dovecot-lda, virtual Users, Active Directory, userdb lookup failed
Moin,
Ausgangssituation:
Auf einem Testrechner (FreeBSD 9.2/amd64) läuft Dovecot 2.2.6, Postfix
2.10.2 und Samba 3.6.18 mit virtuellen Benutzern. Die User liegen auf
einem Windows Server 2008 in einem Active Directory. Dovecot prüft
bereits erfolgreich ob die User auf dem Windows Server existieren
(passdb=pam,userdb=static). Ich kann also per IMAP auf den Server
zugreifen.
Postfix hat mit ldap bereits erfolgreich den Benutzernamen (der vom
Userteil in user@domain abweicht) abgefragt und konnte Mails zustellen.
Ich möchte jedoch nicht dass Postfix die Mails zustellt, sondern
Postfix soll die „internen“ Mails (dieser Domain) an Dovecot-lda
übergeben und dieser soll zustellen. Meine Erfahrung ist (und gelesen
habe ich es auch), dass Dovecot den Index viel schneller
erzeugt/aktualisiert und somit alles performanter ist. Um dies
umzusetzen habe ich Postfix entsprechend umkonfiguriert (in der
main.cf). Ebenso habe ich in der master.cf den Service dovecot
angelegt, welcher dovecot-lda mit den Parametern „-f ${sender} -d
${recipient} aufruft. Auch das funktioniert (was ich zumindest aus den
Logfiles schließe). Die Mails werden jedoch mit einer Fehlermeldung
(folgt gleich) nicht zugestellt.
Im Wiki2 von Dovecot habe ich nach längerer Suche gefunden, dass dies
daran liegt, dass ich für dovecot-lda einen eigenen passdb Eintrag
brauche. Diesen habe ich in die gleiche config direkt nach dem
pam-Eintrag mit driver=ldap geschrieben. Egal was ich nun in die
„dovecot-ldap.conf.ext“ schreibe, die Mail wird nicht zugestellt. Im
Logfile finden sich folgende Einträge:
„dovecot auth: Error: static(frank.ebert@foo.bar): passdb doesn’t
support lookups, can’t verify user’s existence“ -> Ist mir klar. Er
versucht zuerst den static-Eintrag, da er ja vorher kommt. Kann ich
wohl ignorieren.
„dovecot auth: Error: ldap(frank.ebert@foo.bar):
ldap_search(base=dc=foo,dc=bar
filter=(&(objectClass=posixAccount)(uid=frank.ebert@foo.bar)))
failed: Operations error
dovecot: lda: Error: user frank.ebert@foo.bar: Auth USER
lookup failed“
An dieser Stelle habe ich 2 Fragen:
1. Woran liegt es, dass die Abfrage nicht erfolgreich ist? Den Inhalt
von dovecot-ldap.conf.ext lasse ich erstmal weg, weil er ja falsch ist.
2. Wenn ich folgendes Aufrufe: „postmap -q frank.ebert@foo.bar
ldap:/usr/local/etc/postfix/ldap-users.cf“ erhalte ich als Antwort:
Windowsbenutzername/Maildir/
Postfix macht genau das was ich will. Der Benutzername wird
zurückgegeben, und weil Dovecot ja diesen Namen als Verzeichnisname
verwendet ist das richtig. Das gleiche Verhalten müsste doch – wenn ich
alles richtig verstanden habe – dovecot brauchen, oder? Mir hilft es
nicht, dass ich mit %n nur den Userteil (also frank.ebert) erhalte,
wenn doch der Benutzername ein ganz anderer ist?
Sollten Angaben fehlen (doveconf -n folgt ganz am Schluss), reiche ich
diese gerne nach.
