Hozzászólások
[quote:a204af8fcf="andrej_"]
Nemlehet, mert idiotan mukodik, mi is szijtunk vele. Csinaltunk kulon sasl-os smtp-s tablat ezeknek a delikvenseknek. Én a saslauthd-t arra is keptelen voltam ravenni, hogy sasldb-bol autholjon, maradt a pam.
Ááááá ez tuti...? Mondjuk máshonnan is hallottam ilyen véleményt... :-( A juzer@host.tld@host.tld meg nagyon gáz...
Köszi!
Azért, ha valakinek van még ötlete, ne fojtsa magába. :-)
- A hozzászóláshoz be kell jelentkezni
[quote:0df4b1dd52="kozakzs"][quote:0df4b1dd52="andrej_"]
Nemlehet, mert idiotan mukodik, mi is szijtunk vele. Csinaltunk kulon sasl-os smtp-s tablat ezeknek a delikvenseknek. Én a saslauthd-t arra is keptelen voltam ravenni, hogy sasldb-bol autholjon, maradt a pam.
Ááááá ez tuti...? Mondjuk máshonnan is hallottam ilyen véleményt... :-( A juzer@host.tld@host.tld meg nagyon gáz...
Köszi!
Azért, ha valakinek van még ötlete, ne fojtsa magába. :-)
Nem teljesen tuti, de nem 10 percet szantunk a problemara elhiheted. Egyaltalan, hogy pam_mysql lett is annak az eredmeny asszem, hogy idiota modon megy a saslauthd. Az miert nem jo, ha SMTP-hez _teljesen_ kulon account van? Egyaltalan nem kell mindenkinek default SMTP eleres, az ilyen majdnem-openrelay-setup, ami erősen kerülendő. (Sima POP/IMAP usernel ugye a user+pass sniffeles is ott van a pakliban.)
- A hozzászóláshoz be kell jelentkezni
[quote:97783b56e2="andrej_"]
Nem teljesen tuti, de nem 10 percet szantunk a problemara elhiheted.
Elhiszem. :-) Én is molyoltam vele, mielőtt ide írtam...
[quote:97783b56e2="andrej_"]
Egyaltalan, hogy pam_mysql lett is annak az eredmeny asszem, hogy idiota modon megy a saslauthd. Az miert nem jo, ha SMTP-hez _teljesen_ kulon account van?
Bonyolult... :-) Per pillanat teljesen külön acc van hozzá, de azt szeretném lecserélni. Az SMTP-auth amúgy csakis SSL-en keresztül megy, szal ott azért eléggé jól védve vannak a jelszavak.
[quote:97783b56e2="andrej_"]
Egyaltalan nem kell mindenkinek default SMTP eleres, az ilyen majdnem-openrelay-setup, ami erősen kerülendő. (Sima POP/IMAP usernel ugye a user+pass sniffeles is ott van a pakliban.)
Virtual mailboxok vannak, virtual juzerekkel. Az való igaz, hogy nem mindenkinek kell SMTP elérés, viszont van POP3s/IMAPs, megpróbálom a júzereket rászoktatni a használatára...
- A hozzászóláshoz be kell jelentkezni
Na ezzel szivtam en is annak idejen, raadasul eloszor ra se jottem, hogy mert nem authol rendesen a postfix. Aztan rajottem, hogy a saslauthd a ludas. Na kiderult, hogy egy bizonyos verzioszam utan gondolt egyet a sasl fejlesztocsapata, es ugy dontott, hogy a @ utani reszt szepen levagja sajat hataskorben... aztan talaltam egy pici patchet, ami szepen visszaallitja a regi mukodest, es engedi atadni @domain.tld reszt is. Itt a patch:
http://onyx.ultranet.hu/data/saslauthd.diff
ehhez a saslauthd-t eleg ujraforditani. Probald ki, hatha megoldja neked is a gondod.
Sok sikert!
onyx
- A hozzászóláshoz be kell jelentkezni
Nem az SMTP auth SSL-jevel van a problema hogy ott sniffelnek, hanem a sokkal gyakrabban hasznalt postafiok elereskor. A POP/IMAP SSL jo dolog, elég nehez lesz raszoktatni a usereket, mi is ezen vagyunk. Olyan is volt, akinek 15 percen magyaraztam/segitettem hogy egyaltalan a tokegyszeru webmailt (squirrel) jol hasznalja.
- A hozzászóláshoz be kell jelentkezni
[quote:7ecd24f6fd="onyx"]Na ezzel szivtam en is annak idejen, raadasul eloszor ra se jottem, hogy mert nem authol rendesen a postfix. Aztan rajottem, hogy a saslauthd a ludas. Na kiderult, hogy egy bizonyos verzioszam utan gondolt egyet a sasl fejlesztocsapata, es ugy dontott, hogy a @ utani reszt szepen levagja sajat hataskorben... aztan talaltam egy pici patchet, ami szepen visszaallitja a regi mukodest, es engedi atadni @domain.tld reszt is. Itt a patch:
http://onyx.ultranet.hu/data/saslauthd.diff
ehhez a saslauthd-t eleg ujraforditani. Probald ki, hatha megoldja neked is a gondod.
