Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2577 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [résolu] Cryptage du mot de passe sous courier IMAP et LDAP

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[résolu] Cryptage du mot de passe sous courier IMAP et LDAP

n°1119530
hppp
Serveur@home
Posté le 07-03-2009 à 13:06:50  profilanswer
 

Salut
 
Je chercher depuis un petit moment la commande pour dire à courier IMAP que le mdp est crypté en SSHA dans ldap.
Pour le mode CRYPT j'ai bien LDAP_CRYPTPW mais quand je met LDAP_SSHAPW marche pas et me fait comme erreur:
 

Code :
  1. Mar  7 13:01:11 falcon authdaemond: no password to compare against!


 
Donc ça doit pas être ça, j'ai chercher sur google mais pas trouvé. Merci de votre aide.


Message édité par hppp le 08-03-2009 à 12:36:03
mood
Publicité
Posté le 07-03-2009 à 13:06:50  profilanswer
 

n°1119547
Gf4x3443
Killing perfection
Posté le 07-03-2009 à 15:04:35  profilanswer
 

Je pense pas que authdaemond supporte directement le SSHA. Reste la méthode du bind au serveur pour tester les credentials.

 

Edit: SHA => SSHA


Message édité par Gf4x3443 le 07-03-2009 à 16:00:33

---------------
Petit guide Kerberos pour l'administrateur pressé
n°1119560
hppp
Serveur@home
Posté le 07-03-2009 à 15:39:37  profilanswer
 

comment ça la méthode du bind? Merci

n°1119565
Gf4x3443
Killing perfection
Posté le 07-03-2009 à 15:49:52  profilanswer
 

authdaemond lance une opération de bind LDAP à l'annuaire avec les crédits utilisateur qu'on lui a passé. Si l'opération ne retourne pas d'erreur, c'est que l'utilisateur est bien dans l'annuaire LDAP.


---------------
Petit guide Kerberos pour l'administrateur pressé
n°1119566
hppp
Serveur@home
Posté le 07-03-2009 à 16:03:19  profilanswer
 

genre ça ?
 

Code :
  1. Mar  7 16:02:09 falcon authdaemond: authldaplib: sysusername=<null>, sysuserid=5000, sysgroupid=5000, homedir=/opt/nfs/vmail/, address=test, fullname=test, maildir=test/, quota=<null>, options=<null>
  2. Mar  7 16:02:09 falcon authdaemond: no password to compare against!


 
car que ça soit un mauvais ou bon mdp il s'affiche pour moi.

n°1119569
Gf4x3443
Killing perfection
Posté le 07-03-2009 à 16:10:51  profilanswer
 

Je peux difficilement dire en deux lignes de log... Ca serait plus simple avec le fichier de conf (authdaemonrc si je me souviens bien).


---------------
Petit guide Kerberos pour l'administrateur pressé
n°1119570
hppp
Serveur@home
Posté le 07-03-2009 à 16:16:33  profilanswer
 

non c'est avec authldaprc :
 

Code :
  1. LDAP_URI ldap://172.20.xxx.xxx:389
  2. LDAP_PROTOCOL_VERSION   3
  3. LDAP_BASEDN             dc=domaine, dc=local
  4. LDAP_BINDDN             cn=admin, dc=domaine, dc=local
  5. LDAP_BINDPW             xxxx
  6. LDAP_MAIL               cn
  7. LDAP_AUTHBIND 0
  8. ##NAME: LDAP_FILTER:0
  9. #
  10. # This LDAP filter will be ANDed with the query for the field defined above
  11. # in LDAP_MAIL.  So if you are querying for mail, and you have LDAP_FILTER
  12. # defined to be "(objectClass=CourierMailAccount)" the query that is performed
  13. # will be "(&(objectClass=CourierMailAccount)(mail=<someAccount> ))"
  14. #
  15. LDAP_FILTER           (objectClass=CourierMailAccount)
  16. LDAP_GLOB_UID           vmail
  17. LDAP_GLOB_GID           vmail
  18. #LDAP_HOMEDIR est OBLIGATOIRE.
  19. #LDAP_GLOB_HOMEDIR            /opt/nfs/vmail/
  20. LDAP_HOMEDIR            homeDirectory
  21. LDAP_MAILDIR            mailbox
  22. LDAP_DEFAULTDELIVERY    defaultDelivery
  23. LDAP_FULLNAME           cn
  24. LDAP_CLEARPW           userPassword
  25. #LDAP_SSHAPW userPassword


 
la j'ai le passe en claire car marche pas non plus en claire, même erreur je viens de voir.
et voila les logs:

Code :
  1. Mar  7 16:14:08 falcon imapd: Connection, ip=[:ffff:172.25.xx.xx]
  2. Mar  7 16:14:11 falcon authdaemond: received auth request, service=imap, authtype=login
  3. Mar  7 16:14:11 falcon authdaemond: authldap: trying this module
  4. Mar  7 16:14:11 falcon authdaemond: selected ldap protocol version 3
  5. Mar  7 16:14:11 falcon authdaemond: binding to LDAP server as DN 'cn=admin, dc=domaine, dc=local', password 'xxxxxxx'
  6. Mar  7 16:14:11 falcon authdaemond: using search filter: (&(objectClass=CourierMailAccount)(cn=test))
  7. Mar  7 16:14:11 falcon authdaemond: one entry returned, DN: uid=test,ou=Users,dc=domaine,dc=local
  8. Mar  7 16:14:11 falcon authdaemond: raw ldap entry returned:
  9. Mar  7 16:14:11 falcon authdaemond: | cn: test
  10. Mar  7 16:14:11 falcon authdaemond: | mailbox: test/
  11. Mar  7 16:14:11 falcon authdaemond: | homeDirectory: /opt/nfs/vmail/
  12. Mar  7 16:14:11 falcon authdaemond: | userPassword: xxxxxxx
  13. Mar  7 16:14:11 falcon authdaemond: authldaplib: sysusername=<null>, sysuserid=5000, sysgroupid=5000, homedir=/opt/nfs/vmail/, address=test, fullname=test, maildir=test/, quota=<null>, options=<null>
  14. Mar  7 16:14:11 falcon authdaemond: authldaplib: clearpasswd=xxxxxxx, passwd=<null>
  15. Mar  7 16:14:11 falcon authdaemond: Authenticated: sysusername=<null>, sysuserid=5000, sysgroupid=5000, homedir=/opt/nfs/vmail/, address=test, fullname=test, maildir=test/, quota=<null>, options=<null>
  16. Mar  7 16:14:11 falcon authdaemond: Authenticated: clearpasswd=xxxxxxx, passwd=<null>


 
je viens de voir le passwd=<null>, car je viens de mettre les logs en debug max. Merci de ton aide.

n°1119572
Gf4x3443
Killing perfection
Posté le 07-03-2009 à 16:21:10  profilanswer
 

Ok, avec LDAP_AUTHBIND 1, ca donne quoi?


---------------
Petit guide Kerberos pour l'administrateur pressé
n°1119574
hppp
Serveur@home
Posté le 07-03-2009 à 16:25:12  profilanswer
 

même problème, avec 1 ou si je commente.
 
LDAP_AUTHBIND sert à réinitialiser la connexion non?

n°1119575
Gf4x3443
Killing perfection
Posté le 07-03-2009 à 16:32:45  profilanswer
 

Avec les crédits de l'utilisateur obtenus par IMAP. C'est d'ailleurs lourd, vu que l'opération va nécessiter deux binds: un pour le compte IMAP qui va chercher des attributs (genre le userPassword) et un deuxième bind, cette fois avec le DN et le mdp de l'utilisateur. C'est cette deuxième connexion qui permet de vérifier que l'utilisateur est correct, quand la authlib de courier ne supporte pas un mécanisme/hash.
 
Et les logs sont exactement les mêmes? Pas d'indication de connexion avec le DN de l'utilisateur (uid=test,ou=Users,dc=domaine,dc=local)?


---------------
Petit guide Kerberos pour l'administrateur pressé
mood
Publicité
Posté le 07-03-2009 à 16:32:45  profilanswer
 

n°1119578
hppp
Serveur@home
Posté le 07-03-2009 à 16:41:54  profilanswer
 

ah si bien vu, j'avais pas fait gaffe:
 
