The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Схема хранения паролей в Dovecot и Postfix"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Почта / Linux)
Изначальное сообщение [ Отслеживать ]

"Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от billybons2006 email(ok) on 26-Апр-12, 14:39 
Есть проблема в усатновкой RoundCube - не проходит тестовая аутентификация IMAP. Опишу ситуацию чуть подробнее. Если будет необходимо, опишу еще подробнее, вопрос в том, что может быть нужно...

Итак, есть Dovecot + Postfix + MySQL.

Dovecot-mysql.conf:
default_pass_scheme = MD5-CRYPT

Dovecot.conf:
auth_mechanisms = PLAIN LOGIN CRAM-MD5

Post­fix­ad­min — config.inc.php:
CONF['encrypt'] = 'md5crypt';

Все работает, почта ходит, smtp и imap авторизуются...

Решил поставить RoundCube. На этапе наладки получаю:
IMAP connect:  NOT OK(Login failed for test@virtual.local from 192.168.1.1(X-Forwarded-For: 192.168.100.201). AUTHENTICATE CRAM-MD5: A0001 NO [AUTHENTICATIONFAILED] Authentication failed.)

По идее, в конфиге RoundCube надо просто подправить:
$rcmail_config['imap_auth_type'] = null;
на...

подправить на что? Я уже что только не пробовал... Во-первых, скажу сразу, текст ошибки не менялся при этом (... AUTHENTICATE CRAM-MD5 ... ), как будто я и менял ничего в конфиге. Во-вторых, как вообще считается нормальным хранить пароли? Может, вообще открытым текстом, как раз для нормального взаимодействия между разными программами.

Помогите советом!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от vlb267 (ok) on 26-Апр-12, 16:09 
Если  Dovecot.conf:
auth_mechanisms = PLAIN LOGIN CRAM-MD5

то

Dovecot-mysql.conf:
default_pass_scheme = СLEARTEXT

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от Дядя_Федор on 26-Апр-12, 17:28 
У меня в базу вгоняются данных через Постфиксадмина (пароли, то есть). Там они кодируются от так - config.inc.php:
$CONF['encrypt'] = 'dovecot:CRAM-MD5'
В давкоте - dovecot.sql:
default_pass_scheme = CRAM-MD5
И усе работает. Раундкуб воббще не трогал - в нем null стоит.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от billybons2006 email(ok) on 26-Апр-12, 17:40 
Забал сказать, в postfixadmin у меня вообще:
$CONF['encrypt'] = 'md5crypt';

Сейчас попробую поставить "dovecot:CRAM-MD5".

Добавлено: мда, тут завязок куча на разные алгоритмы, начиная с установок PostfixAdmin... Надо будет аккуратненько завтра помучать... Пока вернул в прежнее состояние.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от gfh1gfh1 (ok) on 27-Апр-12, 00:43 
По любому придётся пароли в открытом виде хранить, ибо outlook очень херово работает с cram-md5, жрёт скотина только digest-md5
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от Дядя_Федор email on 27-Апр-12, 08:48 
> По любому придётся пароли в открытом виде хранить, ибо outlook очень херово
> работает с cram-md5, жрёт скотина только digest-md5

Да ладно. У меня и Аутлуковские клиенты работают вполне успешно. С методом хранения в базе это никак не связано. Просто у них надо выставить, чтобы они авторизовались на сервере плэйнтекстом. Ну и разумеется, разрешить и этот способ авторизации давкотом. А md5 действительно другой у Аутлука. :)


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от billybons2006 email(ok) on 27-Апр-12, 11:44 
В итоге сделал везде открытый текст. Работает.

Я правильно понимаю, что безопасность авторизации в данном случае не страдает, если я использую SSL/TLS в настройках почтового клиента?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от gfh1gfh1 (ok) on 27-Апр-12, 11:55 
> В итоге сделал везде открытый текст. Работает.
> Я правильно понимаю, что безопасность авторизации в данном случае не страдает, если
> я использую SSL/TLS в настройках почтового клиента?

Открытый текст в базе или авторизации?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от billybons2006 email(ok) on 27-Апр-12, 14:57 
> Открытый текст в базе или авторизации?

Ответил чуть ниже, ошибся веткой.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

7. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от gfh1gfh1 (ok) on 27-Апр-12, 11:54 
>  Да ладно. У меня и Аутлуковские клиенты работают вполне успешно. С
> методом хранения в базе это никак не связано. Просто у них
> надо выставить, чтобы они авторизовались на сервере плэйнтекстом. Ну и разумеется,
> разрешить и этот способ авторизации давкотом. А md5 действительно другой у
> Аутлука. :)

Так в том и проблема что не хочется авторизации через plaintext. А чтобы одновременно в postfix и dovecot работали и CRAM-MD5 и DIGEST-MD5 и прочие схемы - надо хранить пароли в открытом виде.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от billybons2006 email(ok) on 27-Апр-12, 14:55 
> Так в том и проблема что не хочется авторизации через plaintext. А
> чтобы одновременно в postfix и dovecot работали и CRAM-MD5 и DIGEST-MD5
> и прочие схемы - надо хранить пароли в открытом виде.

