* [sisyphus] большие проблемы с courier-authdaemon для imapd
@ 2006-04-03 14:32 kopilo4ka
2006-04-03 14:51 ` Andrei Bulava
2006-04-05 15:26 ` Dmitry Lebkov
0 siblings, 2 replies; 5+ messages in thread
From: kopilo4ka @ 2006-04-03 14:32 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
Hi all
Имеем:
courier-authlib-0:0.58-alt2 installed
courier-authlib-0:0.56-alt1 removed
Заметил что в конфиге теперь демон стартует от пользователя courier.
Оставил варианты авторизации: authmodulelist="authpam".
Пробуем, не авторизует:
$ telnet bone 143
* OK [CAPABILITY IMAP4rev1...
. login henker pass
. NO Login failed.
. logout
* BYE Courier-IMAP server shutting down
Так же кое-что сменилось в courier-imap/imapd.
Пробовал добавить
IMAP_CAPABILITY="$IMAP_CAPABILITY AUTH=PLAIN"
эффекта не дало.
Почитал courier-authlib/README-ALT.koi8-r, интересно, но не помогло.
PS: "подробности см. в man 7 authlib", а нету такого.
Узнали новую команду, пробуем:
# authtest henker
Authenticated: henker (system username: henker)
Home Directory: /home/henker
Maildir: (none)
Quota: (none)
Encrypted Password: x
Cleartext Password: (none)
Options: (none)
Появляются мысли про права, пробовали "chmod 755 ~henker" и т.д., все тоже
самое. Меняем от кого будет запускаться authdaemon на рута, и что-то
поменялось.
# authtest henker
Authenticated: henker (system username: henker)
Home Directory: /home/henker
Maildir: (none)
Quota: (none)
Encrypted Password: $2a$08$h2mqOd......
Cleartext Password: (none)
Options: (none)
И на imap уже нормально заходит. Однако почему authtest пишет что нету
Maildir, а она есть? Тоже проблема с доступом? Почему тогда pam не сработал?
С логами что-то смешное, написано в конфиге:
LOGGEROPTS="-name=courier-authdaemon -facility=authpriv", получаем:
bone -facility=authpriv: modules="authpam", daemons=5
bone -facility=authpriv: Installing libauthpam
bone -facility=authpriv: Installation complete: authpam
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] большие проблемы с courier-authdaemon для imapd
2006-04-03 14:32 [sisyphus] большие проблемы с courier-authdaemon для imapd kopilo4ka
@ 2006-04-03 14:51 ` Andrei Bulava
2006-04-03 15:39 ` kopilo4ka
2006-04-05 15:26 ` Dmitry Lebkov
1 sibling, 1 reply; 5+ messages in thread
From: Andrei Bulava @ 2006-04-03 14:51 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
kopilo4ka@gmail.com wrote:
> Hi all
>
> Имеем:
> courier-authlib-0:0.58-alt2 installed
> courier-authlib-0:0.56-alt1 removed
>
> Заметил что в конфиге теперь демон стартует от пользователя courier.
> Оставил варианты авторизации: authmodulelist="authpam".
Тогда надо было или а) сразу запускать authdaemon'а от root - не очень
хорошо по безопасности; или б) модифицировать пользователя courier так,
чтобы он принадлежал в том числе к группе auth, - уже лучше, чем вариант а).
Почему? Ответ - в правах на файлы /etc/tcb/<username>/shadow.
> самое. Меняем от кого будет запускаться authdaemon на рута, и что-то
> поменялось.
>
> # authtest henker
> Authenticated: henker (system username: henker)
> Home Directory: /home/henker
> Maildir: (none)
> Quota: (none)
> Encrypted Password: $2a$08$h2mqOd......
> Cleartext Password: (none)
> Options: (none)
>
> И на imap уже нормально заходит.
См. выше.
> Однако почему authtest пишет что нету
> Maildir, а она есть? Тоже проблема с доступом?
Похоже, что да.
> Почему тогда pam не сработал?
Потому что авторизацией занимался authdaemon, запущенный от root'а, а
доступом к Maildir - какой-то другой процесс из комплекта courier,
запущенный с правами, например, пользователя courier?
