Как сделать SMTP авторизацию в AD (Sendmail+Cyrus SASL2+??)

[Zorn]

Народец, есть гейт, он же почтовый релей (Sendmail), есть Exchange и AD на win SRV 2003.. вопрос в САБЖ

документация по SASL настолько убога, что я нимогу никак разобраться, да и знаний маловато.  

Пробовал ставить из портов cyrus-sasl2 (там ещё есть cyrus-sasl2-saslauthd, cyrus-sasl2-ldapdb), пробовал ставить OpenLDAP - sasl client(их там тоже куча) (в хелпах к sasl написано что нужны какие-то библиотеки от Openldap), в итоге saslauthd -a ldap грит, что "saslauthd[14452] :set_auth_mech : unknown authentication mechanism: ldap"

Может кто-нить делал подобное, или киньте сцылку на документацию более-менее приличную, или хотя бы какие порты нужно поставить, чтобы такую схему реализовать.
Заранее спасибо!

[corvax]

Народец, есть гейт, он же почтовый релей (Sendmail), есть Exchange и AD на win SRV 2003.. вопрос в САБЖ

документация по SASL настолько убога, что я нимогу никак разобраться, да и знаний маловато.  

Пробовал ставить из портов cyrus-sasl2 (там ещё есть cyrus-sasl2-saslauthd, cyrus-sasl2-ldapdb), пробовал ставить OpenLDAP - sasl client(их там тоже куча) (в хелпах к sasl написано что нужны какие-то библиотеки от Openldap), в итоге saslauthd -a ldap грит, что "saslauthd[14452] :set_auth_mech : unknown authentication mechanism: ldap"

а saslauthd собрать с поддержкой ldap?

Может кто-нить делал подобное, или киньте сцылку на документацию более-менее приличную, или хотя бы какие порты нужно поставить, чтобы такую схему реализовать.

пробовал я когда-то ради спортивного интереса цепочку exim -> pam -> pam_ldap -> openldap client
в вашем случае будет примерно так:
sendmail -> saslauthd -> pam -> pam_ldap -> openldap client

но на самом деле saslauthd сам умеет быть ldapclient'ом, но вот примеров у меня не сохранилось

p. s. нечто подобное тут уже обсуждалось:
http://www.3nity.ru/viewtopic.htm?t=4112

[Zorn]

а saslauthd собрать с поддержкой ldap?

я собирал порт cyrus-sasl2 как написано в доке к нему
make -D WITH_LDAP

правда в доке не через порты собирают... и даемон saslauthd ставится, man к нему появляется..

пробовал я когда-то ради спортивного интереса цепочку exim -> pam -> pam_ldap -> openldap client
в вашем случае будет примерно так:
sendmail -> saslauthd -> pam -> pam_ldap -> openldap client

но на самом деле saslauthd сам умеет быть ldapclient'ом, но вот примеров у меня не сохранилось

p. s. нечто подобное тут уже обсуждалось:
http://www.3nity.ru/viewtopic.htm?t=4112

понял, полезная ссылка
я пытался настроить saslauthd как клиента ldap... может я его не доставил, я во фре пока плохо разбираюсь, щас попробую отдельно поставить sasl2 - saslauthd, хотя в доке они просто sasl2 (./configure --with-ldap) ставят

[corvax]

а saslauthd собрать с поддержкой ldap?

я собирал порт cyrus-sasl2 как написано в доке к нему
make -D WITH_LDAP

правда в доке не через порты собирают... и даемон saslauthd ставится, man к нему появляется..

