Содержание
- Подскажите с Dovecot + Kerberos/GSSAPI
- Билет керберос не был принят сервером исходящей почты astra linux
- №7 10-08-2006 08:52:48
- Re: Проблема с отправкой почты в Thunderbird
- Прозрачная авторизация клиентов Dovecot
- Прозрачная авторизация клиентов Dovecot
Подскажите с Dovecot + Kerberos/GSSAPI
Подскажите как настроить Dovecot с Kerberos/GSSAPI аутентификацией, установил Dovecot 1.2.15 с репа на дебиан а понятной доки по настройке найти не могу. Может есть примеры какие?
спосиб ща читану))
ну тут все ясно а керберос как соеденить с dovecot?, я ввел дебиан в домен, керберос получает билеты.
С помощью pam (Pluggable Authentication Modules).
mail_debug = yes
auth_verbose = yes
auth_debug_passwords = yes
protocols = imap pop3
mail_location = maildir:/var/mail/%u
first_valid_uid = 0
mail_uid = 8
mail_gid = 8
userdb static <
args = uid=mail gid=mail home=/var/vmail/%u
>
passdb pam <
>
client <
path = /var/spool/postfix/private/auth
mode = 0777
>
>
>
@include common-auth
@include common-account
@include common-session
auth sufficient pam_krb5.so
account sufficient pam_krb5.so
Mar 20 16:45:01 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 20 16:45:01 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 20 16:45:02 newmail dovecot: auth(default): new auth connection: pid=30414
Mar 20 16:45:02 newmail dovecot: auth(default): new auth connection: pid=30413
как проверить имеются ли в наличии эти модули, работают ли они, и почему пишет imap-login .
# telnet localhost 143
Trying ::1.
Trying 127.0.0.1.
Connected to localhost.
Escape character is ‘^]’.
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE AUTH=GSSAPI] Dovecot ready.
openssl s_client -connect localhost:993
openssl BAD Error in IMAP command received by server.
a capability
* CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE SORT SORT=DISPLAY THREAD=REFERENCES THREAD=REFS MULTIAPPEND UNSELECT IDLE CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS AUTH=GSSAPI
a OK Capability completed.
a authenticate GSSAPI
a NO [UNAVAILABLE] Temporary authentication failure.
Kerberos не настроен(не создан keytab).
Вот по этой статье я в свое время создавал keytab http://xgu.ru/wiki/Squid,_Kerberos_%D0%B8_LDAP]
Смотри там про создание keytab’а и описание протокола kerberos.
поправил
a authenticate GSSAPI
+
чего еще не хватает?))
ktpass -princ imap/newmail.domain.ru@DOMAIN.RU -mapuser
DOMAINuser -pass «pass» -ptype KRB5_NT_SRV_HST -out c:krb5.keytab
Targeting domain controller: ADC-1.domain.ru
Using legacy password setting method
Successfully mapped imap/newmail.domain.ru to user.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to c:krb5.keytab:
Keytab version: 0x502
keysize 71 imap/newmail.domain.ru@DOMAIN.RU ptype 3 (KRB5_NT_SRV_HST) vno 12 etype 0x17 (RC4-HMAC) keylength 16 (0x00957a6cdb8eea58a460643d04dec703)
скопировал в etc
добавил в dovecot.conf —> auth_krb5_keytab = /etc/krb5.keytab
подскажите чего еще не настроено? не авторизируется
Mar 21 10:03:04 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 21 10:03:04 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 21 10:03:05 newmail dovecot: auth(default): new auth connection: pid=11234
Mar 21 10:03:05 newmail dovecot: auth(default): new auth connection: pid=11233
Источник
Билет керберос не был принят сервером исходящей почты astra linux
ab52003
Имя и пароль — да
Поставь, TLS по возможности, а не TLS!
И еще в свойствах учетной записи (на самой учетной записи левой кнопкой и внизу) поставь для этой учетной записи сервер исходящей почты (SMTP) . @mail.ru — smtp.mail.ru
Через сомнения приходим к истине. Цицерон
№7 10-08-2006 08:52:48
Re: Проблема с отправкой почты в Thunderbird
ab52003
Имя и пароль — да
Поставь, TLS по возможности, а не TLS!
И еще в свойствах учетной записи (на самой учетной записи левой кнопкой и внизу) поставь для этой учетной записи сервер исходящей почты (SMTP) . @mail.ru — smtp.mail.ru
Сделал все, как сказали. После этого запрос на пароль стал появляться и для входящей и для исходящей почты. Однако отправка почты по-прежнему не происходит, а выдается сообщение:
Предупреждение: Ошибка отправления почты. Почтовый сервер ответил: Убедитесь, что указанный вами в настройках адрес электронной почты верен, и попробуйте снова.
