Как сделать SMTP авторизацию в AD (Sendmail+Cyrus SASL2+??)

Zorn · Сообщение **Zorn** » 10 окт 2005, 15:51

Corvax,заснифил

после того, как fbsdserver отправляет по ldap ldapserver'у информацию о юзере, от имени когорого делается запрос (из saslauthd), тот ответил

Код: Выделить всё

Lightweight Directory Access Protocol
    LDAP Message, Bind Result
        Message Id: 1
        Message Type: Bind Result (0x01)
        Message Length: 94
        Response To: 19
        Time: 0.017715000 seconds
        Result Code: invalidCredentials (0x31)
        Matched DN: (null)
        Error Message: 80090308: LdapErr: DSID-0C09030F, comment: AcceptSecurityContext error, data 525, vece

а может машина, которая к контр. домена обращается по ldap должна быть в домене?

Сообщение **corvax** » 10 окт 2005, 18:58

Zorn писал(а):Corvax,заснифил

после того, как fbsdserver отправляет по ldap ldapserver'у информацию о юзере, от имени когорого делается запрос (из saslauthd), тот ответил
Код: Выделить всё
Lightweight Directory Access Protocol
    LDAP Message, Bind Result
        Message Id: 1
        Message Type: Bind Result (0x01)
        Message Length: 94
        Response To: 19
        Time: 0.017715000 seconds
        Result Code: invalidCredentials (0x31)
        Matched DN: (null)
        Error Message: 80090308: LdapErr: DSID-0C09030F, comment: AcceptSecurityContext error, data 525, vece

вообще-то меня интересовал текст ldap запроса, а не ответ

Zorn писал(а):а может машина, которая к контр. домена обращается по ldap должна быть в домене?

нет

Zorn · Сообщение **Zorn** » 10 окт 2005, 19:03

вот текст Ldap запроса

Код: Выделить всё

Frame 19 (146 bytes on wire, 146 bytes captured)
Ethernet II, Src: 192.168.1.3 (00:d0:b7:a7:ef:e8), Dst: 192.168.1.7 (00:90:27:6a:ce:3f)
Internet Protocol, Src: 192.168.1.3 (192.168.1.3), Dst: 192.168.1.7 (192.168.1.7)
Transmission Control Protocol, Src Port: 60836 (60836), Dst Port: ldap (389), Seq: 1, Ack: 1, Len: 80
Lightweight Directory Access Protocol
    LDAP Message, Bind Request
        Message Id: 1
        Message Type: Bind Request (0x00)
        Message Length: 73
        Response In: 20
        Version: 3
        DN: "cn=ldapuser,ou=System Maintenance,dc=mydomain,dc=domain,dc=ru"
        Auth Type: Simple (0x00)
        Password: password

Сообщение **corvax** » 10 окт 2005, 19:12

Zorn писал(а):вот текст Ldap запроса

Код: Выделить всё

Frame 19 (146 bytes on wire, 146 bytes captured)
Ethernet II, Src: 192.168.1.3 (00:d0:b7:a7:ef:e8), Dst: 192.168.1.7 (00:90:27:6a:ce:3f)
Internet Protocol, Src: 192.168.1.3 (192.168.1.3), Dst: 192.168.1.7 (192.168.1.7)
Transmission Control Protocol, Src Port: 60836 (60836), Dst Port: ldap (389), Seq: 1, Ack: 1, Len: 80
Lightweight Directory Access Protocol
    LDAP Message, Bind Request
        Message Id: 1
        Message Type: Bind Request (0x00)
        Message Length: 73
        Response In: 20
        Version: 3
        DN: "cn=ldapuser,ou=System Maintenance,dc=mydomain,dc=domain,dc=ru"
        Auth Type: Simple (0x00)
        Password: password

на сколько я вижу, это только bind к серверу, запрос еще не передан

Zorn · Сообщение **Zorn** » 11 окт 2005, 11:36

а дальше всё, последний фрейм

Код: Выделить всё

No.     Time        Source                Destination           Protocol Info
21 0.133394       fbsdserver           ldapserver           TCP      60836 > ldap [ACK] Seq=81 Ack=110 Win=66608 Len=0 TSV=94903808 TSER=80299740

Frame 21 (66 bytes on wire, 66 bytes captured)
Ethernet II, Src: 192.168.1.3 (00:d0:b7:a7:ef:e8), Dst: 192.168.1.7 (00:90:27:6a:ce:3f)
Internet Protocol, Src: 192.168.1.3 (192.168.1.3), Dst: 192.168.1.7 (192.168.1.7)
Transmission Control Protocol, Src Port: 60836 (60836), Dst Port: ldap (389), Seq: 81, Ack: 110, Len: 0

значит на этапе связывания производится аутентификация юзера из saslauthd.conf на ldapserver'e, и она проходит неудачно, так получается?

Сообщение **corvax** » 11 окт 2005, 12:15

Zorn писал(а):а дальше всё, последний фрейм
Код: Выделить всё
No.     Time        Source                Destination           Protocol Info
21 0.133394       fbsdserver           ldapserver           TCP      60836 > ldap [ACK] Seq=81 Ack=110 Win=66608 Len=0 TSV=94903808 TSER=80299740

Frame 21 (66 bytes on wire, 66 bytes captured)
Ethernet II, Src: 192.168.1.3 (00:d0:b7:a7:ef:e8), Dst: 192.168.1.7 (00:90:27:6a:ce:3f)
Internet Protocol, Src: 192.168.1.3 (192.168.1.3), Dst: 192.168.1.7 (192.168.1.7)
Transmission Control Protocol, Src Port: 60836 (60836), Dst Port: ldap (389), Seq: 81, Ack: 110, Len: 0
значит на этапе связывания производится аутентификация юзера из saslauthd.conf на ldapserver'e, и она проходит неудачно, так получается?

вполне возможно
чтобы убедиться, можно самому в saslauthd.conf'е прописать неверный пароль, заснифить запрос на binding и сравнить результаты с приведенными выше

Zorn · Сообщение **Zorn** » 11 окт 2005, 12:33

то же самое получается. А разве данные не должны шифроваться, инфа об учетной записи и пароль?
Может другой тип аутентификации нужен вместо
Auth Type: Simple (0x00)

да нет, данные не должны шифроваться
"Because this LDAP authentication mechanism uses simple authentication, the password is sent in the clear on the network."

Zorn · Сообщение **Zorn** » 11 окт 2005, 12:55

оо!! Я закаментил #ldap_bind_pw:
и получилось вот что

Код: Выделить всё

Lightweight Directory Access Protocol
    LDAP Message, Bind Request
        Message Type: Bind Request (0x00)
        DN: "cn=ldapuser,ou=System Maintenance,dc=mydomain,dc=domain,dc=ru"
        Auth Type: Simple (0x00)
        Password: (null)

а вот ответ

    LDAP Message, Bind Result
        Message Id: 1
        Message Type: Bind Result (0x01)
        Message Length: 7
        Response To: 32
        Time: 0.006569000 seconds
        Result Code: success (0x00)
        Matched DN: (null)
        Error Message: (null)

и дальше запрос

    LDAP Message, Search Request
        Message Type: Search Request (0x03)
        Base DN: dc=mydomain,dc=domain,dc=ru
        Scope: Subtree (0x02)
        Dereference: Never (0x00)
        Size Limit: 1
        Time Limit: 5
        Attributes Only: False
        Filter: (sAMAccountName=user)
        Attribute: dn
ответ
    LDAP Message, Search Result
        Message Type: Search Result (0x05)
        Result Code: operationsError (0x01)
        Matched DN: (null)
        Error Message: 00000000: LdapErr: DSID-0C0905FF, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece

Сообщение **corvax** » 11 окт 2005, 13:07

Zorn писал(а):оо!! Я закаментил #ldap_bind_pw:
и получилось вот что

Код: Выделить всё

Lightweight Directory Access Protocol
    LDAP Message, Bind Request
        Message Type: Bind Request (0x00)
        DN: "cn=ldapuser,ou=System Maintenance,dc=mydomain,dc=domain,dc=ru"
        Auth Type: Simple (0x00)
        Password: (null)

а вот ответ

    LDAP Message, Bind Result
        Message Id: 1
        Message Type: Bind Result (0x01)
        Message Length: 7
        Response To: 32
        Time: 0.006569000 seconds
        Result Code: success (0x00)
        Matched DN: (null)
        Error Message: (null)

и дальше запрос

    LDAP Message, Search Request
        Message Type: Search Request (0x03)
        Base DN: dc=mydomain,dc=domain,dc=ru
        Scope: Subtree (0x02)
        Dereference: Never (0x00)
        Size Limit: 1
        Time Limit: 5
        Attributes Only: False
        Filter: (sAMAccountName=user)
        Attribute: dn
ответ
    LDAP Message, Search Result
        Message Type: Search Result (0x05)
        Result Code: operationsError (0x01)
        Matched DN: (null)
        Error Message: 00000000: LdapErr: DSID-0C0905FF, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece

предлагаю попробовать уточнить basedn, добавив туда ou, в котором находится проверяемый пользователь

Zorn · Сообщение **Zorn** » 11 окт 2005, 13:18

то же самое

Сообщение **corvax** » 11 окт 2005, 13:30

Zorn писал(а):оо!! Я закаментил #ldap_bind_pw:
и получилось вот что

Код: Выделить всё

Lightweight Directory Access Protocol
    LDAP Message, Bind Request
        Message Type: Bind Request (0x00)
        DN: "cn=ldapuser,ou=System Maintenance,dc=mydomain,dc=domain,dc=ru"
        Auth Type: Simple (0x00)
        Password: (null)

а вот ответ

    LDAP Message, Bind Result
        Message Id: 1
        Message Type: Bind Result (0x01)
        Message Length: 7
        Response To: 32
        Time: 0.006569000 seconds
        Result Code: success (0x00)
        Matched DN: (null)
        Error Message: (null)

так у пользователя ldapuser пароль есть или он пустой?

Zorn · Сообщение **Zorn** » 11 окт 2005, 13:37

Тут ldapuser без пароля, то есть параметр ldap_bind_pw я вообще убрал из saslauthd.conf, хотел посмотреть, будет ldapserver ругаться, что пароль не передан или что-нить типа того.

Сообщение **corvax** » 11 окт 2005, 13:57

Zorn писал(а):Тут ldapuser без пароля, то есть параметр ldap_bind_pw я вообще убрал из saslauthd.conf, хотел посмотреть, будет ldapserver ругаться, что пароль не передан или что-нить типа того.

советовать уже нечего
надо самому смотреть

разве что обновить openldap клиента и cyrus-sasl и попробовать опять

Zorn · Сообщение **Zorn** » 11 окт 2005, 14:04

эх... понял, ну что же, начнём сначала, благо план действий уже вроде есть!
Кстате, может ещё где-то что-то нужно прописать, в ldap.conf например?

Сообщение **corvax** » 11 окт 2005, 16:16

Zorn писал(а):эх... понял, ну что же, начнём сначала, благо план действий уже вроде есть!
Кстате, может ещё где-то что-то нужно прописать, в ldap.conf например?

я не знаю, на сколько это может влиять, но у меня ldap.conf отдельно настроен на работу с AD (у меня еще и через pam_ldap можно аутентифицироваться в AD)

Как сделать SMTP авторизацию в AD (Sendmail+Cyrus SASL2+??)

Кто сейчас на конференции