postfix et authentification

Remi Suinot <remi@suinot.org> writes:

Bonsoir à tous,

Bonsoir,

Avez vous une doc (autre que celle de postfix, j'ai déjà essayé),
pour utiliser les shadows passwords? Sasl ne semble pas vouloir
l'utiliser...

En utilisant saslauthd (paquet sasl2-bin), tu peux utiliser PAM (et
donc les shadows). NB: il faut éditer /etc/default/saslauthd pour
qu'il se lance automatiquement.

Tu rajoutes ensuite dans le fichier /etc/postfix/sasl/smtpd.conf les
lignes:

pwcheck_method: saslauthd
mech_list: login


Dans /etc/postfix/main.cf, j'ai mis ceci:

# smtpd auth/sasl
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = $myhostname
broken_sasl_auth_clients = yes
smtpd_tls_auth_only = yes

# smtpd tls
smtpd_tls_received_header = yes
smtpd_tls_loglevel = 1
smtpd_tls_security_level = may
smtpd_tls_key_file = /etc/postfix/ssl/petole-key.pem
smtpd_tls_cert_file = /etc/postfix/ssl/petole-crt.pem
smtpd_tls_session_cache_timeout = 3600s

# restrictions
smtpd_recipient_restrictions permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
permit



Tu relances postfix, tu lances saslauthd si ce n'est pas déjà fait, et
après tout ça Postfix devrait pouvoir authentifier tes utilisateurs du
moment que TLS est bien en route.

Mes deux centimes,
--
Nicolas


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

En ce Fri, 01 Feb 2008 20:24:39 +0100, le sermon de Nicolas KOWALSKI <niko@ petole.dyndns.org> contenait:

Remi Suinot <remi@suinot.org> writes:

> Bonsoir à tous,

Bonsoir,

> Avez vous une doc (autre que celle de postfix, j'ai déjà essayé),
> pour utiliser les shadows passwords? Sasl ne semble pas vouloir
> l'utiliser...

En utilisant saslauthd (paquet sasl2-bin), tu peux utiliser PAM (et
donc les shadows). NB: il faut éditer /etc/default/saslauthd pour
qu'il se lance automatiquement.

Tu rajoutes ensuite dans le fichier /etc/postfix/sasl/smtpd.conf les
lignes:

pwcheck_method: saslauthd
mech_list: login


Dans /etc/postfix/main.cf, j'ai mis ceci:

# smtpd auth/sasl
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = $myhostname
broken_sasl_auth_clients = yes
smtpd_tls_auth_only = yes

# smtpd tls
smtpd_tls_received_header = yes
smtpd_tls_loglevel = 1
smtpd_tls_security_level = may
smtpd_tls_key_file = /etc/postfix/ssl/petole-key.pem
smtpd_tls_cert_file = /etc/postfix/ssl/petole-crt.pem
smtpd_tls_session_cache_timeout = 3600s

# restrictions
smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
permit

Merci de ton avis.
Je viens de tester. Résultats: quand mes utilisateurs sont hors du rése au local, ca marche pas.
Voila le résultat dans syslog lors d'un test:
Feb 3 16:47:44 master postfix/smtpd[24130]: connect from abcdef.adsl.proxa d.net[ww.xx.yyy.zzz]
Feb 3 16:52:44 master postfix/smtpd[24130]: timeout after AUTH from abcdef .adsl.proxad.net[ww.xx.yyy.zzz]
Feb 3 16:52:44 master postfix/smtpd[24130]: disconnect from abcdef.adsl.pr oxad.net[ww.xx.yyy.zzz]
le test a été fait avec sylpheed, méthode d'autentification 'login'.
Un utilisateur dans le réseau local focntionne avec l'authentification, m ais les log n'indique pas de méthode utilisée.

J'avais redémarrer saslauth et postfix. Pas d'erreur quand je les ai red émarrer.
Comment rendre postfix et/ou saslauthd plus bavard, le temps de faire des t ests plus poussés?

Rémi.

