Смоленск 1.4 Проблема с настройками почты. Проверьте билет realm

oko

New member
Сообщения
1 257
#21
to Antony
Да, должен писать имя пользователя...
Прикинул еще раз причину проблемы - вероятнее всего до почтового сервера не доходит тикет kerberos, либо тикет первично неверный и отбрасывается сервером еще до "попадания" в dovecot. Вывод: перебейте принципалы и проверьте еще раз. Заодно через kinit, klist, kdestroy убедитесь, что работа с тикетами и на клиенте, и на сервере мыла возможна и корректна...
 

Antony

New member
Сообщения
20
#22
Вывод: перебейте принципалы и проверьте еще раз. Заодно через kinit, klist, kdestroy убедитесь, что работа с тикетами и на клиенте, и на сервере мыла возможна и корректна...
а как оное проверить?
делаю на почтовом сервере:
klist -Kek /var/lib/dovecot/dovecot.keytab показывает 2 принципала imap\smtp по 3 раза с разными хешами
делаю на почтовом сервере и на какой нибудь машине:
klist от пользователя доменного в нулевом режиме показывает что есть группы krbtgt, ldap и imap, smtp нету в списках(наверное появится, когда будет отправка писем.)
ald-renew-tickets on стоит везде просто.

команду kdestroy применительно к почтовому серверу как применить?
 

oko

New member
Сообщения
1 257
#23
to Antony
Если kerberos настроен верно и на уровне ALD, и на уровне сервера мыла, то по выводу klist (без аргументов) вы должны получать на клиенте минимум 3 принципала: krbtgt, imap, ldap...
Вашу ошибку (user=<>) поймал в случае, когда клиент либо пытался аутентифицироваться не через Kerberos/GSSAPI в Thunderbird, либо когда вход в ОС клиента вообще выполняется не от доменного пользователя. Предположение глупое, конечно, но проверьте, под кем и как вы заходите на клиенте...
Kdestroy (без аргументов) на клиенте снимает данные о принципалах (см. выше). Но это вам не нужно - только убьет взаимодействие до момента нового обращения по kerberos к серверу ALD...
 

Antony

New member
Сообщения
20
#24
Если kerberos настроен верно и на уровне ALD, и на уровне сервера мыла, то по выводу klist (без аргументов) вы должны получать на клиенте минимум 3 принципала: krbtgt, imap, ldap...
так и есть, у клиента три принципала. выше я писал про это.
Вашу ошибку (user=<>) поймал в случае, когда клиент либо пытался аутентифицироваться не через Kerberos/GSSAPI в Thunderbird, либо когда вход в ОС клиента вообще выполняется не от доменного пользователя. Предположение глупое, конечно, но проверьте, под кем и как вы заходите на клиенте...
эм... проверю все конфиги dovecot, может где опечатался. так как захожу именно под доменным пользователем.

алгоритм такой был:
перезапускаю сервера, затем машины.
захожу под доменным пользователем на клиентской машине
проверяю klist, показывает два принципала.
запускаю Thunderbird - создаю почту, ругается на билет
снова проверяю klist, показывает уже ТРИ принципала.
повторно нажимаю кнопку "получить почту" в Thunderbird, либо перезапускаю его - тоже самое ругается на билет.

это все было до и после переименования hostname, переподключать машину в домен с новым именем буду только в понедельник, пароли от сервера не у меня, делаю я, пароли вводит згт.
p.s. а могу я запустить ssh -X login@ip Thunderbird с другой АРМ, чтобы не ходить к ней? (учетка доменная) в данном случае откуда Thunderbird будет брать ключи?
 

oko

New member
Сообщения
1 257
#25
to Antony
Про ssh Thunderbird не в курсе - проверьте, если есть возможность. У меня связка из двух VirtualBox (сервер-ALD-и-мыло, клиент) - третью поднимать на домашней машине несколько накладно по ресурсам...
И при всех указанных манипуляциях в /var/log/dovecot/main.log ошибка аутентификации user=<>? Если так, то проблема на более низком уровне взаимодействия/реализации kerberos (конечно, возможен вариант с межсетевым экраном, но, кажись, его вы уже отсекли)...
Кстати, вы у РусБитеха не интересовались, возможна ли kerberos-аутентификация в Thunderbird через ALD под Astra Linux 1.4 вообще? А то может статься, что мы тут решаем "пустую" задачу (и релиз ALD в Смоленске 1.4 недоразвитый, ага)...
 