это не наш путь. для порта cyrus-sasl2-saslauthd есть параметр WITH_OPENLDAP и опциональный параметр WITH_OPENLDAP_VER

пробовал я когда-то ради спортивного интереса цепочку exim -> pam -> pam_ldap -> openldap client
в вашем случае будет примерно так:
sendmail -> saslauthd -> pam -> pam_ldap -> openldap client

но на самом деле saslauthd сам умеет быть ldapclient'ом, но вот примеров у меня не сохранилось

p. s. нечто подобное тут уже обсуждалось:
http://www.3nity.ru/viewtopic.htm?t=4112

понял, полезная ссылка
я пытался настроить saslauthd как клиента ldap... может я его не доставил, я во фре пока плохо разбираюсь, щас попробую отдельно поставить sasl2 - saslauthd, хотя в доке они просто sasl2 (./configure --with-ldap) ставят

configure --with-ldap выполняется как раз при указании WITH_OPENLDAP
это очевидно после прочтения /usr/ports/security/cyrus-sasl2-saslauthd/Makefile

[Zorn]

всё, въехал, буду исправляться.  Спасибо!

[corvax]

всё, въехал, буду исправляться.  Спасибо!

я сегодня опробовать smtp аутентификацию и в sendmail и в exim через saslauthd + openldap клиент

работает

правда, тестил на linux'е (нет у меня sendmail'ов на FreeBSD)

на всякий случай пример saslauthd.conf:

Код: Выделить всё

ldap_servers: ldap://адрес_DC_с_AD/
ldap_bind_dn: CN=ldapuser,CN=Users,DC=domain,DC=tld
ldap_bind_pw: пароль
ldap_version: 3
ldap_search_base: CN=Users,DC=domain,DC=tls
ldap_filter: (sAMAccountName=%u)
ldap_debug: -1

ldapuser - это пользователь, от имени которого будут производиться LDAP запросы к AD

saslauthd запускал с параметрами:

Код: Выделить всё

saslauthd -d -m /var/run/saslauthd -a ldap -V

на FreeBSD путь к сокету будет кажется /var/state/saslauthd/mux
вернее, стартовый скрипт сам об этом знает

[Zorn]

ага, понял, а то уже хотел на exim переходить, терь sendmail оставлю.. роднее. Спасибо!

ldapsearch проходит, инфу выдаёт нормально, а
./testsaslauthd не проходит, saslauthd пишет saslauthd
[63967] :do_auth         : auth failure: [user=sysop] [service=imap] [realm=] [mech=ldap] [reason=Unknown]

saslauthd[63967] :do_request      : response: NO

но мне кажеться что это сам скрипт глючит, попробую приктутить sasl к sendmail и проверять уже там

[corvax]

ага, понял, а то уже хотел на exim переходить, терь sendmail оставлю.. роднее. Спасибо!

exim может аутентифицироваться в AD не только через saslauthd+openldap client, но и через pam+pam_ldap+openldap client
аутентифицироваться при помощи pam+pam_krb5 у меня получилось только под linux'ом. под FreeBSD работа с pam_krb5 у меня что-то пока не сложилась.

ldapsearch проходит, инфу выдаёт нормально, а
./testsaslauthd не проходит, saslauthd пишет saslauthd
[63967] :do_auth         : auth failure: [user=sysop] [service=imap] [realm=] [mech=ldap] [reason=Unknown]

saslauthd[63967] :do_request      : response: NO

но мне кажеться что это сам скрипт глючит, попробую приктутить sasl к sendmail и проверять уже там

сначала надо запустить демона с дебаговом режиме:

Код: Выделить всё

saslauthd -d -n 1 -a ldap -V

а потом уже пускать testsaslauthd

кстати, что там у нас в /usr/local/etc/saslauthd.conf?

[Zorn]

я запускал
/usr/local/sbin/saslauthd -d -a ldap -V -O /usr/local/etc/saslauthd.conf
перед запуском testsaslauthd
в saslauthd.conf

ldap_servers: ldap://fserver.office.spectec.ru
ldap_bind_dn: "cn=ldapuser,ou=System Maintenance,dc=domain,dc=ru"
ldap_bind_pw: пароль
ldap_version: 3
ldap_search_base: dc=domain,dc=ru

пробовал
saslauthd -d -n 1 -a ldap -V
то же самое выдаёт 8\

[corvax]

я запускал
/usr/local/sbin/saslauthd -d -a ldap -V -O /usr/local/etc/saslauthd.conf
перед запуском testsaslauthd
в saslauthd.conf

ldap_servers: ldap://fserver.office.spectec.ru
ldap_bind_dn: "cn=ldapuser,ou=System Maintenance,dc=domain,dc=ru"

ldapuser точно находится в этом ou?

ldap_bind_pw: пароль
ldap_version: 3
ldap_search_base: dc=domain,dc=ru

а почему не указан ldap_filter?

пробовал
saslauthd -d -n 1 -a ldap -V
то же самое выдаёт 8\

так в предыдущей мессаге был дебаговый вывод saslauthd или вывод на консоль testsaslauthd?

[corvax]

так в предыдущей мессаге был дебаговый вывод saslauthd или вывод на консоль testsaslauthd?

стормозил я... на консольный вывод это явно не похоже
это скорее из лога

[Zorn]

ldapuser точно находится в этом ou?

да, я пробовал разных юзеров и соответствующие ou

а почему не указан ldap_filter?

пробовал ldap_filter: (sAMAccountName=%u)
ничего не изменилось

так в предыдущей мессаге был дебаговый вывод saslauthd или вывод на консоль testsaslauthd?

дебаговый вывод saslauthd

причём на доменконтроллере никаких сообщений о неудачной попытке авторизоваться нету (впрочем их не было когда ldapsearch отрабатывал)

[corvax]

а почему не указан ldap_filter?

пробовал ldap_filter: (sAMAccountName=%u)
ничего не изменилось

этот параметр надо обязательно оставить

так в предыдущей мессаге был дебаговый вывод saslauthd или вывод на консоль testsaslauthd?

дебаговый вывод saslauthd

а если повесить tcpdump на порт ldap'овый и посмотреть трафик в сторону AD и обратно?

причём на доменконтроллере никаких сообщений о неудачной попытке авторизоваться нету (впрочем их не было когда ldapsearch отрабатывал)

во-первых, не авторизоваться, а аутентифицироваться
а во-вторых, ldapsearch, когда выполнял запрос, аутентифицировался только от имени ldapuser, а не от имени проверяемого пользователя

[Zorn]

сорри за задержку с ответом, работы навалилсь...  :balfall:
значит сделал
tcpdump  -i fxp1 port 389
saslauthd -d -n 1 -a ldap -V
./testsaslauthd -u user -p password

вот, что tcpdump выдал, я в ответах ничего понять не могу

12:55:30.631635 IP fbsdserver.subdomain.domain.ru.61635 > ldapserver.subdomain.domain.ru.ldap: S 3416989770:3416989770(0) win 65535 <mss 1460,nop,nop,sackOK,nop,wscale 1,nop,nop,timestamp 68140015 0>

12:55:30.631839 IP ldapserver.subdomain.domain.ru.ldap > fbsdserver.subdomain.domain.ru.61635: S 897955038:897955038(0) ack 3416989771 win 17520 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>

12:55:30.631955 IP fbsdserver.subdomain.domain.ru.61635 > ldapserver.subdomain.domain.ldap: . ack 1 win 33304 <nop,nop,timestamp 68140015 0>

12:55:30.632373 IP fbsdserver.subdomain.domain.ru.61635 > ldapserver.subdomain.domain.ru.ldap: P 1:81(80) ack 1 win 33304 <nop,nop,timestamp 68140015 0>

12:55:30.672580 IP ldapserver.subdomain.domain.ldap > fbsdserver.subdomain.domain.ru.61635: P 1:110(109) ack 81 win 17440 <nop,nop,timestamp 77623715 68140015>

12:55:30.770608 IP fbsdserver.subdomain.domain.ru.61635 > ldapserver.subdomain.domain.ldap: . ack 110 win 33304 <nop,nop,timestamp 68140029 77623715>

[corvax]

сорри за задержку с ответом, работы навалилсь...  :balfall:
значит сделал
tcpdump  -i fxp1 port 389
saslauthd -d -n 1 -a ldap -V
./testsaslauthd -u user -p password

вот, что tcpdump выдал, я в ответах ничего понять не могу

мне нужен был лишь факт ответов от LDAP сервера
при необходимости интерпретировать данные tcpdump'а удобно ethereal'ом