<div dir="ltr">I&#39;m using a Postifx MTA on CentOS 7 with Cyrus-SASL v 2.1.23 connecting via LMTP to a Cyrus-IMAP server on CentOS 6 with Cyrus-SASL v 2.1.26 using Kerberos. The connection starts by setting up a TLS layer and then tries to authenticate via a Kerberos ticket.<div><br></div><div>I&#39;m using lmtptest to try to test the connection. Although there is some strange reporting of an expired certificate (not sure where this comes from as I&#39;ve checked certificates for both systems and they are good and can be validated using openssl) the IMAP server reports:</div><div><br></div><div><div>Dec 21 23:04:31 imap lmtp[14084]: executed</div><div>Dec 21 23:04:31 imap lmtp[14084]: Doing a peer verify</div><div>Dec 21 23:04:31 imap lmtp[14084]: Doing a peer verify</div><div>Dec 21 23:04:31 imap lmtp[14084]: verify error:num=10:certificate has expired</div><div>Dec 21 23:04:31 imap lmtp[14084]: cert has expired</div><div>Dec 21 23:04:31 imap lmtp[14084]: received server certificate</div><div>Dec 21 23:04:31 imap lmtp[14084]: starttls: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits new client) no authentication</div></div><div><div>Dec 21 23:09:58 imap lmtp[14093]: accepted connection</div><div>Dec 21 23:09:58 imap lmtp[14093]: connection from <a href="http://mx.4test.net" target="_blank">mx.4test.net</a> [192.168.34.6]</div></div><div><br></div><div>On the client side I see:</div><div><br></div><div><div>[root@mx ~]# lmtptest -t &quot;&quot; <a href="http://imap.4test.net" target="_blank">imap.4test.net</a></div><div>S: 220 <a href="http://imap.4test.net" target="_blank">imap.4test.net</a> Cyrus LMTP Murder v2.4.16-Invoca-RPM-2.4.16-1.el6 server ready</div><div>C: LHLO lmtptest</div><div>S: <a href="http://250-imap.4test.net" target="_blank">250-imap.4test.net</a></div><div>S: 250-8BITMIME</div><div>S: 250-ENHANCEDSTATUSCODES</div><div>S: 250-PIPELINING</div><div>S: 250-SIZE</div><div>S: 250-STARTTLS</div><div>S: 250 IGNOREQUOTA</div><div>C: STARTTLS</div><div>S: 220 Begin TLS negotiation now</div><div>verify error:num=19:self signed certificate in certificate chain</div><div>TLS connection established: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)</div></div><div><br></div><div>So despite the strange &quot;cert has expired&quot; error, I believe I&#39;m getting a good TLS connection. Then the client tries to authenticate:</div><div><br></div><div><div>C: LHLO lmtptest</div><div>S: <a href="http://250-imap.4test.net" target="_blank">250-imap.4test.net</a></div><div>S: 250-8BITMIME</div><div>S: 250-ENHANCEDSTATUSCODES</div><div>S: 250-PIPELINING</div><div>S: 250-SIZE</div><div>S: 250-AUTH PLAIN GSSAPI</div><div>S: 250 IGNOREQUOTA</div><div>C: AUTH GSSAPI</div><div>S: 334 </div><div>C: YIICbgYJKoZIhvcSAQICAQBuggJdMIICWaAD...</div></div><div>...snip...</div><div>DUMz6aI1WeQD6KXI431XpwZQFCrqmHRQg3saZc=<br></div><div><div>S: 334 </div><div>C: *</div><div>Authentication failed. generic failure</div><div>Security strength factor: 256</div><div>501 5.5.4 client canceled authentication</div></div><div><br></div><div>In the message log on the client side I see:</div><div><br></div><div>Dec 22 05:09:58 mx lmtptest: GSSAPI Error: A required input parameter could not be read (Unknown error)<br></div><div><br></div><div>Reading through mailing list postings I see there was a bug in Fedora relating to the v 2.1.23 and v 2.1.26 of Cyrus-SASL. Are the two versions incompatible and the reason why I&#39;m seeing this error?</div><div><br></div><div>I have the exact same setup on another lab configuration that uses CentOS 6 (v 2.1.23) on each end and it works flawlessly.</div><div><br></div></div>