Gruß Frank
Die Ausgabe von doveconf -n:
auth_mechanisms = plain ntlm login
auth_socket_path = /var/run/dovecot/auth-userdb
auth_use_winbind = yes
auth_winbind_helper_path = /usr/local/bin/ntlm_auth
listen = *
mail_location = maildir:/home/vmail/%u/Maildir
namespace {
location = maildir:/home/vmail/public
prefix = Public/
separator = /
subscriptions = no
type = public
}
namespace inbox {
inbox = yes
location =
mailbox Drafts {
special_use = Drafts
}
mailbox Junk {
special_use = Junk
}
mailbox Sent {
special_use = Sent
}
mailbox „Sent Messages“ {
special_use = Sent
}
mailbox Trash {
special_use = Trash
}
prefix =
separator = /
type = private
}
passdb {
driver = pam
}
passdb {
args = /usr/local/etc/dovecot/dovecot-ldap.conf.ext
driver = ldap
}
protocols = imap lmtp
service auth {
unix_listener auth-userdb {
group = vmail
mode = 0600
user = vmail
}
}
ssl_cert = </etc/ssl/certs/dovecot.pem
ssl_key = </etc/ssl/private/dovecot.pem
userdb {
args = uid=1001 gid=1001 home=/home/vmail/%u
driver = static
}
userdb {
args = /usr/local/etc/dovecot/dovecot-ldap.conf.ext
driver = ldap
}
-
5. November 2013
-
Frank Ebert
-
12 Antworten
Moin,
ich bin einen großen Schritt weiter. Vom Grundsatz her funktioniert
alles. Der Fehler lag insbesondere daran, dass ich eine falsche „base=“
angegeben hatte. Ich musste noch eine ou ergänzen, danach konnte ich
mir die restlichen Dinge herleiten.
Allerdings ist das ganze alles andere als performant. Client ist
Outlook 2010, was in anderen Konfigurationen auch wunderbar läuft.
Outlook braucht zum einen ewig zum Laden des Profiles (obwohl es neu
angelegt ist und im Prinzip keine Mails enthält), ausserdem benötigt es
sehr lange bis es nutzbar ist. Er „hängt“ beim synchronisieren der
„abonierten Ordner“.
Nachdem ich dovecot etwas mehr habe protokollieren lassen, kamen auch
immer beim Öffnen von Outlook diese Meldungen:
dovecot: auth: winbind(?,192.168.1.15,): user not
authenticated: NT_STATUS_UNSUCCESSFUL
dovecot: auth-worker: Error:
dovecot: auth-worker: Error:
dovecot: auth-worker: Error:
Direkt danach kommt wieder ein imap-login und alles funktioniert.
Das selbe passiert, wenn ich mir alle IMAP-Ordner anzeigen lasse
um zB die konfigurierten Public-Folder zu „abonieren“. Kennt jemand den
Grund warum winbind hier streikt und weiß wie ich ihn beheben kann?
Gruß Frank
Am Tue, 5 Nov 2013 18:37:45 +0100
schrieb Frank Ebert :
> Moin,
>
> Ausgangssituation:
>
> Auf einem Testrechner (FreeBSD 9.2/amd64) läuft Dovecot 2.2.6, Postfix
> 2.10.2 und Samba 3.6.18 mit virtuellen Benutzern. Die User liegen auf
> einem Windows Server 2008 in einem Active Directory. Dovecot prüft
> bereits erfolgreich ob die User auf dem Windows Server existieren
> (passdb=pam,userdb=static). Ich kann also per IMAP auf den Server
> zugreifen.
>
> Postfix hat mit ldap bereits erfolgreich den Benutzernamen (der vom
> Userteil in user@domain abweicht) abgefragt und konnte Mails
> zustellen. Ich möchte jedoch nicht dass Postfix die Mails zustellt,
> sondern Postfix soll die „internen“ Mails (dieser Domain) an
> Dovecot-lda übergeben und dieser soll zustellen. Meine Erfahrung ist
> (und gelesen habe ich es auch), dass Dovecot den Index viel schneller
> erzeugt/aktualisiert und somit alles performanter ist. Um dies
> umzusetzen habe ich Postfix entsprechend umkonfiguriert (in der
> main.cf). Ebenso habe ich in der master.cf den Service dovecot
> angelegt, welcher dovecot-lda mit den Parametern „-f ${sender} -d
> ${recipient} aufruft. Auch das funktioniert (was ich zumindest aus den
> Logfiles schließe). Die Mails werden jedoch mit einer Fehlermeldung
> (folgt gleich) nicht zugestellt.