Настройки исходящей почты в учетной записи (учетная запись у меня одна) такие:
Сервер исходящей почты (SMTP):
Параметры сервера исходящей почты (SMTP):
В окне надпись: ab52003@mail.ru-smtp.mail.ru (По умолчанию)
Вкладка «Изменить…»:
SMTP-сервер:
Описание: (не указано)
Имя сервера: smtp.mail.ru
Имя пользователя: ab52003@mail.ru
Порт: 25
Использовать имя и пароль: Да
Использовать защищенное соединение: TLS, по возможности
А в менеджере паролей информация по входящей и исходящей почте отображается так (сами пароли отображаются правильно):
По входящей почте:
Сервер: mailbox://ab52003@pop.mail.ru
Имя пользователя: ab52003
По исходящей почте:
Сервер: smtp://ab52003%40mail.ru@smtp.mail.ru
Имя пользователя: (не указано)
Как видно, в исходящей почте информация указывается неверно.
Не пойму, почему. Вроде в учетной записи все указано правильно, никаких лишних пробелов и знаков нет. Может, надо заполнить поле «Описание», но как?
Источник
Прозрачная авторизация клиентов Dovecot
Исходные данные:
Домен (dom.lan): Microsoft Windows 2008
Почтовый сервер (mail.dom.lan): FreeBSD 10.0+Postfix 2.11.1+Dovecot 2.2.15
На почтовом сервере настроена Samba 3.6.24, является членом домена, предоставляет прозрачный доступ к сетевым ресурсам, используя winbind.
Т.е. пользователям, которые авторизовались в домене, не приходится повторно вводить доменный пароль, чтобы получить доступ к сетевому ресурсу.
отрабатывают правильно, выводя информацию о пользователях и группах домена.
Задача: настроить прозрачную авторизацию клиентов Dovecot. Т.е. сделать так, чтобы почтовый клиент забирал почту не с помощью пароля, указанного в почтовом клиенте, а на основе существующей доменной сессии (пароли пользователей в домене периодически подлежат замене).
Подозреваю, что это можно реализовать, используя Samba+PAM+Winbind. Делал так:
Создал файл /etc/pam.d/dovecot следующего содержания:
Вам нужна аутентификация через kerberos, с pam_winbind прозрачную авторизацию не сделать.
http://wiki2.dovecot.org/Authentication/Kerberos
И клиент должен её уметь.
Microsoft Outlook умеет?
Я пытался настроить Dovecot+Kerberos+AD, не получалось сгенерить такой файл-keytab, чтобы получать билет kerberos. Открыл тему:
Ошибку свою при генерации файла нашел. Я давал команду:
Дальше с настройкой kerberos продвинуться не удалось. Все клиенты у меня Microsoft Outlook, пытался настроить это:
Так как решить эту задачу?
Freebsd+Dovecot+AD+Microsoft Outlook+прозрачная авторизация. Уверен, что это возможно! Прошу помочь, очень нужно реализовать.
Спасибо!
Добрый день!
Жаль, что тема не нашла отклика. На мой взгляд типовая задача для корпоративной почты. Тем не менее, продолжаю ковырять kerberos.
Читая и перечитывая:
стараюсь привести свои настройки в полное соответствие.
В каталоге /usr/lib присутствовал файл pam_krb5.so. Однако указание на него в /etc/pam.d/dovecot к изменениям ситуации не привело.
Установил порт /usr/ports/security/pam_krb5 и переписал /etc/pam.d/dovecot к такому виду:
Радует, что ситуация изменилась. И вроде как в лучшую сторону. Но почему в логе user=<> — непонятно. Получается, что ip-клиента определился, а имя пользователся нет? Может быть кто-то сможет это прокомментировать?
Файл /etc/krb5.keytab работает нормально. Команды:
может быть все-таки поменять auth_mechanism = plain на что-то другое?
Надо же, опять опечатался. В конфиге:
Как то так получается, что после поста находится решение или происходит движение вперед. Поэтому продолжаю 🙂 , но от помощи не отказываюсь.
Когда надоело мучать Mozilla Thunderbird и GSSAPI, закрыл его и снова открыл Microsoft Outlook. Тут случилось чудо! Он залогинился! К этому моменту в 10-ssl.conf было:
В /var/log/debug.log много всего, красиво и без ошибок.
При этом в Microsoft Outlook поле ПАРОЛЬ не заполнено!
Так исторически сложилось, что имя пользователя домена и адрес электронной почты не совпадают, причем имя пользователся может быть по русски. Например, login — «Смирнов» и email — «smirnov@dom.lan«.
А Microsoft Outlook не позволяет оставить поле ПОЛЬЗОВАТЕЛЬ пустым. Написал для начала туда не login пользователя, а его адрес электронной почты (user@dom.lan). В Maildir создался ящик электронной почты. Отлично! Затем в поле ПОЛЬЗОВАТЕЛЬ написал адрес электронной почты (например, user1@dom.lan), которого не существует в AD. Ящик создался! Это нехорошо! Затем написал адрес электронной почты ДРУГОГО ПОЛЬЗОВАТЕЛЯ. Ящик загрузился. А вот это уже совсем плохо! Вся почта принадлежит пользователю vmail.
