Sziasztok,
Dovecot imaps-ot kellene Windows AD-vel authentikáltatni, de az alábbi hibát kapom:
res_errno: 49, res_error: <80090308: LdapErr: DSID-0C0903A9, comment: AcceptSecurityContext error, data 52e, v1db0>, res_matched: <>
invalid credentials
A dovecot-ldap.conf így néz ki:
hosts = srv-ad
dn = cn=rendszergazda,cn=Users,dc=ceg,dc=hu
dnpass = secret
sasl_bind = no
tls = no
debug_level = -1
auth_bind = yes
auth_bind_userdn = cn=rendszergazda,cn=Users,dc=ceg,dc=hu
ldap_version = 3
base =dc=ceg,dc=hu
deref = searching
scope = subtree
user_filter = (&(objectClass=person)(uid=%u)) -> uid=nev@domain.hu (egyenlőre ezt kérdezi meg)
pass_attrs = uid=user,userPassword=password -> mivel még nem találtuk, hogy hol tárolja az AD-ben a jelszót
pass_filter = (&(objectClass=person)(uid=%u))
default_pass_scheme = CRYPT
- 1697 megtekintés
Hozzászólások
1) "invalid credentials", sasl_bind = no - ez nem furcsa neked?
2) ugye engedelyezve van az Identity Management for UNIX az AD-ra? Mert egyebkent eselytelenek vagytok, a dovecot nem tudja a NTLM passwordoket encodolni/decodolni, CRYPT scheme-vel meg plane.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
aha, köszi. Csekkolom......
--
r@g3
jáTék0s l1NuX [http://www.youtube.com/user/gerig0d]>
- A hozzászóláshoz be kell jelentkezni
Hozzáadtam, restart, és ua. a jelenség. A sasl_bind=no-t azért hagytam így, mert azt írja, hogy auth_bin=yes, és sasl_bind=yes nem működnek egyszerre. De én csak tapogatózom, mivel ez az első próbálkozás Dovecot, és WinAD párosításával.
--
r@g3
jáTék0s l1NuX [http://www.youtube.com/user/gerig0d]>
- A hozzászóláshoz be kell jelentkezni
Nu, így működik:
auth_bind = no
#auth_bind_userdn = cn=rendszergazda,cn=Users,dc=ceg,dc=hu
base =cn=Users,dc=market,dc=hu
--
r@g3
jáTék0s l1NuX [http://www.youtube.com/user/gerig0d]>
- A hozzászóláshoz be kell jelentkezni
Akkor meg a base dn is el volt irva?
Egyebkent az, hogy lookupolni tudsz, meg nem jelenti, hogy authentikalni is fogsz tudni, azt szerintem csak bindolt usereknek engedi a AD.
Az Identity services-t mindenkepp allitsd be jol, mert az fog neked userPassword attributumot providalni, viszont azt engedelyezni kell minden usernel, amivel authentikalni akarsz *nix oldalrol.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Aha. Köszönöm, ezt a sok infót. Holnap ezeket kipróbálom.
--
r@g3
jáTék0s l1NuX [http://www.youtube.com/user/gerig0d]>
- A hozzászóláshoz be kell jelentkezni
Történt egy AD újrahúzás, és az alábbi hibába ütköztem. A postfix a dovecot-on keresztül authentikál, ami vmail userrel, és csoportal fut. Tehát az auth-master ilyen jogokkal jön létre. Ha egy levél megpróbál beesni, akkor az alábbi hibát kapom a dovecot.log-ban:
Fatal: setuid(10000) failed with euid=504(vmail): Operation not permitted (This binary should probably be called with process user set to 10000 instead of 504(vmail))
Tehát a dovecot kiolvassa az uid-et az AD-ből, és észreveszi, hogy nem egyezik az auth-master jogokkal. Az nem jó ha átírom, hiszen másik AD usernek más az uid-je. Mi manót lehet csinálni ?
--
r@g3
jáTék0s l1NuX [http://www.youtube.com/user/gerig0d]>
- A hozzászóláshoz be kell jelentkezni