>
> Im Wiki2 von Dovecot habe ich nach längerer Suche gefunden, dass dies
> daran liegt, dass ich für dovecot-lda einen eigenen passdb Eintrag
> brauche. Diesen habe ich in die gleiche config direkt nach dem
> pam-Eintrag mit driver=ldap geschrieben. Egal was ich nun in die
> „dovecot-ldap.conf.ext“ schreibe, die Mail wird nicht zugestellt. Im
> Logfile finden sich folgende Einträge:
>
> „dovecot auth: Error: static(frank.ebert@foo.bar): passdb doesn’t
> support lookups, can’t verify user’s existence“ -> Ist mir klar. Er
> versucht zuerst den static-Eintrag, da er ja vorher kommt. Kann ich
> wohl ignorieren.
>
> „dovecot auth: Error: ldap(frank.ebert@foo.bar):
> ldap_search(base=dc=foo,dc=bar
> filter=(&(objectClass=posixAccount)(uid=frank.ebert@foo.bar)))
> failed: Operations error
> dovecot: lda: Error: user frank.ebert@foo.bar: Auth USER
> lookup failed“
>
> An dieser Stelle habe ich 2 Fragen:
> 1. Woran liegt es, dass die Abfrage nicht erfolgreich ist? Den Inhalt
> von dovecot-ldap.conf.ext lasse ich erstmal weg, weil er ja falsch
> ist. 2. Wenn ich folgendes Aufrufe: „postmap -q frank.ebert@foo.bar
> ldap:/usr/local/etc/postfix/ldap-users.cf“ erhalte ich als Antwort:
>
> Windowsbenutzername/Maildir/
>
> Postfix macht genau das was ich will. Der Benutzername wird
> zurückgegeben, und weil Dovecot ja diesen Namen als Verzeichnisname
> verwendet ist das richtig. Das gleiche Verhalten müsste doch – wenn
> ich alles richtig verstanden habe – dovecot brauchen, oder? Mir hilft
> es nicht, dass ich mit %n nur den Userteil (also frank.ebert) erhalte,
> wenn doch der Benutzername ein ganz anderer ist?
>
> Sollten Angaben fehlen (doveconf -n folgt ganz am Schluss), reiche ich
> diese gerne nach.
>
> Gruß Frank
>
> Die Ausgabe von doveconf -n:
>
> auth_mechanisms = plain ntlm login
> auth_socket_path = /var/run/dovecot/auth-userdb
> auth_use_winbind = yes
> auth_winbind_helper_path = /usr/local/bin/ntlm_auth
> listen = *
> mail_location = maildir:/home/vmail/%u/Maildir
> namespace {
> location = maildir:/home/vmail/public
> prefix = Public/
> separator = /
> subscriptions = no
> type = public
> }
> namespace inbox {
> inbox = yes
> location =
> mailbox Drafts {
> special_use = Drafts
> }
> mailbox Junk {
> special_use = Junk
> }
> mailbox Sent {
> special_use = Sent
> }
> mailbox „Sent Messages“ {
> special_use = Sent
> }
> mailbox Trash {
> special_use = Trash
> }
> prefix =
> separator = /
> type = private
> }
> passdb {
> driver = pam
> }
> passdb {
> args = /usr/local/etc/dovecot/dovecot-ldap.conf.ext
> driver = ldap
> }
> protocols = imap lmtp
> service auth {
> unix_listener auth-userdb {
> group = vmail
> mode = 0600
> user = vmail
> }
> }
> ssl_cert = ssl_key = userdb {
> args = uid=1001 gid=1001 home=/home/vmail/%u
> driver = static
> }
> userdb {
> args = /usr/local/etc/dovecot/dovecot-ldap.conf.ext
> driver = ldap
> }
Am 07.11.2013 19:22, schrieb Frank Ebert:
Hi,
> Allerdings ist das ganze alles andere als performant. Client ist
> Outlook 2010, was in anderen Konfigurationen auch wunderbar läuft.
> Outlook braucht zum einen ewig zum Laden des Profiles (obwohl es neu
> angelegt ist und im Prinzip keine Mails enthält), ausserdem benötigt es
> sehr lange bis es nutzbar ist. Er „hängt“ beim synchronisieren der
> „abonierten Ordner“.
Zu 99,9% ist das hier die Lösung für Dich:
> dovecot: auth: winbind(?,192.168.1.15,): user not
> authenticated: NT_STATUS_UNSUCCESSFUL
> dovecot: auth-worker: Error:
> dovecot: auth-worker: Error:
> dovecot: auth-worker: Error:
1) Du anonncierst in den auth_mech NTLM, obwohl das hier gar nicht
wirklich funktioniert.
2) Dein Outlook versucht NTLM zu machen (selbst wenn man ihm
ausdrücklich nur PLAIN und LOGIN erlaubt hat) und provoziert aus Sicht
von Dovecot darum ständig Login-Fehler.
3) Dovecot bestraft diese Login-Fehler als Schutz gegen Brute Force mit
Strafsekunden, d.h. er verzögert für die jeweiligen IPs den Login. Das
kannst Du auch mit „doveadm penalty“ sehen.
4) Outlook kassiert also nicht nur Login-Zeitstrafen, er hat auch die
ganz besondere Macke bei einem Wechsel von IMAP-Foldern ständig neue
IMAP-Verbindungen aufzubauen. Dort generiert er dann wieder
Login-Fehler, gibt seinen Penaltys Nachschub und wirkt darum auch im
laufenden Betrieb „zäh“.
Ich habe genau dieses Problem mal für eine südwestdeutsche Uni debuggt
und habe mir etliche Stunden lang die Zähne dran ausgebissen, weil sich
da zusätzlich zu diesem Outlook-NTLM-Loginproblem dann noch ein anderer
Fehler überlagert hatte. Das war damals echt zum Mäusemelken.
> Direkt danach kommt wieder ein imap-login und alles funktioniert.
> Das selbe passiert, wenn ich mir alle IMAP-Ordner anzeigen lasse
> um zB die konfigurierten Public-Folder zu „abonieren“. Kennt jemand den
> Grund warum winbind hier streikt und weiß wie ich ihn beheben kann?
Ich habe keine Ahnung von Deiner Winbind-Konfiguration. Aber da es mit
Passwörtern ja geht empfehle ich:
Streiche NTLM aus den auth_mech.
(oder kläre, warum es nicht geht).
Peer
—
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin
http://www.heinlein-support.de
Tel: 030 / 405051-42
Fax: 030 / 405051-19
Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin
Hi,
> 1) Du anonncierst in den auth_mech NTLM, obwohl das hier gar nicht
> wirklich funktioniert.
>
> 2) Dein Outlook versucht NTLM zu machen (selbst wenn man ihm
> ausdrücklich nur PLAIN und LOGIN erlaubt hat) und provoziert aus Sicht
> von Dovecot darum ständig Login-Fehler.
>
> 3) Dovecot bestraft diese Login-Fehler als Schutz gegen Brute Force
> mit Strafsekunden, d.h. er verzögert für die jeweiligen IPs den
> Login. Das kannst Du auch mit „doveadm penalty“ sehen.
>
> 4) Outlook kassiert also nicht nur Login-Zeitstrafen, er hat auch die
> ganz besondere Macke bei einem Wechsel von IMAP-Foldern ständig neue
> IMAP-Verbindungen aufzubauen. Dort generiert er dann wieder
> Login-Fehler, gibt seinen Penaltys Nachschub und wirkt darum auch im
> laufenden Betrieb „zäh“.
Genau diese sehr ausführliche Beschreibung (vielen Dank!) hatte ich mir
eigentlich von der Doku von Dovecot selbst gewünscht.
