RoundCube входят в локальный сбой сервера IMAP

Я думаю, проблема в том, чтобы попытаться использовать механизм аутентификации CRAM-MD5 с полем "crypt" из БД.

В вашем журнале:

Dec 31 20:14:45 localhost authdaemond: SQL query: SELECT id, **crypt**, '', uid, gid, home, concat(home,'/',maildir), '', name, '' FROM users WHERE id = 'test@example.com'  AND (enabled=TRUE)
Dec 31 20:14:45 localhost authdaemond: authpgsql: REJECT - try next module
Dec 31 20:14:45 localhost authdaemond: FAIL, all modules rejected
Dec 31 20:14:45 localhost imapd-ssl: LOGIN FAILED, **method=CRAM-MD5**, ip=[::ffff:127.0.0.1]

Это означает, что в запросе SQL вы получаете поле "crypt", authdaemond не может прочитать простой пароль, тогда CRAM-MD5 не работает. Пароли в виде открытого текста позволяют реализовать аутентификацию CRAM-MD5.

Чтобы исправить:

1. Вы можете изменить механизм аутентификации клиента (roundcube) на PLAIN или LOGIN. Это совместимо с полем crypt.
2. Изменить в файле authpgsqlrc. Установите PGSQL_CLEAR_PWFIELD, чтобы найти "чистое" поле и прокомментировать PGSQL_CRYPT_PWFIELD. Таким образом, authdaemond выполнит sql-запрос, чтобы найти пароль в открытом виде.

Надеюсь, это сработает для вас.

Возможно, это конфигурация roundcube:

Я не на 100%, но конфигурация roundcube по умолчанию использует аутентификацию "PLAIN", поэтому вы можете изменить ее в файле конфигурации и протестировать:

// IMAP AUTH type (DIGEST-MD5, CRAM-MD5, LOGIN, PLAIN or null to use
// best server supported one)
// $rcmail_config['imap_auth_type'] = LOGIN;
$rcmail_config['imap_auth_type'] = null;

В старых версиях (0.3.1) roundcube у вас есть только «auth», «plain» или «check», например:

// IMAP auth type. Can be "auth" (CRAM-MD5), "plain" (PLAIN) or "check" to auto detect.
// Optional, defaults to "check"
$rcmail_config['imap_auth_type'] = "auth";

В зависимости от используемой версии.

Столкнувшись с той же самой проблемой, я сделал несколько наших Google-Foo, чтобы добраться до ее корня: Как Габриэль предположил корректность в своем ответе , это не вина Roundcube - а то, как хранится пароль и работает шифрование.

Несколько очевидных основ

Говоря о CRAM-MD5, MD5, или CRYPT, мы говорим об одностороннем шифровании: Генерируется хэш. Мы не можем сделать это наоборот, извлечение пароля из хэша в чистом тексте (кроме брутального) невозможно и нереально для любой процедуры входа в систему. Поэтому, если пароль хранится с использованием одного из этих хэшей, мы можем проверить его только при наличии его в открытом тексте, поэтому установка $rcmail_config['imap_auth_type'] = 'PLAIN' в круглокубной конфигурации "решает" эту проблему.

Options

1. Stick with PLAIN/LOGIN:
   • хорошо с Roundcube и IMAP на одном сервере, пока пользователи соединяются с HTTPS
   • хорошо с доступом с почтовых клиентов, пока соединение защищено (IMAPS/POP3S/SMTPS)
   • дыра в безопасности с незашифрованным трафиком
2. Храните пароли в открытом виде.
   • Могут использоваться все виды автомеханизмов, т.е. pro
   • Наличие в файле/базе данных паролей всех ваших пользователей в виде простого текста - это абсолютное отсутствие необходимости
3. Хранение паролей с помощью CRAM-MD5
   • дает вам, по крайней мере, CRAM-MD5, который поддерживает большинство клиентов
   • все еще оставляет возможность использования PLAIN/LOGIN
   • должен поддерживаться вашими административными инструментами.
     • некоторым из них может понадобиться вернуться к утилитам сторонних производителей для шифрования (например, PostfixAdmin использует /usr/sbin/doveadm pw), что делает пароль с открытым текстом коротко появляющимся в списке процессов каждый раз, когда он вызывается
   • другими утилитами сторонних производителей (плагинами/дополнениями и т.д.). ) может быть проблемой

Я все еще борюсь за то, какой путь идти - только #2 определенно исключен (я не хочу делать подарки потенциальным хакерам ;)