[Gutl-l] Re: postfix+kerberos

Thu, 24 Sep 2020 01:38:29 -0700

En 23 de septiembre de 2020 11:14:42 a. m. Micky <maikel.man...@ipi.cm.rimed.cu> escribió: 


Salu2 admines de esta red, escribo por que ya la cabeza se me va a
partir en 2 pedasos o en 3.

Tengo montado en un CT en samba AD DC que funciona muy bien sin
problemas, y tengo un squid tambien autenticando vs kerberos que tambien
funciona bien. el problema es postfix, le intale sasl y el sasl
autentica bien no me da problemas por ejemplo:

testsaslauthd -u maria -p Prueba2020* -r IPI.CM.RIMED.CU

0: OK "Success."

Bueno debo aclarar que mi postfix esta en un CT y el samba esta en otro
CT, pero bueno como se muestra alli el sasl esta pinchando ahora cuando
ago un telnet es donde esta mi el problema a la hora de autenticarme
ejemplo:

root@correo:~# telnet localhost 25
Trying ::1...
Connected to localhost.
Escape character is '^]'.
220 correo.ipi.cm.rimed.cu ESMTP Postfix (Debian/GNU)
ehlo localhost
250-correo.ipi.cm.rimed.cu
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-STARTTLS
250-AUTH GSSAPI
250-AUTH=GSSAPI
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-DSN
250-SMTPUTF8
250 CHUNKING
auth gssapi SVBJLkNNLlJJTUVELkNVAG1hcmlhAFBydWViYTIwMjAq
454 4.7.0 Temporary authentication failure: generic failure

postfix/smtpd[328]: warning: SASL authentication failure: GSSAPI Error:
Unspecified GSS failure.  Minor code may provide more information (Key
table file '/etc/krb5.keytab' not found)


No tiene configurado un keytab declarado en el krb5.conf cliente kerberos.


Nada senores un salu2 y gracias de antemano
Utilicé 587 para smtp de los clientes contra postfix. Usar solo 25 smtp para sesiones con otros relay. 

_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu
Amigo eso no lo puede probar así, estás tratando de autenticarte en postfix usando kerberos también, y eso lleva una serie de configuraciones que no la expones, como has hecho el proceso. Recomendación es use Autenticación normal, use el modulo ldap para sasl, emplea TLS obligatorio para la Autenticación y así no transmita contraseñas en texto plano, usando PLAIN, eso que quiera de emplear Kerberos en postfix no se lo recomiendo, para que no tenga problemas después con clientes fuera del dominio, y que luego no puedan autenticar para enviar correo. 

Salu2.



_______________________________________________
Gutl-l mailing list -- gutl-l@listas.jovenclub.cu
To unsubscribe send an email to gutl-l-le...@listas.jovenclub.cu

Responder a