[résolu] Cryptage du mot de passe sous courier IMAP et LDAP

Cryptage du mot de passe sous courier IMAP et LDAP [résolu] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 07-03-2009 à 13:06:50    

Salut
 
Je chercher depuis un petit moment la commande pour dire à courier IMAP que le mdp est crypté en SSHA dans ldap.
Pour le mode CRYPT j'ai bien LDAP_CRYPTPW mais quand je met LDAP_SSHAPW marche pas et me fait comme erreur:
 

Code :
  1. Mar  7 13:01:11 falcon authdaemond: no password to compare against!


 
Donc ça doit pas être ça, j'ai chercher sur google mais pas trouvé. Merci de votre aide.


Message édité par hppp le 08-03-2009 à 12:36:03
Reply

Marsh Posté le 07-03-2009 à 13:06:50   

Reply

Marsh Posté le 07-03-2009 à 15:04:35    

Je pense pas que authdaemond supporte directement le SSHA. Reste la méthode du bind au serveur pour tester les credentials.

 

Edit: SHA => SSHA


Message édité par Gf4x3443 le 07-03-2009 à 16:00:33

---------------
Petit guide Kerberos pour l'administrateur pressé
Reply

Marsh Posté le 07-03-2009 à 15:39:37    

comment ça la méthode du bind? Merci

Reply

Marsh Posté le 07-03-2009 à 15:49:52    

authdaemond lance une opération de bind LDAP à l'annuaire avec les crédits utilisateur qu'on lui a passé. Si l'opération ne retourne pas d'erreur, c'est que l'utilisateur est bien dans l'annuaire LDAP.


---------------
Petit guide Kerberos pour l'administrateur pressé
Reply

Marsh Posté le 07-03-2009 à 16:03:19    

genre ça ?
 

Code :
  1. Mar  7 16:02:09 falcon authdaemond: authldaplib: sysusername=<null>, sysuserid=5000, sysgroupid=5000, homedir=/opt/nfs/vmail/, address=test, fullname=test, maildir=test/, quota=<null>, options=<null>
  2. Mar  7 16:02:09 falcon authdaemond: no password to compare against!


 
car que ça soit un mauvais ou bon mdp il s'affiche pour moi.

Reply

Marsh Posté le 07-03-2009 à 16:10:51    

Je peux difficilement dire en deux lignes de log... Ca serait plus simple avec le fichier de conf (authdaemonrc si je me souviens bien).


---------------
Petit guide Kerberos pour l'administrateur pressé
Reply

Marsh Posté le 07-03-2009 à 16:16:33    

non c'est avec authldaprc :
 

Code :
  1. LDAP_URI ldap://172.20.xxx.xxx:389
  3. LDAP_PROTOCOL_VERSION   3
  5. LDAP_BASEDN             dc=domaine, dc=local
  7. LDAP_BINDDN             cn=admin, dc=domaine, dc=local
  8. LDAP_BINDPW             xxxx
  10. LDAP_MAIL               cn
  12. LDAP_AUTHBIND 0
  14. ##NAME: LDAP_FILTER:0
  15. #
  16. # This LDAP filter will be ANDed with the query for the field defined above
  17. # in LDAP_MAIL.  So if you are querying for mail, and you have LDAP_FILTER
  18. # defined to be "(objectClass=CourierMailAccount)" the query that is performed
  19. # will be "(&(objectClass=CourierMailAccount)(mail=<someAccount> ))"
  20. #
  21. LDAP_FILTER           (objectClass=CourierMailAccount)
  23. LDAP_GLOB_UID           vmail
  24. LDAP_GLOB_GID           vmail
  26. #LDAP_HOMEDIR est OBLIGATOIRE.
  27. #LDAP_GLOB_HOMEDIR            /opt/nfs/vmail/
  28. LDAP_HOMEDIR            homeDirectory
  30. LDAP_MAILDIR            mailbox
  32. LDAP_DEFAULTDELIVERY    defaultDelivery
  34. LDAP_FULLNAME           cn
  36. LDAP_CLEARPW           userPassword
  37. #LDAP_SSHAPW userPassword


 
la j'ai le passe en claire car marche pas non plus en claire, même erreur je viens de voir.
et voila les logs:

