Kommentare zu: dovecot-lda, virtual Users, Active Directory, userdb lookup failed http://www.dovecot-book.com/mailingliste/dovecot-lda-virtual-users-active-directoryuserdb-lookup-failed/ Tue, 31 Dec 2013 16:34:33 +0000 hourly 1 https://wordpress.org/?v=4.5.7 Von: Peer Heinlein http://www.dovecot-book.com/mailingliste/dovecot-lda-virtual-users-active-directoryuserdb-lookup-failed/comment-page-1/#comment-443 Sat, 16 Nov 2013 16:52:37 +0000 http://www.dovecot-buch.de/?p=3799#comment-443 Am 16.11.2013 15:05, schrieb Frank Ebert:

> user_attrs = sAMAccountName=home=/home/vmail/%$/
>
> Ich denke das war nur ein „Vertipper“, richtig?

Ja natürlich, nur ein Vertipper.

Peer


Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin

]]>
Von: Frank Ebert http://www.dovecot-book.com/mailingliste/dovecot-lda-virtual-users-active-directoryuserdb-lookup-failed/comment-page-1/#comment-442 Sat, 16 Nov 2013 13:05:39 +0000 http://www.dovecot-buch.de/?p=3799#comment-442 Hallo,

> Wesentlich besser:
>
> user_attrs = sAMAccountName=home=/home/vmail/%$/Maildir

Bevor ich etwas umkonfiguriere versuche ich (im Kopf) nachzuvollziehen
welche Auswirkungen das hat. Insbesondere wenn ich dann noch

> mail_location=maildir:~/Maildir

definiere, komme ich auf ein Ergebnis, das ich nicht möchte: Die Mails
landen in zB /home/vmail/frank.ebert/Maildir/Maildir. Ich habe es
trotzdem so getestet, das Ergebnis war wie erwartet. Aus diesem Grund
habe ich deinen Vorschlag wie folgt abgeändert:

user_attrs = sAMAccountName=home=/home/vmail/%$/

Ich denke das war nur ein „Vertipper“, richtig?

Gruß Frank

]]>
Von: Peer Heinlein http://www.dovecot-book.com/mailingliste/dovecot-lda-virtual-users-active-directoryuserdb-lookup-failed/comment-page-1/#comment-441 Fri, 15 Nov 2013 06:54:03 +0000 http://www.dovecot-buch.de/?p=3799#comment-441 Am 13.11.2013 21:48, schrieb Frank Ebert:

Hi,

> Der Plan ging auf. Das Feld auf das ich die userdb-Abfrage matchen
> muss, nennt sich „mail“. Im Ergebnis der Abfrage beziehe ich mich dann
> auf „sAMAccountName“. Hier gibt es zwar auch ein Feld uid, dieses ist
> jedoch leer. Im Ergebnis sieht dann die user_attrs so aus:
>
> user_attrs = sAMAccountName=mail=maildir:/home/vmail/%$/Maildir

Wesentlich besser:

user_attrs = sAMAccountName=home=/home/vmail/%$/Maildir

und dann normal in der 10-mail.conf ein

mail_location=maildir:~/Maildir

definieren. Es ist wichtig, daß die User saubere Home-Pfade gesetzt haben.

Peer


Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin

]]>
Von: Frank Ebert http://www.dovecot-book.com/mailingliste/dovecot-lda-virtual-users-active-directoryuserdb-lookup-failed/comment-page-1/#comment-439 Fri, 15 Nov 2013 05:03:16 +0000 http://www.dovecot-buch.de/?p=3799#comment-439 > *) Nimm LMTP statt deliver (sowieso) und route die Mails bis in
> Dovecot rein. Schneide also nicht ab (%n), sondern belasse es bei %u.

So, auch diesen Punkt (dovecot-lmtp) habe ich nun erfolgreich umgesetzt.
Einen Unterschied merke ich bislang noch nicht – bis auf das
positive Gefühl, das es läuft 😉 – ich vermute aber, dass dies auch der
Unterschied ist: Ich merke länger/bei Belastung keinen Unterschied da
es performanter ist.

