FreeBSD pam krb5 без samba

[Lazy caT]

Здравствуйте все...

Необходимо организовать авторизацию dovecot в windows ad без установки samba.

Уже есть опыт настройки авторизации dovecot и через AD (samba) и через MySQL но, появилась крайняя необходимость организовать
авторизацию пользователей в AD не используя samba и не вводя сервер в домен, как тут (тыц).

Знаю что есть варианты, через LDAP и через PAM+radius но, тут как мне кажется, появляются "грабли" в
виде того что dovecot не сможет получить пароль из Window'ой AD. Этот код:

Код: Выделить всё

auth_bind = no
pass_attrs = uid=user, userPassword=password
pass_filter = (&(objectClass=posixAccount)(uid=%u))
default_pass_scheme = MD5

"прокатит" разве что с OpenLDAP а OpenLDAP сервера нет, и не предвидется.

C Radius'ом тоже проблема, как такового Radius-клиента в FreeBSD, на сколько мне и google'у известно, нет.
Придется устанавливать полноценный radius. Может есть какой-нибудь вариант не делать этого?

Как, например, в MPD5. Авторизация напрямую через radius (Windows IAS).

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Lazy caT]

Я в шоке... Как сказал кто-то очень умный - кто ищет тот найдет...

Разобрался... Сделал...

Всем спасибо кто решил посодействовать...

В будущем, надо будет организовать всю проделанную работу и отпишу решение.

Хотя, это и не так уж и сложно оказалось...
Использовал pam_radius-1.3.17

Вопрос к Лису, а возможно будет это решение выложить как статью?...

[f_andrey]

Хотя, это и не так уж и сложно оказалось...

Беда нынешних технологий, они тупо работают

Вопрос к Лису, а возможно будет это решение выложить как статью?...

Не лис но думаю не сильно навру
А ты думал как оно тут всё появляется, точностей не скажу, но там как то надо зарегатся и пиши сколько влезет, можно для начала отдельной темой, тут в спец ветке запубликовать.

[Neus]

а возможно будет это решение выложить как статью?

Обязательно нужно!

[Lazy caT]

Хотя, это и не так уж и сложно оказалось...

Беда нынешних технологий, они тупо работают

Ну, какбэ да, только вот ещё надо ведь разобраться как сделать так, чтобы работало... А это не так уж и просто.

Для многих, "тупо работает" это как маршрутизатор из коробки. Принес домой, вытащил из коробки, включил - работает.

Попробуй "вытащи из коробки" почтовик на FreeBSD 10.0-RELEASE-p12 amd64 с хранением почтовой базы на дисковом массиве
подключаемом к этому серваку по iSCSI. Да ещё и с авторизацией почтовых сервисов в AD.

Так что не всё и не везде "тупо работает"... Иногда, для того чтобы это работало, необходимо приложить мозг и иногда смекалку.

[snorlov]

Ну шевелить извилинами никогда не мешает...

[Lazy caT]

Вообщем похоже тема не закрыта...

Прикрутил exim для авторизации через этот модуль (pam_radius-1.3.17)...
Получается так что при тех настройках, описанных в USAGE, для этого модуля, он будет авторизовать
совершенно всех с любыми паролями, не зависимо от того что вернет RADIUS из AD.

Вообщем как-то так...

Ломаю голову дальше...
Если есть у кого возможность помощи...
Не откажусь... Заранее спасибо...

Чуть позже логи выложу...

[Lazy caT]

модуль (pam_radius-1.3.17)

Обновил модуль до 1.4.0, ничего не поменялось...

И так, логи... Кусочек из лога авторизации exim'а

Код: Выделить всё

11:56:52 26288 SMTP<< AUTH PLAIN
11:56:52 26288 SMTP>> 334 
11:56:52 26288 tls_do_write(0x28932000, 6)
11:56:52 26288 SSL_write(SSL, 0x28932000, 6)
11:56:52 26288 outbytes=6 error=0
11:56:52 26288 Calling SSL_read(0x28901500, 0x2895e000, 4096)
11:56:52 26288 SMTP<< AHd3dy4AYmttYng=
11:56:52 26288 plain_pam authenticator server_condition:
11:56:52 26288   $auth1 = 
11:56:52 26288   $auth2 = www.
11:56:52 26288   $auth3 = bkmbx
11:56:52 26288   $1 = 
11:56:52 26288   $2 = www.
11:56:52 26288   $3 = bkmbx
11:56:52 26288 expanding: $auth2:$auth3
11:56:52 26288    result: www.:bkmbx
11:56:52 26288 Running PAM authentication for user "www."
11:56:52 26288 PAM success
11:56:52 26288 condition: pam{$auth2:$auth3}
11:56:52 26288    result: true
11:56:52 26288 expanding: yes
11:56:52 26288    result: yes
11:56:52 26288 expanding: no
11:56:52 26288    result: no
11:56:52 26288 skipping: result is not used
11:56:52 26288 expanding: ${if pam{$auth2:$auth3}{yes}{no}}
11:56:52 26288    result: yes
11:56:52 26288 expanded string: yes
11:56:52 26288 expanding: $auth2
11:56:52 26288    result: www.
11:56:52 26288 SMTP>> 235 Authentication succeeded
11:56:52 26288 tls_do_write(0x28932000, 30)
11:56:52 26288 SSL_write(SSL, 0x28932000, 30)
11:56:52 26288 outbytes=30 error=0

Думаю, не стоит говорить что в домене нет такого пользователя (www.) с паролем (bkmbx)... Однако 'SMTP>> 235 Authentication succeeded'...

Да и IAS (Radius) говорит то же самое

Код: Выделить всё

Start DateTime	User Name	Stop DateTime	Duration	User IP	Output Octets	Input Octets	Connect Request	Connect Result
01/11/2015 11:56:53	www.	01/11/2015 11:56:53	00:00:00				IAS_AUTH_FAILURE	Rejected

Модуль настраивался, по документации (USAGE)

Код: Выделить всё

  The pam configuration can be:
...
auth       sufficient   pam_radius_auth.so [options]
...
account    sufficient   pam_radius_auth.so

Код: Выделить всё

[12:16] coms-gw:/etc/pam.d >cat ./exim
#account required pam_permit.so
account sufficient      /usr/local/etc/pam_radius/pam_radius_auth.so

auth    sufficient      /usr/local/etc/pam_radius/pam_radius_auth.so    debug
#auth    sufficient      /usr/local/etc/pam_radius/pam_radius_auth.so    debug    try_first_pass

#auth    required        /usr/local/lib/pam_winbind.so   debug  try_first_pass
#auth   required         /usr/local/lib/pam_winbind.so   try_first_pass

вариант с "auth sufficient /usr/local/etc/pam_radius/pam_radius_auth.so debug try_first_pass" не проходит.

Вообщем как-то так...

Буду дальше копать...

[ононимус]

Те вы хотите сказать, что давкот не умеет авторизовать узера в ад? Не верю. А это похоже на член на ноге, чтоб поссать надо разуваться.

[ононимус]

Без чтения доков на вскидку auth_bind yes

[ононимус]

Ну да auth_bind=yes. А эти костыли реально похожи на член на ноге. Вместо того, чтобы разобраться как работает ldap-авторизация вы отростили его себе на ноге.

[Lazy caT]

ага... после внимательного чтения dovecot'овского wiki так и сделал...

[Lazy caT]

Те вы хотите сказать, что давкот не умеет авторизовать узера в ад? Не верю. А это похоже на член на ноге, чтоб поссать надо разуваться.

Дело в том что, видимо ранее, не внимательно читал доки по dovecot'у...
Мне постоянно казалось что при работе dovecot'а с LDAP, первый будет пароли брать оттуда чтобы их сравнивать с введенными, юзерскими.

И не сразу сообразил, что можно просто воспользоваться вариантом проверки правильности авторизации, простейшим биндом к LDAP'у.

Собственно после "просветления" и сделал авторизацию через auth_bind...

[Alex Keda]

Кайши, как напилишь.....

[snorlov]

Мне постоянно казалось что при работе dovecot'а с LDAP, первый будет пароли брать оттуда чтобы их сравнивать с введенными, юзерскими.

Да никакая система авторизации не отдает пароли, если только не самопальная, а так ты отдаешь ей имя и пароль, в ответ получаешь access or denied...

[Alex Keda]

все системы самопальные...