Code :
  1. Mar  7 16:14:08 falcon imapd: Connection, ip=[:ffff:172.25.xx.xx]
  2. Mar  7 16:14:11 falcon authdaemond: received auth request, service=imap, authtype=login
  3. Mar  7 16:14:11 falcon authdaemond: authldap: trying this module
  4. Mar  7 16:14:11 falcon authdaemond: selected ldap protocol version 3
  5. Mar  7 16:14:11 falcon authdaemond: binding to LDAP server as DN 'cn=admin, dc=domaine, dc=local', password 'xxxxxxx'
  6. Mar  7 16:14:11 falcon authdaemond: using search filter: (&(objectClass=CourierMailAccount)(cn=test))
  7. Mar  7 16:14:11 falcon authdaemond: one entry returned, DN: uid=test,ou=Users,dc=domaine,dc=local
  8. Mar  7 16:14:11 falcon authdaemond: raw ldap entry returned:
  9. Mar  7 16:14:11 falcon authdaemond: | cn: test
  10. Mar  7 16:14:11 falcon authdaemond: | mailbox: test/
  11. Mar  7 16:14:11 falcon authdaemond: | homeDirectory: /opt/nfs/vmail/
  12. Mar  7 16:14:11 falcon authdaemond: | userPassword: xxxxxxx
  13. Mar  7 16:14:11 falcon authdaemond: authldaplib: sysusername=<null>, sysuserid=5000, sysgroupid=5000, homedir=/opt/nfs/vmail/, address=test, fullname=test, maildir=test/, quota=<null>, options=<null>
  14. Mar  7 16:14:11 falcon authdaemond: authldaplib: clearpasswd=xxxxxxx, passwd=<null>
  15. Mar  7 16:14:11 falcon authdaemond: Authenticated: sysusername=<null>, sysuserid=5000, sysgroupid=5000, homedir=/opt/nfs/vmail/, address=test, fullname=test, maildir=test/, quota=<null>, options=<null>
  16. Mar  7 16:14:11 falcon authdaemond: Authenticated: clearpasswd=xxxxxxx, passwd=<null>


 
je viens de voir le passwd=<null>, car je viens de mettre les logs en debug max. Merci de ton aide.

Reply

Marsh Posté le 07-03-2009 à 16:21:10    

Ok, avec LDAP_AUTHBIND 1, ca donne quoi?


---------------
Petit guide Kerberos pour l'administrateur pressé
Reply

Marsh Posté le 07-03-2009 à 16:25:12    

même problème, avec 1 ou si je commente.
 
LDAP_AUTHBIND sert à réinitialiser la connexion non?

Reply

Marsh Posté le 07-03-2009 à 16:32:45    

Avec les crédits de l'utilisateur obtenus par IMAP. C'est d'ailleurs lourd, vu que l'opération va nécessiter deux binds: un pour le compte IMAP qui va chercher des attributs (genre le userPassword) et un deuxième bind, cette fois avec le DN et le mdp de l'utilisateur. C'est cette deuxième connexion qui permet de vérifier que l'utilisateur est correct, quand la authlib de courier ne supporte pas un mécanisme/hash.
 
Et les logs sont exactement les mêmes? Pas d'indication de connexion avec le DN de l'utilisateur (uid=test,ou=Users,dc=domaine,dc=local)?


---------------
Petit guide Kerberos pour l'administrateur pressé
Reply

Marsh Posté le 07-03-2009 à 16:32:45   

Reply

Marsh Posté le 07-03-2009 à 16:41:54    

ah si bien vu, j'avais pas fait gaffe:
 
Mar  7 16:39:31 falcon imapd: Connection, ip=[:ffff:172.25.xx.xxx]
Mar  7 16:39:34 falcon authdaemond: received auth request, service=imap, authtype=login
Mar  7 16:39:34 falcon authdaemond: authldap: trying this module
Mar  7 16:39:34 falcon authdaemond: selected ldap protocol version 3
Mar  7 16:39:34 falcon authdaemond: binding to LDAP server as DN 'cn=admin, dc=domaine, dc=local', password 'xxxxxxx'
Mar  7 16:39:34 falcon authdaemond: using search filter: (&(objectClass=CourierMailAccount)(cn=test))
Mar  7 16:39:34 falcon authdaemond: one entry returned, DN: uid=test,ou=Users,dc=domaine,dc=local
Mar  7 16:39:34 falcon authdaemond: raw ldap entry returned:
Mar  7 16:39:34 falcon authdaemond: | cn: test
Mar  7 16:39:34 falcon authdaemond: | mailbox: test/
Mar  7 16:39:34 falcon authdaemond: | homeDirectory: /opt/nfs/vmail/
Mar  7 16:39:34 falcon authdaemond: | userPassword: xxxxxxx
Mar  7 16:39:34 falcon authdaemond: authldaplib: sysusername=<null>, sysuserid=5000, sysgroupid=5000, homedir=/opt/nfs/vmail/, address=test, fullname=test, maildir=test/, quota=<null>, options=<null>
Mar  7 16:39:34 falcon authdaemond: authldaplib: clearpasswd=xxxxxxx, passwd=<null>
Mar  7 16:39:34 falcon authdaemond: rebinding with DN 'uid=test,ou=Users,dc=domaine,dc=local' to validate password
Mar  7 16:39:34 falcon authdaemond: authentication bind successful
Mar  7 16:39:34 falcon authdaemond: Authenticated: sysusername=<null>, sysuserid=5000, sysgroupid=5000, homedir=/opt/nfs/vmail/, address=test, fullname=test, maildir=test/, quota=<null>, options=<null>
Mar  7 16:39:34 falcon authdaemond: Authenticated: clearpasswd=xxxxxxx, passwd=<null>


Message édité par hppp le 07-03-2009 à 16:43:38
Reply

Marsh Posté le 07-03-2009 à 16:51:01    

Et là, les accès à courier avec l'utilisateur fonctionnent ou pas? Qu'est ce que retourne la commande IMAP?


---------------
Petit guide Kerberos pour l'administrateur pressé
Reply

Marsh Posté le 07-03-2009 à 16:54:23    

non marche pas, "la commande au serveur xx.xx.xx.xx à échoué"

Reply

Marsh Posté le 07-03-2009 à 16:57:31    

Reply

Marsh Posté le 07-03-2009 à 17:14:34    

ça change pas trop les logs ton lien:

 

j'étais déjà en DEBUG_LOGIN=2

 

et j'ai mi:
*.debug                        /var/log/debug
dans /etc/syslog.conf rebooté syslog mais change rien dans les logs, toujours les même.

 

Merci de ton aide mais je sent que je suis mal barré. :sweat:


Message édité par hppp le 07-03-2009 à 17:14:59
Reply

Marsh Posté le 07-03-2009 à 21:33:21    

Bon j'ai trouvé le problème qui viens de NFS, en local ça marche très bien mais dés que je met le répertoire vmail sur un partage nfs marche plus.
Donc y a un problème de droit, mais ce qui est bizarre c'est que postfix arrive à poser le courrier dans le répertoire vmail en nfs.
Avez vous une idée de la condig que je doit modifier?
 
voila ma config sur le serveur nfs:

Code :
  1. /opt/hdd1/nfs/vmail             172.20.xx.xx(rw,all_squash,anonuid=0,anongid=0,sync)


 
Merci de votre aide.

Reply

Marsh Posté le 08-03-2009 à 12:35:51    

résolu, j'ai enlevé all_squash dans ma ligne exports.

Reply

Marsh Posté le 08-03-2009 à 14:47:45    

Cramé, c'est ce que j'allais dire :D
 
Laisse un root squash quand même, surtout pour des boites mails.


---------------
Petit guide Kerberos pour l'administrateur pressé
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed