Как сделать SMTP авторизацию в AD (Sendmail+Cyrus SASL2+??)

[Zorn]

взял виндовую машину, и начал с помощью утилиты ldap коннектится, и сравнивать запросы с запросами fbsdserver'a.
И вот что нашёл

Код: Выделить всё

supportedSASLMechanisms: GSSAPI; GSS-SPNEGO; EXTERNAL; DIGEST-MD5;

- это поддерживает сервер, а у нас

Код: Выделить всё

ldap_auth_method: <bind>

, то есть
Auth Type: Simple (0x00)
а через ldap.exe
Auth Type: SASL (0x03)
Mechanism: GSS-SPNEGO
щас попробую параметр ldap_auth_method поменять[/b]

[Zorn]

Да нет, механизм аутентификации тут непричем.
Ldap сервер отвечал бы на Bind Request
authMethodNotSupported - Unrecognized SASL mechanism name.
а сейчас отвечает
invalidCredentials - The wrong password was supplied or the SASL credentials cannot be processed.

[Zorn]

8:::::::::(
Не кидайте помидоры..
В ходе сравнения заснифиных LDAP Message от машины с Win2k и FreeBSD в конце концов выяснилось, что всё дело в кавычках в файле saslauthd.conf

ldap_bind_dn: "CN=user,OU=System Maintenance,DC=mydomain,DC=domain,DC=ru"
ldap_version: 3
то же самое с ldap_search_base

а вообще LDAPServer хавает даже так
ldap_bind_dn: ldapuser
полное dn указывать не обязательно[/b]

[corvax]

8:::::::::(
Не кидайте помидоры..
В ходе сравнения заснифиных LDAP Message от машины с Win2k и FreeBSD в конце концов выяснилось, что всё дело в кавычках в файле saslauthd.conf

ldap_bind_dn: "CN=user,OU=System Maintenance,DC=mydomain,DC=domain,DC=ru"

так надо ж и написать, что они не нужны
а то читающие эту мессагу могу не понять, это строка с ошибкой и кавычки не нужны или это строка корректная и кавычки нужны

p. s. если я в примере писал dn без кавычек, то лучше и самому использовать dn без кавычек

[Zorn]

Corvax, скажи пожалуйста, где ты брал инфу, как прально sendmail.mc сконфигурить когда пароль проверяем через saslauthd, на www.sendmail.org ничего не нашёл, в хендбуке рассматривается другой случай.

[corvax]

Corvax, скажи пожалуйста, где ты брал инфу, как прально sendmail.mc сконфигурить когда пароль проверяем через saslauthd, на www.sendmail.org ничего не нашёл, в хендбуке рассматривается другой случай.

ой, давно это было... с тех пор оно живет и есть не просит. сейчас попробую все найти и перечислить. надо делать скидку на то, что на FreeBSD у меня в качестве MTA используются exim'ы везде. sendmail'ы живут только на линуксах. так что пути будут линуксячие...

1. в sendmail.mc у меня указано:

Код: Выделить всё

TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
define(`confAUTH_MECHANISMS',`EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl

нафига я указывал DIGEST-MD5 и CRAM-MD5, не помню. ибо в открытом виде все равно у меня пароли не доступны...
2. в /usr/lib/sasl2/Sendmail.conf указать:

Код: Выделить всё

pwcheck_method:saslauthd

остальные настройки saslauthd вроде уже отработаны
ну и путь к Sendmail.conf на FreeBSD должен быть /usr/local/lib/sasl2/Sendmail.conf

[Zorn]

понял.
Ещё такой вопрос:
авторизованным посредствой АД пользователям разрешен Relay и ничего дополнительного прописывать нигде не надо?
Или при такой авторизации будет считаться, что письмо отправляется с самого почтового релея? Соответственно что-то надо будет прописать в аксесс[/b]

[corvax]

понял.
Ещё такой вопрос:
авторизованным посредствой АД пользователям разрешен Relay и ничего дополнительного прописывать нигде не надо?

по дефолту исходящая почта от аутентифицированных юзеров рилеется без доп. записей в access_db и relay_domains

Или при такой авторизации

аутентификации

будет считаться, что письмо отправляется с самого почтового релея?

не понял вопроса. sendmail примет письмо от аутентифицированного отправителя и перешлет его по назначению или доставит локальному получателю.
а что означает "письмо отправляется с самого почтового рилея?"?

Соответственно что-то надо будет прописать в аксесс[/b]

ничего

[rm]

всё, въехал, буду исправляться.  Спасибо!

помогите пожалуйста! который день мучаюсь! Как же все-таки собрать saslauthd с поддержкой ldap? у меня ничего не получается

[corvax]

всё, въехал, буду исправляться.  Спасибо!

помогите пожалуйста! который день мучаюсь! Как же все-таки собрать saslauthd с поддержкой ldap? у меня ничего не получается

не надо мучаться
надо прочесть smart questions для того, чтобы понять, что:
1. не надо начинать свой вопрос с квотинга чужого вопроса
2. надо указать версию используемой ОС и версию собираемого софта, версию софта, от которого зависит собираемый софт
3. описать, что уже было сделано для достижения цели (сборки пакета в поддежкой тех или иных функциональных возможностей) и каким образом все это был осделано
4. описать, какие проблемы возникли
и т. д.

ибо телепаты - в отпуске