Ошибка отправления сообщения билет kerberos gssapi не был принят сервером исходящей почты smtp

Подскажите с Dovecot + Kerberos/GSSAPI

Подскажите как настроить Dovecot с Kerberos/GSSAPI аутентификацией, установил Dovecot 1.2.15 с репа на дебиан а понятной доки по настройке найти не могу. Может есть примеры какие?

спосиб ща читану))

ну тут все ясно а керберос как соеденить с dovecot?, я ввел дебиан в домен, керберос получает билеты.

С помощью pam (Pluggable Authentication Modules).

mail_debug = yes
auth_verbose = yes
auth_debug_passwords = yes
protocols = imap pop3
mail_location = maildir:/var/mail/%u
first_valid_uid = 0
mail_uid = 8
mail_gid = 8

userdb static <
args = uid=mail gid=mail home=/var/vmail/%u
>
passdb pam <
>

client <
path = /var/spool/postfix/private/auth
mode = 0777
>
>
>

@include common-auth
@include common-account
@include common-session

auth sufficient pam_krb5.so
account sufficient pam_krb5.so

Mar 20 16:45:01 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 20 16:45:01 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 20 16:45:02 newmail dovecot: auth(default): new auth connection: pid=30414
Mar 20 16:45:02 newmail dovecot: auth(default): new auth connection: pid=30413

как проверить имеются ли в наличии эти модули, работают ли они, и почему пишет imap-login .

# telnet localhost 143
Trying ::1.
Trying 127.0.0.1.
Connected to localhost.
Escape character is ‘^]’.
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE AUTH=GSSAPI] Dovecot ready.
openssl s_client -connect localhost:993
openssl BAD Error in IMAP command received by server.
a capability
* CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE SORT SORT=DISPLAY THREAD=REFERENCES THREAD=REFS MULTIAPPEND UNSELECT IDLE CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS AUTH=GSSAPI
a OK Capability completed.
a authenticate GSSAPI
a NO [UNAVAILABLE] Temporary authentication failure.

Kerberos не настроен(не создан keytab).
Вот по этой статье я в свое время создавал keytab http://xgu.ru/wiki/Squid,_Kerberos_%D0%B8_LDAP]
Смотри там про создание keytab’а и описание протокола kerberos.

поправил
a authenticate GSSAPI
+

чего еще не хватает?))

ktpass -princ imap/newmail.domain.ru@DOMAIN.RU -mapuser

DOMAINuser -pass «pass» -ptype KRB5_NT_SRV_HST -out c:krb5.keytab
Targeting domain controller: ADC-1.domain.ru
Using legacy password setting method
Successfully mapped imap/newmail.domain.ru to user.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to c:krb5.keytab:
Keytab version: 0x502
keysize 71 imap/newmail.domain.ru@DOMAIN.RU ptype 3 (KRB5_NT_SRV_HST) vno 12 etype 0x17 (RC4-HMAC) keylength 16 (0x00957a6cdb8eea58a460643d04dec703)

скопировал в etc

добавил в dovecot.conf —> auth_krb5_keytab = /etc/krb5.keytab

подскажите чего еще не настроено? не авторизируется

Mar 21 10:03:04 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 21 10:03:04 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 21 10:03:05 newmail dovecot: auth(default): new auth connection: pid=11234
Mar 21 10:03:05 newmail dovecot: auth(default): new auth connection: pid=11233

Источник

Билет керберос не был принят сервером исходящей почты astra linux

ab52003

Имя и пароль — да

Поставь, TLS по возможности, а не TLS!
И еще в свойствах учетной записи (на самой учетной записи левой кнопкой и внизу) поставь для этой учетной записи сервер исходящей почты (SMTP) . @mail.ru — smtp.mail.ru

Через сомнения приходим к истине. Цицерон

№7 10-08-2006 08:52:48

Re: Проблема с отправкой почты в Thunderbird

ab52003

Имя и пароль — да

Поставь, TLS по возможности, а не TLS!
И еще в свойствах учетной записи (на самой учетной записи левой кнопкой и внизу) поставь для этой учетной записи сервер исходящей почты (SMTP) . @mail.ru — smtp.mail.ru

Сделал все, как сказали. После этого запрос на пароль стал появляться и для входящей и для исходящей почты. Однако отправка почты по-прежнему не происходит, а выдается сообщение:
Предупреждение: Ошибка отправления почты. Почтовый сервер ответил: Убедитесь, что указанный вами в настройках адрес электронной почты верен, и попробуйте снова.

