Как сделать SMTP авторизацию в AD (Sendmail+Cyrus SASL2+??)

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Аватара пользователя
Zorn
Advanced member
Сообщения: 53
Зарегистрирован: 30 сен 2005, 14:33
Откуда: Санкт-Петербург

Сообщение Zorn » 10 окт 2005, 15:51

Corvax,заснифил

после того, как fbsdserver отправляет по ldap ldapserver'у информацию о юзере, от имени когорого делается запрос (из saslauthd), тот ответил

Код: Выделить всё

Lightweight Directory Access Protocol
    LDAP Message, Bind Result
        Message Id: 1
        Message Type: Bind Result (0x01)
        Message Length: 94
        Response To: 19
        Time: 0.017715000 seconds
        Result Code: invalidCredentials (0x31)
        Matched DN: (null)
        Error Message: 80090308: LdapErr: DSID-0C09030F, comment: AcceptSecurityContext error, data 525, vece
а может машина, которая к контр. домена обращается по ldap должна быть в домене?
Я решил жить вечно, пока всё идёт хорошо...

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Сообщение corvax » 10 окт 2005, 18:58

Zorn писал(а):Corvax,заснифил

после того, как fbsdserver отправляет по ldap ldapserver'у информацию о юзере, от имени когорого делается запрос (из saslauthd), тот ответил

Код: Выделить всё

Lightweight Directory Access Protocol
    LDAP Message, Bind Result
        Message Id: 1
        Message Type: Bind Result (0x01)
        Message Length: 94
        Response To: 19
        Time: 0.017715000 seconds
        Result Code: invalidCredentials (0x31)
        Matched DN: (null)
        Error Message: 80090308: LdapErr: DSID-0C09030F, comment: AcceptSecurityContext error, data 525, vece
вообще-то меня интересовал текст ldap запроса, а не ответ
Zorn писал(а):а может машина, которая к контр. домена обращается по ldap должна быть в домене?
нет
--
/corvax

Аватара пользователя
Zorn
Advanced member
Сообщения: 53
Зарегистрирован: 30 сен 2005, 14:33
Откуда: Санкт-Петербург

Сообщение Zorn » 10 окт 2005, 19:03

вот текст Ldap запроса

Код: Выделить всё

Frame 19 (146 bytes on wire, 146 bytes captured)
Ethernet II, Src: 192.168.1.3 (00:d0:b7:a7:ef:e8), Dst: 192.168.1.7 (00:90:27:6a:ce:3f)
Internet Protocol, Src: 192.168.1.3 (192.168.1.3), Dst: 192.168.1.7 (192.168.1.7)
Transmission Control Protocol, Src Port: 60836 (60836), Dst Port: ldap (389), Seq: 1, Ack: 1, Len: 80
Lightweight Directory Access Protocol
    LDAP Message, Bind Request
        Message Id: 1
        Message Type: Bind Request (0x00)
        Message Length: 73
        Response In: 20
        Version: 3
        DN: "cn=ldapuser,ou=System Maintenance,dc=mydomain,dc=domain,dc=ru"
        Auth Type: Simple (0x00)
        Password: password
Я решил жить вечно, пока всё идёт хорошо...

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Сообщение corvax » 10 окт 2005, 19:12

Zorn писал(а):вот текст Ldap запроса

Код: Выделить всё

Frame 19 (146 bytes on wire, 146 bytes captured)
Ethernet II, Src: 192.168.1.3 (00:d0:b7:a7:ef:e8), Dst: 192.168.1.7 (00:90:27:6a:ce:3f)
Internet Protocol, Src: 192.168.1.3 (192.168.1.3), Dst: 192.168.1.7 (192.168.1.7)
Transmission Control Protocol, Src Port: 60836 (60836), Dst Port: ldap (389), Seq: 1, Ack: 1, Len: 80
Lightweight Directory Access Protocol
    LDAP Message, Bind Request
        Message Id: 1
        Message Type: Bind Request (0x00)
        Message Length: 73
        Response In: 20
        Version: 3
        DN: "cn=ldapuser,ou=System Maintenance,dc=mydomain,dc=domain,dc=ru"
        Auth Type: Simple (0x00)
        Password: password
на сколько я вижу, это только bind к серверу, запрос еще не передан
--
/corvax

Аватара пользователя
Zorn
Advanced member
Сообщения: 53
Зарегистрирован: 30 сен 2005, 14:33
Откуда: Санкт-Петербург