--
// AB1002-UANIC
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] большие проблемы с courier-authdaemon для imapd
2006-04-03 14:51 ` Andrei Bulava
@ 2006-04-03 15:39 ` kopilo4ka
2006-04-05 15:18 ` Dmitry Lebkov
0 siblings, 1 reply; 5+ messages in thread
From: kopilo4ka @ 2006-04-03 15:39 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
Дальше веселее. Демон все еще работает от рута:
$ id
uid=500(henker) gid=500(henker) группы=49(xgrp),50(ftp),80(cdwriter),500
(henker)
$ /usr/sbin/authtest test
Authenticated: test (system username: test)
Home Directory: /home/test
Maildir: (none)
Quota: (none)
Encrypted Password: $2a$08$2qWG.........
Cleartext Password: (none)
Options: (none)
По strace видно только:
connect(3, {sa_family=AF_FILE, path="/var/lib/courier-authlib/socket"}
Повесьте что-то, я сформулировать не могу.
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] большие проблемы с courier-authdaemon для imapd
2006-04-03 15:39 ` kopilo4ka
@ 2006-04-05 15:18 ` Dmitry Lebkov
0 siblings, 0 replies; 5+ messages in thread
From: Dmitry Lebkov @ 2006-04-05 15:18 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
kopilo4ka@gmail.com wrote:
> Дальше веселее. Демон все еще работает от рута:
>
> $ id
> uid=500(henker) gid=500(henker) группы=49(xgrp),50(ftp),80(cdwriter),500
> (henker)
> $ /usr/sbin/authtest test
> Authenticated: test (system username: test)
> Home Directory: /home/test
> Maildir: (none)
> Quota: (none)
> Encrypted Password: $2a$08$2qWG.........
> Cleartext Password: (none)
> Options: (none)
>
> По strace видно только:
> connect(3, {sa_family=AF_FILE, path="/var/lib/courier-authlib/socket"}
Надо будет запатчить на предмет прав у создаваемого сокета. Не забыть
бы в следующей сборке это сделать ...
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [sisyphus] большие проблемы с courier-authdaemon для imapd
2006-04-03 14:32 [sisyphus] большие проблемы с courier-authdaemon для imapd kopilo4ka
2006-04-03 14:51 ` Andrei Bulava
@ 2006-04-05 15:26 ` Dmitry Lebkov
1 sibling, 0 replies; 5+ messages in thread
From: Dmitry Lebkov @ 2006-04-05 15:26 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
kopilo4ka@gmail.com wrote:
[skip]
> # authtest henker
> Authenticated: henker (system username: henker)
> Home Directory: /home/henker
> Maildir: (none)
> Quota: (none)
> Encrypted Password: $2a$08$h2mqOd......
> Cleartext Password: (none)
> Options: (none)
>
> И на imap уже нормально заходит. Однако почему authtest пишет что нету
> Maildir, а она есть? Тоже проблема с доступом? Почему тогда pam не сработал?
Потому, что через PAM невозможно получить информацию о Maildir.
> С логами что-то смешное, написано в конфиге:
> LOGGEROPTS="-name=courier-authdaemon -facility=authpriv", получаем:
>
> bone -facility=authpriv: modules="authpam", daemons=5
> bone -facility=authpriv: Installing libauthpam
> bone -facility=authpriv: Installation complete: authpam
Странно. А после обновления никаких "кусков" предыдущих пакетов courier-*
в системе не осталось?
У себя на почтовике я такого поведения, с теми же опциями, не наблюдаю ...
Ну а по большому счету, если к почте предполагается ходить через один
из почтовых протоколов - не используйте PAM для авторизации. Лучше смотрите
в сторону схемы с виртуальными почтовыми ящиками. Оно получается гибче и
безопаснее.
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2006-04-05 15:26 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-04-03 14:32 [sisyphus] большие проблемы с courier-authdaemon для imapd kopilo4ka
2006-04-03 14:51 ` Andrei Bulava
2006-04-03 15:39 ` kopilo4ka
2006-04-05 15:18 ` Dmitry Lebkov
2006-04-05 15:26 ` Dmitry Lebkov
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git