> Ich habe genau dieses Problem mal für eine südwestdeutsche Uni debuggt
> und habe mir etliche Stunden lang die Zähne dran ausgebissen, weil
> sich da zusätzlich zu diesem Outlook-NTLM-Loginproblem dann noch ein
> anderer Fehler überlagert hatte. Das war damals echt zum Mäusemelken.
Das stelle ich mir SEHR schwer zu debuggen vor. Die Logfiles geben
nicht viel her. Alles was ich dazu gefunden habe war ein paar
Mailinglistenbeiträge bei denen auf Samba verwiesen wurde.
> Ich habe keine Ahnung von Deiner Winbind-Konfiguration. Aber da es mit
> Passwörtern ja geht empfehle ich:
>
> Streiche NTLM aus den auth_mech.
Das funktioniert wunderbar. Ich hätte und habe wirklich VIEL getestet.
Aber niemals hätte ich das versucht. Warum? Weil es so im Wiki steht.
Sobald ich alles fertig habe, werde ich das ganze dokumentieren und
versuche auch mal Kontakt mit Timo aufzunehmen. Vielleicht nimmt er ein
paar Vorschläge ins Wiki auf, denn in meinen Augen gibt es da
Verbesserungsbedarf. Wenn ich beitragen kann.. Um so besser 🙂
„Alles fertig“ hängt derzeit an einer einzigen Sache: Wenn der
Benutzername im AD vom Userteil in user@foo.bar abweicht, kann
dovecot-lda die Mails nicht zustellen, die dovecot-lda von postfix
bekommt. Ich denke aber, das dürfte eine deutlich kleinere Hürde sein
als das Problem mit ntlm.
Vielen Dank nochmal und viele Grüße
Frank
On 11/11/2013 06:48 PM Frank Ebert wrote:
> …
> Sobald ich alles fertig habe, werde ich das ganze dokumentieren und
> versuche auch mal Kontakt mit Timo aufzunehmen. Vielleicht nimmt er ein
> paar Vorschläge ins Wiki auf, denn in meinen Augen gibt es da
> Verbesserungsbedarf. Wenn ich beitragen kann.. Um so besser 🙂
Das ist ein Wiki, da kann und darf sich jeder aktiv beteiligen.
Sollte es beim Lösen des Captachs Probleme geben, nicht verzagen – im
IRC (#dovecot in http://freenode.net/) nachfragen.
Gruß
Pascal
—
The trapper recommends today: f007ba11.1331600@localdomain.org
Am 11.11.2013 19:48, schrieb Frank Ebert:
> Genau diese sehr ausführliche Beschreibung (vielen Dank!) hatte ich mir
> eigentlich von der Doku von Dovecot selbst gewünscht.
Naja, das steht da schon immer drin. Aber Du darfst halt nicht
Authentifizierungsmaßnahmen announcen, die du gar nicht kannst. Das hat
ehrlich gesagt mit der Doku von Dovecot nichts zu tun.
> Das funktioniert wunderbar. Ich hätte und habe wirklich VIEL getestet.
> Aber niemals hätte ich das versucht. Warum? Weil es so im Wiki steht.
WENN man winbind richtig einrichtet, DANN kann man ja auch NTLM anbieten.
Nochmal: Das hat doch alles mit der Dovecot-Config nichts zu tun.
> Sobald ich alles fertig habe, werde ich das ganze dokumentieren und
> versuche auch mal Kontakt mit Timo aufzunehmen. Vielleicht nimmt er ein
> paar Vorschläge ins Wiki auf, denn in meinen Augen gibt es da
> Verbesserungsbedarf. Wenn ich beitragen kann.. Um so besser 🙂
Kannst Du natürlich gerne machen.
> „Alles fertig“ hängt derzeit an einer einzigen Sache: Wenn der
> Benutzername im AD vom Userteil in user@foo.bar abweicht, kann
> dovecot-lda die Mails nicht zustellen, die dovecot-lda von postfix
> bekommt. Ich denke aber, das dürfte eine deutlich kleinere Hürde sein
> als das Problem mit ntlm.
