Dovecot SASL mit Postfix und GSSAPI

[Stephan Brunner]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Guten Abend,

ich installiere gerade ein Mailserversystem mit Dovecot als IMAP-Server und Postfix als SMTP-Server.
Der Postfix authentifiziert sich über die SASL-Schnittstelle des Dovecot.
Der Dovecot hat bereits eine funktionierende LDAP/GSSAPI-Konfiguration, eine Verbindung über IMAP mit Kerberos funktioniert auch ohne Probleme.
Das User-Backend des Dovecot ist ein Active Directory.

Sobald ich versuche, mich per GSSAPI auf dem Postfix/SMTP anzumelden, bekomme ich (nach aktivieren des Debug-Modus) folgende Meldungen:
> Feb 17 20:24:11 mail dovecot: auth: Debug: gssapi(?,10.4.1.10): Obtaining credentials for smtp at mail.*redacted*
> Feb 17 20:24:11 mail dovecot: auth: gssapi(?,10.4.1.10): While processing incoming data: Unspecified GSS failure.  Minor code may provide more information
> Feb 17 20:24:11 mail dovecot: auth: gssapi(?,10.4.1.10): While processing incoming data: Success

Als MUA verwende ich den aktuellsten Thunderbird, bei dem IMAP-GSSAPI problemlos funktioniert.

klist -k zeigt ebenfalls den imap und smtp SPN, klist auf dem Windows-Rechner zeigt auch beide Tickets.

Dovecot-Config:
> auth_gssapi_hostname = "mail.*redacted*"
> auth_mechanisms = plain login gssapi
> auth_krb5_keytab = /etc/krb5.keytab
> auth_debug=yes
> 
> service auth {
>   unix_listener /var/spool/postfix/private/auth_dovecot {
>     group = postfix
>     mode = 0660
>     user = postfix
>   }
>   unix_listener auth-master {
>     mode = 0600
>     user = vmail
>   }
>   user = root
> }

Postfix-Config:
> smtpd_sasl_type=dovecot
> smtpd_sasl_path=private/auth_dovecot
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_authenticated_header = yes
> smtpd_sasl_security_options = noanonymous

dovecot --version => 2.2.27 (c0f36b0)
Postfix => 3.1.9-0+deb9u2

Ich werde aus der Meldung oben leider nicht schlau.
Weiß vielleicht hier jemand Rat?

Vielen Dank!
Stephan Brunner
-----BEGIN PGP SIGNATURE-----
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=o49f
-----END PGP SIGNATURE-----