vine-users ML アーカイブ

[vine-users:053133] Re: Postfix + Cyrus-SASL で SMTP-AUTH の導入

  • From: Takamasa UENO <ueno@xxxxxxxxxxxxxxxxxxxxxxxxx>
  • Subject: [vine-users:053133] Re: Postfix + Cyrus-SASL で SMTP-AUTH の導入
  • Date: Mon, 26 Aug 2002 17:49:36 +0900
上野@九州工大です.
飛田さん,菊池さん,フォローありがとうございます.

> あと、/var/log/mail.log とか auth.log あたりにも、何かログが残ってない
> でしょうか?

で,とりあえず main.cf で debug_peer_level = 2 にして
ログを吐いてもらうと,/var/log/maillog はこうなりました.

Aug 26 17:13:06 hoge postfix/smtpd[1646]: connect from hoge.cntl.kyutech.ac.jp[150.69.46.x]
Aug 26 17:13:06 hoge postfix/smtpd[1646]: warning: hoge.cntl.kyutech.ac.jp[150.69.46.x]: SASL CRAM-MD5 authentication failed
Aug 26 17:13:11 hoge postfix/smtpd[1646]: disconnect from hoge.cntl.kyutech.ac.jp[150.69.46.x]

また auth.log (or authlog ?) というのは find を使って探しましたが,
どこにも見当たりません.これはマズイのでしょうか?


> こちらは、postconf -n の出力を示していただいた方がいいかも、です。

それと,'postconf -n' の結果は次の通りです.

alias_maps = hash:/etc/postfix/aliases
allow_percent_hack = no
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
debug_peer_level = 2
default_privs = nobody
inet_interfaces = all
mail_owner = postfix
mail_spool_directory = /var/spool/mail
mailbox_command = /usr/bin/procmail -a $DOMAIN -d $LOGNAME
mydestination = $myhostname, localhost.$mydomain
mydomain = cntl.kyutech.ac.jp
myhostname = hoge.cntl.kyutech.ac.jp
mynetworks = 150.69.46.0/24, 127.0.0.0/8
myorigin = $myhostname
queue_directory = /var/spool/postfix
relay_domains = $mydestination
smtpd_banner = $myhostname ESMTP $mail_name ($mail_version) (Vine Linux)
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_relay_domains, reject
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous


> 関係ないとは思いますが、cyrus-sasl を make するときに、--enable-login を
> 付加しています( Seed の cyrus-sasl の spec は見ていませんが有効になって
> いるようですね)。

また,cyrus-sasl の spec ですが,

%build
autoconf
CFLAGS="$RPM_OPT_FLAGS -fPIC"; export CFLAGS
%configure \
	--enable-static --enable-shared \
	--with-plugindir=%{_libdir}/sasl \
	--with-dblib=gdbm \
	--disable-krb4 \
	--with-rc4 \
	--enable-anon \
	--enable-cram \
	--enable-plain \
	--enable-login
make

と,デフォルトの状態でビルドしました.


> > smtpd_sasl_local_domain = $myhostname

> 良くわかりませんが $mydomain ではなくてですか?

これは,/usr/doc/postfix-*/sample.jp/sample-auth.cf.jp で
”smtpd_sasl_local_domain パラメータはローカル認証 realm の名前を指定します”
と書いてありまして,'sasldblistusers' の結果が

user: fuga realm: hoge.cntl.kyutech.ac.jp mech: CRAM-MD5
user: fuga realm: hoge.cntl.kyutech.ac.jp mech: PLAIN
user: fuga realm: hoge.cntl.kyutech.ac.jp mech: DIGEST-MD5
           ^^^^^^

となりましたので,$myhostname としました.
$mydomain に変更しても結果は同じでした.


> > smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_relay_domains,reject

> 最後の reject というのを reject_unauth_destination にしてみても同じで
> しょうか?

同じでした.


> > smtpd_sasl_security_options = noanonymous
> > broken_sasl_auth_clients = yes

> 試しに、この2行を外してみても結果は同じでしょうか?

これも,結果は同じです.


> 自宅と大学では、ネットワークの規模が違うのではずしている可能性大
> ですが、上記3行( relay_domains , smtpd_sasl_local_domain , 
> broken_sasl_auth_clients )は記述していません。

この3つも,付けたり外したりしてみましたが,結果は同じです.


> CRAM-MD5 以外の他の認証方法は試してみましたか? 幾つかのクライアントで
> テストしてみると、どこでこけているのか多少わかりやすくなって良いかと思
> います。

例えば,Sylpheed で CRAM-MD5 以外の認証方法を試したりできるのでしょうか?
他のクライアントはどんなものを使えばいいのでしょうか?
このへんの知識があまりないので,教えて頂けたらと思います.


それでは,失礼致します.


----
上野貴雅
九州工業大学大学院 工学研究科
機械知能工学専攻 制御分野 修士課程 1年
Email: ueno@xxxxxxxxxxxxxxxxxxxxxxxxx