authldaprc + AD

Подключение и настройка дополнительных модулей: антивирус, антиспам, аутентификация mySQL и пр.
Писать в этот форум могут только зарегистрированные пользователи.

Модераторы: prefer, alexandrnew, ALex_hha, Roman, Axel

Ответить
Constin
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 21
Зарегистрирован: 14 мар 2008, 15:14

authldaprc + AD

Сообщение Constin » 09 апр 2008, 16:22

Кинте, пожалуйста, кто-нить рабочим конфигом authldaprc для AD

Constin
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 21
Зарегистрирован: 14 мар 2008, 15:14

Сообщение Constin » 09 апр 2008, 17:04

Apr 9 17:00:20 mail authdaemond: ldap_simple_bind_s failed: Can't contact LDAP server
Apr 9 17:00:20 mail postfix/smtpd[3116]: warning: SASL authentication failure: could not verify password
Apr 9 17:00:20 mail postfix/smtpd[3116]: warning: unknown[192.168.0.250]: SASL LOGIN authentication failed: generic failure
Apr 9 17:00:20 mail postfix/smtpd[3116]: lost connection after AUTH from unknown[192.168.0.250]


mail:/etc/courier# cat authldaprc
LDAP_URI ldaps://192.168.0.240
LDAP_PROTOCOL_VERSION 3
LDAP_BASEDN dc=corp
LDAP_BINDDN cn=ldapquery@corp
LDAP_BINDPW *****
LDAP_TIMEOUT 5
LDAP_AUTHBIND 1
LDAP_MAIL mail
LDAP_FILTER (&(proxyAddresses=smtp:%s)(|(objectClass=user)(objectClass=group)(objectClass=contact)))
LDAP_DOMAIN corp

ALex_hha
Moderator
Moderator
Сообщения: 2347
Зарегистрирован: 09 ноя 2006, 13:08
Откуда: Украина. Харьков.

Сообщение ALex_hha » 09 апр 2008, 19:56

Can't contact LDAP server - порт точно открыт? Смотри с помощью tcpdump

Constin
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 21
Зарегистрирован: 14 мар 2008, 15:14

Сообщение Constin » 10 апр 2008, 08:43

порт открыт , так как постфикс замечательно лазит в AD и идентит юзеров по вот такому конфигу.

mail:/# cat /etc/postfix/ldap.conf
search_base = dc=corp
server_host = 192.168.0.9
server_port = 389
ldap_timeout = 60
query_filter = (&(proxyAddresses=smtp:%s)(|(objectClass=user)(objectClass=group)(objectClass=contact)))
result_filter = %s
result_attribute = canonicalName
spesial_result_attribute =
scope = sub
bind = yes
bind_dn = ldapquery@corp
bind_pw = ****
cache = no
dereference = 0
domain = ***********************

Constin
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 21
Зарегистрирован: 14 мар 2008, 15:14

Сообщение Constin » 10 апр 2008, 08:57

вот обращение к courier

mail:/# tcpdump | grep ldaps
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
09:53:10.756421 IP postfix.56907 > mail.corp.ldaps: S 1905335455:1905335455(0) win 5840 <mss 1460,sackOK,timestamp 144885 0,nop,wscale 7>
09:53:10.756591 IP mail.corp.ldaps > postfix.56907: S 902654372:902654372(0) ack 1905335456 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
09:53:10.756611 IP postfix.56907 > mail.corp.ldaps: . ack 1 win 46 <nop,nop,timestamp 144885 0>
09:53:10.757202 IP postfix.56907 > mail.corp.ldaps: P 1:74(73) ack 1 win 46 <nop,nop,timestamp 144885 0>
09:53:10.757709 IP mail.corp.ldaps > postfix.56907: . 1:1449(1448) ack 74 win 65462 <nop,nop,timestamp 48854121 144885>
09:53:10.757743 IP postfix.56907 > mail.corp.ldaps: . ack 1449 win 69 <nop,nop,timestamp 144885 48854121>
09:53:10.757835 IP mail.corp.ldaps > postfix.56907: . 1449:2897(1448) ack 74 win 65462 <nop,nop,timestamp 48854121 144885>
09:53:10.757863 IP postfix.56907 > mail.corp.ldaps: . ack 2897 win 91 <nop,nop,timestamp 144885 48854121>
09:53:10.758083 IP mail.corp.ldaps > postfix.56907: P 2897:3667(770) ack 74 win 65462 <nop,nop,timestamp 48854121 144885>
09:53:10.758109 IP postfix.56907 > mail.corp.ldaps: . ack 3667 win 114 <nop,nop,timestamp 144885 48854121>
09:53:10.758720 IP postfix.56907 > mail.corp.ldaps: P 74:86(12) ack 3667 win 114 <nop,nop,timestamp 144886 48854121>
09:53:10.760129 IP postfix.56907 > mail.corp.ldaps: P 86:225(139) ack 3667 win 114 <nop,nop,timestamp 144886 48854121>
09:53:10.760151 IP postfix.56907 > mail.corp.ldaps: P 225:231(6) ack 3667 win 114 <nop,nop,timestamp 144886 48854121>
09:53:10.760336 IP mail.corp.ldaps > postfix.56907: . ack 225 win 65311 <nop,nop,timestamp 48854121 144886>
09:53:10.761736 IP postfix.56907 > mail.corp.ldaps: P 231:268(37) ack 3667 win 114 <nop,nop,timestamp 144886 48854121>
09:53:10.761956 IP mail.corp.ldaps > postfix.56907: . ack 268 win 65268 <nop,nop,timestamp 48854121 144886>
09:53:10.762831 IP mail.corp.ldaps > postfix.56907: P 3667:3710(43) ack 268 win 65268 <nop,nop,timestamp 48854121 144886>
09:53:10.765045 IP postfix.56907 > mail.corp.ldaps: F 268:268(0) ack 3710 win 114 <nop,nop,timestamp 144887 48854121>
09:53:10.765221 IP mail.corp.ldaps > postfix.56907: . ack 269 win 65268 <nop,nop,timestamp 48854121 144887>
09:53:10.765271 IP mail.corp.ldaps > postfix.56907: F 3710:3710(0) ack 269 win 65268 <nop,nop,timestamp 48854121 144887>
09:53:10.765285 IP postfix.56907 > mail.corp.ldaps: . ack 3711 win 114 <nop,nop,timestamp 144887 48854121>
09:53:12.008597 IP postfix.56908 > mail.corp.ldaps: S 1893301106:1893301106(0) win 5840 <mss 1460,sackOK,timestamp 145198 0,nop,wscale 7>
09:53:12.008834 IP mail.corp.ldaps > postfix.56908: S 3646449850:3646449850(0) ack 1893301107 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
09:53:12.008853 IP postfix.56908 > mail.corp.ldaps: . ack 1 win 46 <nop,nop,timestamp 145198 0>
09:53:12.013961 IP postfix.56908 > mail.corp.ldaps: P 1:74(73) ack 1 win 46 <nop,nop,timestamp 145199 0>
09:53:12.014456 IP mail.corp.ldaps > postfix.56908: . 1:1449(1448) ack 74 win 65462 <nop,nop,timestamp 48854133 145198>
09:53:12.014503 IP postfix.56908 > mail.corp.ldaps: . ack 1449 win 69 <nop,nop,timestamp 145200 48854133>
09:53:12.014580 IP mail.corp.ldaps > postfix.56908: . 1449:2897(1448) ack 74 win 65462 <nop,nop,timestamp 48854133 145198>
09:53:12.014607 IP postfix.56908 > mail.corp.ldaps: . ack 2897 win 91 <nop,nop,timestamp 145200 48854133>
09:53:12.014828 IP mail.corp.ldaps > postfix.56908: P 2897:3667(770) ack 74 win 65462 <nop,nop,timestamp 48854133 145200>
09:53:12.014853 IP postfix.56908 > mail.corp.ldaps: . ack 3667 win 114 <nop,nop,timestamp 145200 48854133>
09:53:12.015805 IP postfix.56908 > mail.corp.ldaps: P 74:86(12) ack 3667 win 114 <nop,nop,timestamp 145200 48854133>
09:53:12.017376 IP postfix.56908 > mail.corp.ldaps: P 86:225(139) ack 3667 win 114 <nop,nop,timestamp 145200 48854133>
09:53:12.017423 IP postfix.56908 > mail.corp.ldaps: P 225:231(6) ack 3667 win 114 <nop,nop,timestamp 145200 48854133>
09:53:12.017582 IP mail.corp.ldaps > postfix.56908: . ack 225 win 65311 <nop,nop,timestamp 48854133 145200>
09:53:12.019249 IP postfix.56908 > mail.corp.ldaps: P 231:268(37) ack 3667 win 114 <nop,nop,timestamp 145201 48854133>
09:53:12.019454 IP mail.corp.ldaps > postfix.56908: . ack 268 win 65268 <nop,nop,timestamp 48854133 145200>
09:53:12.020075 IP mail.corp.ldaps > postfix.56908: P 3667:3710(43) ack 268 win 65268 <nop,nop,timestamp 48854133 145200>
09:53:12.023320 IP postfix.56908 > mail.corp.ldaps: F 268:268(0) ack 3710 win 114 <nop,nop,timestamp 145202 48854133>
09:53:12.023457 IP mail.corp.ldaps > postfix.56908: . ack 269 win 65268 <nop,nop,timestamp 48854133 145202>
09:53:12.023494 IP mail.corp.ldaps > postfix.56908: F 3710:3710(0) ack 269 win 65268 <nop,nop,timestamp 48854133 145202>
09:53:12.023511 IP postfix.56908 > mail.corp.ldaps: . ack 3711 win 114 <nop,nop,timestamp 145202 48854133>
09:53:12.337311 IP postfix.56909 > mail.corp.ldaps: S 1893384928:1893384928(0) win 5840 <mss 1460,sackOK,timestamp 145280 0,nop,wscale 7>
09:53:12.337482 IP mail.corp.ldaps > postfix.56909: S 2613836334:2613836334(0) ack 1893384929 win 16384 <mss 1460,nop,wscale 0,nop,nop,timestamp 0 0,nop,nop,sackOK>
09:53:12.337501 IP postfix.56909 > mail.corp.ldaps: . ack 1 win 46 <nop,nop,timestamp 145280 0>
09:53:12.338229 IP postfix.56909 > mail.corp.ldaps: P 1:74(73) ack 1 win 46 <nop,nop,timestamp 145281 0>
09:53:12.338727 IP mail.corp.ldaps > postfix.56909: . 1:1449(1448) ack 74 win 65462 <nop,nop,timestamp 48854136 145280>
09:53:12.338764 IP postfix.56909 > mail.corp.ldaps: . ack 1449 win 69 <nop,nop,timestamp 145281 48854136>
09:53:12.338853 IP mail.corp.ldaps > postfix.56909: . 1449:2897(1448) ack 74 win 65462 <nop,nop,timestamp 48854136 145280>
09:53:12.338881 IP postfix.56909 > mail.corp.ldaps: . ack 2897 win 91 <nop,nop,timestamp 145281 48854136>
09:53:12.339101 IP mail.corp.ldaps > postfix.56909: P 2897:3667(770) ack 74 win 65462 <nop,nop,timestamp 48854136 145281>
09:53:12.339142 IP postfix.56909 > mail.corp.ldaps: . ack 3667 win 114 <nop,nop,timestamp 145281 48854136>
09:53:12.339812 IP postfix.56909 > mail.corp.ldaps: P 74:86(12) ack 3667 win 114 <nop,nop,timestamp 145281 48854136>
09:53:12.341216 IP postfix.56909 > mail.corp.ldaps: P 86:225(139) ack 3667 win 114 <nop,nop,timestamp 145281 48854136>
09:53:12.341234 IP postfix.56909 > mail.corp.ldaps: P 225:231(6) ack 3667 win 114 <nop,nop,timestamp 145281 48854136>
09:53:12.341353 IP mail.corp.ldaps > postfix.56909: . ack 225 win 65311 <nop,nop,timestamp 48854136 145281>
09:53:12.342946 IP postfix.56909 > mail.corp.ldaps: P 231:268(37) ack 3667 win 114 <nop,nop,timestamp 145282 48854136>
09:53:12.343100 IP mail.corp.ldaps > postfix.56909: . ack 268 win 65268 <nop,nop,timestamp 48854136 145281>
09:53:12.343848 IP mail.corp.ldaps > postfix.56909: P 3667:3710(43) ack 268 win 65268 <nop,nop,timestamp 48854136 145281>
09:53:12.345986 IP postfix.56909 > mail.corp.ldaps: F 268:268(0) ack 3710 win 114 <nop,nop,timestamp 145282 48854136>
09:53:12.346115 IP mail.corp.ldaps > postfix.56909: . ack 269 win 65268 <nop,nop,timestamp 48854136 145282>
09:53:12.346165 IP mail.corp.ldaps > postfix.56909: F 3710:3710(0) ack 269 win 65268 <nop,nop,timestamp 48854136 145282>
09:53:12.346190 IP postfix.56909 > mail.corp.ldaps: . ack 3711 win 114 <nop,nop,timestamp 145283 48854136>

Constin
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 21
Зарегистрирован: 14 мар 2008, 15:14

Сообщение Constin » 10 апр 2008, 09:07

выходит , что DC ему отвечает?
как в courier-authdeamon уровень логов поднять?
тоже не могу найти.

Аватара пользователя
prefer
Site Admin
Site Admin
Сообщения: 2341
Зарегистрирован: 08 июн 2007, 09:41

Сообщение prefer » 10 апр 2008, 09:25

##NAME: DEBUG_LOGIN:0
#
# Dump additional diagnostics to syslog
#
# DEBUG_LOGIN=0 - turn off debugging
# DEBUG_LOGIN=1 - turn on debugging
# DEBUG_LOGIN=2 - turn on debugging + log passwords too
#
# ** YES ** - DEBUG_LOGIN=2 places passwords into syslog.
#
# Note that most information is sent to syslog at level 'debug', so
# you may need to modify your /etc/syslog.conf to be able to see it.

DEBUG_LOGIN=0
I prefer Postfix

Constin
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 21
Зарегистрирован: 14 мар 2008, 15:14

Сообщение Constin » 10 апр 2008, 09:49

не коннектит...

Apr 10 10:45:21 mail courierpop3login: Connection, ip=[::ffff:192.168.0.250]
Apr 10 10:45:21 mail authdaemond: received auth request, service=pop3, authtype=login
Apr 10 10:45:21 mail authdaemond: authldap: trying this module
Apr 10 10:45:21 mail authdaemond: selected ldap protocol version 3
Apr 10 10:45:21 mail authdaemond: binding to LDAP server as DN 'cn=ldapquery@corp', password '*****'
Apr 10 10:45:21 mail authdaemond: ldap_simple_bind_s failed: Can't contact LDAP server
Apr 10 10:45:21 mail authdaemond: authldap: TEMPFAIL - no more modules will be tried
Apr 10 10:45:21 mail courierpop3login: LOGIN FAILED, user=333@constin.ru, ip=[::ffff:192.168.0.250]
Apr 10 10:45:21 mail courierpop3login: authentication error: Input/output error
Apr 10 10:45:21 mail postfix/smtpd[6495]: connect from unknown[192.168.0.250]
Apr 10 10:45:21 mail authdaemond: received auth request, service=smtp, authtype=login
Apr 10 10:45:21 mail authdaemond: authldap: trying this module
Apr 10 10:45:21 mail authdaemond: selected ldap protocol version 3
Apr 10 10:45:21 mail authdaemond: binding to LDAP server as DN 'cn=ldapquery@corp', password '****'
Apr 10 10:45:21 mail authdaemond: ldap_simple_bind_s failed: Can't contact LDAP server
Apr 10 10:45:21 mail authdaemond: authldap: TEMPFAIL - no more modules will be tried
Apr 10 10:45:21 mail postfix/smtpd[6495]: warning: SASL authentication failure: could not verify password
Apr 10 10:45:21 mail postfix/smtpd[6495]: warning: unknown[192.168.0.250]: SASL LOGIN authentication failed: generic failure
Apr 10 10:45:21 mail postfix/smtpd[6495]: lost connection after AUTH from unknown[192.168.0.250]
Apr 10 10:45:21 mail postfix/smtpd[6495]: disconnect from unknown[192.168.0.250]

Constin
Внёс свой вклад...
Внёс свой вклад...
Сообщения: 21
Зарегистрирован: 14 мар 2008, 15:14

Сообщение Constin » 11 апр 2008, 13:07

На этот форуме действительно отвечают все сами себе)

Отвечаю себе:

LDAP_URI ldap://192.168.0.9
#LDAP_PROTOCOL_VERSION 3
LDAP_BASEDN dc=corp
LDAP_BINDDN ldapquery@corp
LDAP_BINDPW *******
LDAP_TIMEOUT 100
LDAP_AUTHBIND 1
LDAP_MAIL mail

LDAP_FILTER (&(&(& (mailnickname=*) (| (&(objectCategory=person)(objectClass=user)(|(homeMDB=*)(msExchHomeServerName=*))) ))))


LDAP_DOMAIN corp
LDAP_GLOB_UID 11
LDAP_GLOB_GID 33
#LDAP_HOMEDIR mail
#LDAP_MAILROOT /var/spool/vmail
LDAP_FULLNAME cn
LDAP_DEREF never
LDAP_TLS 0


Лдап запрос можно сформировать , воспользовавшись этой инструкцией.

Открываем консоль Active Directory Users and Computers

В левом верхнем углу находим папку Saved Queries (сохранённые запросы)

Жмём правой кнопкой мыши по этой папке и в появившемся меню выбираем

New - Query

Задаём имя запроса и жмём кнопку Define Query

Настраиваем привычный фильтр - Выбираем только учётные записи, которые хранятся на Вашем Exchange сервере.

В меню выбираем Exchange Recipients и оставляем галку Users With Exchange Mailbox

Вообщем составляем запрос таким образом, чтобы он вывел все наши учетки с почтой в домене.

Далее копируем получившийся запрос в конфиг курьера

Ответить