dovecot winbind ntlm

[doker]

dovecot 2.0.15,FreeBSD 8.1-RELEASE,samba36-3.6.1
авторизация в доверкоте настроена на виндовый Ldap AD и работает, ntlm_auth отдельно авторизует, Wbinfo -u все что надо выдает, а как только в оутлуке включаю Ntlm авторизация непроходит
лог

Код: Выделить всё

Dec 02 10:39:28 auth: Debug: client in: AUTH    2       NTLM    service=pop3    secured lip=x.x.x.x       rip=x.x.x.x   lport=995       rport=4707
Dec 02 10:39:32 auth: Debug: client out: CONT   2
Dec 02 10:39:32 auth: Debug: client in: CONT    2       RMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFAs4OAAAADw==
Dec 02 10:39:32 auth: Debug: client out: CONT   2       RMTVNTUAACAAAAHgAeADgAAAAFgomifhZ/sFf61YUAAAAAAAAAAKAAoABWAAAABgEAAAAAAA9TAEgASQBQAFkAQQBSAEQALQBZAEEATgBUAEEAUgACAB4AUwBIAEkAUABZAEEAUgBEAC0AWQBBAE4AVABBAFIAAQASAE0AQQBJAEwAUABSAE8AWABZAAQAJABzAGgAaQBwAHkAYQByAGQALQB5AGEAbgB0AGEAcgAuAHIAdQADADgAbQBhAGkAbABwAHIAbwB4AHkALgBzAGgAaQBwAHkAYQByAGQALQB5AGEAbgB0AGEAcgAuAHIAdQAAAAAA
Dec 02 10:39:32 auth: Debug: client in: CONT    2       RMTVNTUAADAAAAGAAYAFYAAAAYABgAbgAAAAAAAABIAAAACgAKAEgAAAAEAAQAUgAAAAAAAACGAAAABYKIogUCzg4AAAAPdAAtAGEAZABtAEYAUwBX0rGcpc7YMwAAAAAAAAAAAAAAAAAAAADpZQob3Ml1QpOc5mKRTjv8uikWiL3QIwc=
Dec 02 10:39:32 auth: Info: winbind(?,x.x.x.x): user not authenticated: NT_STATUS_UNSUCCESSFUL
Dec 02 10:39:34 auth: Debug: client out: FAIL   2
Dec 02 10:39:34 auth: Debug: client in: AUTH    3       NTLM    service=pop3    secured lip=x.x.x.x       rip=x.x.x.x   lport=995       rport=4707
Dec 02 10:39:42 auth: Debug: client out: CONT   3
Dec 02 10:39:42 auth: Debug: client in: CONT    3
Dec 02 10:39:42 auth: Debug: client out: CONT   3       RMTVNTUAACAAAAAAAAADAAAAACAgAA/KCaXCIFy5wAAAAAAAAAAAAAAAAwAAAA
Dec 02 10:39:42 auth: Debug: client in: CANCEL  3

dovecot-ldap.conf.ext

Код: Выделить всё

hosts = dc.domain.ru:389
uris =ldap://dc.domain.ru
dn = CN=user,OU=Services,DC=domain,DC=ru
dnpass = xxxxx
auth_bind = yes
ldap_version = 3
base = OU=Units,DC=domain,DC=ru
user_attrs = homeDirectory=home,uidNumber=uid,gidNumber=gid,uid = 142,gid = 142,home=/vmail
user_filter = (sAMAccountName=%u)
pass_attrs = uid=user,userPassword=password
pass_attrs = uid=user,userPassword=password,\
  homeDirectory=userdb_home,uidNumber=userdb_uid,gidNumber=userdb_gid
pass_filter = (sAMAccountName=%u)

10-auth.conf

Код: Выделить всё

auth_debug=yes
auth_verbose=yes
auth_debug_passwords = yes
disable_plaintext_auth = no
auth_realms = DOMAIN.RU
auth_username_format = %n
auth_use_winbind = yes
auth_winbind_helper_path = /usr/local/bin/ntlm_auth
auth_mechanisms = ntlm plain login
!include auth-ldap.conf.ext

10-mail.conf

Код: Выделить всё

mail_location =maildir:/vmail
mail_uid =142
mail_gid =142
mail_access_groups = dovecot
first_valid_uid = 142
first_valid_gid = 142
mail_chroot = /vmail

поделитесь идеями пжл

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[doker]

борьба продолжаеся
сильно подозреваю Что дело в самбе
в логе вылазит вот это
libads/cldap.c:98(ads_cldap_netlogon)
cldap_netlogon() failed: NT_STATUS_NOT_FOUND

[doker]

доковырялся до состояния в логе довекота

• ec 14 11:28:44 auth: Error: Got user=[mailuser] domain=[MYDOMAIN] workstation=[host] len1=24 len2=24
  Dec 14 11:28:44 auth: Error: Login for user [MYDOMAIN]\[mailuser]@[host] failed due to [Reading winbind reply failed!]

самба настроена на показ с доменом
wbinfo -u | grep mailuser
MYDOMAIN\mailuser

воот, а ntlm_auth авторизует только по имени --username=mailuser
что нужно подкрутить чтобы ntlm_auth авторизовывал по шаблону MYDOMAIN\mailuser
как поправить формат запроса ?

[doker]

ntlm_auth --username=MYDOMAIN\mailuser
NT_STATUS_NO_SUCH_USER: No such user (0xc0000064)

а вот так работает...

ntlm_auth --username=MYDOMAIN\\mailuser
NT_STATUS_OK: Success (0x0)

как довекоту это объяснить?

[doker]

откатился на самбу 3.4 и все заработало....

[Гость]

прошло два года, а проблема такая же...
показал бы конфиг рабочий

[doker]

сервак был тестовый , тему прокурил и удалил. (
в целом делал все по мануалам с офф сайта и форумам.
заработало всё как там написанно но только на самбе 3.4
и да, логи максимальные включи , там досточно доступно ошибки пошутся

[openmsk]

да вроде тоже не дурак, однако ж

Код: Выделить всё

[root@ vmail]# grep auth_mechanisms /etc/dovecot/conf.d/*
/etc/dovecot/conf.d/10-auth.conf:auth_mechanisms = plain login ntlm gssapi

вот кусок конфига довекота2 и пам.д

Код: Выделить всё

#doveconf -n
userdb {
  args = uid=vmail gid=vmail home=/raid10/vmail/ allow_all_users=yes
  driver = static
}

# cat /etc/pam.d/dovecot
#%PAM-1.0
auth    sufficient      pam_krb5.so
account sufficient      pam_krb5.so
auth       required     pam_nologin.so
auth       include      password-auth
account    include      password-auth
session    include      password-auth
auth    required        pam_unix.so nullok
account required        pam_unix.so
account  required       pam_permit.so

а вот вывод телнета

Код: Выделить всё

* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN AUTH=
LOGIN AUTH=NTLM AUTH=GSSAPI] Dovecot ready.
a capability* CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLA
IN AUTH=LOGIN AUTH=NTLM AUTH=GSSAPI
a OK Capability completed.
a authenticate GSSAPI+

в это время в логе

Код: Выделить всё

Aug 26 12:32:12 s1mx1ls dovecot: auth: Debug: client in: AUTH#0111#011GSSAPI#011service=imap#011secured#011lip=192.168.0.7#011rip=192.168.0.64#011lport=143#011rport=53808
Aug 26 12:32:12 s1mx1ls dovecot: auth: Debug: gssapi(?,192.168.0.64): Using all keytab entries
Aug 26 12:32:12 s1mx1ls dovecot: auth: Debug: client out: CONT#0111#011

Однако как только я пытаюсь с помощью thunderbird'ом забрать почту, в лог падает

Код: Выделить всё

Aug 26 12:39:06 s1mx1ls dovecot: auth: Debug: auth client connected (pid=10789)
Aug 26 12:39:06 s1mx1ls dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.0.64, lip=192.168.0.7, secured

