[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp:02033] Re: SMTP-AUTHで、困っています。



On Thu, 12 Sep 2002 21:45:49 +0900
"Okumura" <kml@xxxxxxxxxx> wrote:

> postfix-1.1.11 + cyrus-sasl-1.5.27 で SMTP-AUTHをしようと思っております
> うまくかず袋小路に入ってしまいました。是非お助け下さい。
   (略)
> アウトルックエクスプレスから送信しますと、窓が開きまして、
> アカウントとパスワードを要求してきます。

問題点は何でしょうか?
事前にアカウント情報をMUAに知らせておいても
そのアカウントでは認証が通らないということでしょうか。
(その結果、改めてユーザーに問い合わせるダイアログボックスが開く)

> /usr/local/lib/sasl/smtp.conf ここには pwcheck_method: passwd
>(sasldbよりも先にこれでやっています)

pwcheck_method: passwd だと、
/etc/passwdにパスワードが書かれているシステムでしか
パスワード情報が引けないのではないでしょうか。
近頃のUnixではシャドウパスワード化されていることが多いと思います。
お使いのOSとバージョンを提示するとアドバイスが集まりやすいと思います。

> (3)telnetで確認しました。
>   250-AUTH LOGIN PLAIN DIGEST-MD5 CRAM-MD5
>   250-AUTH=LOGIN PLAIN DIGEST-MD5 CRAM-MD5

サーバーはクライアントに対して LOGIN, PLAINの他に 
DIGEST-MD5, CRAM-MD5も受け入れると示していますね。
LOGINやPLAIN用のアカウント情報はpasswdから引くとしても、
それとは別に、CRAM-MD5, DIGEST-MD5 用のアカウント情報が
sasldbに設定されていなければ
Error: authendication failed
になってしまうのではないでしょうか。

実際にクライアントが選択した認証機構がどれかは
Postfixのログにsasl_method=XXXXと残ります。

cyrus-1.5.27では認証機構とアカウント情報のデータベースの
組合せは次のようになっているはずです。
------------------------------------------------------------------
認証機構             データベース
PLAIN, LOGIN          passwd, shadow, sia, kerberos_v4
                      pam, sasldb, pwcheck, mysql, ldap等

CRAM-MD5, DIGEST-MD5  sasldb

KERBEROS_V4, GSSAPI   srvtab
------------------------------------------------------------------

SSL/TLSによって保護されていない場合、
LOGIN, PLAINではパスワードがネットワークに流れてしまうので、
安全のためにDIGEST-MD5, CRAM-MD5を選択するクライアントが
多いのではないでしょうか。
(Outlook Expressは手元にないので分かりませんが

どのサーバーがどの認証機構を受け入れるかは
smtpd_sasl_security_optionsで設定できます。

# The smtpd_sasl_security_options parameter controls what authentication
# mechanisms the Postfix SMTP server will offer to the client.  The
# list of available authentication mechanisms is system dependent.
#
# Specify zero or more of the following:
#
# noplaintext:  disallow methods that use plaintext passwords
# noactive:     disallow methods subject to active (non-dictionary) attack
# nodictionary: disallow methods subject to passive (dictionary) attack
# noanonymous:  disallow methods that allow anonymous authentication
#
# By default, the Postfix SMTP server accepts plaintext passwords but
# not anonymous logins.

References
[postfix-jp:02031] SMTP-AUTHで、困っています。, Okumura

[検索ページ] [Postfix-JP ML Home]