<div dir="ltr"><div class="gmail-gs" style="margin:0px;padding:0px 0px 20px;width:1176px;font-family:Roboto,RobotoDraft,Helvetica,Arial,sans-serif;font-size:medium"><div class="gmail-"><div id="gmail-:2ma" class="gmail-ii gmail-gt" style="font-size:0.875rem;direction:ltr;margin:8px 0px 0px;padding:0px"><div id="gmail-:2ly" class="gmail-a3s gmail-aiL" style="overflow:hidden;font-variant-numeric:normal;font-variant-east-asian:normal;font-stretch:normal;font-size:small;line-height:1.5;font-family:Arial,Helvetica,sans-serif"><div dir="ltr">As I continue to test freeipa-server-4.9.3-1,  on Fedora 33 with dovecot-2.3.14-1 I've run into the following issues with web mail and Dovecot integration.<div><br></div><div>1. I followed <a href="https://www.freeipa.org/page/Dovecot_IMAPS_Integration_with_FreeIPA_using_Single_Sign_On" target="_blank">https://www.freeipa.org/page/Dovecot_IMAPS_Integration_with_FreeIPA_using_Single_Sign_On</a> but I couldn't get web mail to login until I used the suggestion from <a href="https://blog.delouw.ch/2017/02/19/integrate-dovecot-imap-with-freeipa-using-kerberos-sso/" target="_blank">https://blog.delouw.ch/2017/02/19/integrate-dovecot-imap-with-freeipa-using-kerberos-sso/</a> and changed logins auth_mechanisms = plain gssapi login which allowed logins of FreeIPA Kerberos users.</div><div><br></div><div>2. even with auth_mechanisms = plain gssapi login, I could then no longer login to SquirrelMail webmail with any local Unix (non-Kerberized) users.</div><div>The dovecot logs show:</div><div><br>auth: Error: policy(<a href="mailto:localuser@ourdomain.edu" target="_blank">localuser@ourdomain.edu</a>,127.0.0.1,<r2eFe+PAvut/AAAB>): Policy server HTTP error: connect(x.x.x.x:8084) failed: Connection refused<br>auth: Debug: policy(<a href="mailto:localuser@ourdomain.edu" target="_blank">localuser@ourdomain.edu</a>,127.0.0.1,<r2eFe+PAvut/AAAB>): Policy report action finished<br>auth: Debug: http-client[1]: request [Req2: POST <a href="https://x.x.x.x:8084/?command=report" target="_blank">https://x.x.x.x:8084/?command=report</a>]: Destroy (requests left=1)<br>auth: Debug: http-client[1]: request [Req2: POST <a href="https://x.x.x.x:8084/?command=report" target="_blank">https://x.x.x.x:8084/?command=report</a>]: Free (requests left=0)<br>auth: Debug: http-client: conn x.x.x.x[2]: Connection close<br>auth: Debug: http-client: conn x.x.x.x[2]: Connection disconnect<br>auth: Debug: http-client: conn x.x.x.x[2]: Disconnected: connect() failed: Connection refused (fd=23)<br>auth: Debug: http-client: conn x.x.x.x[2]: Detached peer<br>auth: Debug: http-client: conn x.x.x.x[2]: Connection destroy<br>auth: Debug: http-client: host x.x.x.x: Idle host timed out<br>auth: Debug: http-client: host x.x.x.x: Host destroy<br>auth: Debug: http-client: host x.x.x.x: Host session destroy<br>auth: Debug: http-client[1]: queue <a href="https://x.x.x.x:8084/" target="_blank">https://x.x.x.x:8084</a>: Destroy<br>auth: Debug: client passdb out: FAIL    1       user=<a href="mailto:localuser@ourdomain.edu" target="_blank">localuser@ourdomain.edu</a>    original_user=localuser<br>imap-login: Debug: Ignoring unknown passdb extra field: original_user<br>imap-login: Info: Aborted login (auth failed, 1 attempts in 3 secs): user=<<a href="mailto:localuser@ourdomain.edu" target="_blank">localuser@ourdomain.edu</a>>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured, session=<r2eFe+PAvut/AAAB><br></div><div><br></div><div>3. If a user was over quota there was no way to tell on the webmail page that they were over quota but the dovecot logs show imap(ouruser): Error: mkdir(/path/to/ouruser/mail/.imap) failed: Disk quota exceeded.</div><div><br></div><div>Would there be a security risk if the web page displayed a warning that could be generalized to inform the user to either check their quota or password reset being needed?</div><div class="gmail-yj6qo"></div><div class="gmail-adL"></div></div><div class="gmail-adL"></div></div></div><div class="gmail-hi" style="border-bottom-left-radius:1px;border-bottom-right-radius:1px;padding:0px;width:auto;background:rgb(242,242,242);margin:0px"></div></div></div><br class="gmail-Apple-interchange-newline"></div>