Mar  7 16:39:31 falcon imapd: Connection, ip=[:ffff:172.25.xx.xxx]
Mar  7 16:39:34 falcon authdaemond: received auth request, service=imap, authtype=login
Mar  7 16:39:34 falcon authdaemond: authldap: trying this module
Mar  7 16:39:34 falcon authdaemond: selected ldap protocol version 3
Mar  7 16:39:34 falcon authdaemond: binding to LDAP server as DN 'cn=admin, dc=domaine, dc=local', password 'xxxxxxx'
Mar  7 16:39:34 falcon authdaemond: using search filter: (&(objectClass=CourierMailAccount)(cn=test))
Mar  7 16:39:34 falcon authdaemond: one entry returned, DN: uid=test,ou=Users,dc=domaine,dc=local
Mar  7 16:39:34 falcon authdaemond: raw ldap entry returned:
Mar  7 16:39:34 falcon authdaemond: | cn: test
Mar  7 16:39:34 falcon authdaemond: | mailbox: test/
Mar  7 16:39:34 falcon authdaemond: | homeDirectory: /opt/nfs/vmail/
Mar  7 16:39:34 falcon authdaemond: | userPassword: xxxxxxx
Mar  7 16:39:34 falcon authdaemond: authldaplib: sysusername=<null>, sysuserid=5000, sysgroupid=5000, homedir=/opt/nfs/vmail/, address=test, fullname=test, maildir=test/, quota=<null>, options=<null>
Mar  7 16:39:34 falcon authdaemond: authldaplib: clearpasswd=xxxxxxx, passwd=<null>
Mar  7 16:39:34 falcon authdaemond: rebinding with DN 'uid=test,ou=Users,dc=domaine,dc=local' to validate password
Mar  7 16:39:34 falcon authdaemond: authentication bind successful

Mar  7 16:39:34 falcon authdaemond: Authenticated: sysusername=<null>, sysuserid=5000, sysgroupid=5000, homedir=/opt/nfs/vmail/, address=test, fullname=test, maildir=test/, quota=<null>, options=<null>
Mar  7 16:39:34 falcon authdaemond: Authenticated: clearpasswd=xxxxxxx, passwd=<null>


Message édité par hppp le 07-03-2009 à 16:43:38
n°1119581
Gf4x3443
Killing perfection
Posté le 07-03-2009 à 16:51:01  profilanswer
 

Et là, les accès à courier avec l'utilisateur fonctionnent ou pas? Qu'est ce que retourne la commande IMAP?


---------------
Petit guide Kerberos pour l'administrateur pressé
n°1119582
hppp
Serveur@home
Posté le 07-03-2009 à 16:54:23  profilanswer
 

non marche pas, "la commande au serveur xx.xx.xx.xx à échoué"

n°1119585
Gf4x3443
Killing perfection
Posté le 07-03-2009 à 16:57:31  profilanswer
 
n°1119586
hppp
Serveur@home
Posté le 07-03-2009 à 17:14:34  profilanswer
 

ça change pas trop les logs ton lien:

 

j'étais déjà en DEBUG_LOGIN=2

 

et j'ai mi:
*.debug                        /var/log/debug
dans /etc/syslog.conf rebooté syslog mais change rien dans les logs, toujours les même.

 

Merci de ton aide mais je sent que je suis mal barré. :sweat:


Message édité par hppp le 07-03-2009 à 17:14:59
n°1119607
hppp
Serveur@home
Posté le 07-03-2009 à 21:33:21  profilanswer
 

Bon j'ai trouvé le problème qui viens de NFS, en local ça marche très bien mais dés que je met le répertoire vmail sur un partage nfs marche plus.
Donc y a un problème de droit, mais ce qui est bizarre c'est que postfix arrive à poser le courrier dans le répertoire vmail en nfs.
Avez vous une idée de la condig que je doit modifier?
 
voila ma config sur le serveur nfs:

Code :
  1. /opt/hdd1/nfs/vmail             172.20.xx.xx(rw,all_squash,anonuid=0,anongid=0,sync)


 
Merci de votre aide.

n°1119696
hppp
Serveur@home
Posté le 08-03-2009 à 12:35:51  profilanswer
 

résolu, j'ai enlevé all_squash dans ma ligne exports.

n°1119721
Gf4x3443
Killing perfection
Posté le 08-03-2009 à 14:47:45  profilanswer
 

Cramé, c'est ce que j'allais dire :D
 
Laisse un root squash quand même, surtout pour des boites mails.


---------------
Petit guide Kerberos pour l'administrateur pressé

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  [résolu] Cryptage du mot de passe sous courier IMAP et LDAP

 

Sujets relatifs
[résolu] [iptables] configuration du traffic entrant[Résolu] [dd] Comment écrire une chaine sur l'intégralité d'un disque?
lpr -o : comment modifier options configurables via GUI [RESOLU]imprimante hp hplip erreur 5012(resolu)
[Résolu] Démarrage difficile sous LennyImpossible de faire un makefile [resolu]
[résolu] Sidux et bugs d'affichage iceaweaseldhcp3(ubuntu)+ris+question diverse[RESOLU]
(98)Address already in use: make_sock: could not bind to [RESOLU] 
Plus de sujets relatifs à : [résolu] Cryptage du mot de passe sous courier IMAP et LDAP


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR