Hacky's blog - Howto - Commentaires

SMTP auth en TLS sous postfix avec SASL & courier-authdaemon - cbn38

cbn38 — Thu, 19 Jun 2008 15:46:08 +0200

Tuto utile merci !
Pour répondre à des problèmes que certains ont rencontré avec courier-authdaemon sous Debian, il faut comprendre que postfix tourne dans un environnement chrooté (une prison dont il ne peut sortir : /var/spool/postfix). Quand on indique dans /etc/postfix/sasl/smtpd.conf (ou similaire) d'aller chercher le socket unix d'authdaemond ici /var/run/courier/authdaemon/socket, en fait postfix va le chercher là : /var/spool/postfix/var/run/courier/authdaemon/socket. Il faut donc le hardlinker après chaque redemarrage de courier-authdaemon. Est-ce un bug ? Je ne sais pas. Mais je vous invite à patcher /etc/init.d/courier-authdaemon de la sorte: ajouter les 2 lignes suivantes à la fin de la séquence de start:
rm -f /var/spool/postfix/var/run/courier/authdaemon/socket
ln /var/run/courier/authdaemon/socket /var/spool/postfix/var/run/courier/authdaemon/socket

Christophe.

SMTP auth en TLS sous postfix avec SASL & courier-authdaemon - Nicolas

Nicolas — Tue, 27 Nov 2007 13:17:24 +0100

Desoler de vous avoir importuner,
je suis tomber sur un totus tres complet que j'ai decider de faire ce midi.
J'ai donc installer une machine virtuelle avec Debian 4.0 et est suvi ce tuto --> http://www.starbridge.org/spip/spip...
Tout fonctionne. L'authentification, les virtualbox, etc ...

Ouaaa apres 2 semaines de galere je trouve enfin ma solution.

Merci quand meme pour ton tuto, mais les informations que tu donne et celles que j'ai trouvee sont les memes. Je me demande si ce n'est pas moi qui a fait une erreur quelque part mais sa metonnerai que sur 8 installation de base il n'y en a que une de correcte.

Bref, je suis content. Je vais aller chercher des aspirines et me reposer le cerveau.

Merci

Nicolas

SMTP auth en TLS sous postfix avec SASL & courier-authdaemon - Nicolas

Nicolas — Tue, 27 Nov 2007 02:22:29 +0100

Re, pardonnez-moi,
je viens de refaire une tentative
J'ai une nouvelle erreur "SASL authentication failure: cannot connect to Courier authdaemond: No such file or directory"
J'ai verifier /var/run/courier/authdaemon/socket existe bel est bien.

Autre phenomene, jai aussi essayer avec Imap et lorsque je fais testsaslauthd -u user -p pass j'ai comme reponse 0: OK "Succes" mais sa ne marche pas pour autant avec mon client mail!!!!!!!!!!

Voila, merci de votre aide

SMTP auth en TLS sous postfix avec SASL & courier-authdaemon - Nicolas

Nicolas — Tue, 27 Nov 2007 01:54:45 +0100

Bonjour,

Voila je suis a bout. Grrrr
Je viens d'essayer 7 tutos differents et j'ai reinstaller 7 fois Debian 4.0 sur une machine pour essayer Auth SMTP avec SASL.
J'ai essayer plusieurs methode : Mysql, SASLDB2, PAM, ... toutes on aboutit au meme echec, Authentification failed : Generic failure.
J'ai beau faire toutes les manips une par une, sa ne fonctionne pas. Je suis tomber sur un Tutos ou ils explique comment faire pas a pas et installant les paquets avec leurs sources, meme sa sa ne fonctionne pas.

J'avoue ne plus savoir quoi faire et je me retrouve dans une impasse.
Le point positif c'est que les configurations sur mon POP3/IMAP fontionne toutes mais Postfix ne fonctionne que en local et sa ne m'interresse pas.

Pouvez-vous m'aidez Ou m'indiquez une ultime voie a suivre? Meme sur le site de Debian il n'explique pas comment faire fonctionner l'authentification avec Postfix.

:'( Merci a vous de vos reponses.

Nicolas

SMTP auth en TLS sous postfix avec SASL & courier-authdaemon - hacky

hacky — Fri, 23 Nov 2007 09:09:55 +0100

@Nicolas, tente simplement avec user@domaine.tld au lieu de user tout court. Ça devrait marcher.