Sok sikert!
onyx
Köszi onyx!
Közben 2 órás google-özés közben én is rájöttem, hogy mi a szitu. A sasl fejlesztői valóban bevezették ezt a jó kis fícsört... amit patch-csel ki lehet védeni, csakhogy én nem akartam patchelni...
A másik megoldás lenne a saslt mysql-pluginnel használni, azzal meg az a gáz, hogy csak a clear text jelszavakat kezeli, nem ismeri a mysql titkosítását... :-?
Na itt már majdnem sírtam, nem igaz, hogy 2 megoldás is van, de mindkettő patchelni kell. Aztán kis keresgélés után találtam egy harmadik megoldás --> courier authdaemond. Ebben az volt a gyönyörű, hogy történetesen courier fut a szerveren :D, szal az smtpd.conf-ba kellett ennyi:
[code:1:7ecd24f6fd]pwcheck_method: authdaemond
authdaemond_path: /var/run/courier/authdaemon/socket
mech_list: plain login
[/code:1:7ecd24f6fd]
És már majdnem működött is a rendszer. Még a chrootolt postfix okozott egy kis fejtörtést, de most már minden OK.
Köszi a segítséget mindkettőtöknek!
- A hozzászóláshoz be kell jelentkezni
[quote:2eacb7371e="andrej_"]Nem az SMTP auth SSL-jevel van a problema hogy ott sniffelnek, hanem a sokkal gyakrabban hasznalt postafiok elereskor.
Egyetértek!
[quote:2eacb7371e="andrej_"]
A POP/IMAP SSL jo dolog, elég nehez lesz raszoktatni a usereket, mi is ezen vagyunk. Olyan is volt, akinek 15 percen magyaraztam/segitettem hogy egyaltalan a tokegyszeru webmailt (squirrel) jol hasznalja.
:D
- A hozzászóláshoz be kell jelentkezni
MySQL -ben kiváló MD5 és ENCRYPT függvény van. Ezekkel müködik a dolog pam_mysql esetén is.
- A hozzászóláshoz be kell jelentkezni
[quote:bf0cf6ca35="andrej_"]MySQL -ben kiváló MD5 és ENCRYPT függvény van. Ezekkel müködik a dolog pam_mysql esetén is.
A pam_mysql problémát fentebb már ecseteltem :D Kiválóan működNE, ha nem lenne benne az a fícsör, ami levágja a hosztnevet a loginnévből.
- A hozzászóláshoz be kell jelentkezni
Postfix SMTP authot csináltam saslauthd segítségével. A saslauthd PAM-on keresztül mysqlből authentikál. /etc/pam.d/smtp szépen meg van csinálva, ahogy a nagy könyvekben írják:
auth required pam_mysql.so host=localhost db=dbname user=postfix passwd=secret table=usertable usercolumn=loginname passwdcolumn=password crypt=1
A júzerek "juzer@host.tld" loginname-mel rendelkeznek (a DB-ben is ilyen formában szerepel a loginname). A pam viszont "leszed"i a @host.tld-t... és csak a "juzer"-t adja tovább a mysqlnek... :-( Ha "juzer@host.tld@host.tld" formában authentikál a júzer, akkor müxik a dolog, mivel a "juzer@host.tld" megy tovább a mysqlnek, és így a querynek már van eredménye.
Meg lehet valahogy mondani a pamnak, hogy NE vágja le a @ utáni host.tld-t?Úgy tűnik, mintha "önkényesen" értelmezné a loginnevet, és a @ miatt azt hinné, a tényleges loginname a @ előtti rész, tehát a juzer és nem a juzer@host.tld.
- A hozzászóláshoz be kell jelentkezni
[quote:5db259645e="kozakzs"]Postfix SMTP authot csináltam saslauthd segítségével. A saslauthd PAM-on keresztül mysqlből authentikál. /etc/pam.d/smtp szépen meg van csinálva, ahogy a nagy könyvekben írják:
auth required pam_mysql.so host=localhost db=dbname user=postfix passwd=secret table=usertable usercolumn=loginname passwdcolumn=password crypt=1
A júzerek "juzer@host.tld" loginname-mel rendelkeznek (a DB-ben is ilyen formában szerepel a loginname). A pam viszont "leszed"i a @host.tld-t... és csak a "juzer"-t adja tovább a mysqlnek... :-( Ha "juzer@host.tld@host.tld" formában authentikál a júzer, akkor müxik a dolog, mivel a "juzer@host.tld" megy tovább a mysqlnek, és így a querynek már van eredménye.
Meg lehet valahogy mondani a pamnak, hogy NE vágja le a @ utáni host.tld-t?Úgy tűnik, mintha "önkényesen" értelmezné a loginnevet, és a @ miatt azt hinné, a tényleges loginname a @ előtti rész, tehát a juzer és nem a juzer@host.tld.
Nemlehet, mert idiotan mukodik, mi is szijtunk vele. Csinaltunk kulon sasl-os smtp-s tablat ezeknek a delikvenseknek. Én a saslauthd-t arra is keptelen voltam ravenni, hogy sasldb-bol autholjon, maradt a pam.
- A hozzászóláshoz be kell jelentkezni