Вопрос: можно ли сделать так, чтобы в поле ПОЛЬЗОВАТЕЛЬ в Microsoft Outlook можно было бы написать только адрес электронной почты того пользователя, который авторизовался в домене?
Плодить несуществующие ящики и читать чужую почту не есть хорошо.
Спасибо!
Почитав Вашу тему, получилось настроить авторизацию в Thunderbird через kerberos/gssapi, а вот MS Outlook по-прежнему не хочет работать с пустым паролем. Не могли бы Вы выложить содержимое файлов, в которые внесли изменения при настройке, чтобы понять, благодаря чему у Вас произошло чудо?
Источник
Прозрачная авторизация клиентов Dovecot
Исходные данные:
Домен (dom.lan): Microsoft Windows 2008
Почтовый сервер (mail.dom.lan): FreeBSD 10.0+Postfix 2.11.1+Dovecot 2.2.15
На почтовом сервере настроена Samba 3.6.24, является членом домена, предоставляет прозрачный доступ к сетевым ресурсам, используя winbind.
Т.е. пользователям, которые авторизовались в домене, не приходится повторно вводить доменный пароль, чтобы получить доступ к сетевому ресурсу.
отрабатывают правильно, выводя информацию о пользователях и группах домена.
Задача: настроить прозрачную авторизацию клиентов Dovecot. Т.е. сделать так, чтобы почтовый клиент забирал почту не с помощью пароля, указанного в почтовом клиенте, а на основе существующей доменной сессии (пароли пользователей в домене периодически подлежат замене).
Подозреваю, что это можно реализовать, используя Samba+PAM+Winbind. Делал так:
Создал файл /etc/pam.d/dovecot следующего содержания:
Вам нужна аутентификация через kerberos, с pam_winbind прозрачную авторизацию не сделать.
http://wiki2.dovecot.org/Authentication/Kerberos
И клиент должен её уметь.
Microsoft Outlook умеет?
Я пытался настроить Dovecot+Kerberos+AD, не получалось сгенерить такой файл-keytab, чтобы получать билет kerberos. Открыл тему:
Ошибку свою при генерации файла нашел. Я давал команду:
Дальше с настройкой kerberos продвинуться не удалось. Все клиенты у меня Microsoft Outlook, пытался настроить это:
Так как решить эту задачу?
Freebsd+Dovecot+AD+Microsoft Outlook+прозрачная авторизация. Уверен, что это возможно! Прошу помочь, очень нужно реализовать.
Спасибо!
Добрый день!
Жаль, что тема не нашла отклика. На мой взгляд типовая задача для корпоративной почты. Тем не менее, продолжаю ковырять kerberos.
Читая и перечитывая:
стараюсь привести свои настройки в полное соответствие.
В каталоге /usr/lib присутствовал файл pam_krb5.so. Однако указание на него в /etc/pam.d/dovecot к изменениям ситуации не привело.
Установил порт /usr/ports/security/pam_krb5 и переписал /etc/pam.d/dovecot к такому виду:
Радует, что ситуация изменилась. И вроде как в лучшую сторону. Но почему в логе user=<> — непонятно. Получается, что ip-клиента определился, а имя пользователся нет? Может быть кто-то сможет это прокомментировать?
Файл /etc/krb5.keytab работает нормально. Команды:
может быть все-таки поменять auth_mechanism = plain на что-то другое?
Надо же, опять опечатался. В конфиге:
Как то так получается, что после поста находится решение или происходит движение вперед. Поэтому продолжаю 🙂 , но от помощи не отказываюсь.
Когда надоело мучать Mozilla Thunderbird и GSSAPI, закрыл его и снова открыл Microsoft Outlook. Тут случилось чудо! Он залогинился! К этому моменту в 10-ssl.conf было:
В /var/log/debug.log много всего, красиво и без ошибок.
При этом в Microsoft Outlook поле ПАРОЛЬ не заполнено!
Так исторически сложилось, что имя пользователя домена и адрес электронной почты не совпадают, причем имя пользователся может быть по русски. Например, login — «Смирнов» и email — «smirnov@dom.lan«.
А Microsoft Outlook не позволяет оставить поле ПОЛЬЗОВАТЕЛЬ пустым. Написал для начала туда не login пользователя, а его адрес электронной почты (user@dom.lan). В Maildir создался ящик электронной почты. Отлично! Затем в поле ПОЛЬЗОВАТЕЛЬ написал адрес электронной почты (например, user1@dom.lan), которого не существует в AD. Ящик создался! Это нехорошо! Затем написал адрес электронной почты ДРУГОГО ПОЛЬЗОВАТЕЛЯ. Ящик загрузился. А вот это уже совсем плохо! Вся почта принадлежит пользователю vmail.
Вопрос: можно ли сделать так, чтобы в поле ПОЛЬЗОВАТЕЛЬ в Microsoft Outlook можно было бы написать только адрес электронной почты того пользователя, который авторизовался в домене?
Плодить несуществующие ящики и читать чужую почту не есть хорошо.
Спасибо!
Почитав Вашу тему, получилось настроить авторизацию в Thunderbird через kerberos/gssapi, а вот MS Outlook по-прежнему не хочет работать с пустым паролем. Не могли бы Вы выложить содержимое файлов, в которые внесли изменения при настройке, чтобы понять, благодаря чему у Вас произошло чудо?
Источник
Ошибка отправки сообщения
Автор Андрей_1, 01 октября 2013, 11:12:15
« назад — далее »
0 Пользователи и 1 гость просматривают эту тему.
Компьютер входит в Домене Windows. Читаю все свои входящие, отправленные в lcedove. А вот при попытке отправить письмо пишет — Билет Kerberos/GSSAPI не был принят SMTP-сервером. Пожалуйста проверьте, что вы вошли в Kerberos/GSSAPI realm.
Подскажите что ещё нужно проверить в настройках? Или где почитать? В инете ничего конкретного не нашёл!
я так понимаю нужно гуглить thunderbird windows domain
Скачал Mozilla. Такой же результат. При отправке ещё появляется окно «Доиавить исключение безопасности. В окне указано сервер — mail.maltat.ru:587 и далее — у сертификату нет доверия. Исправляю на mail.maltat.ru (просто убираю цифры). Нажимаю получить сертификат. Отвечает — Идентификация этого сайта действительна и проверена, нет необходимости добавлять исключения. По-моему где-то здесь искать надо. Как убрать эти цифры, каждый раз при отправке это появляется. Где же хранится это?
У вас же есть админ в компании. что он говорит?
нужно знать какая у вас стоит проверка подлинности на почтовом сервере.
Цитата: Андрей_1 от 02 октября 2013, 07:10:28
mail.maltat.ru:587 … Как убрать эти цифры, каждый раз при отправке это появляется.
587 — это порт SMTP сервера.
Цитата: Андрей_1 от 02 октября 2013, 07:10:28
у сертификату нет доверия.
если вы не покупали SSL сертификат для своего почтового сервера, то он будет считаться не доверенным и его нужно добавлять в исключения. конечно если у вас в организации не используется локальный CA, которым был подписан сертификат для сервера, и который у вас не установлен. нужен админ!
Извиняюсь за опечатки. Обратился к сис.админу, пообещал помочь. У нас все компьютеры под Windows, домен тоже Windows.
И мне непонятно почему Windows доменные клиенты получают сертификат? Я же под Windows на этом же компьютере с той же учетной записью работаю с почтой без проблем.
Т.е. для linux уже по другому сертификаты получаются?
устанавливаются CA по разному.
не путайте сертификат почтового сервера с корневым (доверительным) сертификатом (CA).
CA нужен исключительно чтобы проверить сертификат почтового сервера, и без установленного CA (если он локальный, и был создан windows сервером, то его нужно устанавливать вручную) сертификат не может быть проверен и выдаст вам ошибку: не доверительный сертификат.
попросите у админа корневой сертификат и установите его.
p.s. выяснили какая проверка подлинности на почтовом сервере?
- Русскоязычное сообщество Debian GNU/Linux
-
►
-
►
Общие вопросы -
►
Ошибка отправки сообщения
Мне одному кажется или производилель, он же держатель форума, должен принять участие в решении наших вопросов?
GRamoboi, что-то мне подсказывает, что не должен, по причине отсутствия у него инструкции, про которую тут обсуждают. Предоставить инструкцию кто-нибудь сможет (передать в открытый доступ) — тогда, как мне кажется, вам быстрее помогут. Пока коллеги общаются непонятными п.13 и ЕПП понять сложно, что и как настроено очень проблематично (мое предположение что НТП это ntp).
P.S.
Сильно отстал от жизни видать, но в округах появились штатные админы или это все самодеятельность срочников?
Мне одному кажется или производилель, он же держатель форума, должен принять участие в решении наших вопросов?
Для этого есть оф.саппорт.
+ инструкцию по которой вы выполняете настройку делал не РусБиТех (на сколько я понял по обсуждению в канале телеграмм), а непонятно кто.
Для этого есть оф.саппорт.
+ инструкцию по которой вы выполняете настройку делал не РусБиТех (на сколько я понял по обсуждению в канале телеграмм), а непонятно кто.
Но я делаю по документации РусБитТеха. Что я делаю не так, мне до сих пор не ясно.. вот
Парни, решил кто-нибудь проблему с отправкой почты во внешнюю сеть? Лок
Но я делаю по документации РусБитТеха. Что я делаю не так, мне до сих пор не ясно.. вот
На саппорт писали?
Естественно, жду.
Так же не ставится галочка через ПУСК-НАСТРОЙКИ-СЕРВИСЫ-работа сервиса в режиме ЕПП. Как лечится? Через PAM ставится
Последнее редактирование: 03.08.2018
Парни, решил кто-нибудь проблему с отправкой почты во внешнюю сеть? Лок
проверь /etc/exim4/update-exim.conf.conf параметр dc_relay_nets должен быть равен адресу внутренней подсети. Типа такого dc_relay_nets=’f.q.d.0/24′. А потом применить /usr/sbin/update-exim4.conf
Последнее редактирование: 03.08.2018
Кто нибудь сталкивался с такой проблемой, при отправке сообщений под мандатной меткой отличной от нулевой подключение к почтовому серверу происходит очень долго. Под нулевой меткой все нормально
Для работы на мандатных метках можно для 2-х служб — bind9 и exim4 настроить parsock privsock, по Руководству по настройке средств защиты п.4.3.1 http://astralinux.ru/information/library .
