[Dovecot-de] dovecot-lda, virtual Users, Active Directory, userdb lookup failed
Frank Ebert
frank.ebert at freenet.de
Mo Nov 11 19:48:36 CET 2013
Hi,
> 1) Du anonncierst in den auth_mech NTLM, obwohl das hier gar nicht
> wirklich funktioniert.
>
> 2) Dein Outlook versucht NTLM zu machen (selbst wenn man ihm
> ausdrücklich nur PLAIN und LOGIN erlaubt hat) und provoziert aus Sicht
> von Dovecot darum ständig Login-Fehler.
>
> 3) Dovecot bestraft diese Login-Fehler als Schutz gegen Brute Force
> mit Strafsekunden, d.h. er verzögert für die jeweiligen IPs den
> Login. Das kannst Du auch mit "doveadm penalty" sehen.
>
> 4) Outlook kassiert also nicht nur Login-Zeitstrafen, er hat auch die
> ganz besondere Macke bei einem Wechsel von IMAP-Foldern ständig neue
> IMAP-Verbindungen aufzubauen. Dort generiert er dann wieder
> Login-Fehler, gibt seinen Penaltys Nachschub und wirkt darum auch im
> laufenden Betrieb "zäh".
Genau diese sehr ausführliche Beschreibung (vielen Dank!) hatte ich mir
eigentlich von der Doku von Dovecot selbst gewünscht.
> Ich habe genau dieses Problem mal für eine südwestdeutsche Uni debuggt
> und habe mir etliche Stunden lang die Zähne dran ausgebissen, weil
> sich da zusätzlich zu diesem Outlook-NTLM-Loginproblem dann noch ein
> anderer Fehler überlagert hatte. Das war damals echt zum Mäusemelken.
Das stelle ich mir SEHR schwer zu debuggen vor. Die Logfiles geben
nicht viel her. Alles was ich dazu gefunden habe war ein paar
Mailinglistenbeiträge bei denen auf Samba verwiesen wurde.
> Ich habe keine Ahnung von Deiner Winbind-Konfiguration. Aber da es mit
> Passwörtern ja geht empfehle ich:
>
> Streiche NTLM aus den auth_mech.
Das funktioniert wunderbar. Ich hätte und habe wirklich VIEL getestet.
Aber niemals hätte ich das versucht. Warum? Weil es so im Wiki steht.
Sobald ich alles fertig habe, werde ich das ganze dokumentieren und
versuche auch mal Kontakt mit Timo aufzunehmen. Vielleicht nimmt er ein
paar Vorschläge ins Wiki auf, denn in meinen Augen gibt es da
Verbesserungsbedarf. Wenn ich beitragen kann.. Um so besser :)
"Alles fertig" hängt derzeit an einer einzigen Sache: Wenn der
Benutzername im AD vom Userteil in user at foo.bar abweicht, kann
dovecot-lda die Mails nicht zustellen, die dovecot-lda von postfix
bekommt. Ich denke aber, das dürfte eine deutlich kleinere Hürde sein
als das Problem mit ntlm.
Vielen Dank nochmal und viele Grüße
Frank
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 196 bytes
Beschreibung: nicht verfügbar
URL : <https://listen.jpberlin.de/pipermail/dovecot/attachments/20131111/74942670/attachment.sig>
Mehr Informationen über die Mailingliste Dovecot