Настройки исходящей почты в учетной записи (учетная запись у меня одна) такие:

Сервер исходящей почты (SMTP):
Параметры сервера исходящей почты (SMTP):

В окне надпись: ab52003@mail.ru-smtp.mail.ru (По умолчанию)

Вкладка «Изменить…»:
SMTP-сервер:

Описание: (не указано)
Имя сервера: smtp.mail.ru
Имя пользователя: ab52003@mail.ru
Порт: 25
Использовать имя и пароль: Да
Использовать защищенное соединение: TLS, по возможности

А в менеджере паролей информация по входящей и исходящей почте отображается так (сами пароли отображаются правильно):

По входящей почте:

Сервер: mailbox://ab52003@pop.mail.ru
Имя пользователя: ab52003

По исходящей почте:

Сервер: smtp://ab52003%40mail.ru@smtp.mail.ru
Имя пользователя: (не указано)

Как видно, в исходящей почте информация указывается неверно.
Не пойму, почему. Вроде в учетной записи все указано правильно, никаких лишних пробелов и знаков нет. Может, надо заполнить поле «Описание», но как?

Источник

Прозрачная авторизация клиентов Dovecot

Исходные данные:
Домен (dom.lan): Microsoft Windows 2008
Почтовый сервер (mail.dom.lan): FreeBSD 10.0+Postfix 2.11.1+Dovecot 2.2.15
На почтовом сервере настроена Samba 3.6.24, является членом домена, предоставляет прозрачный доступ к сетевым ресурсам, используя winbind.
Т.е. пользователям, которые авторизовались в домене, не приходится повторно вводить доменный пароль, чтобы получить доступ к сетевому ресурсу.

отрабатывают правильно, выводя информацию о пользователях и группах домена.

Задача: настроить прозрачную авторизацию клиентов Dovecot. Т.е. сделать так, чтобы почтовый клиент забирал почту не с помощью пароля, указанного в почтовом клиенте, а на основе существующей доменной сессии (пароли пользователей в домене периодически подлежат замене).

Подозреваю, что это можно реализовать, используя Samba+PAM+Winbind. Делал так:

Создал файл /etc/pam.d/dovecot следующего содержания:

Вам нужна аутентификация через kerberos, с pam_winbind прозрачную авторизацию не сделать.
http://wiki2.dovecot.org/Authentication/Kerberos

И клиент должен её уметь.

Microsoft Outlook умеет?
Я пытался настроить Dovecot+Kerberos+AD, не получалось сгенерить такой файл-keytab, чтобы получать билет kerberos. Открыл тему:

Ошибку свою при генерации файла нашел. Я давал команду:

Дальше с настройкой kerberos продвинуться не удалось. Все клиенты у меня Microsoft Outlook, пытался настроить это:

Так как решить эту задачу?
Freebsd+Dovecot+AD+Microsoft Outlook+прозрачная авторизация. Уверен, что это возможно! Прошу помочь, очень нужно реализовать.
Спасибо!

Добрый день!
Жаль, что тема не нашла отклика. На мой взгляд типовая задача для корпоративной почты. Тем не менее, продолжаю ковырять kerberos.
Читая и перечитывая:

стараюсь привести свои настройки в полное соответствие.

В каталоге /usr/lib присутствовал файл pam_krb5.so. Однако указание на него в /etc/pam.d/dovecot к изменениям ситуации не привело.

Установил порт /usr/ports/security/pam_krb5 и переписал /etc/pam.d/dovecot к такому виду:

Радует, что ситуация изменилась. И вроде как в лучшую сторону. Но почему в логе user=<> — непонятно. Получается, что ip-клиента определился, а имя пользователся нет? Может быть кто-то сможет это прокомментировать?

Файл /etc/krb5.keytab работает нормально. Команды:

может быть все-таки поменять auth_mechanism = plain на что-то другое?

Надо же, опять опечатался. В конфиге:

Как то так получается, что после поста находится решение или происходит движение вперед. Поэтому продолжаю 🙂 , но от помощи не отказываюсь.

Когда надоело мучать Mozilla Thunderbird и GSSAPI, закрыл его и снова открыл Microsoft Outlook. Тут случилось чудо! Он залогинился! К этому моменту в 10-ssl.conf было:

В /var/log/debug.log много всего, красиво и без ошибок.
При этом в Microsoft Outlook поле ПАРОЛЬ не заполнено!

Так исторически сложилось, что имя пользователя домена и адрес электронной почты не совпадают, причем имя пользователся может быть по русски. Например, login — «Смирнов» и email — «smirnov@dom.lan«.