Я правильно понимаю, что SSL и TLS включенные на клиенте (например, в Outlook), есть гарант того, что авторизация и все такое будет проходить безопасно? Т.е. т.к. и Postfix, и Dovecot и все остальное у меня находится на одной машине, то имеет смысл защищать только внешние подключения, а между компонентами почтового сервера пусть себе как хотят, хоть открытым текстом, хоть шифрованным?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от gfh1gfh1 (ok) on 27-Апр-12, 15:07 
> Я правильно понимаю, что SSL и TLS включенные на клиенте (например, в
> Outlook), есть гарант того, что авторизация и все такое будет проходить
> безопасно? Т.е. т.к. и Postfix, и Dovecot и все остальное у
> меня находится на одной машине, то имеет смысл защищать только внешние
> подключения, а между компонентами почтового сервера пусть себе как хотят, хоть
> открытым текстом, хоть шифрованным?

В принципе да, при SSL/TLS шифрованные пароли просто добавляют ещё секретности в сеанс сервер-клиент.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от billybons2006 email(ok) on 27-Апр-12, 16:41 
> В принципе да, при SSL/TLS шифрованные пароли просто добавляют ещё секретности в
> сеанс сервер-клиент.

Ок, спасибо за ответ!

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от Andrey Mitrofanov on 27-Апр-12, 17:01 
>> Я правильно понимаю, что SSL и TLS включенные на клиенте (например, в
>> Outlook), есть гарант того, что авторизация и все такое будет проходить
>> безопасно?
> В принципе да, при SSL/TLS шифрованные пароли просто добавляют ещё секретности в
> сеанс сервер-клиент.

От взлома клиента или [базы] сервера - нет.

"Да", если оутлюк _честно (всем уже "улыбнуло"?..) проверяет сертификаты сервера и отказывается что-либо слать "чужаку".

"Да", если (и _пока) в указанном софте (и клиенте, и сервере) не обнаружится какая-нибудь "неприятная особенность", связанная с ....чем-то там в  SSL/TLS.

А так, "да!", нанотехнологии и облака.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Схема хранения паролей в Dovecot и Postfix"  –1 +/
Сообщение от billybons2006 email(ok) on 27-Апр-12, 17:59 
Ок, тогда вопрос: можете привести для Postfix, PostfixAdmin, Dovecot (dovecot.conf и dovecot-mysql.conf) настройки шифрования? Которые будут работать друг с другом, естественно? Я только ЗА такие вещи, поэтому и спрашиваю.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от Илья email(??) on 17-Апр-14, 14:00 
> Ок, тогда вопрос: можете привести для Postfix, PostfixAdmin, Dovecot (dovecot.conf и dovecot-mysql.conf)
> настройки шифрования? Которые будут работать друг с другом, естественно? Я только
> ЗА такие вещи, поэтому и спрашиваю.

Так получилось найти настройки? Хочу поддерживать несколько вариантов авторизации, и не очень хочется хранить пароли в открытом виде...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от billybons2006 email(ok) on 21-Апр-14, 17:38 
> Так получилось найти настройки? Хочу поддерживать несколько вариантов авторизации, и не
> очень хочется хранить пароли в открытом виде...

Прошу прощения, не увидел раньше.

Есессно, получилось )) http://bozza.ru/art-170.html в самом низу, зеленая вставка:

1. PostfixAdmin:
$CONF['encrypt'] = 'dovecot:CRAM-MD5'

Dovecot:
2.
/etc/dovecot/dovecot.conf
auth_mechanisms = PLAIN

3.
/etc/dovecot/dovecot-mysql.conf
default_pass_scheme = CRAM-MD5

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от Michail (??) on 18-Сен-17, 08:13 
>[оверквотинг удален]
> Есессно, получилось )) http://bozza.ru/art-170.html в самом низу, зеленая вставка:
> 1. PostfixAdmin:
> $CONF['encrypt'] = 'dovecot:CRAM-MD5'
> Dovecot:
> 2.
> /etc/dovecot/dovecot.conf
> auth_mechanisms = PLAIN
> 3.
> /etc/dovecot/dovecot-mysql.conf
> default_pass_scheme = CRAM-MD5

При версии dovecot 2.2.22 postfixadmin 3.1 выдает ошибку  
#doveadm pw
Fatal: Couldn't load required plugin /usr/lib/dovecot/modules/lib90_sieve_plugin.so: Can't load plugin sieve_plugin: Plugin is intended to                       be used only by binaries: lda lmtp (we're doveadm)
Чё делать кто знает?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от billybons2006 (ok) on 19-Сен-17, 00:26 
Я совсем не дока в этом, к сожалению. Но, может, вот эти ссылки (староваты, правда):
https://wiki.yola.ru/dovecot:dovecot
https://sourceforge.net/p/postfixadmin/bugs/248/
вам помогут?


