Страница 1 из 1
dovecot winbind ntlm
Добавлено: 2011-12-02 14:15:06
doker
dovecot 2.0.15,FreeBSD 8.1-RELEASE,samba36-3.6.1
авторизация в доверкоте настроена на виндовый Ldap AD и работает, ntlm_auth отдельно авторизует, Wbinfo -u все что надо выдает, а как только в оутлуке включаю Ntlm авторизация непроходит
лог
Код: Выделить всё
Dec 02 10:39:28 auth: Debug: client in: AUTH 2 NTLM service=pop3 secured lip=x.x.x.x rip=x.x.x.x lport=995 rport=4707
Dec 02 10:39:32 auth: Debug: client out: CONT 2
Dec 02 10:39:32 auth: Debug: client in: CONT 2 RMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFAs4OAAAADw==
Dec 02 10:39:32 auth: Debug: client out: CONT 2 RMTVNTUAACAAAAHgAeADgAAAAFgomifhZ/sFf61YUAAAAAAAAAAKAAoABWAAAABgEAAAAAAA9TAEgASQBQAFkAQQBSAEQALQBZAEEATgBUAEEAUgACAB4AUwBIAEkAUABZAEEAUgBEAC0AWQBBAE4AVABBAFIAAQASAE0AQQBJAEwAUABSAE8AWABZAAQAJABzAGgAaQBwAHkAYQByAGQALQB5AGEAbgB0AGEAcgAuAHIAdQADADgAbQBhAGkAbABwAHIAbwB4AHkALgBzAGgAaQBwAHkAYQByAGQALQB5AGEAbgB0AGEAcgAuAHIAdQAAAAAA
Dec 02 10:39:32 auth: Debug: client in: CONT 2 RMTVNTUAADAAAAGAAYAFYAAAAYABgAbgAAAAAAAABIAAAACgAKAEgAAAAEAAQAUgAAAAAAAACGAAAABYKIogUCzg4AAAAPdAAtAGEAZABtAEYAUwBX0rGcpc7YMwAAAAAAAAAAAAAAAAAAAADpZQob3Ml1QpOc5mKRTjv8uikWiL3QIwc=
Dec 02 10:39:32 auth: Info: winbind(?,x.x.x.x): user not authenticated: NT_STATUS_UNSUCCESSFUL
Dec 02 10:39:34 auth: Debug: client out: FAIL 2
Dec 02 10:39:34 auth: Debug: client in: AUTH 3 NTLM service=pop3 secured lip=x.x.x.x rip=x.x.x.x lport=995 rport=4707
Dec 02 10:39:42 auth: Debug: client out: CONT 3
Dec 02 10:39:42 auth: Debug: client in: CONT 3
Dec 02 10:39:42 auth: Debug: client out: CONT 3 RMTVNTUAACAAAAAAAAADAAAAACAgAA/KCaXCIFy5wAAAAAAAAAAAAAAAAwAAAA
Dec 02 10:39:42 auth: Debug: client in: CANCEL 3
dovecot-ldap.conf.ext
Код: Выделить всё
hosts = dc.domain.ru:389
uris =ldap://dc.domain.ru
dn = CN=user,OU=Services,DC=domain,DC=ru
dnpass = xxxxx
auth_bind = yes
ldap_version = 3
base = OU=Units,DC=domain,DC=ru
user_attrs = homeDirectory=home,uidNumber=uid,gidNumber=gid,uid = 142,gid = 142,home=/vmail
user_filter = (sAMAccountName=%u)
pass_attrs = uid=user,userPassword=password
pass_attrs = uid=user,userPassword=password,\
homeDirectory=userdb_home,uidNumber=userdb_uid,gidNumber=userdb_gid
pass_filter = (sAMAccountName=%u)
10-auth.conf
Код: Выделить всё
auth_debug=yes
auth_verbose=yes
auth_debug_passwords = yes
disable_plaintext_auth = no
auth_realms = DOMAIN.RU
auth_username_format = %n
auth_use_winbind = yes
auth_winbind_helper_path = /usr/local/bin/ntlm_auth
auth_mechanisms = ntlm plain login
!include auth-ldap.conf.ext
10-mail.conf
Код: Выделить всё
mail_location =maildir:/vmail
mail_uid =142
mail_gid =142
mail_access_groups = dovecot
first_valid_uid = 142
first_valid_gid = 142
mail_chroot = /vmail
поделитесь идеями пжл
Re: dovecot winbind ntlm
Добавлено: 2011-12-09 14:06:47
doker
борьба продолжаеся
сильно подозреваю Что дело в самбе
в логе вылазит вот это
libads/cldap.c:98(ads_cldap_netlogon)
cldap_netlogon() failed: NT_STATUS_NOT_FOUND
Re: dovecot winbind ntlm
Добавлено: 2011-12-14 12:03:10
doker
доковырялся до состояния в логе довекота
- ec 14 11:28:44 auth: Error: Got user=[mailuser] domain=[MYDOMAIN] workstation=[host] len1=24 len2=24
Dec 14 11:28:44 auth: Error: Login for user [MYDOMAIN]\[mailuser]@[host] failed due to [Reading winbind reply failed!]