Ich werde die Tage mal meine Konfiguration mit der im Wiki vergleichen,
weil ich immer noch glaube, dass im Wiki teilweise noch auf nicht
(mehr) existierende Configeinträge verwiesen wird.

Vielen Dank!
Gruß Frank

]]>
Von: Christian Schmidt http://www.dovecot-book.com/mailingliste/dovecot-lda-virtual-users-active-directoryuserdb-lookup-failed/comment-page-1/#comment-444 Thu, 14 Nov 2013 15:53:21 +0000 http://www.dovecot-buch.de/?p=3799#comment-444 13.11.2013 21:48, Frank Ebert:
> Dem habe ich mich noch nicht gewidmet. Die Konfiguration erscheint
> mir mit LMTP etwas komplexer, weshalb ich es erstmal „einfach“
> hinbekommen wollte. Komplexer kann ich danach immer noch werden.
> Zumal mir der Vorteil nicht ganz klar ist. Sehe ich es richtig,
> dass LMTP Unix/INET-Sockets verwendet und dovecot-lda eben SMTP
> ist?

Nee. dovecot-deliver kannst Du im Grunde auf beiden Wegen ansprechen:
entweder via pipe oder via socket. Genau genommen käme als dritter
auch noch das Netz hinzu… Bei den letztgenannten Varianten sprechen
postfix und dovecot LMTP miteinander.

> Ich dachte, dass mein Vorteil von dovecot-lda ist, dass dieser den
> Index gleich mit aktualisiert (macht der Dovecot LMTP vermutlich
> auch).

Genau – diesen Vorteil gibt man also nicht auf.

Mit freundlichen Grüßen
Christian Schmidt


No signature available.

]]>
Von: Frank Ebert http://www.dovecot-book.com/mailingliste/dovecot-lda-virtual-users-active-directoryuserdb-lookup-failed/comment-page-1/#comment-440 Wed, 13 Nov 2013 19:48:22 +0000 http://www.dovecot-buch.de/?p=3799#comment-440 Guten Abend,

> *) Nimm LMTP statt deliver (sowieso) und route die Mails bis in
> Dovecot rein. Schneide also nicht ab (%n), sondern belasse es bei %u.

Dem habe ich mich noch nicht gewidmet. Die Konfiguration erscheint mir
mit LMTP etwas komplexer, weshalb ich es erstmal „einfach“ hinbekommen
wollte. Komplexer kann ich danach immer noch werden. Zumal mir der
Vorteil nicht ganz klar ist. Sehe ich es richtig, dass LMTP
Unix/INET-Sockets verwendet und dovecot-lda eben SMTP ist? Ich dachte,
dass mein Vorteil von dovecot-lda ist, dass dieser den Index gleich mit
aktualisiert (macht der Dovecot LMTP vermutlich auch).

> *) Matche in der userdb-Abfrage im LDAP auf das AD-Feld mit der
> Mailadresse. Lies im Ergebnis die Userkennung aus (uid-Attribut?) und
> berechne daraus den Home-Pfad zur Speicherung der E-Mails.

Der Plan ging auf. Das Feld auf das ich die userdb-Abfrage matchen
muss, nennt sich „mail“. Im Ergebnis der Abfrage beziehe ich mich dann
auf „sAMAccountName“. Hier gibt es zwar auch ein Feld uid, dieses ist
jedoch leer. Im Ergebnis sieht dann die user_attrs so aus:

user_attrs = sAMAccountName=mail=maildir:/home/vmail/%$/Maildir

Wobei genau diese Abfrage auch im Wiki genannt ist.

Herzlichen Dank für den Weg in die richtige Richtung!
Viele Grüße
Frank

]]>
Von: Frank Ebert http://www.dovecot-book.com/mailingliste/dovecot-lda-virtual-users-active-directoryuserdb-lookup-failed/comment-page-1/#comment-445 Tue, 12 Nov 2013 04:15:40 +0000 http://www.dovecot-buch.de/?p=3799#comment-445 Guten Morgen,

> Im Dovecot-Buch, das hoffentlich im Januar erscheint, ist das
> ausführlich beschrieben.