Antony

New member
Сообщения
20
#26
конечно, возможен вариант с межсетевым экраном, но, кажись, его вы уже отсекли
да, между сетями сейчас разрешено все.

И при всех указанных манипуляциях в /var/log/dovecot/main.log ошибка аутентификации user=<>? Если так, то проблема на более низком уровне взаимодействия/реализации kerberos
да. нашел в сети такой конфиг логирования:
Код:
log_path = /var/log/dovecot.log
info_log_path = /var/log/dovecot-info.log
debug_log_path = /var/log/dovecot-debug.log
auth_verbose = yes
auth_debug = yes
auth_debug_passwords = yes
mail_debug = yes
auth_verbose_passwords = sha1
verbose_ssl = yes
последние два правда не уверен что будут работать.
попробую его еще.

Кстати, вы у РусБитеха не интересовались, возможна ли kerberos-аутентификация в Thunderbird через ALD под Astra Linux 1.4 вообще? А то может статься, что мы тут решаем "пустую" задачу (и релиз ALD в Смоленске 1.4 недоразвитый, ага)...
хм. не думал об этом. сейчас пойду на баг трекере зарегаюсь
p.s. а как там регистрироваться?
Ваш администратор Jira ещё не настроил эту контактную форму.
 

oko

New member
Сообщения
1 257
#27
to Antony
Между сетями - наверняка (хотя странно, принимая во внимание наличие ЗГТ, ага), а на уровне локальных iptables правил (и на серверах, и на клиенте)?
Про /var/log/dovecot/main.log имел в виду мой пример конфига, считал, что вы ориентировались на него...
Последние два пункта конфига роли не играют. Да и не работают как следует (либо у меня кривые руки)...
В jira там ниже "Портал технической поддержки" - через него. Если не сработает регистрация, значит, до сих пор не починили (проскакивала тут на форуме схожая проблема)...
 

Antony

New member
Сообщения
20
#29
в общем перевел на PAM авторизацию и все работает как часы.

может быть на будущее прикручу еще и уровни доступа, пока работает только в 0 режиме, а в других не видит настроек сервера.
для этого astrase-mail-fix надо установить вроде только и в крон поставить? локальный пользователь с уровнями 0:3
 

oko

New member
Сообщения
1 257
#30
to Antony
Это для 1.5 прокатывает, в 1.6 само работает вроде как. Как скажется на 1.4 - без понятия, честно говоря...
 

Antony

New member
Сообщения
20
#31
в общем такие дела с 1.4:
перевел все машины на чисто на hostname, а не с доменым именем.
переинициализировал алд, включил везде ald-renew-tikets on везде, пересоздал принципалы и службы imap\smtp, настроил dovecot\exim на керборос авторизацию - и облом. все тоже самое.
при входе создатся 2 типа принципа, при создании почтового ящика создается создается третий принципал imap. но все равно ругается что не может принять билет realm

поковырял конфиги, настроил pam, создал локального пользователя на сервере, задал пароль и домашнюю папку, задал ему уровни от 0 до 3, вошел под ним первый раз под всеми уровнями на сервере.

подключение к серверу в 0 все отлично. между серверами ходют письма. пошел обмен))
попробовал в других режимах: видит сервер(nslookup отрабатывает вручную), но пишет что не видит настроек сервера, даже если вручную выставляешь.
astrase-mail-fix не устанавливал пока что, забыл про него.

p.s. а как сделать, чтобы ssh работало под уровнями другими?
 

oko

New member
Сообщения
1 257
#32
to Antony
Про ssh с мандаткой не в курсе. Вроде бы никак, потому что ssh не пересобирался с поддеркой МКЦ. Да и по логике вещей так быть не должно...