Последнее редактирование: 04.08.2018
Делаю СЭП с использованием ЕПП. АЛД, ДНС, НТП все работает. Настройка производилась согласно документации п.13 и 13.4ЕПП. При подключении в почтовом клиенте от доменного юзера вылазит ошибка:
«Билет Kerberos/GSSAPI не был принят IMAP-сервером user.domain.ru Пожалуйста, проверьте, что вы вошли в Kerberos/GSSAPI realm.»
Есть ли решение данной проблемы?
Есть.
В топикстартере я описал настройку сервера. Этого должно быть достаточно. Dovecot использует аутентификацию pam, который в свою очередь, при подключении почтового сервера к домену, автоматически настраивается на использование Kerberos+Ldap. Поэтому никаких дополнительных настроек не требуется.
Настраиваются почтовый сервер. Локально все работает. Как только настраиваются его как основной dns, ald сервер перестаёт его видеть и bind9 не рестартует, выдаёт ошибку при рестарта. В чем может быть причина?
проверь /etc/exim4/update-exim.conf.conf параметр dc_relay_nets должен быть равен адресу внутренней подсети. Типа такого dc_relay_nets=’f.q.d.0/24′. А потом применить /usr/sbin/update-exim4.conf
Дак это получается что почта будет зарелеина? Если я все правильно понял.
Есть.
В топикстартере я описал настройку сервера. Этого должно быть достаточно. Dovecot использует аутентификацию pam, который в свою очередь, при подключении почтового сервера к домену, автоматически настраивается на использование Kerberos+Ldap. Поэтому никаких дополнительных настроек не требуется.
Есть решение. Перед тем как создаёшь принципалы на сервере, пропиши на всех АРМ ald-renew-tickets on. Это будет означать что билеты будут обновляться автоматически. Затем создавай принципалы на сервере. Далее на АРМ пиши kinit «имя пользователя» это чтобы получить билеты с сервера. И все должно получиться. Если нет то пиши ald-renew-tickets now.
Последнее редактирование: 04.08.2018
Дак это получается что почта будет зарелеина? Если я все правильно понял.
Именно.
Дак а зачем тогда DNS настраивать?) почта должна по домену работать же. Попробую конечно, может что и выйдет
Вообщем, сегодня на виртуалках сделал все заново, согласно документации. Создал пользователя доменного, пишет не верный логин пароль. Что я делаю не так? Есть тут те кто решил проблему?
В ALD добавь пользователю право заходить на сервер
Ребят, а как пользователя создать для работы в почтовом сервере. Зашел в настройки — безопасность — пользователи — создаю изер021. Выбираю папку debin-exim4, добавляю разешения довекод и майл. Привелегию ставлю 0. Меняю пароль ругается. Что не так делаю?
Захожу в почтовый ящик без проблем, получение почты тоже проходит гладко, а вот отправить не выходит, пишет Билет Kerberos/GSSAPI не был принят IMAP-серверм. Пожалуйста, проверьте, что вы вошли в Kerberos/GSSAPI realm. Что это значит? И куда копать?
Захожу в почтовый ящик без проблем, получение почты тоже проходит гладко, а вот отправить не выходит, пишет Билет Kerberos/GSSAPI не был принят SMTP-серверм. Пожалуйста, проверьте, что вы вошли в Kerberos/GSSAPI realm. Что это значит? И куда копать?
Захожу в почтовый ящик без проблем, получение почты тоже проходит гладко, а вот отправить не выходит, пишет Билет Kerberos/GSSAPI не был принят SMTP-серверм. Пожалуйста, проверьте, что вы вошли в Kerberos/GSSAPI realm. Что это значит? И куда копать?
У меня такая же проблема..Решение мне не известно
Содержание
- Подскажите с Dovecot + Kerberos/GSSAPI
- Билет керберос не был принят сервером исходящей почты astra linux
- №7 10-08-2006 08:52:48
- Re: Проблема с отправкой почты в Thunderbird
- Прозрачная авторизация клиентов Dovecot
- Прозрачная авторизация клиентов Dovecot
Подскажите с Dovecot + Kerberos/GSSAPI
Подскажите как настроить Dovecot с Kerberos/GSSAPI аутентификацией, установил Dovecot 1.2.15 с репа на дебиан а понятной доки по настройке найти не могу. Может есть примеры какие?
спосиб ща читану))
ну тут все ясно а керберос как соеденить с dovecot?, я ввел дебиан в домен, керберос получает билеты.