Или права на файлы где-то нарушены? SELinux ничем не мешает (если он включен, конечно, и если система вообще с ним работает)?


Вряд ли это касается версии postfixadmin 3.1 (там какая-то замутка с опцией doveadm pw -t, functions.inc.php, функция pacrypt, где-то ее кто-то чинить собирался, ссылку не нашел, да и не факт, что это вам).

Ну, на всякий случай, Dovecot 2.2.10 и postfixadmin 3.1 (БЕЗ sieve) работает:

в postfixadmin config:
$CONF['encrypt'] = 'dovecot:CRAM-MD5';
$CONF['dovecotpw'] = "/usr/bin/doveadm pw";

в /etc/dovecot/dovecot.conf:
auth_mechanisms = PLAIN

в /etc/dovecot/dovecot-mysql.conf:
default_pass_scheme = CRAM-MD5

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от Михаил (??) on 19-Сен-17, 06:01 
Обновил довекот до последней версии
Ошибка пропала при таких настройках
>, Dovecot 2.2.32 и postfixadmin 3.1 работает:
> в postfixadmin config:
> $CONF['encrypt'] = 'dovecot:CRAM-MD5';
> $CONF['dovecotpw'] = "doveadm pw -s CRAM-MD5";
> в /etc/dovecot/dovecot.conf:
> auth_mechanisms = PLAIN
> в /etc/dovecot/dovecot-mysql.conf:
> default_pass_scheme = CRAM-MD5
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от Michail (??) on 19-Сен-17, 06:35 
> Обновил довекот до последней версии
> Ошибка пропала при таких настройках
>>, Dovecot 2.2.32 и postfixadmin 3.1 работает:
>> в postfixadmin config:
>> $CONF['encrypt'] = 'dovecot:CRAM-MD5';
>> $CONF['dovecotpw'] = "doveadm pw -s CRAM-MD5";
>> в /etc/dovecot/dovecot.conf:
>> auth_mechanisms = PLAIN
>> в /etc/dovecot/dovecot-mysql.conf:
>> default_pass_scheme = CRAM-MD5

Хотя в чем- то ошибка у меня, doveadm pw -s CRAM-MD5 это кодирует мой пароль в CRAM-MD5,
а функция doveadm pw -t  {CRAM-MD5}3751ca1e449595d37e64fe320cc234ee430679638d858d180e6281e1cb90c934
Enter password to verify:
{CRAM-MD5}3751ca1e449595d37e64fe320cc234ee430679638d858d180e6281e1cb90c934 (verified)

А авторизация не проходит, чё то я совсем запутался.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от Michail (??) on 19-Сен-17, 07:47 
>> Обновил довекот до последней версии
>> Ошибка пропала при таких настройках
>>>, Dovecot 2.2.32 и postfixadmin 3.1 работает:
>>> в postfixadmin config:
>>> $CONF['encrypt'] = 'dovecot:CRAM-MD5';
>>> $CONF['dovecotpw'] = "doveadm pw -s CRAM-MD5";
>>> в /etc/dovecot/dovecot.conf:
>>> auth_mechanisms = PLAIN
>>> в /etc/dovecot/dovecot-mysql.conf:
>>> default_pass_scheme = CRAM-MD5

функция верна doveadm pw -s CRAM-MD5, свой токен получает довекот из базы, это sieve к краху приводит imap, при подключении к папкам, а не серверу.


Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Схема хранения паролей в Dovecot и Postfix"  +/
Сообщение от billybons2006 (ok) on 19-Сен-17, 10:02 
> функция верна doveadm pw -s CRAM-MD5, свой токен получает довекот из базы,
> это sieve к краху приводит imap, при подключении к папкам, а
> не серверу.

https://wiki.dovecot.org/Pigeonhole/Sieve/Troubleshooting

Секция "The Sieve plugin is not enabled"

Вывод "if doveconf -f service=lda mail_plugins" должен включать sieve.

Сообщение, что "Plugin is intended to be used only by binaries: lda lmtp" по идее говорит, что lda и/или lmtp должны быть включены. В конфиге dovecot что-то вроде "protocols = imap pop3 lda".

-------
https://wiki2.dovecot.org/Pigeonhole/Sieve/Configuration :

Note that the Dovecot v2.0 LDA does not create mailfolders automatically by default anymore. If your configuration relies on this, you need to enable the lda_mailbox_autocreate setting for LDA or start using the Sieve mailbox extension's :create tag for fileinto commands.

Dovecot v2.0 adds support for LMTP. Much like the Dovecot LDA, it can make use of the Pigeonhole Sieve plugin. Since the LMTP service has its own prototocol lmtp section in the config file, you need to add the Sieve plugin to the mail_plugins setting there too when you decide to use LMTP.

?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру