Регистрация Войти
Рейтинг:1
NotACreativeName avatar Server

PostFix allow_sasl_authenticated за балансировщиком нагрузки Big-IP F5

флаг za
NotACreativeName

У меня есть работающий постфиксный сервер, который использует smtpd_relay_restrictions = allow_sasl_authenticated, allow_mynetworks, reject_unauth_destination

Я пытаюсь поставить это за LB. Когда я подключаюсь через telnet или openssl к виртуальному IP-адресу в моем LB, я могу использовать EHLO и STARTTLS и обмениваться данными пользователя/пароля. Моя аутентификация SASL использует локальные логины. Итак, я знаю, что могу пройти через LB к серверу postfix relay.

Когда я отправляю электронное письмо на виртуальный IP-адрес, он не разрешает_sasl_authenticated. Я думаю, что запрос по электронной почте устанавливает правильный туннель TLS. Я вижу информацию журнала, указывающую на следующее:

10 ноября, 14:07:43 postfixserver1 postfix/smtp/smtpd[4793]: SSL_accept:запись SSLv3/TLS завершена 10 ноября 14:07:43 postfixserver1 postfix/smtp/smtpd[4793]: Установлено анонимное TLS-соединение из lb2-float.mgmt.domain.edu [IP здесь]: TLSv1.2 с шифром AECDH-AES256-SHA (256/256 бит)

Я также вижу EHLO от почтового клиента, однако это может быть балансировщик нагрузки, передающий EHLO на сервер postfix.

Затем он запускает ограничения получателя, и я получаю это:

10 ноя 14:07:43 postfixserver1 postfix/smtp/smtpd[4793]: >>> СТАРТ Адрес получателя ОГРАНИЧЕНИЯ <<< 10 ноября 14:07:43 postfixserver1 postfix/smtp/smtpd[4793]: generic_checks: name=permit_sasl_authenticated 10 ноября 14:07:43 postfixserver1 postfix/smtp/smtpd[4793]: generic_checks: name=permit_sasl_authenticated status=0 10 ноября 14:07:43 postfixserver1 postfix/smtp/smtpd[4793]: generic_checks: name=permit_mynetworks

Почему не проходит Permit_sasl_authenitcated при прохождении через LB? Я хочу, чтобы sasl_authentication сначала аутентифицировалась на основе пользователя/пароля, а затем возвращалась к allow_mynetworks. Кстати, если я помещаю IP-адрес LB в список mynetworks, Permit_mynetworks проходит. Однако я хочу, чтобы sasl_authenticated имел приоритет.

Есть ли другая конфигурация постфикса, которую мне нужно установить, что-то о inet_interfaces, хотя у меня inet_interfaces = all.

Спасибо заранее за любые предложения.

23
0 + 0
NotACreativeName avatar
флаг za
NotACreativeName
В конце концов я понял это... Пытаясь проверить поток управления, когда почтовый клиент может или не может выполнять аутентификацию SASL, я удалил файл saslauth.db (вывод postmap моего acct/pw). Это сломало SMTP. поток управления протоколом, потому что он хотел отправить файл, но его не было. Итак, вместо этого я закомментировал имя сервера user:pw и пересобрал файл postmap.
0
Ответить
NotACreativeName avatar
флаг za
NotACreativeName
Я также столкнулся с этой проблемой/проблемой... моим первоначальным постфиксным ретранслятором был postfix-svr, и для балансировки нагрузки я клонировал/переименовал оригинал, поэтому у меня были postfix-server1 и postfix-server2 в качестве двух участников в моем пуле F5, но это создает проблему почтового клиента, отправляющего учетные данные SASL на postfix-server-name, и теперь это не позволяет выполнить аутентификацию PAM-SASL после того, как пакет электронной почты перенаправляется с F5 одному из членов пула... Когда я изменил файл учетных данных SASL на postfix-server* login:pw, он с радостью принял учетные данные. Но мне приходится перенастраивать каждый почтовый клиент :-(
0
Ответить
NotACreativeName avatar
флаг za
NotACreativeName
Кажется, больше никому здесь нечего предложить. То ли я на острие, то ли безнадежно отстал от времени, то ли не умею правильно задать вопрос...
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.