С помощью pam (Pluggable Authentication Modules).
mail_debug = yes
auth_verbose = yes
auth_debug_passwords = yes
protocols = imap pop3
mail_location = maildir:/var/mail/%u
first_valid_uid = 0
mail_uid = 8
mail_gid = 8
userdb static <
args = uid=mail gid=mail home=/var/vmail/%u
>
passdb pam <
>
client <
path = /var/spool/postfix/private/auth
mode = 0777
>
>
>
@include common-auth
@include common-account
@include common-session
auth sufficient pam_krb5.so
account sufficient pam_krb5.so
Mar 20 16:45:01 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 20 16:45:01 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 20 16:45:02 newmail dovecot: auth(default): new auth connection: pid=30414
Mar 20 16:45:02 newmail dovecot: auth(default): new auth connection: pid=30413
как проверить имеются ли в наличии эти модули, работают ли они, и почему пишет imap-login .
# telnet localhost 143
Trying ::1.
Trying 127.0.0.1.
Connected to localhost.
Escape character is ‘^]’.
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE AUTH=GSSAPI] Dovecot ready.
openssl s_client -connect localhost:993
openssl BAD Error in IMAP command received by server.
a capability
* CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE SORT SORT=DISPLAY THREAD=REFERENCES THREAD=REFS MULTIAPPEND UNSELECT IDLE CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS AUTH=GSSAPI
a OK Capability completed.
a authenticate GSSAPI
a NO [UNAVAILABLE] Temporary authentication failure.
Kerberos не настроен(не создан keytab).
Вот по этой статье я в свое время создавал keytab http://xgu.ru/wiki/Squid,_Kerberos_%D0%B8_LDAP]
Смотри там про создание keytab’а и описание протокола kerberos.
поправил
a authenticate GSSAPI
+
чего еще не хватает?))
ktpass -princ imap/newmail.domain.ru@DOMAIN.RU -mapuser
DOMAINuser -pass «pass» -ptype KRB5_NT_SRV_HST -out c:krb5.keytab
Targeting domain controller: ADC-1.domain.ru
Using legacy password setting method
Successfully mapped imap/newmail.domain.ru to user.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to c:krb5.keytab:
Keytab version: 0x502
keysize 71 imap/newmail.domain.ru@DOMAIN.RU ptype 3 (KRB5_NT_SRV_HST) vno 12 etype 0x17 (RC4-HMAC) keylength 16 (0x00957a6cdb8eea58a460643d04dec703)
скопировал в etc
добавил в dovecot.conf —> auth_krb5_keytab = /etc/krb5.keytab
подскажите чего еще не настроено? не авторизируется
Mar 21 10:03:04 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 21 10:03:04 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 21 10:03:05 newmail dovecot: auth(default): new auth connection: pid=11234
Mar 21 10:03:05 newmail dovecot: auth(default): new auth connection: pid=11233
Источник
Билет керберос не был принят сервером исходящей почты astra linux
ab52003
Имя и пароль — да
Поставь, TLS по возможности, а не TLS!
И еще в свойствах учетной записи (на самой учетной записи левой кнопкой и внизу) поставь для этой учетной записи сервер исходящей почты (SMTP) . @mail.ru — smtp.mail.ru
Через сомнения приходим к истине. Цицерон
№7 10-08-2006 08:52:48
Re: Проблема с отправкой почты в Thunderbird
ab52003
Имя и пароль — да
Поставь, TLS по возможности, а не TLS!
И еще в свойствах учетной записи (на самой учетной записи левой кнопкой и внизу) поставь для этой учетной записи сервер исходящей почты (SMTP) . @mail.ru — smtp.mail.ru
Сделал все, как сказали. После этого запрос на пароль стал появляться и для входящей и для исходящей почты. Однако отправка почты по-прежнему не происходит, а выдается сообщение:
Предупреждение: Ошибка отправления почты. Почтовый сервер ответил: Убедитесь, что указанный вами в настройках адрес электронной почты верен, и попробуйте снова.
Настройки исходящей почты в учетной записи (учетная запись у меня одна) такие:
Сервер исходящей почты (SMTP):
Параметры сервера исходящей почты (SMTP):
В окне надпись: ab52003@mail.ru-smtp.mail.ru (По умолчанию)
Вкладка «Изменить…»:
SMTP-сервер:
Описание: (не указано)
Имя сервера: smtp.mail.ru
Имя пользователя: ab52003@mail.ru
Порт: 25
Использовать имя и пароль: Да
Использовать защищенное соединение: TLS, по возможности
А в менеджере паролей информация по входящей и исходящей почте отображается так (сами пароли отображаются правильно):
По входящей почте:
Сервер: mailbox://ab52003@pop.mail.ru
Имя пользователя: ab52003
По исходящей почте:
Сервер: smtp://ab52003%40mail.ru@smtp.mail.ru
Имя пользователя: (не указано)
Как видно, в исходящей почте информация указывается неверно.
Не пойму, почему. Вроде в учетной записи все указано правильно, никаких лишних пробелов и знаков нет. Может, надо заполнить поле «Описание», но как?
