Postfix authentification sasl [Résolu]

beloge2002 · 09/05/2011, 15h15

Bonjour tout le monde,
je travaille sur la configuration postfix avec authentification sasl mais je ne comprends pas pourquoi lorsque je me connecte en telnet, il tient pas compte des paramètres sasl dans mon fichier main.cf qui sont les suivants:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
smtpd_client_restrictions =permit_sasl_authenticated,permit_mynetworks,check_client_access hash:/etc/postfix/acces_client,reject_unknown_sender_domain,permit
 
smtpd_sender_restrictions =
   check_sender_access hash:/etc/postfix/acces_expediteur
   reject_unknown_sender_domain,
   permit
#######authentification sasl
smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
#smtpd_sasl_tls_security_options = noanonymous
broken_sasl_auth_clients = yes
 
smtpd_recipient_restrictions =permit_sasl_authenticated,reject_unknown_sender_domain,reject_invalid_hostname,permit_mynetworks,reject_unauth_destination

Et voilà ce que me retourne postfix en telnet:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 
telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 localhost.localdomain ESMTP Postfix
ehlo localdomain
250-localhost.localdomain
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

Y aurait il quelqu'un qui peut me donner un coup de main.
Je vous remercie d'avance.

overider · 09/05/2011, 15h33

Bonjour.

Pourrait on voir le contenu du master.info?

beloge2002 · 09/05/2011, 15h48

Juste une petite précision que mon testsasl a réussi:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
testsaslauthd -u USR -p PASS -f /var/spool/postfix/var/run/saslauthd/mux
0: OK "Success."

Cordialement,

beloge2002 · 09/05/2011, 16h01

Voici mon fichier master.cf:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
 
smtp      inet  n       -       n       -       -       smtpd
 
pickup    fifo  n       -       n       60      1       pickup
 
	-o content_filter=
	-o receive_override_options=no_header_body_checks
 
cleanup   unix  n       -       n       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       n       1000?   1       tlsmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       n       -       -       smtp
 
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       n       -       -       smtp
	-o smtp_fallback_relay=
 
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
retry     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
scache    unix  -       -       n       -       1       scache
 
 
#config amavis accept mail back from amavis
 
smtp-amavis unix -      -       -     -       2  smtp
	    -o smtp_data_done_timeout=1200
	    -o smtp_send_xforward_command=yes
	    -o disable_dns_lookups=yes
 
127.0.0.1:10025 inet n  -       -     -       -  smtpd
           -o content_filter=
           -o local_recipient_maps=
	    -o relay_recipient_maps=
 	    -o smtpd_restriction_classes=
 	    -o smtpd_client_restrictions=
	    -o smtpd_helo_restrictions=
	    -o smtpd_sender_restrictions=
	    -o smtpd_recipient_restrictions=permit_mynetworks,reject
	    -o mynetworks=127.0.0.0/8
	    -o strict_rfc821_envelopes=yes

Alek-C · 09/05/2011, 17h32

Salut,

qu'est ce qui te chagrine dans ton résultat du telnet ?

beloge2002 · 09/05/2011, 17h40

Il me manque la ligne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN

ce qui me laisse croire que postfix n'est pas entrain d'utilisé sasl.

Alek-C · 10/05/2011, 09h25

Ca donne quoi si tu te connectes avec ceci à la place de telnet ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

openssl s_client -crlf -starttls smtp -connect localhost:25

beloge2002 · 10/05/2011, 16h22

Merci Alek pour ton coup de main.
J'ai finalement trouvé le problème qui résidait au niveau de la config du fichier main.cf. J'avais cette ligne dans ma config:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
smtpd_tls_auth_only = yes

Celui ci bloquait le lancement de sasl.

Cordialement,

Alek-C · 10/05/2011, 17h29

Citation:

Envoyé par beloge2002

Merci Alek pour ton coup de main.
J'ai finalement trouvé le problème qui résidait au niveau de la config du fichier main.cf. J'avais cette ligne dans ma config:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
smtpd_tls_auth_only = yes

Celui ci bloquait le lancement de sasl.

Cordialement,

Pas vraiment, en fait, cette ligne indique si l'authentification doit se faire uniquement sur tls ou pas.

Si tu mets à yes, cela veut dire que tes utilisateurs vont pouvoir s'authentifier en utilisant une connexion non sécurisée, ce qui n'est pas génial en terme de sécurité (le mot de passe transitant en clair).

Par exemple, chez moi, je ne l'ai pas en telnet non plus :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 mail.domain.org ESMTP Postfix
ehlo localhost
250-mail.domain.org
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

Mais je l'ai bien en tls :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
# openssl s_client -crlf -starttls smtp -connect localhost:25
CONNECTED(00000003)
depth=0 C = FR, ST = ..., L = ..., O = Domain Box, CN = mail.domain.org, emailAddress = postmaster@domain.org
verify error:num=18:self signed certificate
verify return:1
...
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
250 DSN
ehlo localhost
250-mail.domain.org
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

Pour des raisons de sécurité, je ne souhaite pas que mes utilisateurs puissent se connecter avec leur user/mot de passe sans chiffrement. C'est un serveur de mail à usage restreint, donc je peux les aider à créer leur accès comme c'est un poil plus compliqué, mais au moins, je suis tranquille.

beloge2002 · 12/05/2011, 07h55

Merci encore une fois pour ton éclaircissement. Je viens juste de tester avec la ligne et ça marche. Le fait que j'avais pas paramétré le tls pour test sasl rendait impossible le lancement du sasl. Maintenant je comprends plus en détails ce que j'ai fait.

09/05/2011, 15h33	#2
overider Membre éclairé Inscription : février 2005 Messages : 349 Détails du profil Informations personnelles : Localisation : France, Vaucluse (Provence Alpes Côte d'Azur) Informations forums : Inscription : février 2005 Messages : 349 Points : 358 Points : 358	Bonjour. Pourrait on voir le contenu du master.info? __________________ La connaissance s'accroit lorsqu'on la partage.
	00

10/05/2011, 09h25	#7
Alek-C Membre Expert Alexis Intégrateur d'Exploitation Inscription : février 2003 Messages : 876 Détails du profil Informations personnelles : Nom : Alexis Âge : 32 Localisation : France Informations professionnelles : Activité : Intégrateur d'Exploitation Secteur : Biens de consommation Informations forums : Inscription : février 2003 Messages : 876 Points : 1 619 Points : 1 619	Ca donne quoi si tu te connectes avec ceci à la place de telnet ? Code : Sélectionner tout - Visualiser dans une fenêtre à part openssl s_client -crlf -starttls smtp -connect localhost:25
	00

09/05/2011, 17h32	#5
Alek-C Membre Expert Alexis Intégrateur d'Exploitation Inscription : février 2003 Messages : 876 Détails du profil Informations personnelles : Nom : Alexis Âge : 32 Localisation : France Informations professionnelles : Activité : Intégrateur d'Exploitation Secteur : Biens de consommation Informations forums : Inscription : février 2003 Messages : 876 Points : 1 619 Points : 1 619	Salut, qu'est ce qui te chagrine dans ton résultat du telnet ?
	00

12/05/2011, 07h55	#10
beloge2002 Invité régulier Inscription : septembre 2005 Messages : 30 Détails du profil Informations forums : Inscription : septembre 2005 Messages : 30 Points : 9 Points : 9	Merci encore une fois pour ton éclaircissement. Je viens juste de tester avec la ligne et ça marche. Le fait que j'avais pas paramétré le tls pour test sasl rendait impossible le lancement du sasl. Maintenant je comprends plus en détails ce que j'ai fait.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email