Сообщение Zorn » 11 окт 2005, 11:36

а дальше всё, последний фрейм

Код: Выделить всё

No.     Time        Source                Destination           Protocol Info
21 0.133394       fbsdserver           ldapserver           TCP      60836 > ldap [ACK] Seq=81 Ack=110 Win=66608 Len=0 TSV=94903808 TSER=80299740

Frame 21 (66 bytes on wire, 66 bytes captured)
Ethernet II, Src: 192.168.1.3 (00:d0:b7:a7:ef:e8), Dst: 192.168.1.7 (00:90:27:6a:ce:3f)
Internet Protocol, Src: 192.168.1.3 (192.168.1.3), Dst: 192.168.1.7 (192.168.1.7)
Transmission Control Protocol, Src Port: 60836 (60836), Dst Port: ldap (389), Seq: 81, Ack: 110, Len: 0
значит на этапе связывания производится аутентификация юзера из saslauthd.conf на ldapserver'e, и она проходит неудачно, так получается?
Я решил жить вечно, пока всё идёт хорошо...

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Сообщение corvax » 11 окт 2005, 12:15

Zorn писал(а):а дальше всё, последний фрейм

Код: Выделить всё

No.     Time        Source                Destination           Protocol Info
21 0.133394       fbsdserver           ldapserver           TCP      60836 > ldap [ACK] Seq=81 Ack=110 Win=66608 Len=0 TSV=94903808 TSER=80299740

Frame 21 (66 bytes on wire, 66 bytes captured)
Ethernet II, Src: 192.168.1.3 (00:d0:b7:a7:ef:e8), Dst: 192.168.1.7 (00:90:27:6a:ce:3f)
Internet Protocol, Src: 192.168.1.3 (192.168.1.3), Dst: 192.168.1.7 (192.168.1.7)
Transmission Control Protocol, Src Port: 60836 (60836), Dst Port: ldap (389), Seq: 81, Ack: 110, Len: 0
значит на этапе связывания производится аутентификация юзера из saslauthd.conf на ldapserver'e, и она проходит неудачно, так получается?
вполне возможно
чтобы убедиться, можно самому в saslauthd.conf'е прописать неверный пароль, заснифить запрос на binding и сравнить результаты с приведенными выше
--
/corvax

Аватара пользователя
Zorn
Advanced member
Сообщения: 53
Зарегистрирован: 30 сен 2005, 14:33
Откуда: Санкт-Петербург

Сообщение Zorn » 11 окт 2005, 12:33

то же самое получается. А разве данные не должны шифроваться, инфа об учетной записи и пароль?
Может другой тип аутентификации нужен вместо
Auth Type: Simple (0x00)

да нет, данные не должны шифроваться
"Because this LDAP authentication mechanism uses simple authentication, the password is sent in the clear on the network."
Я решил жить вечно, пока всё идёт хорошо...

Аватара пользователя
Zorn
Advanced member
Сообщения: 53
Зарегистрирован: 30 сен 2005, 14:33
Откуда: Санкт-Петербург

Сообщение Zorn » 11 окт 2005, 12:55

оо!! Я закаментил #ldap_bind_pw:
и получилось вот что

Код: Выделить всё

Lightweight Directory Access Protocol
    LDAP Message, Bind Request
        Message Type: Bind Request (0x00)
        DN: "cn=ldapuser,ou=System Maintenance,dc=mydomain,dc=domain,dc=ru"
        Auth Type: Simple (0x00)
        Password: (null)

а вот ответ

    LDAP Message, Bind Result
        Message Id: 1
        Message Type: Bind Result (0x01)
        Message Length: 7
        Response To: 32
        Time: 0.006569000 seconds
        Result Code: success (0x00)
        Matched DN: (null)
        Error Message: (null)

и дальше запрос

    LDAP Message, Search Request
        Message Type: Search Request (0x03)
        Base DN: dc=mydomain,dc=domain,dc=ru
        Scope: Subtree (0x02)
        Dereference: Never (0x00)
        Size Limit: 1
        Time Limit: 5
        Attributes Only: False
        Filter: (sAMAccountName=user)
        Attribute: dn
ответ
    LDAP Message, Search Result
        Message Type: Search Result (0x05)
        Result Code: operationsError (0x01)
        Matched DN: (null)
        Error Message: 00000000: LdapErr: DSID-0C0905FF, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
Я решил жить вечно, пока всё идёт хорошо...