А Microsoft Outlook не позволяет оставить поле ПОЛЬЗОВАТЕЛЬ пустым. Написал для начала туда не login пользователя, а его адрес электронной почты (user@dom.lan). В Maildir создался ящик электронной почты. Отлично! Затем в поле ПОЛЬЗОВАТЕЛЬ написал адрес электронной почты (например, user1@dom.lan), которого не существует в AD. Ящик создался! Это нехорошо! Затем написал адрес электронной почты ДРУГОГО ПОЛЬЗОВАТЕЛЯ. Ящик загрузился. А вот это уже совсем плохо! Вся почта принадлежит пользователю vmail.

Вопрос: можно ли сделать так, чтобы в поле ПОЛЬЗОВАТЕЛЬ в Microsoft Outlook можно было бы написать только адрес электронной почты того пользователя, который авторизовался в домене?

Плодить несуществующие ящики и читать чужую почту не есть хорошо.
Спасибо!

Почитав Вашу тему, получилось настроить авторизацию в Thunderbird через kerberos/gssapi, а вот MS Outlook по-прежнему не хочет работать с пустым паролем. Не могли бы Вы выложить содержимое файлов, в которые внесли изменения при настройке, чтобы понять, благодаря чему у Вас произошло чудо?

Источник

Прозрачная авторизация клиентов Dovecot

Исходные данные:
Домен (dom.lan): Microsoft Windows 2008
Почтовый сервер (mail.dom.lan): FreeBSD 10.0+Postfix 2.11.1+Dovecot 2.2.15
На почтовом сервере настроена Samba 3.6.24, является членом домена, предоставляет прозрачный доступ к сетевым ресурсам, используя winbind.
Т.е. пользователям, которые авторизовались в домене, не приходится повторно вводить доменный пароль, чтобы получить доступ к сетевому ресурсу.

отрабатывают правильно, выводя информацию о пользователях и группах домена.

Задача: настроить прозрачную авторизацию клиентов Dovecot. Т.е. сделать так, чтобы почтовый клиент забирал почту не с помощью пароля, указанного в почтовом клиенте, а на основе существующей доменной сессии (пароли пользователей в домене периодически подлежат замене).

Подозреваю, что это можно реализовать, используя Samba+PAM+Winbind. Делал так:

Создал файл /etc/pam.d/dovecot следующего содержания:

Вам нужна аутентификация через kerberos, с pam_winbind прозрачную авторизацию не сделать.
http://wiki2.dovecot.org/Authentication/Kerberos

И клиент должен её уметь.

Microsoft Outlook умеет?
Я пытался настроить Dovecot+Kerberos+AD, не получалось сгенерить такой файл-keytab, чтобы получать билет kerberos. Открыл тему:

Ошибку свою при генерации файла нашел. Я давал команду:

Дальше с настройкой kerberos продвинуться не удалось. Все клиенты у меня Microsoft Outlook, пытался настроить это:

Так как решить эту задачу?
Freebsd+Dovecot+AD+Microsoft Outlook+прозрачная авторизация. Уверен, что это возможно! Прошу помочь, очень нужно реализовать.
Спасибо!

Добрый день!
Жаль, что тема не нашла отклика. На мой взгляд типовая задача для корпоративной почты. Тем не менее, продолжаю ковырять kerberos.
Читая и перечитывая:

стараюсь привести свои настройки в полное соответствие.

В каталоге /usr/lib присутствовал файл pam_krb5.so. Однако указание на него в /etc/pam.d/dovecot к изменениям ситуации не привело.

Установил порт /usr/ports/security/pam_krb5 и переписал /etc/pam.d/dovecot к такому виду:

Радует, что ситуация изменилась. И вроде как в лучшую сторону. Но почему в логе user=<> — непонятно. Получается, что ip-клиента определился, а имя пользователся нет? Может быть кто-то сможет это прокомментировать?

Файл /etc/krb5.keytab работает нормально. Команды:

может быть все-таки поменять auth_mechanism = plain на что-то другое?

Надо же, опять опечатался. В конфиге:

Как то так получается, что после поста находится решение или происходит движение вперед. Поэтому продолжаю 🙂 , но от помощи не отказываюсь.

Когда надоело мучать Mozilla Thunderbird и GSSAPI, закрыл его и снова открыл Microsoft Outlook. Тут случилось чудо! Он залогинился! К этому моменту в 10-ssl.conf было:

В /var/log/debug.log много всего, красиво и без ошибок.
При этом в Microsoft Outlook поле ПАРОЛЬ не заполнено!

Так исторически сложилось, что имя пользователя домена и адрес электронной почты не совпадают, причем имя пользователся может быть по русски. Например, login — «Смирнов» и email — «smirnov@dom.lan«.

А Microsoft Outlook не позволяет оставить поле ПОЛЬЗОВАТЕЛЬ пустым. Написал для начала туда не login пользователя, а его адрес электронной почты (user@dom.lan). В Maildir создался ящик электронной почты. Отлично! Затем в поле ПОЛЬЗОВАТЕЛЬ написал адрес электронной почты (например, user1@dom.lan), которого не существует в AD. Ящик создался! Это нехорошо! Затем написал адрес электронной почты ДРУГОГО ПОЛЬЗОВАТЕЛЯ. Ящик загрузился. А вот это уже совсем плохо! Вся почта принадлежит пользователю vmail.

Вопрос: можно ли сделать так, чтобы в поле ПОЛЬЗОВАТЕЛЬ в Microsoft Outlook можно было бы написать только адрес электронной почты того пользователя, который авторизовался в домене?

Плодить несуществующие ящики и читать чужую почту не есть хорошо.
Спасибо!

Почитав Вашу тему, получилось настроить авторизацию в Thunderbird через kerberos/gssapi, а вот MS Outlook по-прежнему не хочет работать с пустым паролем. Не могли бы Вы выложить содержимое файлов, в которые внесли изменения при настройке, чтобы понять, благодаря чему у Вас произошло чудо?

Источник

01.08.2018

Мне одному кажется или производилель, он же держатель форума, должен принять участие в решении наших вопросов?

01.08.2018

GRamoboi, что-то мне подсказывает, что не должен, по причине отсутствия у него инструкции, про которую тут обсуждают. Предоставить инструкцию кто-нибудь сможет (передать в открытый доступ) — тогда, как мне кажется, вам быстрее помогут. Пока коллеги общаются непонятными п.13 и ЕПП понять сложно, что и как настроено очень проблематично (мое предположение что НТП это ntp).
P.S.
Сильно отстал от жизни видать, но в округах появились штатные админы или это все самодеятельность срочников?

01.08.2018

Мне одному кажется или производилель, он же держатель форума, должен принять участие в решении наших вопросов?

Для этого есть оф.саппорт.
+ инструкцию по которой вы выполняете настройку делал не РусБиТех (на сколько я понял по обсуждению в канале телеграмм), а непонятно кто.

02.08.2018

Для этого есть оф.саппорт.
+ инструкцию по которой вы выполняете настройку делал не РусБиТех (на сколько я понял по обсуждению в канале телеграмм), а непонятно кто.

Но я делаю по документации РусБитТеха. Что я делаю не так, мне до сих пор не ясно.. вот

02.08.2018

Парни, решил кто-нибудь проблему с отправкой почты во внешнюю сеть? Лок

02.08.2018

Но я делаю по документации РусБитТеха. Что я делаю не так, мне до сих пор не ясно.. вот

На саппорт писали?

03.08.2018

Естественно, жду.
Так же не ставится галочка через ПУСК-НАСТРОЙКИ-СЕРВИСЫ-работа сервиса в режиме ЕПП. Как лечится? Через PAM ставится

Последнее редактирование: 03.08.2018

03.08.2018

Парни, решил кто-нибудь проблему с отправкой почты во внешнюю сеть? Лок

проверь /etc/exim4/update-exim.conf.conf параметр dc_relay_nets должен быть равен адресу внутренней подсети. Типа такого dc_relay_nets=’f.q.d.0/24′. А потом применить /usr/sbin/update-exim4.conf

Последнее редактирование: 03.08.2018

04.08.2018

Кто нибудь сталкивался с такой проблемой, при отправке сообщений под мандатной меткой отличной от нулевой подключение к почтовому серверу происходит очень долго. Под нулевой меткой все нормально

Для работы на мандатных метках можно для 2-х служб — bind9 и exim4 настроить parsock privsock, по Руководству по настройке средств защиты п.4.3.1 http://astralinux.ru/information/library .

Последнее редактирование: 04.08.2018

04.08.2018

Делаю СЭП с использованием ЕПП. АЛД, ДНС, НТП все работает. Настройка производилась согласно документации п.13 и 13.4ЕПП. При подключении в почтовом клиенте от доменного юзера вылазит ошибка:
«Билет Kerberos/GSSAPI не был принят IMAP-сервером user.domain.ru Пожалуйста, проверьте, что вы вошли в Kerberos/GSSAPI realm.»
Есть ли решение данной проблемы?

Есть.
В топикстартере я описал настройку сервера. Этого должно быть достаточно. Dovecot использует аутентификацию pam, который в свою очередь, при подключении почтового сервера к домену, автоматически настраивается на использование Kerberos+Ldap. Поэтому никаких дополнительных настроек не требуется.

04.08.2018

Настраиваются почтовый сервер. Локально все работает. Как только настраиваются его как основной dns, ald сервер перестаёт его видеть и bind9 не рестартует, выдаёт ошибку при рестарта. В чем может быть причина?

04.08.2018

проверь /etc/exim4/update-exim.conf.conf параметр dc_relay_nets должен быть равен адресу внутренней подсети. Типа такого dc_relay_nets=’f.q.d.0/24′. А потом применить /usr/sbin/update-exim4.conf

Дак это получается что почта будет зарелеина? Если я все правильно понял.

04.08.2018

Есть.
В топикстартере я описал настройку сервера. Этого должно быть достаточно. Dovecot использует аутентификацию pam, который в свою очередь, при подключении почтового сервера к домену, автоматически настраивается на использование Kerberos+Ldap. Поэтому никаких дополнительных настроек не требуется.

Есть решение. Перед тем как создаёшь принципалы на сервере, пропиши на всех АРМ ald-renew-tickets on. Это будет означать что билеты будут обновляться автоматически. Затем создавай принципалы на сервере. Далее на АРМ пиши kinit «имя пользователя» это чтобы получить билеты с сервера. И все должно получиться. Если нет то пиши ald-renew-tickets now.

Последнее редактирование: 04.08.2018

04.08.2018

Дак это получается что почта будет зарелеина? Если я все правильно понял.

Именно.

04.08.2018

Дак а зачем тогда DNS настраивать?) почта должна по домену работать же. Попробую конечно, может что и выйдет

06.08.2018

Вообщем, сегодня на виртуалках сделал все заново, согласно документации. Создал пользователя доменного, пишет не верный логин пароль. Что я делаю не так? Есть тут те кто решил проблему?

В ALD добавь пользователю право заходить на сервер

07.08.2018

Ребят, а как пользователя создать для работы в почтовом сервере. Зашел в настройки — безопасность — пользователи — создаю изер021. Выбираю папку debin-exim4, добавляю разешения довекод и майл. Привелегию ставлю 0. Меняю пароль ругается. Что не так делаю?

07.08.2018

Захожу в почтовый ящик без проблем, получение почты тоже проходит гладко, а вот отправить не выходит, пишет Билет Kerberos/GSSAPI не был принят IMAP-серверм. Пожалуйста, проверьте, что вы вошли в Kerberos/GSSAPI realm. Что это значит? И куда копать?

08.08.2018

Захожу в почтовый ящик без проблем, получение почты тоже проходит гладко, а вот отправить не выходит, пишет Билет Kerberos/GSSAPI не был принят SMTP-серверм. Пожалуйста, проверьте, что вы вошли в Kerberos/GSSAPI realm. Что это значит? И куда копать?

08.08.2018

Захожу в почтовый ящик без проблем, получение почты тоже проходит гладко, а вот отправить не выходит, пишет Билет Kerberos/GSSAPI не был принят SMTP-серверм. Пожалуйста, проверьте, что вы вошли в Kerberos/GSSAPI realm. Что это значит? И куда копать?

У меня такая же проблема..Решение мне не известно

Подскажите с Dovecot + Kerberos/GSSAPI

Подскажите как настроить Dovecot с Kerberos/GSSAPI аутентификацией, установил Dovecot 1.2.15 с репа на дебиан а понятной доки по настройке найти не могу. Может есть примеры какие?

спосиб ща читану))

ну тут все ясно а керберос как соеденить с dovecot?, я ввел дебиан в домен, керберос получает билеты.

С помощью pam (Pluggable Authentication Modules).

mail_debug = yes
auth_verbose = yes
auth_debug_passwords = yes
protocols = imap pop3
mail_location = maildir:/var/mail/%u
first_valid_uid = 0
mail_uid = 8
mail_gid = 8

userdb static <
args = uid=mail gid=mail home=/var/vmail/%u
>
passdb pam <
>

client <
path = /var/spool/postfix/private/auth
mode = 0777
>
>
>

@include common-auth
@include common-account
@include common-session

auth sufficient pam_krb5.so
account sufficient pam_krb5.so

Mar 20 16:45:01 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 20 16:45:01 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 20 16:45:02 newmail dovecot: auth(default): new auth connection: pid=30414
Mar 20 16:45:02 newmail dovecot: auth(default): new auth connection: pid=30413

как проверить имеются ли в наличии эти модули, работают ли они, и почему пишет imap-login .

# telnet localhost 143
Trying ::1.
Trying 127.0.0.1.
Connected to localhost.
Escape character is ‘^]’.
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE AUTH=GSSAPI] Dovecot ready.
openssl s_client -connect localhost:993
openssl BAD Error in IMAP command received by server.
a capability
* CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE SORT SORT=DISPLAY THREAD=REFERENCES THREAD=REFS MULTIAPPEND UNSELECT IDLE CHILDREN NAMESPACE UIDPLUS LIST-EXTENDED I18NLEVEL=1 CONDSTORE QRESYNC ESEARCH ESORT SEARCHRES WITHIN CONTEXT=SEARCH LIST-STATUS AUTH=GSSAPI
a OK Capability completed.
a authenticate GSSAPI
a NO [UNAVAILABLE] Temporary authentication failure.

Kerberos не настроен(не создан keytab).
Вот по этой статье я в свое время создавал keytab http://xgu.ru/wiki/Squid,_Kerberos_%D0%B8_LDAP]
Смотри там про создание keytab’а и описание протокола kerberos.

поправил
a authenticate GSSAPI
+

чего еще не хватает?))

ktpass -princ imap/newmail.domain.ru@DOMAIN.RU -mapuser

DOMAINuser -pass «pass» -ptype KRB5_NT_SRV_HST -out c:krb5.keytab
Targeting domain controller: ADC-1.domain.ru
Using legacy password setting method
Successfully mapped imap/newmail.domain.ru to user.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to c:krb5.keytab:
Keytab version: 0x502
keysize 71 imap/newmail.domain.ru@DOMAIN.RU ptype 3 (KRB5_NT_SRV_HST) vno 12 etype 0x17 (RC4-HMAC) keylength 16 (0x00957a6cdb8eea58a460643d04dec703)

скопировал в etc

добавил в dovecot.conf —> auth_krb5_keytab = /etc/krb5.keytab

подскажите чего еще не настроено? не авторизируется

Mar 21 10:03:04 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 21 10:03:04 newmail dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.201.163, lip=10.10.0.39
Mar 21 10:03:05 newmail dovecot: auth(default): new auth connection: pid=11234
Mar 21 10:03:05 newmail dovecot: auth(default): new auth connection: pid=11233

Источник

Билет керберос не был принят сервером исходящей почты astra linux

ab52003

Имя и пароль — да

Поставь, TLS по возможности, а не TLS!
И еще в свойствах учетной записи (на самой учетной записи левой кнопкой и внизу) поставь для этой учетной записи сервер исходящей почты (SMTP) . @mail.ru — smtp.mail.ru

Через сомнения приходим к истине. Цицерон

№7 10-08-2006 08:52:48

Re: Проблема с отправкой почты в Thunderbird

ab52003

Имя и пароль — да

Поставь, TLS по возможности, а не TLS!
И еще в свойствах учетной записи (на самой учетной записи левой кнопкой и внизу) поставь для этой учетной записи сервер исходящей почты (SMTP) . @mail.ru — smtp.mail.ru

Сделал все, как сказали. После этого запрос на пароль стал появляться и для входящей и для исходящей почты. Однако отправка почты по-прежнему не происходит, а выдается сообщение:
Предупреждение: Ошибка отправления почты. Почтовый сервер ответил: Убедитесь, что указанный вами в настройках адрес электронной почты верен, и попробуйте снова.

Настройки исходящей почты в учетной записи (учетная запись у меня одна) такие:

Сервер исходящей почты (SMTP):
Параметры сервера исходящей почты (SMTP):

В окне надпись: ab52003@mail.ru-smtp.mail.ru (По умолчанию)

Вкладка «Изменить…»:
SMTP-сервер:

Описание: (не указано)
Имя сервера: smtp.mail.ru
Имя пользователя: ab52003@mail.ru
Порт: 25
Использовать имя и пароль: Да
Использовать защищенное соединение: TLS, по возможности

А в менеджере паролей информация по входящей и исходящей почте отображается так (сами пароли отображаются правильно):

По входящей почте:

Сервер: mailbox://ab52003@pop.mail.ru
Имя пользователя: ab52003

По исходящей почте:

Сервер: smtp://ab52003%40mail.ru@smtp.mail.ru
Имя пользователя: (не указано)

Как видно, в исходящей почте информация указывается неверно.
Не пойму, почему. Вроде в учетной записи все указано правильно, никаких лишних пробелов и знаков нет. Может, надо заполнить поле «Описание», но как?

Источник

Прозрачная авторизация клиентов Dovecot

Исходные данные:
Домен (dom.lan): Microsoft Windows 2008
Почтовый сервер (mail.dom.lan): FreeBSD 10.0+Postfix 2.11.1+Dovecot 2.2.15
На почтовом сервере настроена Samba 3.6.24, является членом домена, предоставляет прозрачный доступ к сетевым ресурсам, используя winbind.
Т.е. пользователям, которые авторизовались в домене, не приходится повторно вводить доменный пароль, чтобы получить доступ к сетевому ресурсу.

