PAM: автор: pam_unix (dovecot:auth): ошибка аутентификации;

На самом деле я никогда раньше не отвечал на свой вопрос, но я хотел бы поделиться, если кто-нибудь еще когда-нибудь столкнется с этим. Это было связано с тем, что saslauthd не установлен, не настроен и не запущен. Как только я это сделал, ошибка исчезла.

Я не ненавижу оживлять мертвый вопрос, но учитывая, что это самый популярный поиск результат для "dovecot pam authentication failure ldap", позвольте мне добавить немного дополнительных знаний:

Единственное, что я видел в своем тестировании, которое обновляет атрибуты shadowAccount — это passwd Команда , когда вы изменяете пароль для пользователя в LDAP... Большинство других инструментов не очень заботятся о классе shadowAccount и его атрибутах и ​​не будут их трогать. Однако я обнаружил, что классы shadowAccount необходимо добавлять пользователям , если они собираются входить на хост, поскольку это действительно волнует. Если вы просто делаете что-то вроде аутентификации по электронной почте (Dovecot), то это не очень полезно. Я могу ошибаться здесь, но я еще не видел ничего, кроме логина хоста, обращающегося к атрибутам shadowAccount для чего-либо.

Теперь, если у вас есть аутентификация Dovecot через PAM (что, я полагаю, вы, вероятно, делаете, поскольку Dovecot запрашивает его, а вы меняете nsswitch), то пожалуйста имейте в виду, что хотя, да, PAM будет обращать внимание на эти дополнительные атрибуты, вам все равно нужны правильные инструменты для их изменения... это означает, что все, что меняет пароли пользователей, также должно проходить через PAM. Каким бы непопулярным оно ни было, если вам не требуются входы в систему хоста, а только такие сервисы, как Dovecot или другие, нет необходимости вовлекать PAM, поскольку он будет проверять гораздо больше вещей, которые, вероятно, будут неактуальны. (В лучшем случае он мог бы принудительно применять другие вещи, такие как, да, истечение срока действия пароля, но лично я бы не стал применять такие вещи, когда служба, в которую вы входите, не имеет никакой возможности изменить пароль таким образом) Вероятно, проще в в долгосрочной перспективе службы входа в систему, отличные от хоста/оболочки, проверяют LDAP сами, что позволяет использовать другие вещи, такие как поисковые фильтры , специфичные для этой службы.

Однако, предполагая, что вы настроили Dovecot для проверки самого LDAP и не полагаетесь на PAM, в конце 10-auth.conf Dovecot есть список ]!include строк для различных механизмов аутентификации, таких как LDAP, SQL и т. д. По умолчанию файл auth-system.conf.ext включается перед другими механизмами, такими как LDAP.Это означает, что, поскольку в моем тестировании Dovecot проверяет эти в том порядке, в котором они предоставлены, Dovecot сначала попытается аутентифицировать пользователя с помощью PAM, а затем, если это не удастся, аутентифицировать с помощью LDAP. . Следовательно, вы получите сообщение об ошибке PAM, указывающее, да, ошибка аутентификации (а также первое сообщение, указывающее какую ошибку). Если вы изменили этот порядок таким образом, чтобы метод, который с наибольшей вероятностью будет успешным (можно предположить, что LDAP), запрашивался первым, тогда не было бы необходимости проверять с помощью PAM, и, следовательно, PAM не выдавал ошибки.

Чтобы решить эту проблему, вы можете закомментировать !include auth-system.conf.ext, но это может привести к тому, что системные пользователи (такие как root или postmaster) считаются несуществующими, если они не настроены в LDAP.

Лично я решил вырезать эту строку и вставить ее вниз, вот так:

#!include auth-deny.conf.ext
#!include auth-master.conf.ext

!include auth-ldap.conf.ext

#!include auth-sql.conf.ext
#!include auth-passwdfile.conf.ext
#!include auth-checkpassword.conf.ext
#!include auth-vpopmail.conf.ext
#!include auth-static.conf.ext

!include auth-system.conf.ext

Это означает, что Dovecot будет сначала обращаться к LDAP, затем обратитесь к PAM, если LDAP не дал результатов, насколько показало мое тестирование.