Источник
Прозрачная авторизация клиентов Dovecot
Исходные данные:
Домен (dom.lan): Microsoft Windows 2008
Почтовый сервер (mail.dom.lan): FreeBSD 10.0+Postfix 2.11.1+Dovecot 2.2.15
На почтовом сервере настроена Samba 3.6.24, является членом домена, предоставляет прозрачный доступ к сетевым ресурсам, используя winbind.
Т.е. пользователям, которые авторизовались в домене, не приходится повторно вводить доменный пароль, чтобы получить доступ к сетевому ресурсу.
отрабатывают правильно, выводя информацию о пользователях и группах домена.
Задача: настроить прозрачную авторизацию клиентов Dovecot. Т.е. сделать так, чтобы почтовый клиент забирал почту не с помощью пароля, указанного в почтовом клиенте, а на основе существующей доменной сессии (пароли пользователей в домене периодически подлежат замене).
Подозреваю, что это можно реализовать, используя Samba+PAM+Winbind. Делал так:
Создал файл /etc/pam.d/dovecot следующего содержания:
Вам нужна аутентификация через kerberos, с pam_winbind прозрачную авторизацию не сделать.
http://wiki2.dovecot.org/Authentication/Kerberos
И клиент должен её уметь.
Microsoft Outlook умеет?
Я пытался настроить Dovecot+Kerberos+AD, не получалось сгенерить такой файл-keytab, чтобы получать билет kerberos. Открыл тему:
Ошибку свою при генерации файла нашел. Я давал команду:
Дальше с настройкой kerberos продвинуться не удалось. Все клиенты у меня Microsoft Outlook, пытался настроить это:
Так как решить эту задачу?
Freebsd+Dovecot+AD+Microsoft Outlook+прозрачная авторизация. Уверен, что это возможно! Прошу помочь, очень нужно реализовать.
Спасибо!
Добрый день!
Жаль, что тема не нашла отклика. На мой взгляд типовая задача для корпоративной почты. Тем не менее, продолжаю ковырять kerberos.
Читая и перечитывая:
стараюсь привести свои настройки в полное соответствие.
В каталоге /usr/lib присутствовал файл pam_krb5.so. Однако указание на него в /etc/pam.d/dovecot к изменениям ситуации не привело.
Установил порт /usr/ports/security/pam_krb5 и переписал /etc/pam.d/dovecot к такому виду:
Радует, что ситуация изменилась. И вроде как в лучшую сторону. Но почему в логе user=<> — непонятно. Получается, что ip-клиента определился, а имя пользователся нет? Может быть кто-то сможет это прокомментировать?
Файл /etc/krb5.keytab работает нормально. Команды:
может быть все-таки поменять auth_mechanism = plain на что-то другое?
Надо же, опять опечатался. В конфиге:
Как то так получается, что после поста находится решение или происходит движение вперед. Поэтому продолжаю 🙂 , но от помощи не отказываюсь.
Когда надоело мучать Mozilla Thunderbird и GSSAPI, закрыл его и снова открыл Microsoft Outlook. Тут случилось чудо! Он залогинился! К этому моменту в 10-ssl.conf было:
В /var/log/debug.log много всего, красиво и без ошибок.
При этом в Microsoft Outlook поле ПАРОЛЬ не заполнено!
Так исторически сложилось, что имя пользователя домена и адрес электронной почты не совпадают, причем имя пользователся может быть по русски. Например, login — «Смирнов» и email — «smirnov@dom.lan«.
А Microsoft Outlook не позволяет оставить поле ПОЛЬЗОВАТЕЛЬ пустым. Написал для начала туда не login пользователя, а его адрес электронной почты (user@dom.lan). В Maildir создался ящик электронной почты. Отлично! Затем в поле ПОЛЬЗОВАТЕЛЬ написал адрес электронной почты (например, user1@dom.lan), которого не существует в AD. Ящик создался! Это нехорошо! Затем написал адрес электронной почты ДРУГОГО ПОЛЬЗОВАТЕЛЯ. Ящик загрузился. А вот это уже совсем плохо! Вся почта принадлежит пользователю vmail.
Вопрос: можно ли сделать так, чтобы в поле ПОЛЬЗОВАТЕЛЬ в Microsoft Outlook можно было бы написать только адрес электронной почты того пользователя, который авторизовался в домене?
Плодить несуществующие ящики и читать чужую почту не есть хорошо.
Спасибо!
Почитав Вашу тему, получилось настроить авторизацию в Thunderbird через kerberos/gssapi, а вот MS Outlook по-прежнему не хочет работать с пустым паролем. Не могли бы Вы выложить содержимое файлов, в которые внесли изменения при настройке, чтобы понять, благодаря чему у Вас произошло чудо?
Источник
Прозрачная авторизация клиентов Dovecot
Исходные данные:
Домен (dom.lan): Microsoft Windows 2008
Почтовый сервер (mail.dom.lan): FreeBSD 10.0+Postfix 2.11.1+Dovecot 2.2.15
На почтовом сервере настроена Samba 3.6.24, является членом домена, предоставляет прозрачный доступ к сетевым ресурсам, используя winbind.