отрабатывают правильно, выводя информацию о пользователях и группах домена.

Задача: настроить прозрачную авторизацию клиентов Dovecot. Т.е. сделать так, чтобы почтовый клиент забирал почту не с помощью пароля, указанного в почтовом клиенте, а на основе существующей доменной сессии (пароли пользователей в домене периодически подлежат замене).

Подозреваю, что это можно реализовать, используя Samba+PAM+Winbind. Делал так:

Создал файл /etc/pam.d/dovecot следующего содержания:

Вам нужна аутентификация через kerberos, с pam_winbind прозрачную авторизацию не сделать.
http://wiki2.dovecot.org/Authentication/Kerberos

И клиент должен её уметь.

Microsoft Outlook умеет?
Я пытался настроить Dovecot+Kerberos+AD, не получалось сгенерить такой файл-keytab, чтобы получать билет kerberos. Открыл тему:

Ошибку свою при генерации файла нашел. Я давал команду:

Дальше с настройкой kerberos продвинуться не удалось. Все клиенты у меня Microsoft Outlook, пытался настроить это:

Так как решить эту задачу?
Freebsd+Dovecot+AD+Microsoft Outlook+прозрачная авторизация. Уверен, что это возможно! Прошу помочь, очень нужно реализовать.
Спасибо!

Добрый день!
Жаль, что тема не нашла отклика. На мой взгляд типовая задача для корпоративной почты. Тем не менее, продолжаю ковырять kerberos.
Читая и перечитывая:

стараюсь привести свои настройки в полное соответствие.

В каталоге /usr/lib присутствовал файл pam_krb5.so. Однако указание на него в /etc/pam.d/dovecot к изменениям ситуации не привело.

Установил порт /usr/ports/security/pam_krb5 и переписал /etc/pam.d/dovecot к такому виду:

Радует, что ситуация изменилась. И вроде как в лучшую сторону. Но почему в логе user=<> — непонятно. Получается, что ip-клиента определился, а имя пользователся нет? Может быть кто-то сможет это прокомментировать?

Файл /etc/krb5.keytab работает нормально. Команды:

может быть все-таки поменять auth_mechanism = plain на что-то другое?

Надо же, опять опечатался. В конфиге:

Как то так получается, что после поста находится решение или происходит движение вперед. Поэтому продолжаю 🙂 , но от помощи не отказываюсь.

Когда надоело мучать Mozilla Thunderbird и GSSAPI, закрыл его и снова открыл Microsoft Outlook. Тут случилось чудо! Он залогинился! К этому моменту в 10-ssl.conf было:

В /var/log/debug.log много всего, красиво и без ошибок.
При этом в Microsoft Outlook поле ПАРОЛЬ не заполнено!

Так исторически сложилось, что имя пользователя домена и адрес электронной почты не совпадают, причем имя пользователся может быть по русски. Например, login — «Смирнов» и email — «smirnov@dom.lan«.

А Microsoft Outlook не позволяет оставить поле ПОЛЬЗОВАТЕЛЬ пустым. Написал для начала туда не login пользователя, а его адрес электронной почты (user@dom.lan). В Maildir создался ящик электронной почты. Отлично! Затем в поле ПОЛЬЗОВАТЕЛЬ написал адрес электронной почты (например, user1@dom.lan), которого не существует в AD. Ящик создался! Это нехорошо! Затем написал адрес электронной почты ДРУГОГО ПОЛЬЗОВАТЕЛЯ. Ящик загрузился. А вот это уже совсем плохо! Вся почта принадлежит пользователю vmail.

Вопрос: можно ли сделать так, чтобы в поле ПОЛЬЗОВАТЕЛЬ в Microsoft Outlook можно было бы написать только адрес электронной почты того пользователя, который авторизовался в домене?

Плодить несуществующие ящики и читать чужую почту не есть хорошо.
Спасибо!

Почитав Вашу тему, получилось настроить авторизацию в Thunderbird через kerberos/gssapi, а вот MS Outlook по-прежнему не хочет работать с пустым паролем. Не могли бы Вы выложить содержимое файлов, в которые внесли изменения при настройке, чтобы понять, благодаря чему у Вас произошло чудо?

