Imapserver vergisst die User-Paswörter

UCS - Univention Corporate Server
,
#1

Folgendes Problem konnte ich nach einiger Suche isolieren und kann es jetzt hier beschreiben:

Aussgangssituation:
UCS 3.0 / dort integrierter IMAP Server

Problem:

  1. Emailkonto wird auf einem beliebigen Client in einem Emailprogramm eingerichtet (wir nutzen Thunderbird und MacOSX Mail)
  2. Das Passwort des Accounts wird im Emailprogramm hinterlegt / Es funktioniert alles einwandfrei.
  3. Der Clientrechner wird heruntergefahren oder schlafen gelegt
  4. Nach dem Hochfahren / Aufwachen fragt das Emailprogramm (Thunderbird / Mail) wieder nach dem Passwort für das Emailkonto. Ein erneutes Eintippen führt nicht zu erneuten Verbindung, der Account bleibt Offline
  5. Erst wenn ich über die Univention - Managmanet Console das Passwort bei dem enstpechenden User erneut eingebe (Incl. Ignore Password history) geht der Emailclient auf das Konto.

Woran kann das liegen? Was haben wir falsch eingestellt?

Gruß Volker Hahn

#2

Hallo,

etwas ähnliches ist uns bisher nicht gemeldet worden.
Gehe ich recht in der Annahme dass Sie das Verhalten bei jedem Neustart eines beliebigen Clients reproduzieren können? Oder tritt das nur vereinzelt bei manchen Clients auf?
Verwenden Sie als Benutzernamen im Mailclient die primäre Mailadresse des Benutzers?

Bei fehlschlagenden Anmeldungen sollten Sie z.B. in den Logdateien /var/log/mail.log und /var/log/auth.log auf dem Server weitere Hinweise finden.
Ggf. können Sie die Anmeldung auch manuell testen, z.B:

[code]openssl s_client -quiet -connect “:993”
[…]

  • OK Cyrus IMAP4 … server ready
    . login <primäre Mailadresse>
    . OK User logged in
    . list “” “*”
    […]
    . OK Completed (… secs … calls)
    . logout
  • BYE LOGOUT received
    . OK Completed
    [/code]

Mit freundlichen Grüßen
Janis Meybohm

#3

Servus,

  • Das Verhalten tritt nur bei manchen “Accounts” auf. Also innerhalb eines Clients funktioniert es mit dem Konto A, mit dem Konto B jedoch nicht.

  • Wir verwenden die primäre Mailadresse. (Benutzername -so wie unter Univenten 2.0- funktioniert leider nicht mehr.)

  • die mail.log:root@dcbackup:~# tail /var/log/mail.log Dec 12 10:50:15 dcbackup cyrus/imap[26884]: client id: "name" "Mac OS X Mail" "version" "6.2 (1499)" "os" "Mac OS X" "os-version" "10.8.2 (12C60)" "vendor" "Apple Inc." Dec 12 10:50:15 dcbackup cyrus/imap[26884]: badlogin: [192.168.100.149] PLAIN [SASL(-13): authentication failure: Password verification failed] Dec 12 10:50:18 dcbackup master[26885]: about to exec /usr/lib/cyrus/bin/imapd Dec 12 10:50:18 dcbackup cyrus/imap[26885]: executed Dec 12 10:50:18 dcbackup cyrus/imap[26885]: accepted connection Dec 12 10:50:18 dcbackup cyrus/imap[26885]: client id: "name" "Mac OS X Mail" "version" "6.2 (1499)" "os" "Mac OS X" "os-version" "10.8.2 (12C60)" "vendor" "Apple Inc." Dec 12 10:50:18 dcbackup cyrus/imap[26885]: badlogin: [192.168.100.149] PLAIN [SASL(-13): authentication failure: Password verification failed] Dec 12 10:50:36 dcbackup postfix/anvil[26739]: statistics: max connection rate 1/60s for (25:192.168.100.109) at Dec 12 10:47:16 Dec 12 10:50:36 dcbackup postfix/anvil[26739]: statistics: max connection count 1 for (25:192.168.100.109) at Dec 12 10:47:16 Dec 12 10:50:36 dcbackup postfix/anvil[26739]: statistics: max cache size 1 at Dec 12 10:47:16

