[postfix-jp:02032] Re: SMTP-AUTHで、困っています。

[TAKAHASHI Shigeo <hercule@xxxxxxxxxxxxxx>]

こんにちは、高橋です。

In message "[postfix-jp:02031] SMTP-AUTHで、困っています。"
Okumura wrote:

> postfix-1.1.11 ＋　cyrus-sasl-1.5.27 で　SMTP-AUTHをしようと思っております
> うまくかず袋小路に入ってしまいました。是非お助け下さい。
> 
> これに至るまで
> 
> （１）cyrus-sasl をインストールしました。
> 　　./configure --enable-login --with-pwcheck
>     バークレーDBは、ｄｂ３をインクルードしまして、コンパイル、インストール
> 
> 　　/usr/local/lib/sasl/smtp.conf    ここには　pwcheck_method: passwd
> 　　（sasldbよりも先にこれでやっています）

最近のUnix系OSはシャドウパスワードを使っていますので、passwdを使う場合root
権限が必要になります。で、Postfixのsmtpdはデフォルトでユーザーpostfixで
動くのでpasswdを使った認証は出来ません。pwcheck_methodにshadowを指定した
場合、pamを指定しPAM経由でpam_unix等を使う場合も同じです。

セキュリティ上の問題を理解した上でどうしても、ということであれば
master.cfを以下のように変更し、smtpdをrootで動かせばpasswdで認証できると
思います。

smtp      inet  n       n       n       -       -       smtpd

また、OSがLinuxであれば、/etc/shadowのオーナー・グループ・パーミッション
をPostfixから読めるように設定した上で、pwcheck_methodにshadowを指定すれ
ば認証できるようになるかもしれません。（未確認）

まあ、sasldbかpwcheckを使った方がいいと思いますけど。


> （３）ｔｅｌｎｅｔで確認しました。
> 　　250-AUTH LOGIN PLAIN DIGEST-MD5 CRAM-MD5
> 　　250-AUTH=LOGIN PLAIN DIGEST-MD5 CRAM-MD5
> 　　これで、25番ポートはＳＭＴＰ−ＡＵＴＨしていると確認いたしました。

passwd/shadowを認証に利用する場合、DIGEST-MD5やCRAM-MD5は使えないはずで
す。MUAによっては、DIGEST-MD5やCRAM-MD5があると、PLAINよりもそちらを優先
して使用するものもありますので、/usr/local/lib/saslにあるlibdigestmd5と
libcrammd5を削除してするなどして使えないようにした方がいいかもしれません。


---
TAKAHASHI Shigeo
E-Mail: hercule@xxxxxxxxxxxxxx