--
Merci de m'avoir lu jusqu'ici, longue Vie et Prosperite.
http://www.suinot.org

Remi Suinot <remi@suinot.org> writes:

Je viens de tester. Résultats: quand mes utilisateurs sont hors du réseau local, ca marche pas.
Voila le résultat dans syslog lors d'un test:
Feb 3 16:47:44 master postfix/smtpd[24130]: connect from abcdef.adsl.proxad.net[ww.xx.yyy.zzz]
Feb 3 16:52:44 master postfix/smtpd[24130]: timeout after AUTH from abcdef.adsl.proxad.net[ww.xx.yyy.zzz]
Feb 3 16:52:44 master postfix/smtpd[24130]: disconnect from abcdef.adsl.proxad.net[ww.xx.yyy.zzz]
le test a été fait avec sylpheed, méthode d'autentification 'login'.
Un utilisateur dans le réseau local focntionne avec l'authentification, mais les log n'indique pas de méthode utilisée.

Donc il n'a pas tenté d'authentification.

J'avais redémarrer saslauth et postfix. Pas d'erreur quand je les ai redémarrer.
Comment rendre postfix et/ou saslauthd plus bavard, le temps de
faire des tests plus poussés?

L'option -v à smtpd dans /etc/postfix/master.cf.


De mon côté, voici des logs d'une connexion réussie:

Feb 3 17:54:07 petole postfix/smtpd[15512]: connect from unknown[192.168.2.10]
Feb 3 17:54:07 petole postfix/smtpd[15512]: setting up TLS connection from unknown[192.168.2.10]
Feb 3 17:54:07 petole postfix/smtpd[15512]: TLS connection established from unknown[192.168.2.10]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Feb 3 17:54:19 petole postfix/smtpd[15512]: 4E2F0677CB:client=unknown[192.168.2.10], sasl_method=LOGIN, sasl_username=niko@petole.dyndns.org
Feb 3 17:54:19 petole postfix/cleanup[15495]: 4E2F0677CB:message-id=<47A5F1AF.408@petole.dyndns.org>
Feb 3 17:54:19 petole postfix/qmgr[15480]: 4E2F0677CB:from=<niko@petole.dyndns.org>, sizei1, nrcpt=1 (queue active)
Feb 3 17:54:19 petole postfix/smtpd[15512]: disconnect fromunknown[192.168.2.10]


Est-ce que le SSL/TLS est bien activé sur le client ?

Dans mon master.cf, j'ai ceci pour les connexions SSL uniquement:

smtps inet n - n - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject


--
Nicolas


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

../..

> # restrictions
> smtpd_recipient_restrictions =
> permit_sasl_authenticated,
> permit_mynetworks,
> reject_unauth_destination,
> permit

Merci de ton avis.
Je viens de tester. Résultats: quand mes utilisateurs sont hors du ré seau local, ca marche pas.
Voila le résultat dans syslog lors d'un test:
Feb 3 16:47:44 master postfix/smtpd[24130]: connect from abcdef.adsl.pro xad.net[ww.xx.yyy.zzz]
Feb 3 16:52:44 master postfix/smtpd[24130]: timeout after AUTH from abcd ef.adsl.proxad.net[ww.xx.yyy.zzz]
Feb 3 16:52:44 master postfix/smtpd[24130]: disconnect from abcdef.adsl. proxad.net[ww.xx.yyy.zzz]
le test a été fait avec sylpheed, méthode d'autentification 'login'.
Un utilisateur dans le réseau local focntionne avec l'authentification, mais les log n'indique pas de méthode utilisée.

J'avais redémarrer saslauth et postfix. Pas d'erreur quand je les ai re démarrer.
Comment rendre postfix et/ou saslauthd plus bavard, le temps de faire des tests plus poussés?

J'ai oublié un truc!
Pour arriver à un résultat, j'ai été obligé d'abord, de supprimer la config de postfix suivante:
smtpd_helo_restrictions = reject_non_fqdn_hostname
sinon, ça passe pas du tout, avec ou sans authentification!
Mais cela ouvre t il une porte dans postfix?

Rémi.

--
Merci de m'avoir lu jusqu'ici, longue Vie et Prosperite.
http://www.suinot.org

Remi Suinot <remi@suinot.org> writes:

Pour arriver à un résultat, j'ai été obligé d'abord, de supprimer la
config de postfix suivante:

smtpd_helo_restrictions = reject_non_fqdn_hostname
sinon, ça passe pas du tout, avec ou sans authentification!

