Re: [Comm] OpenLDAP - возможно баг?

Re: [Comm] OpenLDAP - возможно баг?

[Alex Moskalenko]

В сообщении от 7 Июль 2005 10:29 Eugene Ostapets написал(a):
> 1. Предлагаю перебраться в соответсвующую рассылку.
Пошел подписываться...

> 2. OpenLDAP настроен на работу с cyrus-sasl? Если нет - отключите этот
> вид авторизации
Авторизацию через sasl не использую - в saslauthd.conf прописано 
ldap_auth_method: bind. Дело похоже не в этом - saslauthd успешно биндится и 
ищет именно то, что должен, но сервер ему возвращает ошибку 4... Как и в 
случае ldapsearch - ситуация полностью повторяется.

> 3. Если настроен nss+pam можно авторизоваться по pam
В моем случае не подходит - в конечном случае на машине с cyrus не будет 
nss_ldap и pam_ldap. Пользователей из LDAP будет брать только сам cyrus.

> 4. У меня работала на чистом М2.4 авторизация cyrus-imapd через ldap :)
Я себе уже посыпал голову пеплом по этому поводу. Или знаний у меня не 
хватает, или в консерватории что-то не того... но я совсем-совсем не понимаю, 
как cyrus-imapd, который вроде как для аутентификации использует 
исключительно sasl, и среди опций sasl_pwcheck_mech имеются saslauthd, 
auxprop и pwcheck, заставить напрямую брать пользователей и пароли из LDAP, 
минуя saslauthd. Похоже, это клиника - мои мозги не в состоянии понять те 
доки и статьи, которые я читал...

-- 
WBR, Alex Moskalenko

[Comm] OpenLDAP - возможно баг?

[Alex Moskalenko]

Здравствуйте!

Дано:
[mav@tmpsrv mav]$ cat /etc/altlinux-release
ALT Linux Master 2.4 (Citron)
[mav@tmpsrv mav]$ rpm -qa | grep openldap
openldap-doc-2.1.30-alt3
openldap-2.1.30-alt3
openldap-clients-2.1.30-alt3
openldap-servers-2.1.30-alt3

В LDAP лежат учетные записи пользователей. Настроен nss, samba, postfix. 
Понадобилось прикрутить cyrus-imapd. Попытался сделать авторизацию через LDAP 
(imapd -> saslauthd -> ldap). И наткнулся на интересную вещь - saslauthd не 
может авторизоваться в LDAP. При этом в логах следующее

Jul  6 23:22:57 testmail saslauthd[13363]: user ldap_search_st() failed: Size 
limit exceeded
Jul  6 23:22:57 testmail saslauthd[13363]: Retrying authentication
Jul  6 23:22:57 testmail saslauthd[13363]: user ldap_search_st() failed: Size 
limit exceeded
Jul  6 23:22:57 testmail saslauthd[13363]: do_auth         : auth failure: 
[user=username] [service=imap] [realm=] [mech=ldap] [reason=Unknown]

То есть получаем ldap error 4.

При более подробных раскопках обнаружил следующее

[mav@tmpsrv mav]$ ldapsearch -x -LL -b ou=Accounts,dc=example,dc=ru 
"(&(uid=username)(objectClass=inetOrgPerson))" dn
version: 1

dn: uid=username,ou=Users,ou=Accounts,dc=example,dc=ru

[mav@tmpsrv mav]$ ldapsearch -z 1 -x -LL -b ou=Accounts,dc=example,dc=ru 
"(&(uid=username)(objectClass=inetOrgPerson))" dn
version: 1

dn: uid=username,ou=Users,ou=Accounts,dc=example,dc=ru

Size limit exceeded (4)
[mav@tmpsrv mav]$ ldapsearch -z 2 -x -LL -b ou=Accounts,dc=example,dc=ru 
"(&(uid=moskalenko)(objectClass=inetOrgPerson))" dn
version: 1

dn: uid=moskalenko,ou=Users,ou=Accounts,dc=example,dc=ru

То есть имеем одну запись в каталоге, удовлетворяющую условию поиска, но при  
поиске ее с -z 1 (насколько я понял, saslauthd делает именно так) получаем ту 
же error 4. Соответственно вопросы:

1) Из-за чего такое может быть? Не баг ли это в openLDAP? Ведь запись одна, и 
запросили одну - почему тогда size limit exeeded?