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Сообщение corvax » 11 окт 2005, 13:07

Zorn писал(а):оо!! Я закаментил #ldap_bind_pw:
и получилось вот что

Код: Выделить всё

Lightweight Directory Access Protocol
    LDAP Message, Bind Request
        Message Type: Bind Request (0x00)
        DN: "cn=ldapuser,ou=System Maintenance,dc=mydomain,dc=domain,dc=ru"
        Auth Type: Simple (0x00)
        Password: (null)

а вот ответ

    LDAP Message, Bind Result
        Message Id: 1
        Message Type: Bind Result (0x01)
        Message Length: 7
        Response To: 32
        Time: 0.006569000 seconds
        Result Code: success (0x00)
        Matched DN: (null)
        Error Message: (null)

и дальше запрос

    LDAP Message, Search Request
        Message Type: Search Request (0x03)
        Base DN: dc=mydomain,dc=domain,dc=ru
        Scope: Subtree (0x02)
        Dereference: Never (0x00)
        Size Limit: 1
        Time Limit: 5
        Attributes Only: False
        Filter: (sAMAccountName=user)
        Attribute: dn
ответ
    LDAP Message, Search Result
        Message Type: Search Result (0x05)
        Result Code: operationsError (0x01)
        Matched DN: (null)
        Error Message: 00000000: LdapErr: DSID-0C0905FF, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
предлагаю попробовать уточнить basedn, добавив туда ou, в котором находится проверяемый пользователь
--
/corvax

Аватара пользователя
Zorn
Advanced member
Сообщения: 53
Зарегистрирован: 30 сен 2005, 14:33
Откуда: Санкт-Петербург

Сообщение Zorn » 11 окт 2005, 13:18

то же самое :weep:
Я решил жить вечно, пока всё идёт хорошо...

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Сообщение corvax » 11 окт 2005, 13:30

Zorn писал(а):оо!! Я закаментил #ldap_bind_pw:
и получилось вот что

Код: Выделить всё

Lightweight Directory Access Protocol
    LDAP Message, Bind Request
        Message Type: Bind Request (0x00)
        DN: "cn=ldapuser,ou=System Maintenance,dc=mydomain,dc=domain,dc=ru"
        Auth Type: Simple (0x00)
        Password: (null)

а вот ответ

    LDAP Message, Bind Result
        Message Id: 1
        Message Type: Bind Result (0x01)
        Message Length: 7
        Response To: 32
        Time: 0.006569000 seconds
        Result Code: success (0x00)
        Matched DN: (null)
        Error Message: (null)
так у пользователя ldapuser пароль есть или он пустой?
--
/corvax

Аватара пользователя
Zorn
Advanced member
Сообщения: 53
Зарегистрирован: 30 сен 2005, 14:33
Откуда: Санкт-Петербург

Сообщение Zorn » 11 окт 2005, 13:37

Тут ldapuser без пароля, то есть параметр ldap_bind_pw я вообще убрал из saslauthd.conf, хотел посмотреть, будет ldapserver ругаться, что пароль не передан или что-нить типа того.
Я решил жить вечно, пока всё идёт хорошо...

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Сообщение corvax » 11 окт 2005, 13:57

Zorn писал(а):Тут ldapuser без пароля, то есть параметр ldap_bind_pw я вообще убрал из saslauthd.conf, хотел посмотреть, будет ldapserver ругаться, что пароль не передан или что-нить типа того.
советовать уже нечего
надо самому смотреть

разве что обновить openldap клиента и cyrus-sasl и попробовать опять
--
/corvax

Аватара пользователя
Zorn
Advanced member
Сообщения: 53
Зарегистрирован: 30 сен 2005, 14:33
Откуда: Санкт-Петербург

Сообщение Zorn » 11 окт 2005, 14:04

эх... понял, ну что же, начнём сначала, благо план действий уже вроде есть!
Кстате, может ещё где-то что-то нужно прописать, в ldap.conf например?
Я решил жить вечно, пока всё идёт хорошо...

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Сообщение corvax » 11 окт 2005, 16:16

Zorn писал(а):эх... понял, ну что же, начнём сначала, благо план действий уже вроде есть!
Кстате, может ещё где-то что-то нужно прописать, в ldap.conf например?
я не знаю, на сколько это может влиять, но у меня ldap.conf отдельно настроен на работу с AD (у меня еще и через pam_ldap можно аутентифицироваться в AD)
--
/corvax

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 13 гостей