Im Dovecot-Buch, das hoffentlich im Januar erscheint, ist das
ausführlich beschrieben.
Kurzfassung:
*) Nimm LMTP statt deliver (sowieso) und route die Mails bis in Dovecot
rein. Schneide also nicht ab (%n), sondern belasse es bei %u.
*) Matche in der userdb-Abfrage im LDAP auf das AD-Feld mit der
Mailadresse. Lies im Ergebnis die Userkennung aus (uid-Attribut?) und
berechne daraus den Home-Pfad zur Speicherung der E-Mails.
*) In der passdb-Abfrage jedoch matcht Du weiterhin auf das uid-Attribut
und berechnest dort identisch den gleichen Home-Pfad.
Peer
—
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin
http://www.heinlein-support.de
Tel: 030 / 405051-42
Fax: 030 / 405051-19
Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin
Guten Morgen,
> Im Dovecot-Buch, das hoffentlich im Januar erscheint, ist das
> ausführlich beschrieben.
Unabhängig davon, dass dieser Vorgang dort beschrieben ist, habe ich
das Buch auf meine Wunschliste genommen! 🙂 Danke für den Hinweis.
> Kurzfassung:
>
> *) Nimm LMTP statt deliver (sowieso) und route die Mails bis in
> Dovecot rein. Schneide also nicht ab (%n), sondern belasse es bei %u.
Ok? Mit LMTP habe ich bislang noch nichts gemacht. Ich werde mal das
Wiki aufsuchen um zu lesen, was es leistet.
> *) Matche in der userdb-Abfrage im LDAP auf das AD-Feld mit der
> Mailadresse. Lies im Ergebnis die Userkennung aus (uid-Attribut?) und
> berechne daraus den Home-Pfad zur Speicherung der E-Mails.
Ja, da bastle ich gerade rum. Postfix kann es ja bereits und ich
versuche es aus dessen Config abzuleiten.
> *) In der passdb-Abfrage jedoch matcht Du weiterhin auf das
> uid-Attribut und berechnest dort identisch den gleichen Home-Pfad.
So war (in der Tat) der Plan. 🙂 Wofür ich jedoch auch bei der passdb
einen Home-Pfad brauche will mir nicht so ganz in den Kopf. Aber darum
kann ich mich kümmern, wenn der Rest läuft.
Herzlichen Dank
Frank
Guten Abend,
> *) Nimm LMTP statt deliver (sowieso) und route die Mails bis in
> Dovecot rein. Schneide also nicht ab (%n), sondern belasse es bei %u.
Dem habe ich mich noch nicht gewidmet. Die Konfiguration erscheint mir
mit LMTP etwas komplexer, weshalb ich es erstmal „einfach“ hinbekommen
wollte. Komplexer kann ich danach immer noch werden. Zumal mir der
Vorteil nicht ganz klar ist. Sehe ich es richtig, dass LMTP
Unix/INET-Sockets verwendet und dovecot-lda eben SMTP ist? Ich dachte,
dass mein Vorteil von dovecot-lda ist, dass dieser den Index gleich mit
aktualisiert (macht der Dovecot LMTP vermutlich auch).
> *) Matche in der userdb-Abfrage im LDAP auf das AD-Feld mit der
> Mailadresse. Lies im Ergebnis die Userkennung aus (uid-Attribut?) und
> berechne daraus den Home-Pfad zur Speicherung der E-Mails.
Der Plan ging auf. Das Feld auf das ich die userdb-Abfrage matchen
muss, nennt sich „mail“. Im Ergebnis der Abfrage beziehe ich mich dann
auf „sAMAccountName“. Hier gibt es zwar auch ein Feld uid, dieses ist
jedoch leer. Im Ergebnis sieht dann die user_attrs so aus:
user_attrs = sAMAccountName=mail=maildir:/home/vmail/%$/Maildir
Wobei genau diese Abfrage auch im Wiki genannt ist.
Herzlichen Dank für den Weg in die richtige Richtung!