самба настроена на показ с доменом
wbinfo -u | grep mailuser
MYDOMAIN\mailuser
воот, а ntlm_auth авторизует только по имени --username=mailuser
что нужно подкрутить чтобы ntlm_auth авторизовывал по шаблону MYDOMAIN\mailuser
как поправить формат запроса ?
Re: dovecot winbind ntlm
Добавлено: 2011-12-14 12:16:52
doker
ntlm_auth --username=MYDOMAIN\mailuser
NT_STATUS_NO_SUCH_USER: No such user (0xc0000064)
а вот так работает...
ntlm_auth --username=MYDOMAIN\\mailuser
NT_STATUS_OK: Success (0x0)
как довекоту это объяснить?
Re: dovecot winbind ntlm
Добавлено: 2011-12-15 10:14:52
doker
откатился на самбу 3.4 и все заработало....
Re: dovecot winbind ntlm
Добавлено: 2013-08-26 11:36:54
Гость
прошло два года, а проблема такая же...
показал бы конфиг рабочий
Re: dovecot winbind ntlm
Добавлено: 2013-08-26 12:33:03
doker
сервак был тестовый , тему прокурил и удалил. (
в целом делал все по мануалам с офф сайта и форумам.
заработало всё как там написанно но только на самбе 3.4
и да, логи максимальные включи , там досточно доступно ошибки пошутся
Re: dovecot winbind ntlm
Добавлено: 2013-08-26 13:03:12
openmsk
да вроде тоже не дурак, однако ж
Код: Выделить всё
[root@ vmail]# grep auth_mechanisms /etc/dovecot/conf.d/*
/etc/dovecot/conf.d/10-auth.conf:auth_mechanisms = plain login ntlm gssapi
вот кусок конфига довекота2 и пам.д
Код: Выделить всё
#doveconf -n
userdb {
args = uid=vmail gid=vmail home=/raid10/vmail/ allow_all_users=yes
driver = static
}
# cat /etc/pam.d/dovecot
#%PAM-1.0
auth sufficient pam_krb5.so
account sufficient pam_krb5.so
auth required pam_nologin.so
auth include password-auth
account include password-auth
session include password-auth
auth required pam_unix.so nullok
account required pam_unix.so
account required pam_permit.so
а вот вывод телнета
Код: Выделить всё
* OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN AUTH=
LOGIN AUTH=NTLM AUTH=GSSAPI] Dovecot ready.
a capability* CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLA
IN AUTH=LOGIN AUTH=NTLM AUTH=GSSAPI
a OK Capability completed.
a authenticate GSSAPI+
в это время в логе
Код: Выделить всё
Aug 26 12:32:12 s1mx1ls dovecot: auth: Debug: client in: AUTH#0111#011GSSAPI#011service=imap#011secured#011lip=192.168.0.7#011rip=192.168.0.64#011lport=143#011rport=53808
Aug 26 12:32:12 s1mx1ls dovecot: auth: Debug: gssapi(?,192.168.0.64): Using all keytab entries
Aug 26 12:32:12 s1mx1ls dovecot: auth: Debug: client out: CONT#0111#011
Однако как только я пытаюсь с помощью thunderbird'ом забрать почту, в лог падает
Код: Выделить всё
Aug 26 12:39:06 s1mx1ls dovecot: auth: Debug: auth client connected (pid=10789)
Aug 26 12:39:06 s1mx1ls dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.0.64, lip=192.168.0.7, secured
а сам thunderbird говорит: Билет Kerberos/GSSAPI небыл принят IMAP-сервером
real-user-ad@maildomain.ru. Проверьте что вы вошли в Kerberos/GSSAPI realm
при включеном ssl
Код: Выделить всё
Aug 26 13:47:42 s1mx1ls dovecot: auth: Debug: auth client connected (pid=10962)
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x10, ret=1: before/accept initialization [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: before/accept initialization [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 read client hello A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write server hello A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write certificate A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write key exchange A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write server done A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 flush data [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client certificate A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2002, ret=-1: SSLv3 read client certificate A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 read client key exchange A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 read finished A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write session ticket A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write change cipher spec A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write finished A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write change cipher spec A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 write finished A [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2001, ret=1: SSLv3 flush data [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x20, ret=1: SSL negotiation finished successfully [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2002, ret=1: SSL negotiation finished successfully [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL: where=0x2002, ret=1: SSL negotiation finished successfully [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL alert: where=0x4004, ret=256: warning close notify [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Warning: SSL alert: where=0x4008, ret=256: warning close notify [192.168.0.64]
Aug 26 13:47:42 s1mx1ls dovecot: imap-login: Disconnected (no auth attempts): rip=192.168.0.64, lip=192.168.0.7, TLS
Re: dovecot winbind ntlm
Добавлено: 2013-08-26 13:09:52
openmsk
Re: dovecot winbind ntlm
Добавлено: 2013-08-26 14:03:02
doker
комп в домене ? (через винбинд)
и для чистоты клиент имхо оутлук использовать
такое ощущение что клиент не говорит что он хочет авторизоваться через нтлм
Re: dovecot winbind ntlm
Добавлено: 2013-08-26 14:08:13
openmsk
да, комп в домене, winbind настроен.
так же настроена локальная авторизация пользователей домена с фильтром по группе.
аутлук использовать нет возможности пока
Re: dovecot winbind ntlm
Добавлено: 2013-08-26 14:18:06
openmsk
Вот лог попытка авторизоваться без защиты соединений и с методом аутентификации ntlm
Код: Выделить всё
Aug 26 15:16:39 s1mx1ls dovecot: auth: Debug: client in: AUTH#0111#011NTLM#011service=imap#011secured#011lip=192.168.0.7#011rip=192.168.0.64#011lport=143#011rport=59092
Aug 26 15:16:39 s1mx1ls dovecot: auth: Debug: client out: CONT#0111#011
Aug 26 15:16:39 s1mx1ls dovecot: auth: Debug: client in: CONT#0111#011TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA=
Aug 26 15:16:40 s1mx1ls dovecot: auth: Debug: client out: CONT#0111#011TlRMTVNTUAACAAAACAAIADAAAAAFgokArwDZda6TeNsAAAAAAAAAADgAOAA4AAAAQwBJAFQAWQACAAgAQwBJAFQAWQABAA4AUwAxAE0AWAAxAEwAUwAEAAAAAwAOAHMAMQBtAHgAMQBsAHMAAAAAAA==
Aug 26 15:16:40 s1mx1ls dovecot: auth: Debug: client in: CONT#0111#011TlRMTVNTUAADAAAAGAAYAGQAAAAYABgAfAAAAAAAAABAAAAAGAAYAEAAAAAMAAwAWAAAAAAAAAAAAAAABYIIAGUAcgBlAHMAaABlAHQAbgBpAGsAbwB2AGMAMAAwADcAdwA3AGxIUbICG1+UAAAAAAAAAAAAAAAAAAAAANiU5s4Y918N0JtaHVGYh6Gw7vWwNujrOw==
Aug 26 15:16:40 s1mx1ls dovecot: auth: winbind(?,192.168.0.64): user not authenticated: NT_STATUS_UNSUCCESSFUL
Aug 26 15:16:42 s1mx1ls dovecot: auth: Debug: client out: FAIL#0111
Re: dovecot winbind ntlm
Добавлено: 2013-08-26 14:39:20
doker
а через ntlm_auth авторизация проходит ?
Re: dovecot winbind ntlm
Добавлено: 2013-08-26 14:41:35
doker
Гость писал(а):прошло два года, а проблема такая же...
показал бы конфиг рабочий
дык конфиг + изменения в треде
Re: dovecot winbind ntlm
Добавлено: 2013-08-26 14:50:34
openmsk
Код: Выделить всё
[root@s1mx1ls ~]# ntlm_auth --username real-user-ad
password:
NT_STATUS_OK: Success (0x0)
Re: dovecot winbind ntlm
Добавлено: 2013-08-26 15:01:47
doker
сильное подозрение что дело в клиенте...