  • die auth.log: Dec 12 11:02:49 dcbackup saslauthd[1625]: PAM pam_start: failed to initialize handlers Dec 12 11:02:49 dcbackup saslauthd[1625]: DEBUG: auth_pam: pam_start failed: Critical error - immediate abort Dec 12 11:02:49 dcbackup saslauthd[1625]: do_auth : auth failure: [user=lorenz@versicherungsvergleich.de] [service=imap] [realm=versicherungsvergleich.de] [mech=pam] [reason=PAM start error] Dec 12 11:02:52 dcbackup saslauthd[1653]: PAM unable to dlopen(/lib/security/pam_unix.so): /lib/security/pam_unix.so: cannot open shared object file: Too many open files Dec 12 11:02:52 dcbackup saslauthd[1653]: PAM adding faulty module: /lib/security/pam_unix.so Dec 12 11:02:52 dcbackup saslauthd[1653]: PAM unable to dlopen(/lib/security/pam_univentionmailcyrus.so): /lib/security/pam_univentionmailcyrus.so: cannot open shared object file: Too many open files Dec 12 11:02:52 dcbackup saslauthd[1653]: PAM adding faulty module: /lib/security/pam_univentionmailcyrus.so Dec 12 11:02:52 dcbackup saslauthd[1653]: PAM unable to dlopen(/lib/security/pam_ldap.so): /lib/security/pam_ldap.so: cannot open shared object file: Too many open files Dec 12 11:02:52 dcbackup saslauthd[1653]: PAM adding faulty module: /lib/security/pam_ldap.so Dec 12 11:02:52 dcbackup saslauthd[1653]: PAM unable to dlopen(/lib/security/pam_krb5.so): /lib/security/pam_krb5.so: cannot open shared object file: Too many open files Dec 12 11:02:52 dcbackup saslauthd[1653]: PAM adding faulty module: /lib/security/pam_krb5.so Dec 12 11:02:52 dcbackup saslauthd[1653]: PAM unable to dlopen(/lib/security/pam_access.so): /lib/security/pam_access.so: cannot open shared object file: Too many open files Dec 12 11:02:52 dcbackup saslauthd[1653]: PAM adding faulty module: /lib/security/pam_access.so Dec 12 11:02:52 dcbackup saslauthd[1653]: PAM _pam_load_conf_file: unable to open /etc/pam.d/common-account Dec 12 11:02:52 dcbackup saslauthd[1653]: PAM error loading (null) Dec 12 11:02:52 dcbackup saslauthd[1653]: PAM _pam_init_handlers: error reading /etc/pam.d/other Dec 12 11:02:52 dcbackup saslauthd[1653]: PAM _pam_init_handlers: [Critical error - immediate abort] Dec 12 11:02:52 dcbackup saslauthd[1653]: PAM error reading PAM configuration file Dec 12 11:02:52 dcbackup saslauthd[1653]: PAM pam_start: failed to initialize handlers Dec 12 11:02:52 dcbackup saslauthd[1653]: DEBUG: auth_pam: pam_start failed: Critical error - immediate abort Dec 12 11:02:52 dcbackup saslauthd[1653]: do_auth : auth failure: [user=lorenz@versicherungsvergleich.de] [service=imap] [realm=versicherungsvergleich.de] [mech=pam] [reason=PAM start error] Dec 12 11:05:01 dcbackup CRON[27609]: pam_unix(cron:session): session opened for user root by (uid=0) Dec 12 11:05:01 dcbackup CRON[27611]: pam_unix(cron:session): session opened for user root by (uid=0) Dec 12 11:05:01 dcbackup CRON[27610]: pam_unix(cron:session): session opened for user root by (uid=0) Dec 12 11:05:01 dcbackup CRON[27608]: pam_unix(cron:session): session opened for user root by (uid=0) Dec 12 11:05:04 dcbackup CRON[27608]: pam_unix(cron:session): session closed for user root Dec 12 11:05:14 dcbackup saslauthd[1652]: PAM unable to dlopen(/lib/security/pam_unix.so): /lib/security/pam_unix.so: cannot open shared object file: Too many open files Dec 12 11:05:14 dcbackup saslauthd[1652]: PAM adding faulty module: /lib/security/pam_unix.so Dec 12 11:05:14 dcbackup saslauthd[1652]: PAM unable to dlopen(/lib/security/pam_univentionmailcyrus.so): /lib/security/pam_univentionmailcyrus.so: cannot open shared object file: Too many open files Dec 12 11:05:14 dcbackup saslauthd[1652]: PAM adding faulty module: /lib/security/pam_univentionmailcyrus.so Dec 12 11:05:14 dcbackup saslauthd[1652]: PAM unable to dlopen(/lib/security/pam_ldap.so): /lib/security/pam_ldap.so: cannot open shared object file: Too many open files Dec 12 11:05:14 dcbackup saslauthd[1652]: PAM adding faulty module: /lib/security/pam_ldap.so Dec 12 11:05:14 dcbackup saslauthd[1652]: PAM unable to dlopen(/lib/security/pam_krb5.so): /lib/security/pam_krb5.so: cannot open shared object file: Too many open files Dec 12 11:05:14 dcbackup saslauthd[1652]: PAM adding faulty module: /lib/security/pam_krb5.so Dec 12 11:05:14 dcbackup saslauthd[1652]: PAM unable to dlopen(/lib/security/pam_access.so): /lib/security/pam_access.so: cannot open shared object file: Too many open files Dec 12 11:05:14 dcbackup saslauthd[1652]: PAM adding faulty module: /lib/security/pam_access.so Dec 12 11:05:14 dcbackup saslauthd[1652]: PAM _pam_load_conf_file: unable to open /etc/pam.d/common-account Dec 12 11:05:14 dcbackup saslauthd[1652]: PAM error loading (null) Dec 12 11:05:14 dcbackup saslauthd[1652]: PAM _pam_init_handlers: error reading /etc/pam.d/other Dec 12 11:05:14 dcbackup saslauthd[1652]: PAM _pam_init_handlers: [Critical error - immediate abort] Dec 12 11:05:14 dcbackup saslauthd[1652]: PAM error reading PAM configuration file Dec 12 11:05:14 dcbackup saslauthd[1652]: PAM pam_start: failed to initialize handlers Dec 12 11:05:14 dcbackup saslauthd[1652]: DEBUG: auth_pam: pam_start failed: Critical error - immediate abort Dec 12 11:05:14 dcbackup saslauthd[1652]: do_auth : auth failure: [user=hahn@versdirekt.de] [service=imap] [realm=versdirekt.de] [mech=pam] [reason=PAM start error] root@dcbackup:~#

  • Und hier der manuelle Logon - Versuch:

[code]hahns-iMac-2:~ hahn$ openssl s_client -quiet -connect “192.168.100.109:993”
depth=0 /C=DE/ST=DE/L=DE/O=DE/OU=Univention Corporate Server/CN=dcbackup.gilching.local/emailAddress=ssl@gilching.local
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 /C=DE/ST=DE/L=DE/O=DE/OU=Univention Corporate Server/CN=dcbackup.gilching.local/emailAddress=ssl@gilching.local
verify error:num=27:certificate not trusted
verify return:1
depth=0 /C=DE/ST=DE/L=DE/O=DE/OU=Univention Corporate Server/CN=dcbackup.gilching.local/emailAddress=ssl@gilching.local
verify error:num=21:unable to verify the first certificate
verify return:1

  • OK [CAPABILITY IMAP4rev1 LITERAL+ ID ENABLE AUTH=PLAIN SASL-IR] dcbackup Cyrus IMAP v2.4.9-Debian-2.4.9-1.21.201110290358 server ready
    login hahn@versdirekt.de
    login BAD Please login first[/code]

Ich habe dann bei dem User “hahn” auf der UMC das gleiche PW erneut eingegeben. Der Client ist daraufhin online gegangen. Der manuelle Versuch funktioniert nach wie vor nicht.

Danke für die Unterstützung

#4

Hallo,

Ursache für Ihre Probleme sind vermutlich die “Too many open files”-Meldungen des saslauthd welcher u.a. für die Authentifikation der IMAP Benutzer zuständig ist. Kann diese die benötigten Shared Objects nicht nachladen, schlägt die Anmeldung fehl. Durch neu setzen des Passworts im UDM wird der Dienst vermutlich einmal neu gestartet um dessen Cache zu invalidieren, damit funktioniert die Anmeldung dann vorerst wieder (bis zum nächsten Auftreten des Problems).

Sie könnten Prüfen ob das Problem auch auftritt wenn Sie die saslauthd Treads reduzieren und so für jede Anmeldung einen eigenen saslauthd Prozess starten:

ucr set mail/saslauthd/threads=0 # default: 5 /etc/init.d/saslauthd restart

[quote=“versdirekt”][code]…

  • OK [CAPABILITY IMAP4rev1 LITERAL+ ID ENABLE AUTH=PLAIN SASL-IR] dcbackup Cyrus IMAP v2.4.9-Debian-2.4.9-1.21.201110290358 server ready
    login hahn@versdirekt.de
    login BAD Please login first[/code]Ich habe dann bei dem User “hahn” auf der UMC das gleiche PW erneut eingegeben. Der Client ist daraufhin online gegangen. Der manuelle Versuch funktioniert nach wie vor nicht.[/quote]Das “login” Kommando ist unvollständig, daher die Meldung “login BAD Please login first”. Die IMAP Kommandos müssen mit vorangestelltem Punkten und Leerzeichen eingegeben werden.

Mit freundlichen Grüßen
Janis Meybohm

#5

Hallo Herr Meybohm,

das wars,

  • ich habe den Befehl abgesetzt und
  • muss die Passwörter über die UMC jetzt noch einmal eingeben und dann funktionierts.

Merci, Gruß Hahn

#6

Hallo Herr Meybohm,

leider funktioniert es doch noch nicht. Der Mailserver behauptet, dass PW sei abgelaufen:

tail /var/log/auth.log Dec 21 10:18:17 dcbackup PAM-univentionmailcyrus[1035]: continuing as user schlinge2 Dec 21 10:18:18 dcbackup saslauthd[1035]: pam_unix(imap:account): expired password for user schlinge2 (password aged) Dec 21 10:18:18 dcbackup saslauthd[1035]: DEBUG: auth_pam: pam_acct_mgmt failed: Authentication token is no longer valid; new one required Dec 21 10:18:18 dcbackup saslauthd[1035]: do_auth : auth failure: [user=schlinge@versicherungsvergleich.de] [service=imap] [realm=versicherungsvergleich.de] [mech=pam] [reason=PAM acct error] Dec 21 10:19:07 dcbackup saslauthd[1039]: pam_unix(imap:auth): check pass; user unknown Dec 21 10:19:07 dcbackup saslauthd[1039]: pam_unix(imap:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= Dec 21 10:19:07 dcbackup PAM-univentionmailcyrus[1039]: continuing as user hahn Dec 21 10:19:08 dcbackup saslauthd[1039]: pam_unix(imap:account): expired password for user hahn (password aged) Dec 21 10:19:08 dcbackup saslauthd[1039]: DEBUG: auth_pam: pam_acct_mgmt failed: Authentication token is no longer valid; new one required Dec 21 10:19:08 dcbackup saslauthd[1039]: do_auth : auth failure: [user=hahn@versdirekt.de] [service=imap] [realm=versdirekt.de] [mech=pam] [reason=PAM acct error]

Ich habe daraufhin versucht, den PW Ablauf mit diesem Befehl zu verhindern (Sowohl auf DCMaster und Mailserver):

samba-tool domain passwordsettings set --max-pwd-age=0

Das hat aber nicht gereicht … Ich bitte nochmals um einen Tipp.

Gruß Hahn

#7

Hallo,

eine Analyse im Rahmen eines gesonderten Auftrages hat ergeben dass Sie auch in einer UCS Passwort Richtlinie den Wert “0” für das maximale Passwortalter gesetzt hatten. Dies führt dazu dass das Passwort nach 0 Tagen (also sofort) abläuft, da “0” (anders als unter Samba) nicht als “deaktiviert” interpretiert wird.

Mit freundlichen Grüßen
Janis Meybohm

Mastodon