2) Как в свете всего вышеперечисленного получить рабочий saslauthd либо 
аутентифицироваться в cyrus-imapd из LDAP минуя saslauthd?

3) Если это все-таки баг - не вылезет ли это где-нибудь еще, кроме saslauthd?

-- 
WBR, Alex Moskalenko

Re: [Comm] OpenLDAP - возможно баг?

[Eugene Ostapets]

07.07.05, Alex Moskalenko<mav elserv.msk.su> написал(а):
> Здравствуйте!
> 
> В LDAP лежат учетные записи пользователей. Настроен nss, samba, postfix.
> Понадобилось прикрутить cyrus-imapd. Попытался сделать авторизацию через LDAP
> (imapd -> saslauthd -> ldap). И наткнулся на интересную вещь - saslauthd не
> может авторизоваться в LDAP. При этом в логах следующее
> Jul  6 23:22:57 testmail saslauthd[13363]: do_auth         : auth failure:
> [user=username] [service=imap] [realm=] [mech=ldap] [reason=Unknown]
> 1) Из-за чего такое может быть? Не баг ли это в openLDAP? Ведь запись одна, и
> запросили одну - почему тогда size limit exeeded?
> 
> 2) Как в свете всего вышеперечисленного получить рабочий saslauthd либо
> аутентифицироваться в cyrus-imapd из LDAP минуя saslauthd?
> 
> 3) Если это все-таки баг - не вылезет ли это где-нибудь еще, кроме saslauthd?
1. Предлагаю перебраться в соответсвующую рассылку.
2. OpenLDAP настроен на работу с cyrus-sasl? Если нет - отключите этот
вид авторизации
3. Если настроен nss+pam можно авторизоваться по pam
4. У меня работала на чистом М2.4 авторизация cyrus-imapd через ldap :)
-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re[2]: [Comm] OpenLDAP - возможно баг?

[Anton Gorlov]

Здравствуйте, Eugene.

Вы писали 7 июля 2005 г., 10:29:05:


> 4. У меня работала на чистом М2.4 авторизация cyrus-imapd через ldap :)
А шифрование работает? В обе стороны (клиенты-cyrus-imapd и
cyrus-imapd-LDAP)?



-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru
                                     FIDO: 2:5059/37

Re: [Comm] OpenLDAP - возможно баг?

[Anton Gorlov]

Здравствуйте, Alex.

Вы писали 7 июля 2005 г., 9:27:35:

> Дано:
> [mav@tmpsrv mav]$ cat /etc/altlinux-release
> ALT Linux Master 2.4 (Citron)
> [mav@tmpsrv mav]$ rpm -qa | grep openldap
> openldap-doc-2.1.30-alt3
> openldap-2.1.30-alt3
> openldap-clients-2.1.30-alt3
> openldap-servers-2.1.30-alt3

Установлено:
[root@fs root]# rpm -qa |grep ^openldap
openldap-clients-2.1.30-alt3
openldap-servers-2.1.30-alt3
openldap-2.1.30-alt3


> В LDAP лежат учетные записи пользователей. Настроен nss, samba, postfix.
> Понадобилось прикрутить cyrus-imapd. Попытался сделать авторизацию через LDAP
(imapd ->> saslauthd -> ldap). И наткнулся на интересную вещь - saslauthd не
> может авторизоваться в LDAP.

Работает. свой домен заменил на work. А так- полностью рабочие
конфиги.. В планах сделать тут ещё виртуальный домен..но пока не понял
как это сделать... (пользователи vasya@work и vasya@home не должны
пересекаться)
[root@rcc root]# rpm -qa |grep ^cyrus
cyrus-imapd-doc-2.2.12-alt0.M24.1
cyrus-sasl2-2.1.19-alt1
cyrus-imapd-2.2.10-alt1
cyrus-imapd-utils-2.2.12-alt0.M24.1

