОВАТЕЛЬ в Microsoft Outlook можно было бы написать только адрес электронной почты того пользователя, который авторизовался в домене?
Плодить несуществующие ящики и читать чужую почту не есть хорошо.
Спасибо!
Почитав Вашу тему, получилось настроить авторизацию в Thunderbird через kerberos/gssapi, а вот MS Outlook по-прежнему не хочет работать с пустым паролем. Не могли бы Вы выложить содержимое файлов, в которые внесли изменения при настройке, чтобы понять, благодаря чему у Вас произошло чудо?
Источник
Прозрачная авторизация клиентов Dovecot
Исходные данные:
Домен (dom.lan): Microsoft Windows 2008
Почтовый сервер (mail.dom.lan): FreeBSD 10.0+Postfix 2.11.1+Dovecot 2.2.15
На почтовом сервере настроена Samba 3.6.24, является членом домена, предоставляет прозрачный доступ к сетевым ресурсам, используя winbind.
Т.е. пользователям, которые авторизовались в домене, не приходится повторно вводить доменный пароль, чтобы получить доступ к сетевому ресурсу.
отрабатывают правильно, выводя информацию о пользователях и группах домена.
Задача: настроить прозрачную авторизацию клиентов Dovecot. Т.е. сделать так, чтобы почтовый клиент забирал почту не с помощью пароля, указанного в почтовом клиенте, а на основе существующей доменной сессии (пароли пользователей в домене периодически подлежат замене).
Подозреваю, что это можно реализовать, используя Samba+PAM+Winbind. Делал так:
Создал файл /etc/pam.d/dovecot следующего содержания:
Вам нужна аутентификация через kerberos, с pam_winbind прозрачную авторизацию не сделать.
http://wiki2.dovecot.org/Authentication/Kerberos
И клиент должен её уметь.
Microsoft Outlook умеет?
Я пытался настроить Dovecot+Kerberos+AD, не получалось сгенерить такой файл-keytab, чтобы получать билет kerberos. Открыл тему:
Ошибку свою при генерации файла нашел. Я давал команду:
Дальше с настройкой kerberos продвинуться не удалось. Все клиенты у меня Microsoft Outlook, пытался настроить это:
Так как решить эту задачу?
Freebsd+Dovecot+AD+Microsoft Outlook+прозрачная авторизация. Уверен, что это возможно! Прошу помочь, очень нужно реализовать.
Спасибо!
Добрый день!
Жаль, что тема не нашла отклика. На мой взгляд типовая задача для корпоративной почты. Тем не менее, продолжаю ковырять kerberos.
Читая и перечитывая:
стараюсь привести свои настройки в полное соответствие.
В каталоге /usr/lib присутствовал файл pam_krb5.so. Однако указание на него в /etc/pam.d/dovecot к изменениям ситуации не привело.
Установил порт /usr/ports/security/pam_krb5 и переписал /etc/pam.d/dovecot к такому виду:
Радует, что ситуация изменилась. И вроде как в лучшую сторону. Но почему в логе user=<> — непонятно. Получается, что ip-клиента определился, а имя пользователся нет? Может быть кто-то сможет это прокомментировать?
Файл /etc/krb5.keytab работает нормально. Команды:
может быть все-таки поменять auth_mechanism = plain на что-то другое?
Надо же, опять опечатался. В конфиге:
Как то так получается, что после поста находится решение или происходит движение вперед. Поэтому продолжаю 🙂 , но от помощи не отказываюсь.
Когда надоело мучать Mozilla Thunderbird и GSSAPI, закрыл его и снова открыл Microsoft Outlook. Тут случилось чудо! Он залогинился! К этому моменту в 10-ssl.conf было:
В /var/log/debug.log много всего, красиво и без ошибок.
При этом в Microsoft Outlook поле ПАРОЛЬ не заполнено!
Так исторически сложилось, что имя пользователя домена и адрес электронной почты не совпадают, причем имя пользователся может быть по русски. Например, login — «Смирнов» и email — «smirnov@dom.lan«.
А Microsoft Outlook не позволяет оставить поле ПОЛЬЗОВАТЕЛЬ пустым. Написал для начала туда не login пользователя, а его адрес электронной почты (user@dom.lan). В Maildir создался ящик электронной почты. Отлично! Затем в поле ПОЛЬЗОВАТЕЛЬ написал адрес электронной почты (например, user1@dom.lan), которого не существует в AD. Ящик создался! Это нехорошо! Затем написал адрес электронной почты ДРУГОГО ПОЛЬЗОВАТЕЛЯ. Ящик загрузился. А вот это уже совсем плохо! Вся почта принадлежит пользователю vmail.
Вопрос: можно ли сделать так, чтобы в поле ПОЛЬЗОВАТЕЛЬ в Microsoft Outlook можно было бы написать только адрес электронной почты того пользователя, который авторизовался в домене?
Плодить несуществующие ящики и читать чужую почту не есть хорошо.
Спасибо!
Почитав Вашу тему, получилось настроить авторизацию в Thunderbird через kerberos/gssapi, а вот MS Outlook по-прежнему не хочет работать с пустым паролем. Не могли бы Вы выложить содержимое файлов, в которые внесли изменения при настройке, чтобы понять, благодаря чему у Вас произошло чудо?
Источник