а сам thunderbird говорит: Билет Kerberos/GSSAPI небыл принят IMAP-сервером real-user-ad@maildomain.ru. Проверьте что вы вошли в Kerberos/GSSAPI realm

при включеном ssl

Код: Выделить всё

Aug 26 13:47:42 s1mx1ls dovecot: auth: Debug: auth client connected (pid=10962)
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x10, ret=1: before/accept initialization [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: before/accept initialization [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 read client hello A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write server hello A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write certificate A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write key exchange A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write server done A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 flush data [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client certificate A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client certificate A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 read client key exchange A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 read finished A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write session ticket A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write change cipher spec A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write finished A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write change cipher spec A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write finished A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 flush data [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x20, ret=1: SSL negotiation finished successfully [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2002, ret=1: SSL negotiation finished successfully [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2002, ret=1: SSL negotiation finished successfully [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL alert: where=0x4004, ret=256: warning close notify [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL alert: where=0x4008, ret=256: warning close notify [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.0.64, lip=192.168.0.7, TLS

[openmsk]

doveconf -n http://pastebin.com/jVnvyWZM
postconf -n http://pastebin.com/XzjrBGdF

[doker]

комп в домене ? (через винбинд)
и для чистоты клиент имхо оутлук использовать
такое ощущение что клиент не говорит что он хочет авторизоваться через нтлм

[openmsk]

да, комп в домене, winbind настроен.
так же настроена локальная авторизация пользователей домена с фильтром по группе.

аутлук использовать нет возможности пока

[openmsk]

Вот лог попытка авторизоваться без защиты соединений и с методом аутентификации ntlm

Код: Выделить всё

Aug 26 15:16:39 s1mx1ls dovecot: auth: Debug: client in: AUTH#0111#011NTLM#011service=imap#011secured#011lip=192.168.0.7#011rip=192.168.0.64#011lport=143#011rport=59092
Aug 26 15:16:39 s1mx1ls dovecot: auth: Debug: client out: CONT#0111#011
Aug 26 15:16:39 s1mx1ls dovecot: auth: Debug: client in: CONT#0111#011TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=
Aug 26 15:16:40 s1mx1ls dovecot: auth: Debug: client out: CONT#0111#011TlRMTVNTUAACAAAACAAIADAAAAAFgokArwDZda6TeNsAAAAAAAAAADgAOAA4AAAAQwBJAFQAWQACAAgAQwBJAFQAWQABAA4AUwAxAE0AWAAxAEwAUwAEAAAAAwAOAHMAMQBtAHgAMQBsAHMAAAAAAA==
Aug 26 15:16:40 s1mx1ls dovecot: auth: Debug: client in: CONT#0111#011TlRMTVNTUAADAAAAGAAYAGQAAAAYABgAfAAAAAAAAABAAAAAGAAYAEAAAAAMAAwAWAAAAAAAAAAAAAAABYIIAGUAcgBlAHMAaABlAHQAbgBpAGsAbwB2AGMAMAAwADcAdwA3AGxIUbICG1+UAAAAAAAAAAAAAAAAAAAAANiU5s4Y918N0JtaHVGYh6Gw7vWwNujrOw==
Aug 26 15:16:40 s1mx1ls dovecot: auth: winbind(?,192.168.0.64): user not authenticated: NT_STATUS_UNSUCCESSFUL
Aug 26 15:16:42 s1mx1ls dovecot: auth: Debug: client out: FAIL#0111

[doker]

а через ntlm_auth авторизация проходит ?

[doker]

прошло два года, а проблема такая же...
показал бы конфиг рабочий

дык конфиг + изменения в треде

[openmsk]

Код: Выделить всё

[root@s1mx1ls ~]# ntlm_auth --username real-user-ad
password:
NT_STATUS_OK: Success (0x0)

[doker]

сильное подозрение что дело в клиенте...