Authentification SASL sur Active Directory

Version imprimable

23/04/2007, 17h00
Zelltemplar

Authentification SASL sur Active Directory

Bonjour,

Je souhaite gérer une authentification basée sur SASL via Acitve Directory. J'ai pour cela installé sur ma mandriva 2007 cyrus-sasl, puis configuré les fichiers /etc/saslauthd.conf et /etc/defaut/saslauthd pour se connecter à un serveur LDAP.

Je fais ensuite un essai avec la commande testsaslauthd -u mon_user -p mon_password, et j'ai l'erreur suivante:

Citation:

0: NO "authentication failed"

Dans le fichier auth.log cela affiche:

Citation:

Apr 23 16:57:20 LINUX2 saslauthd[3445]: Authentication failed for testldap/mon_domaine.fr: Bind to ldap server failed (invalid user/password or insufficient access) (-7)

J'ai fait un test en désactivant mon serveur 2003, l'erreur est alors différente, l'annuaire LDAP est donc bien contacté, mais l'authentification ne se fait pas. J'ai essayé avec plusieurs comptes, de celui de base à l'administrateur, j'ai toujours la même réponse.

Aurais-je oublié d'installer et configurer autre chose? Faut-il joindre le domaine avec samba pour que cela fonctionne? J'ai entendu parler de kerberos également, mais en quoi interviendrait-il, et est-il nécessaire de le configurer (il est installé par défaut)? Merci de vos réponses

Bien, merci pour toutes vos réponses :p J'ai trouvé le "problème", je poste la solution, si ca peut aider: comme vous le savez peut ête, pour s'authentifier via AD, il faut se connecter à Active Directory avec le login et le mot de passe d'un utilisateur d'AD, pour pouvoir ensuite faire les tests de mot de passe et de login. Voici donc la ligne qui permet de définir l'utilisateur avec lequel je m'identifie sur AD:
vi /etc/saslauthd.conf

Code:

ldap_bind_dn: CN=testldap,DC=delta-technologies,DC=fr

C'est la configuration que j'ai trouvé sur la plupart des sites, et qu'on m'a donné lorsque j'ai demandé un exemple de fichier de configuration de SASL. Après quelques recherches, j'ai finalement trouvé une autre facon de définir cet utilisateur:

Code:

ldap_bind_dn: testldap@delta-technologies.fr

Et là, hô miracle, cela fonctionne!! Je ne sais pas pourquoi l'autre solution ne marchait pas alors qu'elle semble fonctionner la plupart du temps, si quelqu'un a une idée, je suis preneur, mais ca marche, c'est le principal :)

J'en profite pour mettre la config complète des 2 fichiers de configuration:

/etc/saslauthd.conf:
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 ldap_servers: ldap://192.168.30.57 ldap_default_domain: mon_domaine.fr ldap_search_base: DC=mon_domaine,DC=fr ldap_bind_dn: <a href="mailto:testldap@mon_domaine.fr">testldap@mon_domaine.fr</a> ldap_bind_pw: 000000 ldap_deref: never ldap_restart: yes ldap_scope: sub ldap_use_sasl: no ldap_start_tls: no ldap_version: 3 ldap_auth_method: bind ldap_filter: sAMAccountName=%u ldap_password_attr: userPassword ldap_timeout: 10 ldap_cache_ttl: 30 ldap_cache_mem: 32768
/etc/default/saslauthd:
Code:

1 2 3 4 5 6 7 8 # $Id: saslauthd.sysconfig,v 1.1 2001/05/02 10:55:48 wiget Exp $ # Authentications mechanism (for list see saslauthd -v) SASL_AUTHMECH="ldap" # Hostname for remote IMAP server (if rimap auth mech is used) # Ldap configuration file (if ldap auth mech is used) SASL_MECH_OPTIONS=/etc/saslauthd.conf # Extra options (for list see saslauthd -h) SASLAUTHD_OPTS=

26/10/2008, 12h36
marveljojo75

Merci, cela va m'aider dans un futur proche !!
Aujourd'hui, j'ai un souçi comme toi :
testsaslauthd -u rjs3 -p 1234 0: NO "authentication failed"

voici auth.log :
Oct 26 12:31:37 stock sudo: pam_unix(sudo:session): session opened for user root by root(uid=0)
Oct 26 12:31:37 stock sudo: pam_unix(sudo:session): session closed for user root
Oct 26 12:31:46 stock saslauthd[15225]: do_auth : auth failure: [user=test@MonDomaine.com] [service=imap] [realm=] [mech=sasldb] [reason=Unknown]
Oct 26 12:32:01 stock CRON[15852]: pam_unix(cron:session): session opened for user root by (uid=0)
Oct 26 12:32:06 stock CRON[15852]: pam_unix(cron:session): session closed for user root

Pour info, /etc/hosts :
127.0.0.1 localhost.localdomain localhost
91.xxx.xxx.xxx nsxxxxx.ovh.net

J'ai fait rajouter une zone sur MonDomaine.com :
J'ai donc :
smtp.MonDomaine.com ==> 91.xxx.xxx.xxx
Dois je modifier mon /etc/hosts comme ceci :
127.0.0.1 localhost.localdomain localhost
91.xxx.xxx.xxx smtp.MonDomaine.com

??
mici :)

MJ !!
14/09/2012, 12h11
snake972

Info

Bonjour Zelltemplar,
Vous nous avez fournis la solution à votre problème et je vous remerci car cela m'a aidé.

Mais vous n'avez pas répondu à vos questions :P :

"Faut-il joindre le domaine avec samba pour que cela fonctionne? J'ai entendu parler de kerberos également, mais en quoi interviendrait-il, et est-il nécessaire de le configurer (il est installé par défaut)?"

Si vous disposez des réponses, pourriez-vous les partager svp ?

Merci de votre réponse.