Т.е. пользователям, которые авторизовались в домене, не приходится повторно вводить доменный пароль, чтобы получить доступ к сетевому ресурсу.
отрабатывают правильно, выводя информацию о пользователях и группах домена.
Задача: настроить прозрачную авторизацию клиентов Dovecot. Т.е. сделать так, чтобы почтовый клиент забирал почту не с помощью пароля, указанного в почтовом клиенте, а на основе существующей доменной сессии (пароли пользователей в домене периодически подлежат замене).
Подозреваю, что это можно реализовать, используя Samba+PAM+Winbind. Делал так:
Создал файл /etc/pam.d/dovecot следующего содержания:
Вам нужна аутентификация через kerberos, с pam_winbind прозрачную авторизацию не сделать.
http://wiki2.dovecot.org/Authentication/Kerberos
И клиент должен её уметь.
Microsoft Outlook умеет?
Я пытался настроить Dovecot+Kerberos+AD, не получалось сгенерить такой файл-keytab, чтобы получать билет kerberos. Открыл тему:
Ошибку свою при генерации файла нашел. Я давал команду:
Дальше с настройкой kerberos продвинуться не удалось. Все клиенты у меня Microsoft Outlook, пытался настроить это:
Так как решить эту задачу?
Freebsd+Dovecot+AD+Microsoft Outlook+прозрачная авторизация. Уверен, что это возможно! Прошу помочь, очень нужно реализовать.
Спасибо!
Добрый день!
Жаль, что тема не нашла отклика. На мой взгляд типовая задача для корпоративной почты. Тем не менее, продолжаю ковырять kerberos.
Читая и перечитывая:
стараюсь привести свои настройки в полное соответствие.
В каталоге /usr/lib присутствовал файл pam_krb5.so. Однако указание на него в /etc/pam.d/dovecot к изменениям ситуации не привело.
Установил порт /usr/ports/security/pam_krb5 и переписал /etc/pam.d/dovecot к такому виду:
Радует, что ситуация изменилась. И вроде как в лучшую сторону. Но почему в логе user=<> — непонятно. Получается, что ip-клиента определился, а имя пользователся нет? Может быть кто-то сможет это прокомментировать?
Файл /etc/krb5.keytab работает нормально. Команды:
может быть все-таки поменять auth_mechanism = plain на что-то другое?
Надо же, опять опечатался. В конфиге:
Как то так получается, что после поста находится решение или происходит движение вперед. Поэтому продолжаю 🙂 , но от помощи не отказываюсь.
Когда надоело мучать Mozilla Thunderbird и GSSAPI, закрыл его и снова открыл Microsoft Outlook. Тут случилось чудо! Он залогинился! К этому моменту в 10-ssl.conf было:
В /var/log/debug.log много всего, красиво и без ошибок.
При этом в Microsoft Outlook поле ПАРОЛЬ не заполнено!
Так исторически сложилось, что имя пользователя домена и адрес электронной почты не совпадают, причем имя пользователся может быть по русски. Например, login — «Смирнов» и email — «smirnov@dom.lan«.
А Microsoft Outlook не позволяет оставить поле ПОЛЬЗОВАТЕЛЬ пустым. Написал для начала туда не login пользователя, а его адрес электронной почты (user@dom.lan). В Maildir создался ящик электронной почты. Отлично! Затем в поле ПОЛЬЗОВАТЕЛЬ написал адрес электронной почты (например, user1@dom.lan), которого не существует в AD. Ящик создался! Это нехорошо! Затем написал адрес электронной почты ДРУГОГО ПОЛЬЗОВАТЕЛЯ. Ящик загрузился. А вот это уже совсем плохо! Вся почта принадлежит пользователю vmail.
Вопрос: можно ли сделать так, чтобы в поле ПОЛЬЗОВАТЕЛЬ в Microsoft Outlook можно было бы написать только адрес электронной почты того пользователя, который авторизовался в домене?
Плодить несуществующие ящики и читать чужую почту не есть хорошо.
Спасибо!
Почитав Вашу тему, получилось настроить авторизацию в Thunderbird через kerberos/gssapi, а вот MS Outlook по-прежнему не хочет работать с пустым паролем. Не могли бы Вы выложить содержимое файлов, в которые внесли изменения при настройке, чтобы понять, благодаря чему у Вас произошло чудо?
Источник
Go to Thunderbird
r/Thunderbird
Thunderbird is the leading free and open-source email, calendaring, newsfeed, and chat client with more than 20 million active monthly users across Windows, macOS, and Linux. One of Thunderbird’s core principles is the use and promotion of open and decentralized standards.
Members
Online
•
by
[deleted]
«The Kerberos/GGSAPI ticket was not accepted…»
«Sending of the message failed. The Kerberos/GSSAPI ticket was not accepted by the Outgoing server (SMTP) email.address@some.com Please check that you are logged in to the Kerberos/GSSAPI realm.»
I am able to receive messages, but send none. Running TB 60.2.1. This is a student email address at a university.