[Dovecot-de] dovecot-lda, virtual Users, Active Directory, userdb lookup failed

Peer Heinlein p.heinlein at heinlein-support.de
So Nov 10 22:15:00 CET 2013 

Am 07.11.2013 19:22, schrieb Frank Ebert:


Hi,

> Allerdings ist das ganze alles andere als performant. Client ist
> Outlook 2010, was in anderen Konfigurationen auch wunderbar läuft.
> Outlook braucht zum einen ewig zum Laden des Profiles (obwohl es neu
> angelegt ist und im Prinzip keine Mails enthält), ausserdem benötigt es
> sehr lange bis es nutzbar ist. Er "hängt" beim synchronisieren der
> "abonierten Ordner".

Zu 99,9% ist das hier die Lösung für Dich:

> dovecot: auth: winbind(?,192.168.1.15,<vwZYRJrqsADAqAEP>): user not
> authenticated: NT_STATUS_UNSUCCESSFUL
> dovecot: auth-worker: Error:
> dovecot: auth-worker: Error:
> dovecot: auth-worker: Error:

1) Du anonncierst in den auth_mech NTLM, obwohl das hier gar nicht
wirklich funktioniert.

2) Dein Outlook versucht NTLM zu machen (selbst wenn man ihm
ausdrücklich nur PLAIN und LOGIN erlaubt hat) und provoziert aus Sicht
von Dovecot darum ständig Login-Fehler.

3) Dovecot bestraft diese Login-Fehler als Schutz gegen Brute Force mit
Strafsekunden, d.h. er verzögert für die jeweiligen IPs den Login. Das
kannst Du auch mit "doveadm penalty" sehen.

4) Outlook kassiert also nicht nur Login-Zeitstrafen, er hat auch die
ganz besondere Macke bei einem Wechsel von IMAP-Foldern ständig neue
IMAP-Verbindungen aufzubauen. Dort generiert er dann wieder
Login-Fehler, gibt seinen Penaltys Nachschub und wirkt darum auch im
laufenden Betrieb "zäh".

Ich habe genau dieses Problem mal für eine südwestdeutsche Uni debuggt
und habe mir etliche Stunden lang die Zähne dran ausgebissen, weil sich
da zusätzlich zu diesem Outlook-NTLM-Loginproblem dann noch ein anderer
Fehler überlagert hatte. Das war damals echt zum Mäusemelken.

> Direkt danach kommt wieder ein imap-login und alles funktioniert.
> Das selbe passiert, wenn ich mir alle IMAP-Ordner anzeigen lasse
> um zB die konfigurierten Public-Folder zu "abonieren". Kennt jemand den
> Grund warum winbind hier streikt und weiß wie ich ihn beheben kann?

Ich habe keine Ahnung von Deiner Winbind-Konfiguration. Aber da es mit
Passwörtern ja geht empfehle ich:

Streiche NTLM aus den auth_mech.

(oder kläre, warum es nicht geht).


Peer


-- 
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin

Mehr Informationen über die Mailingliste Dovecot