Страница 1 из 1
FreeBSD pam krb5 без samba
Добавлено: 2014-12-11 11:14:16
Lazy caT
Здравствуйте все...
Необходимо организовать авторизацию dovecot в windows ad без установки samba.
Уже есть опыт настройки авторизации dovecot и через AD (samba) и через MySQL но, появилась крайняя необходимость организовать
авторизацию пользователей в AD не используя samba и не вводя сервер в домен, как тут (
тыц).
Знаю что есть варианты, через LDAP и через PAM+radius но, тут как мне кажется, появляются "грабли" в
виде того что dovecot не сможет получить пароль из Window'ой AD. Этот код:
Код: Выделить всё
auth_bind = no
pass_attrs = uid=user, userPassword=password
pass_filter = (&(objectClass=posixAccount)(uid=%u))
default_pass_scheme = MD5
"прокатит" разве что с OpenLDAP а OpenLDAP сервера нет, и не предвидется.
C Radius'ом тоже проблема, как такового Radius-клиента в FreeBSD, на сколько мне и google'у известно, нет.
Придется устанавливать полноценный radius. Может есть какой-нибудь вариант не делать этого?
Как, например, в MPD5. Авторизация напрямую через radius (Windows IAS).
Re: FreeBSD pam krb5 без samba
Добавлено: 2014-12-11 18:26:41
Lazy caT
Я в шоке... Как сказал кто-то очень умный - кто ищет тот найдет...
Разобрался... Сделал...
Всем спасибо кто решил посодействовать...
В будущем, надо будет организовать всю проделанную работу и отпишу решение.
Хотя, это и не так уж и сложно оказалось...
Использовал pam_radius-1.3.17
Вопрос к Лису, а возможно будет это решение выложить как статью?...
Re: FreeBSD pam krb5 без samba
Добавлено: 2014-12-11 20:08:39
f_andrey
Lazy caT писал(а):Хотя, это и не так уж и сложно оказалось...
Беда нынешних технологий, они тупо работают
Lazy caT писал(а):Вопрос к Лису, а возможно будет это решение выложить как статью?...
Не лис но думаю не сильно навру
А ты думал как оно тут всё появляется, точностей не скажу, но там как то надо зарегатся и пиши сколько влезет, можно для начала отдельной темой, тут в спец ветке запубликовать.
Re: FreeBSD pam krb5 без samba
Добавлено: 2014-12-11 20:11:15
Neus
а возможно будет это решение выложить как статью?
Обязательно нужно!
Re: FreeBSD pam krb5 без samba
Добавлено: 2014-12-12 10:43:40
Lazy caT
f_andrey писал(а):Lazy caT писал(а):Хотя, это и не так уж и сложно оказалось...
Беда нынешних технологий, они тупо работают
Ну, какбэ да, только вот ещё надо ведь разобраться как сделать так, чтобы работало... А это не так уж и просто.
Для многих, "тупо работает" это как маршрутизатор из коробки. Принес домой, вытащил из коробки, включил - работает.
Попробуй "вытащи из коробки" почтовик на FreeBSD 10.0-RELEASE-p12 amd64 с хранением почтовой базы на дисковом массиве
подключаемом к этому серваку по iSCSI. Да ещё и с авторизацией почтовых сервисов в AD.
Так что не всё и не везде "тупо работает"... Иногда, для того чтобы это работало, необходимо приложить мозг и иногда смекалку.
Re: FreeBSD pam krb5 без samba
Добавлено: 2014-12-12 16:02:20
snorlov
Ну шевелить извилинами никогда не мешает...
Re: FreeBSD pam krb5 без samba
Добавлено: 2015-01-10 21:25:31
Lazy caT
Вообщем похоже тема не закрыта...
Прикрутил exim для авторизации через этот модуль (pam_radius-1.3.17)...
Получается так что при тех настройках, описанных в USAGE, для этого модуля, он будет авторизовать
совершенно всех с любыми паролями, не зависимо от того что вернет RADIUS из AD.
Вообщем как-то так...
Ломаю голову дальше...
Если есть у кого возможность помощи...
Не откажусь... Заранее спасибо...
Чуть позже логи выложу...
Re: FreeBSD pam krb5 без samba
Добавлено: 2015-01-11 12:37:06
Lazy caT
Lazy caT писал(а):модуль (pam_radius-1.3.17)
Обновил модуль до 1.4.0, ничего не поменялось...
И так, логи... Кусочек из лога авторизации exim'а
Код: Выделить всё
11:56:52 26288 SMTP<< AUTH PLAIN
11:56:52 26288 SMTP>> 334
11:56:52 26288 tls_do_write(0x28932000, 6)
11:56:52 26288 SSL_write(SSL, 0x28932000, 6)
11:56:52 26288 outbytes=6 error=0
11:56:52 26288 Calling SSL_read(0x28901500, 0x2895e000, 4096)
11:56:52 26288 SMTP<< AHd3dy4AYmttYng=
11:56:52 26288 plain_pam authenticator server_condition:
11:56:52 26288 $auth1 =
11:56:52 26288 $auth2 = www.
11:56:52 26288 $auth3 = bkmbx
11:56:52 26288 $1 =
11:56:52 26288 $2 = www.
11:56:52 26288 $3 = bkmbx
11:56:52 26288 expanding: $auth2:$auth3
11:56:52 26288 result: www.:bkmbx
11:56:52 26288 Running PAM authentication for user "www."
11:56:52 26288 PAM success
11:56:52 26288 condition: pam{$auth2:$auth3}
11:56:52 26288 result: true
11:56:52 26288 expanding: yes
11:56:52 26288 result: yes
11:56:52 26288 expanding: no
11:56:52 26288 result: no
11:56:52 26288 skipping: result is not used
11:56:52 26288 expanding: ${if pam{$auth2:$auth3}{yes}{no}}
11:56:52 26288 result: yes
11:56:52 26288 expanded string: yes
11:56:52 26288 expanding: $auth2
11:56:52 26288 result: www.
11:56:52 26288 SMTP>> 235 Authentication succeeded
11:56:52 26288 tls_do_write(0x28932000, 30)
11:56:52 26288 SSL_write(SSL, 0x28932000, 30)
11:56:52 26288 outbytes=30 error=0
Думаю, не стоит говорить что в домене нет такого пользователя (www.) с паролем (bkmbx)... Однако 'SMTP>> 235 Authentication succeeded'...
Да и IAS (Radius) говорит то же самое
Код: Выделить всё
Start DateTime User Name Stop DateTime Duration User IP Output Octets Input Octets Connect Request Connect Result
01/11/2015 11:56:53 www. 01/11/2015 11:56:53 00:00:00 IAS_AUTH_FAILURE Rejected
Модуль настраивался, по документации (USAGE)
Код: Выделить всё
The pam configuration can be:
...
auth sufficient pam_radius_auth.so [options]
...
account sufficient pam_radius_auth.so
Код: Выделить всё
[12:16] coms-gw:/etc/pam.d >cat ./exim
#account required pam_permit.so
account sufficient /usr/local/etc/pam_radius/pam_radius_auth.so
auth sufficient /usr/local/etc/pam_radius/pam_radius_auth.so debug
#auth sufficient /usr/local/etc/pam_radius/pam_radius_auth.so debug try_first_pass
#auth required /usr/local/lib/pam_winbind.so debug try_first_pass
#auth required /usr/local/lib/pam_winbind.so try_first_pass
вариант с "auth sufficient /usr/local/etc/pam_radius/pam_radius_auth.so debug try_first_pass" не проходит.
Вообщем как-то так...
Буду дальше копать...
Re: FreeBSD pam krb5 без samba
Добавлено: 2015-01-14 8:51:10
ононимус
Те вы хотите сказать, что давкот не умеет авторизовать узера в ад? Не верю. А это похоже на член на ноге, чтоб поссать надо разуваться.
Re: FreeBSD pam krb5 без samba
Добавлено: 2015-01-14 8:52:31
ононимус
Без чтения доков на вскидку auth_bind yes
Re: FreeBSD pam krb5 без samba
Добавлено: 2015-01-14 9:59:14
ононимус
Ну да auth_bind=yes. А эти костыли реально похожи на член на ноге. Вместо того, чтобы разобраться как работает ldap-авторизация вы отростили его себе на ноге.
Re: FreeBSD pam krb5 без samba
Добавлено: 2015-01-14 13:28:52
Lazy caT
ага... после внимательного чтения dovecot'овского wiki так и сделал...
Re: FreeBSD pam krb5 без samba
Добавлено: 2015-01-14 13:36:09
Lazy caT
ононимус писал(а):Те вы хотите сказать, что давкот не умеет авторизовать узера в ад? Не верю. А это похоже на член на ноге, чтоб поссать надо разуваться.
Дело в том что, видимо ранее, не внимательно читал доки по dovecot'у...
Мне постоянно казалось что при работе dovecot'а с LDAP, первый будет пароли брать оттуда чтобы их сравнивать с введенными, юзерскими.
И не сразу сообразил, что можно просто воспользоваться вариантом проверки правильности авторизации, простейшим биндом к LDAP'у.
Собственно после "просветления" и сделал авторизацию через auth_bind...
Re: FreeBSD pam krb5 без samba
Добавлено: 2015-01-14 15:31:21
Alex Keda
Кайши, как напилишь.....
Re: FreeBSD pam krb5 без samba
Добавлено: 2015-01-14 23:52:55
snorlov
Lazy caT писал(а):
Мне постоянно казалось что при работе dovecot'а с LDAP, первый будет пароли брать оттуда чтобы их сравнивать с введенными, юзерскими.
Да никакая система авторизации не отдает пароли, если только не самопальная, а так ты отдаешь ей имя и пароль, в ответ получаешь access or denied...
Re: FreeBSD pam krb5 без samba
Добавлено: 2015-01-15 0:08:14
Alex Keda
все системы самопальные...