Je n'arrive pas à te suivre ; dans un précédent courrier tu écrivais
que ça marchait sans authentification depuis le réseau local...

Maintenant, l'authentification marche ou non ?

Pour savoir où tu en es dans ta configuration, un "postconf -n" serait
le bienvenu...

Mais cela ouvre t il une porte dans postfix?

C'est une option qui permet normalement de se prémunir contre certains
pourriéleurs. Personnellement, je ne l'utilise pas, SpamAssassin
faisant très bien le travail.

Pour d'autres infos plus précises:
http://www.postfix.org/uce.html#smtpd_helo_restrictions

--
Nicolas


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

En ce Sun, 03 Feb 2008 18:52:30 +0100, le sermon de Nicolas KOWALSKI <niko@ petole.dyndns.org> contenait:

Remi Suinot <remi@suinot.org> writes:

> Pour arriver à un résultat, j'ai été obligé d'abord, de suppr imer la
> config de postfix suivante:

> smtpd_helo_restrictions = reject_non_fqdn_hostname
> sinon, ça passe pas du tout, avec ou sans authentification!

Je n'arrive pas à te suivre ; dans un précédent courrier tu écriv ais
que ça marchait sans authentification depuis le réseau local...

Maintenant, l'authentification marche ou non ?

J'ai avancé un peu!
Apparemment, ssl est utilisé, mais l'autenthification a échoué.
Dans les log ci dessous, j'ai fait un test de l'intérieur du réseau ver s mon adresse chez free:
Feb 4 22:50:28 master postfix/smtpd[2166]: > excalibur.suinot.org[192.168. 3.10]: 250-AUTH=LOGIN
Feb 4 22:50:28 master postfix/smtpd[2166]: > excalibur.suinot.org[192.168. 3.10]: 250-ENHANCEDSTATUSCODES
Feb 4 22:50:28 master postfix/smtpd[2166]: > excalibur.suinot.org[192.168. 3.10]: 250-8BITMIME
Feb 4 22:50:28 master postfix/smtpd[2166]: > excalibur.suinot.org[192.168. 3.10]: 250 DSN
Feb 4 22:50:28 master postfix/smtpd[2166]: < excalibur.suinot.org[192.168. 3.10]: AUTH LOGIN
Feb 4 22:50:28 master postfix/smtpd[2166]: xsasl_cyrus_server_first: sasl_ method LOGIN
Feb 4 22:50:28 master postfix/smtpd[2166]: xsasl_cyrus_server_auth_respons e: uncoded server challenge: Username:
Feb 4 22:50:28 master postfix/smtpd[2166]: > excalibur.suinot.org[192.168. 3.10]: 334 VXNlcm5hbWU6
Feb 4 22:50:28 master postfix/smtpd[2166]: < excalibur.suinot.org[192.168. 3.10]: cmVtaUBzdWlub3Qub3Jn
Feb 4 22:50:28 master postfix/smtpd[2166]: xsasl_cyrus_server_next: decode d response: remi@suinot.org
Feb 4 22:50:28 master postfix/smtpd[2166]: xsasl_cyrus_server_auth_respons e: uncoded server challenge: Password:
Feb 4 22:50:28 master postfix/smtpd[2166]: > excalibur.suinot.org[192.168. 3.10]: 334 UGFzc3dvcmQ6
Feb 4 22:50:28 master postfix/smtpd[2166]: < excalibur.suinot.org[192.168. 3.10]: 4peP4peP4peP4peP4peP4peP4peP4peP4peP4peP
Feb 4 22:50:28 master postfix/smtpd[2166]: xsasl_cyrus_server_next: decode d response: ??????????????????????????????
Feb 4 22:50:28 master postfix/smtpd[2166]: warning: excalibur.suinot.org[1 92.168.3.10]: SASL LOGIN authentication failed: authentication failure
Feb 4 22:50:28 master postfix/smtpd[2166]: > excalibur.suinot.org[192.168. 3.10]: 535 5.7.0 Error: authentication failed: authentication failure
Feb 4 22:50:41 master postfix/smtpd[2166]: smtp_get: EOF

Pour savoir où tu en es dans ta configuration, un "postconf -n" serait
le bienvenu...

voila voila...
master:/etc/postfix# postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
inet_interfaces = all
inet_protocols = all
mailbox_size_limit = 51200000
mydestination = suinot.org, localhost, localhost.localdomain
myhostname = master.suinot.org
mynetworks = 192.168.0.0/16, 127.0.0.0/8
myorigin = /etc/mailname
recipient_delimiter = +
relayhost =
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_myne tworks, reject_unauth_destination permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = $myhostname
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes

> Mais cela ouvre t il une porte dans postfix?

