Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Cyrus Imap login Problem

166 views
Skip to first unread message

Frank Kirschner

unread,
Dec 30, 2008, 9:29:21 AM12/30/08
to
Hallo,

nachdem ich über Weihnachten noch den Zorn meiner Familie auf mich zog,
weil ich in jeder freien Minute nach dem Problem suchte, wende ich mich
nun an Euch, da ich nicht mehr weiter weiss.

Bei einem funktionierendem System aus Postfix, Courier und Mysql soll
Courier durch Cyrus-Imap ersetzt werden. Für Testzwecke wurde die VE
geklont und läuft nun auf einem eigenen V-Server. Nach dem Entfernen von
Courier und der Installation von Cyrus-Imap habe ich als erstes den LMTP
Socket in Postfix und Cyrus hergestellt. Dann /etc/imapd.conf wie folgt
gestaltet:

configdirectory: /var/lib/imap
partition-default: /var/spool/imap
allowplaintext: yes
timeout: 30
poptimeout: 10
admins: cyrus root
autocreatequota: 0
duplicatesuppression: yes
reject8bit: no
sievedir: /var/lib/imap/sieve
sendmail: /usr/sbin/sendmail
postmaster: postmaster
sasl_pwcheck_method: auxprop
sasl_auxprop_plugin: sql
sasl_sql_engine: mysql
sasl_sql_hostnames: localhost
sasl_sql_user: mail_admin
sasl_sql_passwd: 123456
sasl_sql_database: mail
sasl_sql_verbose: yes
sasl_sql_select: SELECT password FROM users WHERE email = '%u@%r'
sasl_sql_usessl: 0
sasl_mech_list: plain login
tls_cert_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem
tls_key_file: /etc/pki/cyrus-imapd/cyrus-imapd.pem
tls_ca_file: /etc/pki/tls/certs/ca-bundle.crt

Alle Dienste neu gestartet. Ein Login mittels Thunderbird per IMAP
schlägt fehl und erzeugt folgenden Logeintrag:

Dec 30 14:53:10 191 imap[18408]: badlogin: [192.168.130.1] plaintext
fr...@dom.de SASL(-13): authentication failure: cross-realm login
fr...@dom.de denied

Der Mysql Log sagt:

52 Connect mail_admin@localhost on mail
52 Query START TRANSACTION
52 Query SELECT password FROM users WHERE email = 'fr...@dom.de'
52 Query SELECT password FROM users WHERE email = 'fr...@dom.de'
52 Query COMMIT
52 Quit

Wenn ich über das MySQL CLI diese Abfrage manuell ausführe, liefert
diese mir das gewünschte Passwort in Klartext, so wie es auch in der
MySQL DB steht. Was mich nur wundert ist, warum erfolgt die Abfrage zwei
Mal? Könnte es damit zusammenhängen?
Wie kann ich weiter den Fehler suchen?

vlg
Frank

Frank Kirschner

unread,
Dec 30, 2008, 11:44:30 AM12/30/08
to
Frank Kirschner schrieb:

Der Test
# testsaslauthd -u fr...@dom.de -p user -f /var/run/saslauthd/mux -s imap
0: NO "authentication failed"

erzeugt den Logeintrag:
Dec 30 17:23:04 191 saslauthd[24488]: do_auth : auth failure:
[user=fr...@dom.de] [service=imap] [realm=] [mech=pam] [reason=PAM auth
error]

für die Authentifikation nutze ich pam_mysql, die Konfiguration
/etc/pam.d/imap sieht so aus:

auth required pam_mysql.so user=mail_admin passwd=123456
host=127.0.0.1 db=mail table=users usercolumn=email
passwdcolumn=password crypt=0
account sufficient pam_mysql.so user=mail_admin passwd=123456
host=127.0.0.1 db=mail table=users usercolumn=email
passwdcolumn=password crypt=0

Das Gleiche gilt für /etc/pam.d/smtp /etc/pam.d/pop /etc/pam.d/lmtp
/etc/pam.d/sieve

Bekommt man PAM noch gesprächiger? Ich dachte aber, dass ich von
cyrus-imap aus PAM gar nicht benötige...

vlg
Frank

Friedemann Stoyan

unread,
Dec 31, 2008, 3:16:29 AM12/31/08
to
Frank Kirschner wrote:

> Alle Dienste neu gestartet. Ein Login mittels Thunderbird per IMAP
> schlägt fehl und erzeugt folgenden Logeintrag:

> Dec 30 14:53:10 191 imap[18408]: badlogin: [192.168.130.1] plaintext
> fr...@dom.de SASL(-13): authentication failure: cross-realm login
> fr...@dom.de denied

Eventuell:

# List of remote realms whose users may log in using cross-realm
# authentications. Seperate each realm name by a space. A cross-realm
# identity is considered any identity returned by SASL with an "@" in it.
# NOTE: To support multiple virtual domains on the same interface/IP,
# you need to list them all as loginreals. If you don't list them here,
# (most of) your users probably won't be able to log in.
loginrealms: dom.de


mfg Friedemann

Frank Kirschner

unread,
Jan 4, 2009, 10:23:36 AM1/4/09
to
Frank Kirschner schrieb:

So, das Ganze hat sich erledigt, dank des Chemnitzer Linuxtages und des
Vortrages von Peer Heinlein zum Vergleich von Cyrus, Dovecot und
Couriere. Statt Cyrus läuft nun Dovecot und Postfix authentifiziert SMTP
Anfragen nicht mehr über cyrus-sasl sondern über dovecot, welches dann
die Authentifizierung gegen MySQL durchführt. Somit wieder ein Deamon
weniger.

vlg
Frank

0 new messages