конфиг cyrus-sasl:
[root@rcc sasl2]# egrep -v "^#|^;|^$|^ *$" <saslauthd.conf

ldap_servers: ldaps://fs.local/
ldap_bind_dn: cn=admin,dc=work
ldap_bind_pw: *******!***
ldap_version: 3
ldap_timeout: 5
ldap_time_limit: 5

ldap_scope: one
ldap_search_base: ou=Users,dc=work
ldap_auth_method: bind
ldap_filter: (&(uid=%u)(mailStatus=enable))

[root@rcc etc]# egrep -v "^#|^;|^$|^ *$" < imapd.conf
admins: gorlov
allowapop: 1
allowplaintext: 1
annotation_db: skiplist
configdirectory: /var/lib/imap
defaultacl: gorlov lrsd
defaultdomain: work
duplicate_db: berkeley-nosync
duplicatesuppression: 0
hashimapspool: 1
idlesocket: /var/lib/imap/socket/idle
imapidresponse: 0
lmtp_downcase_rcpt: 1
mboxlist_db: skiplist
partition-default: /var/spool/imap
poptimeout: 5
reject8bit: 0
sasl_pwcheck_method: saslauthd
seenstate_db: skiplist
sendmail: /usr/sbin/sendmail
servername: work
sievedir: /var/lib/imap/sieve
subscription_db: flat
username_tolower: 1
[root@rcc etc]#

-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru
                                     FIDO: 2:5059/37

Re: Re[2]: [Comm] OpenLDAP - возможно баг?

[Eugene Ostapets]

07.07.05, Anton Gorlov<Pnz.Stalker mail.ru> написал(а):
> Здравствуйте, Eugene.
> 
> Вы писали 7 июля 2005 г., 10:29:05:
> 
> 
> > 4. У меня работала на чистом М2.4 авторизация cyrus-imapd через ldap :)
> А шифрование работает? В обе стороны (клиенты-cyrus-imapd и
> cyrus-imapd-LDAP)?
Что значит шифрование в обе стороны? Я отказлся от использования
механизма cyrus-sasl и настраивал start tls

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [Comm] OpenLDAP - возможно баг?

[Eugene Ostapets]

07.07.05, Alex Moskalenko<mav elserv.msk.su> написал(а):
> В сообщении от 7 Июль 2005 10:29 Eugene Ostapets написал(a):
> > 1. Предлагаю перебраться в соответсвующую рассылку.
> Пошел подписываться...
Пока делаю кроспост, чтобы ответы не терялись
> 
> > 2. OpenLDAP настроен на работу с cyrus-sasl? Если нет - отключите этот
> > вид авторизации
> Авторизацию через sasl не использую - в saslauthd.conf прописано
> ldap_auth_method: bind. Дело похоже не в этом - saslauthd успешно биндится и
> ищет именно то, что должен, но сервер ему возвращает ошибку 4... Как и в
> случае ldapsearch - ситуация полностью повторяется.
Я на такую ошибку пока не нарывался - будем вместе копать что и куда:)
> > 4. У меня работала на чистом М2.4 авторизация cyrus-imapd через ldap :)
> Я себе уже посыпал голову пеплом по этому поводу. Или знаний у меня не
> хватает, или в консерватории что-то не того... но я совсем-совсем не понимаю,
> как cyrus-imapd, который вроде как для аутентификации использует
> исключительно sasl, и среди опций sasl_pwcheck_mech имеются saslauthd,
> auxprop и pwcheck, заставить напрямую брать пользователей и пароли из LDAP,
> минуя saslauthd. Похоже, это клиника - мои мозги не в состоянии понять те
> доки и статьи, которые я читал...
Для это нужно, чтобы пароли приходили в виде PLAIN, или хранились в
LDAP в чистом виде - иначе никак...

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [Comm] OpenLDAP - возможно баг?

[Alex Moskalenko]

В сообщении от 7 Июль 2005 10:55 Eugene Ostapets написал(a):
> > > 4. У меня работала на чистом М2.4 авторизация cyrus-imapd через ldap :)
> >
> > Я себе уже посыпал голову пеплом по этому поводу. Или знаний у меня не
> > хватает, или в консерватории что-то не того... но я совсем-совсем не
> > понимаю, как cyrus-imapd, который вроде как для аутентификации использует
> > исключительно sasl, и среди опций sasl_pwcheck_mech имеются saslauthd,
> > auxprop и pwcheck, заставить напрямую брать пользователей и пароли из
> > LDAP, минуя saslauthd. Похоже, это клиника - мои мозги не в состоянии
> > понять те доки и статьи, которые я читал...
>
> Для это нужно, чтобы пароли приходили в виде PLAIN, или хранились в
> LDAP в чистом виде - иначе никак...
То, что или пароли бегают по сети, но не хранятся, или хранятся, но не бегают 
- это я понимаю. PLAINTEXT авторизация в imap/pop3 легко решается через 
imaps/pop3s. Так же в общем-то нет проблем хранить пароли в LDAP в открытом 
виде для реализации дайджест-аутентификации в imap/pop. У меня клин в другом 
месте - не могу понять, как попросить cyrus самого проверять пароли в ldap. 
Пока получалось только через saslauthd, который уже лезет в LDAP и проверяет 
пароли. При этом получается без дайджестов, но хоть как-то...

-- 
WBR, Alex Moskalenko

Re: [Comm] OpenLDAP - возможно баг?

[Alex Moskalenko]

В сообщении от 7 Июль 2005 10:50 Anton Gorlov написал(a):
> Здравствуйте, Alex.
> Установлено:
> [root@fs root]# rpm -qa |grep ^openldap
> openldap-clients-2.1.30-alt3
> openldap-servers-2.1.30-alt3
> openldap-2.1.30-alt3
Вроде то же самое, что и у меня...

> [root@rcc root]# rpm -qa |grep ^cyrus
> cyrus-imapd-doc-2.2.12-alt0.M24.1
> cyrus-sasl2-2.1.19-alt1
> cyrus-imapd-2.2.10-alt1
> cyrus-imapd-utils-2.2.12-alt0.M24.1

cyrus-imapd-doc-2.2.12-alt0.M24.1
cyrus-imapd-2.2.12-alt0.M24.1
cyrus-imapd-utils-2.2.12-alt0.M24.1
cyrus-sasl2-docs-2.1.19-alt1
cyrus-sasl2-2.1.19-alt1

То же самое...

> конфиг cyrus-sasl:
> [root@rcc sasl2]# egrep -v "^#|^;|^$|^ *$" <saslauthd.conf
>
> ldap_servers: ldaps://fs.local/
> ldap_bind_dn: cn=admin,dc=work
> ldap_bind_pw: *******!***
> ldap_version: 3
> ldap_timeout: 5
> ldap_time_limit: 5
>
> ldap_scope: one
> ldap_search_base: ou=Users,dc=work
> ldap_auth_method: bind
> ldap_filter: (&(uid=%u)(mailStatus=enable))

Мой конфиг:
ldap_servers: ldap://ldap/
ldap_bind_dn: cn=saslauthd,dc=example,dc=ru
ldap_bind_pw: ********
ldap_version: 3
ldap_timeout: 30
ldap_time_limit: 10
ldap_restart: yes
ldap_scope: sub
ldap_search_base: ou=Accounts,dc=example,dc=ru
ldap_auth_method: bind
ldap_filter: (&(uid=%u)(objectClass=inetOrgPerson))

То есть то же самое...

> [root@rcc etc]# egrep -v "^#|^;|^$|^ *$" < imapd.conf
> admins: gorlov
> allowapop: 1
> allowplaintext: 1
> annotation_db: skiplist
> configdirectory: /var/lib/imap
> defaultacl: gorlov lrsd
> defaultdomain: work
> duplicate_db: berkeley-nosync
> duplicatesuppression: 0
> hashimapspool: 1
> idlesocket: /var/lib/imap/socket/idle
> imapidresponse: 0
> lmtp_downcase_rcpt: 1
> mboxlist_db: skiplist
> partition-default: /var/spool/imap
> poptimeout: 5
> reject8bit: 0
> sasl_pwcheck_method: saslauthd
> seenstate_db: skiplist
> sendmail: /usr/sbin/sendmail
> servername: work
> sievedir: /var/lib/imap/sieve
> subscription_db: flat
> username_tolower: 1
> [root@rcc etc]#

Это вообще один в один, за исключением admins :)

В итоге - не работает. Может, у меня как-то неправильно сам slapd настроен?

-- 
WBR, Alex Moskalenko