Unabhängig davon, dass dieser Vorgang dort beschrieben ist, habe ich
das Buch auf meine Wunschliste genommen! 🙂 Danke für den Hinweis.

> Kurzfassung:
>
> *) Nimm LMTP statt deliver (sowieso) und route die Mails bis in
> Dovecot rein. Schneide also nicht ab (%n), sondern belasse es bei %u.

Ok? Mit LMTP habe ich bislang noch nichts gemacht. Ich werde mal das
Wiki aufsuchen um zu lesen, was es leistet.

> *) Matche in der userdb-Abfrage im LDAP auf das AD-Feld mit der
> Mailadresse. Lies im Ergebnis die Userkennung aus (uid-Attribut?) und
> berechne daraus den Home-Pfad zur Speicherung der E-Mails.

Ja, da bastle ich gerade rum. Postfix kann es ja bereits und ich
versuche es aus dessen Config abzuleiten.

> *) In der passdb-Abfrage jedoch matcht Du weiterhin auf das
> uid-Attribut und berechnest dort identisch den gleichen Home-Pfad.

So war (in der Tat) der Plan. 🙂 Wofür ich jedoch auch bei der passdb
einen Home-Pfad brauche will mir nicht so ganz in den Kopf. Aber darum
kann ich mich kümmern, wenn der Rest läuft.

Herzlichen Dank
Frank

]]>
Von: Peer Heinlein http://www.dovecot-book.com/mailingliste/dovecot-lda-virtual-users-active-directoryuserdb-lookup-failed/comment-page-1/#comment-438 Mon, 11 Nov 2013 21:42:49 +0000 http://www.dovecot-buch.de/?p=3799#comment-438 Am 11.11.2013 19:48, schrieb Frank Ebert:

> Genau diese sehr ausführliche Beschreibung (vielen Dank!) hatte ich mir
> eigentlich von der Doku von Dovecot selbst gewünscht.

Naja, das steht da schon immer drin. Aber Du darfst halt nicht
Authentifizierungsmaßnahmen announcen, die du gar nicht kannst. Das hat
ehrlich gesagt mit der Doku von Dovecot nichts zu tun.

> Das funktioniert wunderbar. Ich hätte und habe wirklich VIEL getestet.
> Aber niemals hätte ich das versucht. Warum? Weil es so im Wiki steht.

WENN man winbind richtig einrichtet, DANN kann man ja auch NTLM anbieten.

Nochmal: Das hat doch alles mit der Dovecot-Config nichts zu tun.

> Sobald ich alles fertig habe, werde ich das ganze dokumentieren und
> versuche auch mal Kontakt mit Timo aufzunehmen. Vielleicht nimmt er ein
> paar Vorschläge ins Wiki auf, denn in meinen Augen gibt es da
> Verbesserungsbedarf. Wenn ich beitragen kann.. Um so besser 🙂

Kannst Du natürlich gerne machen.

> „Alles fertig“ hängt derzeit an einer einzigen Sache: Wenn der
> Benutzername im AD vom Userteil in user@foo.bar abweicht, kann
> dovecot-lda die Mails nicht zustellen, die dovecot-lda von postfix
> bekommt. Ich denke aber, das dürfte eine deutlich kleinere Hürde sein
> als das Problem mit ntlm.

Im Dovecot-Buch, das hoffentlich im Januar erscheint, ist das
ausführlich beschrieben.

Kurzfassung:

*) Nimm LMTP statt deliver (sowieso) und route die Mails bis in Dovecot
rein. Schneide also nicht ab (%n), sondern belasse es bei %u.

*) Matche in der userdb-Abfrage im LDAP auf das AD-Feld mit der
Mailadresse. Lies im Ergebnis die Userkennung aus (uid-Attribut?) und
berechne daraus den Home-Pfad zur Speicherung der E-Mails.

*) In der passdb-Abfrage jedoch matcht Du weiterhin auf das uid-Attribut
und berechnest dort identisch den gleichen Home-Pfad.