Viele Grüße
Frank
13.11.2013 21:48, Frank Ebert:
> Dem habe ich mich noch nicht gewidmet. Die Konfiguration erscheint
> mir mit LMTP etwas komplexer, weshalb ich es erstmal „einfach“
> hinbekommen wollte. Komplexer kann ich danach immer noch werden.
> Zumal mir der Vorteil nicht ganz klar ist. Sehe ich es richtig,
> dass LMTP Unix/INET-Sockets verwendet und dovecot-lda eben SMTP
> ist?
Nee. dovecot-deliver kannst Du im Grunde auf beiden Wegen ansprechen:
entweder via pipe oder via socket. Genau genommen käme als dritter
auch noch das Netz hinzu… Bei den letztgenannten Varianten sprechen
postfix und dovecot LMTP miteinander.
> Ich dachte, dass mein Vorteil von dovecot-lda ist, dass dieser den
> Index gleich mit aktualisiert (macht der Dovecot LMTP vermutlich
> auch).
Genau – diesen Vorteil gibt man also nicht auf.
Mit freundlichen Grüßen
Christian Schmidt
—
No signature available.
Am 13.11.2013 21:48, schrieb Frank Ebert:
Hi,
> Der Plan ging auf. Das Feld auf das ich die userdb-Abfrage matchen
> muss, nennt sich „mail“. Im Ergebnis der Abfrage beziehe ich mich dann
> auf „sAMAccountName“. Hier gibt es zwar auch ein Feld uid, dieses ist
> jedoch leer. Im Ergebnis sieht dann die user_attrs so aus:
>
> user_attrs = sAMAccountName=mail=maildir:/home/vmail/%$/Maildir
Wesentlich besser:
user_attrs = sAMAccountName=home=/home/vmail/%$/Maildir
und dann normal in der 10-mail.conf ein
mail_location=maildir:~/Maildir
definieren. Es ist wichtig, daß die User saubere Home-Pfade gesetzt haben.
Peer
—
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin
http://www.heinlein-support.de
Tel: 030 / 405051-42
Fax: 030 / 405051-19
Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin
Hallo,
> Wesentlich besser:
>
> user_attrs = sAMAccountName=home=/home/vmail/%$/Maildir
Bevor ich etwas umkonfiguriere versuche ich (im Kopf) nachzuvollziehen
welche Auswirkungen das hat. Insbesondere wenn ich dann noch
> mail_location=maildir:~/Maildir
definiere, komme ich auf ein Ergebnis, das ich nicht möchte: Die Mails
landen in zB /home/vmail/frank.ebert/Maildir/Maildir. Ich habe es
trotzdem so getestet, das Ergebnis war wie erwartet. Aus diesem Grund
habe ich deinen Vorschlag wie folgt abgeändert:
user_attrs = sAMAccountName=home=/home/vmail/%$/
Ich denke das war nur ein „Vertipper“, richtig?
Gruß Frank
Am 16.11.2013 15:05, schrieb Frank Ebert:
> user_attrs = sAMAccountName=home=/home/vmail/%$/
>
> Ich denke das war nur ein „Vertipper“, richtig?
Ja natürlich, nur ein Vertipper.
Peer
—
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin
http://www.heinlein-support.de
Tel: 030 / 405051-42
Fax: 030 / 405051-19
Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin
> *) Nimm LMTP statt deliver (sowieso) und route die Mails bis in
> Dovecot rein. Schneide also nicht ab (%n), sondern belasse es bei %u.
So, auch diesen Punkt (dovecot-lmtp) habe ich nun erfolgreich umgesetzt.
Einen Unterschied merke ich bislang noch nicht – bis auf das
positive Gefühl, das es läuft 😉 – ich vermute aber, dass dies auch der
Unterschied ist: Ich merke länger/bei Belastung keinen Unterschied da
es performanter ist.
Ich werde die Tage mal meine Konfiguration mit der im Wiki vergleichen,
weil ich immer noch glaube, dass im Wiki teilweise noch auf nicht
(mehr) existierende Configeinträge verwiesen wird.
Vielen Dank!
Gruß Frank