Источник

Прозрачная авторизация клиентов Dovecot

Исходные данные:
Домен (dom.lan): Microsoft Windows 2008
Почтовый сервер (mail.dom.lan): FreeBSD 10.0+Postfix 2.11.1+Dovecot 2.2.15
На почтовом сервере настроена Samba 3.6.24, является членом домена, предоставляет прозрачный доступ к сетевым ресурсам, используя winbind.
Т.е. пользователям, которые авторизовались в домене, не приходится повторно вводить доменный пароль, чтобы получить доступ к сетевому ресурсу.

отрабатывают правильно, выводя информацию о пользователях и группах домена.

Задача: настроить прозрачную авторизацию клиентов Dovecot. Т.е. сделать так, чтобы почтовый клиент забирал почту не с помощью пароля, указанного в почтовом клиенте, а на основе существующей доменной сессии (пароли пользователей в домене периодически подлежат замене).

Подозреваю, что это можно реализовать, используя Samba+PAM+Winbind. Делал так:

Создал файл /etc/pam.d/dovecot следующего содержания:

Вам нужна аутентификация через kerberos, с pam_winbind прозрачную авторизацию не сделать.
http://wiki2.dovecot.org/Authentication/Kerberos

И клиент должен её уметь.

Microsoft Outlook умеет?
Я пытался настроить Dovecot+Kerberos+AD, не получалось сгенерить такой файл-keytab, чтобы получать билет kerberos. Открыл тему:

Ошибку свою при генерации файла нашел. Я давал команду:

Дальше с настройкой kerberos продвинуться не удалось. Все клиенты у меня Microsoft Outlook, пытался настроить это:

Так как решить эту задачу?
Freebsd+Dovecot+AD+Microsoft Outlook+прозрачная авторизация. Уверен, что это возможно! Прошу помочь, очень нужно реализовать.
Спасибо!

Добрый день!
Жаль, что тема не нашла отклика. На мой взгляд типовая задача для корпоративной почты. Тем не менее, продолжаю ковырять kerberos.
Читая и перечитывая:

стараюсь привести свои настройки в полное соответствие.

В каталоге /usr/lib присутствовал файл pam_krb5.so. Однако указание на него в /etc/pam.d/dovecot к изменениям ситуации не привело.

Установил порт /usr/ports/security/pam_krb5 и переписал /etc/pam.d/dovecot к такому виду:

Радует, что ситуация изменилась. И вроде как в лучшую сторону. Но почему в логе user=<> — непонятно. Получается, что ip-клиента определился, а имя пользователся нет? Может быть кто-то сможет это прокомментировать?

Файл /etc/krb5.keytab работает нормально. Команды:

может быть все-таки поменять auth_mechanism = plain на что-то другое?

Надо же, опять опечатался. В конфиге:

Как то так получается, что после поста находится решение или происходит движение вперед. Поэтому продолжаю 🙂 , но от помощи не отказываюсь.

Когда надоело мучать Mozilla Thunderbird и GSSAPI, закрыл его и снова открыл Microsoft Outlook. Тут случилось чудо! Он залогинился! К этому моменту в 10-ssl.conf было:

В /var/log/debug.log много всего, красиво и без ошибок.
При этом в Microsoft Outlook поле ПАРОЛЬ не заполнено!

Так исторически сложилось, что имя пользователя домена и адрес электронной почты не совпадают, причем имя пользователся может быть по русски. Например, login — «Смирнов» и email — «smirnov@dom.lan«.

А Microsoft Outlook не позволяет оставить поле ПОЛЬЗОВАТЕЛЬ пустым. Написал для начала туда не login пользователя, а его адрес электронной почты (user@dom.lan). В Maildir создался ящик электронной почты. Отлично! Затем в поле ПОЛЬЗОВАТЕЛЬ написал адрес электронной почты (например, user1@dom.lan), которого не существует в AD. Ящик создался! Это нехорошо! Затем написал адрес электронной почты ДРУГОГО ПОЛЬЗОВАТЕЛЯ. Ящик загрузился. А вот это уже совсем плохо! Вся почта принадлежит пользователю vmail.

Вопрос: можно ли сделать так, чтобы в поле ПОЛЬЗОВАТЕЛЬ в Microsoft Outlook можно было бы написать только адрес электронной почты того пользователя, который авторизовался в домене?

Плодить несуществующие ящики и читать чужую почту не есть хорошо.
Спасибо!

Почитав Вашу тему, получилось настроить авторизацию в Thunderbird через kerberos/gssapi, а вот MS Outlook по-прежнему не хочет работать с пустым паролем. Не могли бы Вы выложить содержимое файлов, в которые внесли изменения при настройке, чтобы понять, благодаря чему у Вас произошло чудо?

Источник

Go to Thunderbird