SMTP auth en TLS sous postfix avec SASL & courier-authdaemon - Nicolas

Nicolas — Tue, 20 Nov 2007 17:07:50 +0100

Bonjour, tout d'abord un grand merci pour ton How-to.
Je l'ai bien suivit a la lettre et ouf l'authentification fonctionne a une chose pret : il ne reconnait aucun nom d'utilisateur.
Comment dois-je faire pour qu'il accepte mon nom d'utilisateur "user" par exemple ?

Merci pour vos reponses.

SMTP auth TLS : postfix avec SASL linké à IMAP - greekananas

greekananas — Thu, 25 Oct 2007 02:01:38 +0200

Merci pour ce tuto très instructif.
Juste quelques précisions:

Le paquet libsasl2 ne résout pas toute seule une dépendance (c'est p-e ma conf ;-), il faut prendre le paquet libsasl2-2.

saslauthd n'a pas démarré, il a fallu que je fasse un "touch /lib/init/vars.sh"

Pour les abonnés à Free, ne pas oublié qu'il bloque par défaut les sorties sur le port 25!!
=> 2 possibilités:
soit aller dans sa console et débloquer le port 25
soit aller dans le master.cf de postfix et décommenté la ligne

  "smtps     inet  n       -       n       -       -       smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes"

et ca marche.

bon courage et encore merci

SMTP auth en TLS sous postfix avec SASL & courier-authdaemon - hacky

hacky — Mon, 30 Jul 2007 22:48:26 +0200

Ok, merci à nuxwin pour les compléments !

SMTP auth en TLS sous postfix avec SASL & courier-authdaemon - nuxwin

nuxwin — Mon, 30 Jul 2007 10:16:39 +0200

Re, c'est encore moi.

A défaut de passer pour le nouveau chieur de service, voici la preuve :

/etc/default/saslauthd :

This needs to be uncommented before saslauthd will be run automatically
START=yes

You must specify the authentication mechanisms you wish to use.
This defaults to "pam" for PAM support, but may also include
"shadow" or "sasldb", like this:
MECHANISMS="pam shadow"

MECHANISMS="pam"

Ici, comme vous pouvez aisément le constater, le service n'est pas démarré.

Bonne continuation à tous.

SMTP auth en TLS sous postfix avec SASL & courier-authdaemon - nuxwin

nuxwin — Mon, 30 Jul 2007 10:13:05 +0200

Re ;

Petite rectification pour l'emplacement du fichier smtpd.conf. Il se situe dans /etc/postfix/sasl et non dans /etc/postfix

Bonne continuation à vous.

SMTP auth en TLS sous postfix avec SASL & courier-authdaemon - nuxwin

nuxwin — Mon, 30 Jul 2007 10:09:51 +0200

Bonjour ;

Effectivement, il me semble que hodj a raison. Nullement besoin d'utiliser Saslauthd qui d'ailleurs n'est qu'une autre méthode de vérification de mot de passe et non pas à utiliser en conjonction avec authdaemond qui lui aussi est une méthode de vérification de mot de passe.

Cyrus SASL peut utiliser le service authdaemond de courrier. Il se connectera à la socket authdaemond de la bibliothèque authlib de Courier et lui communiquera les informations d'identifications du client de messagerie pour qu'elle les vérifie.

L'utilisation du service authdaemond fait bénéficier Cyrus SASL des nombreux backend que la bibliothèque authlib de Courrier reconnaît pour l'authentification des utilisateurs. Ce faisant, ce service est limité à l'utilisation des mécanismes de type texte en clair soit PLAIN et LOGIN, solution bien moin sécurisée que l'utilisation d'auxprop, qui est le seul à pouvoir utiliser les mécanismes de type secret partagé.

Pour info, si vous désirez utiliser authdaemon comme service de vérification de mot de passe, voici ce que doit contenir le fichier /etc/postfix/smtp.conf :

---
pwcheck_method: authdaemond
log_level: 3
mech_list: PLAIN LOGIN
authdaemond_path:/var/run/courier/authdaemon/socket.

---

A noter que j'ai déchrooté smtpd (fichier master.cf de postfix), que je l'ai redémarré et que j'ai appliqué un chmod 0755 sur les répertoires /var/run/courier et /var/run/courier/authdaemon

Bonne continuation.

Ps : Je n'utilise pas saslauthd, j'en suis certain dans la mesure ou il ne tourne pas en arrière plan.

SMTP auth en TLS sous postfix avec SASL & courier-authdaemon - hacky

hacky — Thu, 07 Jun 2007 22:10:16 +0200

@hodj: postfix appelle bien saslauthd indirectement via la libsasl. saslauthd gère son backend d'identification lui même (mysql, rimap, pam etc...) et ne fait que répondre que le login/mdp sont OK ou erronés.