Peer


Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein — Sitz: Berlin

]]>
Von: Pascal Volk http://www.dovecot-book.com/mailingliste/dovecot-lda-virtual-users-active-directoryuserdb-lookup-failed/comment-page-1/#comment-437 Mon, 11 Nov 2013 21:42:32 +0000 http://www.dovecot-buch.de/?p=3799#comment-437 On 11/11/2013 06:48 PM Frank Ebert wrote:
> …
> Sobald ich alles fertig habe, werde ich das ganze dokumentieren und
> versuche auch mal Kontakt mit Timo aufzunehmen. Vielleicht nimmt er ein
> paar Vorschläge ins Wiki auf, denn in meinen Augen gibt es da
> Verbesserungsbedarf. Wenn ich beitragen kann.. Um so besser 🙂

Das ist ein Wiki, da kann und darf sich jeder aktiv beteiligen.
Sollte es beim Lösen des Captachs Probleme geben, nicht verzagen – im
IRC (#dovecot in http://freenode.net/) nachfragen.

Gruß
Pascal

The trapper recommends today: f007ba11.1331600@localdomain.org

]]>
Von: Frank Ebert http://www.dovecot-book.com/mailingliste/dovecot-lda-virtual-users-active-directoryuserdb-lookup-failed/comment-page-1/#comment-436 Mon, 11 Nov 2013 17:48:36 +0000 http://www.dovecot-buch.de/?p=3799#comment-436 Hi,

> 1) Du anonncierst in den auth_mech NTLM, obwohl das hier gar nicht
> wirklich funktioniert.
>
> 2) Dein Outlook versucht NTLM zu machen (selbst wenn man ihm
> ausdrücklich nur PLAIN und LOGIN erlaubt hat) und provoziert aus Sicht
> von Dovecot darum ständig Login-Fehler.
>
> 3) Dovecot bestraft diese Login-Fehler als Schutz gegen Brute Force
> mit Strafsekunden, d.h. er verzögert für die jeweiligen IPs den
> Login. Das kannst Du auch mit „doveadm penalty“ sehen.
>
> 4) Outlook kassiert also nicht nur Login-Zeitstrafen, er hat auch die
> ganz besondere Macke bei einem Wechsel von IMAP-Foldern ständig neue
> IMAP-Verbindungen aufzubauen. Dort generiert er dann wieder
> Login-Fehler, gibt seinen Penaltys Nachschub und wirkt darum auch im
> laufenden Betrieb „zäh“.

Genau diese sehr ausführliche Beschreibung (vielen Dank!) hatte ich mir
eigentlich von der Doku von Dovecot selbst gewünscht.

> Ich habe genau dieses Problem mal für eine südwestdeutsche Uni debuggt
> und habe mir etliche Stunden lang die Zähne dran ausgebissen, weil
> sich da zusätzlich zu diesem Outlook-NTLM-Loginproblem dann noch ein
> anderer Fehler überlagert hatte. Das war damals echt zum Mäusemelken.

Das stelle ich mir SEHR schwer zu debuggen vor. Die Logfiles geben
nicht viel her. Alles was ich dazu gefunden habe war ein paar
Mailinglistenbeiträge bei denen auf Samba verwiesen wurde.

> Ich habe keine Ahnung von Deiner Winbind-Konfiguration. Aber da es mit
> Passwörtern ja geht empfehle ich:
>
> Streiche NTLM aus den auth_mech.

Das funktioniert wunderbar. Ich hätte und habe wirklich VIEL getestet.
Aber niemals hätte ich das versucht. Warum? Weil es so im Wiki steht.
Sobald ich alles fertig habe, werde ich das ganze dokumentieren und
versuche auch mal Kontakt mit Timo aufzunehmen. Vielleicht nimmt er ein
paar Vorschläge ins Wiki auf, denn in meinen Augen gibt es da
Verbesserungsbedarf. Wenn ich beitragen kann.. Um so besser 🙂

„Alles fertig“ hängt derzeit an einer einzigen Sache: Wenn der
Benutzername im AD vom Userteil in user@foo.bar abweicht, kann
dovecot-lda die Mails nicht zustellen, die dovecot-lda von postfix
bekommt. Ich denke aber, das dürfte eine deutlich kleinere Hürde sein
als das Problem mit ntlm.

Vielen Dank nochmal und viele Grüße
Frank

]]>