C'est une option qui permet normalement de se prémunir contre certains
pourriéleurs. Personnellement, je ne l'utilise pas, SpamAssassin
faisant très bien le travail.

Pour d'autres infos plus précises:
http://www.postfix.org/uce.html#smtpd_helo_restrictions

Merci pour cette info.

Merci de votre aide.
Rémi.

--
Merci de m'avoir lu jusqu'ici, longue Vie et Prosperite.
http://www.suinot.org

Remi Suinot <remi@suinot.org> writes:

Apparemment, ssl est utilisé, mais l'autenthification a échoué.

As-tu le paquet libsasl2-modules installé ? Sans celui-ci pas
d'authentification possible avec saslauthd.

--
Nicolas


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

En ce Tue, 05 Feb 2008 08:13:19 +0100, le sermon de Nicolas KOWALSKI <niko@ petole.dyndns.org> contenait:

Remi Suinot <remi@suinot.org> writes:

> Apparemment, ssl est utilisé, mais l'autenthification a échoué.

As-tu le paquet libsasl2-modules installé ? Sans celui-ci pas
d'authentification possible avec saslauthd.

oui, celui ci est installé:
# aptitude search sasl
i libsasl2 - Authentication abstraction library
i libsasl2-2 - Authentication abstraction library
i libsasl2-modules - Pluggable Authentication Modules for SASL
i sasl2-bin - Administration programs for SASL users database

--
Merci de m'avoir lu jusqu'ici, longue Vie et Prosperite.
http://www.suinot.org

Remi Suinot <remi@suinot.org> writes:

En ce Tue, 05 Feb 2008 08:13:19 +0100, le sermon de Nicolas KOWALSKI <niko@petole.dyndns.org> contenait:

Remi Suinot <remi@suinot.org> writes:

> Apparemment, ssl est utilisé, mais l'autenthification a échoué.

As-tu le paquet libsasl2-modules installé ? Sans celui-ci pas
d'authentification possible avec saslauthd.

oui, celui ci est installé:

Et si tu désactives le chroot de smtpd (dans /etc/postfix/master.cf),
ça marche mieux ?

--
Nicolas


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

En ce Tue, 05 Feb 2008 15:54:29 +0100, le sermon de Nicolas KOWALSKI <niko@ petole.dyndns.org> contenait:

Remi Suinot <remi@suinot.org> writes:

> En ce Tue, 05 Feb 2008 08:13:19 +0100, le sermon de Nicolas KOWALSKI <n iko@petole.dyndns.org> contenait:
>
>> Remi Suinot <remi@suinot.org> writes:
>>
>> > Apparemment, ssl est utilisé, mais l'autenthification a échoué.
>>
>> As-tu le paquet libsasl2-modules installé ? Sans celui-ci pas
>> d'authentification possible avec saslauthd.
>>
>
> oui, celui ci est installé:

Et si tu désactives le chroot de smtpd (dans /etc/postfix/master.cf),
ça marche mieux ?

Bonne nouvelle!
En locale (c'est à dire, à l'intérieur de mon réseau local), ça m arche!
Mes utilisateur utilise ssl et l'authentification pour envoyer leurs courri els!
Mon test précédent, c'est bête, je donnais le mauvais mot de passe...
(pas de commentaire désobligeant.... merci :)
Il me reste un test de l'extérieur. Un de mes utilisateurs va le faire ce soir.
Je vous tiens au courant.

Et pour répondre au dernier mail: non, je ne suis pas dans un chroot.

Rémi.

--
Merci de m'avoir lu jusqu'ici, longue Vie et Prosperite.
http://www.suinot.org