[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[postfix-jp:02032] Re: SMTP-AUTHで、困っています。



こんにちは、高橋です。

In message "[postfix-jp:02031] SMTP-AUTHで、困っています。"
Okumura wrote:

> postfix-1.1.11 + cyrus-sasl-1.5.27 で SMTP-AUTHをしようと思っております
> うまくかず袋小路に入ってしまいました。是非お助け下さい。
> 
> これに至るまで
> 
> (1)cyrus-sasl をインストールしました。
>   ./configure --enable-login --with-pwcheck
>     バークレーDBは、db3をインクルードしまして、コンパイル、インストール
> 
>   /usr/local/lib/sasl/smtp.conf    ここには pwcheck_method: passwd
>   (sasldbよりも先にこれでやっています)

最近のUnix系OSはシャドウパスワードを使っていますので、passwdを使う場合root
権限が必要になります。で、Postfixのsmtpdはデフォルトでユーザーpostfixで
動くのでpasswdを使った認証は出来ません。pwcheck_methodにshadowを指定した
場合、pamを指定しPAM経由でpam_unix等を使う場合も同じです。

セキュリティ上の問題を理解した上でどうしても、ということであれば
master.cfを以下のように変更し、smtpdをrootで動かせばpasswdで認証できると
思います。

smtp      inet  n       n       n       -       -       smtpd

また、OSがLinuxであれば、/etc/shadowのオーナー・グループ・パーミッション
をPostfixから読めるように設定した上で、pwcheck_methodにshadowを指定すれ
ば認証できるようになるかもしれません。(未確認)

まあ、sasldbかpwcheckを使った方がいいと思いますけど。


> (3)telnetで確認しました。
>   250-AUTH LOGIN PLAIN DIGEST-MD5 CRAM-MD5
>   250-AUTH=LOGIN PLAIN DIGEST-MD5 CRAM-MD5
>   これで、25番ポートはSMTP−AUTHしていると確認いたしました。

passwd/shadowを認証に利用する場合、DIGEST-MD5やCRAM-MD5は使えないはずで
す。MUAによっては、DIGEST-MD5やCRAM-MD5があると、PLAINよりもそちらを優先
して使用するものもありますので、/usr/local/lib/saslにあるlibdigestmd5と
libcrammd5を削除してするなどして使えないようにした方がいいかもしれません。


---
TAKAHASHI Shigeo
E-Mail: hercule@xxxxxxxxxxxxxx

References
[postfix-jp:02031] SMTP-AUTHで、困っています。, Okumura

[検索ページ] [Postfix-JP ML Home]