Mais si tu as une autre méthode à m'expliquer je suis preneur

SMTP auth en TLS sous postfix avec SASL & courier-authdaemon - hodj

hodj — Thu, 07 Jun 2007 12:06:12 +0200

Quel est l'avantage d'exécuter saslauthd pour qu'il interroge authdaemond alors que postfix peut utiliser directement authdaemond via libsasl2 et éventuellement libsasl2-modules/mysql

Est tu sur que postfix (le daemon smtpd) utilise bien saslauthd car il n'y à aucune relation direct entre saslauthd et postfix ?

SMTP auth TLS : postfix avec SASL linké à IMAP - hacky

hacky — Mon, 07 May 2007 13:16:22 +0200

@Miams :
Salut.

Si tu pouvais mettre quelques détails supplémentaires pour ton log, parce qu'un simple "connect from" ça fait léger
Est-ce que ton démon saslauthd ainsi que imapd tournent ?
Que dit testsaslauthd -u login@domaine.tld -p motdepasse ?

SMTP auth TLS : postfix avec SASL linké à IMAP - Miams

Miams — Thu, 03 May 2007 19:58:07 +0200

Salut,
Voila, j'ai un petit problème avec ce tuto pourtant très bien fait !
Tout est relancé correctement, sans erreurs, quand j'essaie d'envoyer un mail par un client mail, le mot de passe rentré il ne se passe plus rien.
Je vois bien dans mon log la ligne suivante :

postfix/smtpd32609: connect from

Je considère que la connexion n'est pas mauvaise...

Juste aussi une précision quant à la configuration de /etc/default/saslauthd, si tu utilises un imap-ssl, il faut mettre
MECH_OPTIONS="nom.dns.org/993"

Si tu as une idée de ce qui se passe...
Merci bien !

SMTP auth TLS : postfix avec SASL linké à IMAP - SLYYY

SLYYY — Wed, 18 Apr 2007 17:56:41 +0200

Bob, je pense qu'il faut que tu vérifie ta config, dans ton fichier main.cf tu dois avoir une ligne :
postfixsmtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_pipelining, etc...

si je ne me trompe pas
permit_sasl_authenticated indique que l'envoi est autorisé aux clients authentifiés par sasl quelle que soit l'adresse de destination
reject_unauth_pipelining autorise l'envoi si l'adresse de réception correspond à un domaine relayé ou à un domaine géré localement.

Attention l'ordre est important car c'est le premier test rencontré qui remporte.

SMTP auth en TLS sous postfix avec SASL & courier-authdaemon - hacky

hacky — Sun, 15 Apr 2007 10:12:46 +0200

@Frenche : as tu vérifié que /var/run/courier/authdaemon/socket existait et était accessible par postfix ? Est-ce que l'utilisateur postfix est bien dans le groupe sasl ?

Sinon, en dernier recours, as tu essayé en rimap ? Le lien est au commentaire 4.

SMTP auth en TLS sous postfix avec SASL & courier-authdaemon - Frenche

Frenche — Thu, 12 Apr 2007 19:32:30 +0200

Salut.

Je viens de suivre ton HOW to mais j'ai un bug quand je souhaite me connecté au serveur SMTP depuis l'extérieur de mon réseau.

voici l'erreur dans le log:

warning: SASL authentification failure: cannot connect to Courier authdaemond: no such file or directory

Merci pour l'aide...

SMTP auth en TLS sous postfix avec SASL & courier-authdaemon - SLYYY

SLYYY — Thu, 12 Apr 2007 00:53:24 +0200

Je ne sais pas si le problème vient de là mais dans mon fichier de conf j'avais une ligne :
smtpd_sasl_path = /etc/postfix/sasl:/usr/lib/sasl2
elle me foutait la merde, l'authentification ne fonctionnait pas, je l'ai mise en commentaire, redémarré postfix et saslauthd et depuis plus de problème... cela peut peut-être aider...

SMTP auth TLS : postfix avec SASL linké à IMAP - Bob

Bob — Sat, 06 Jan 2007 20:41:48 +0000

Salut,

Merci pour ce super tuto pour Postfix.
Je cherchais à protéger mon serveur SMTP, donc j'ai suivi tes conseils.
Par contre, je peux continuer à envoyer des mails sans aucune authentification sur mon serveur SMTP...

Donc je ne peux pas l'ouvrir sur le net