[RESOLU] modifier son mot de passe par internet

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

[RESOLU] modifier son mot de passe par internet

Messagepar mhemart » 19 Juil 2006 12:03

Bonjour à tous,
J'essaye de trouver une solution pour permettre aux personnes qui utilisent mon serveur de pouvoir modifier leur mot de passe ou autre. J'ai installé le rpm user-manager mais pour l'utiliser, il faut être à l'intérieur de son réseau local. La seule méthode que j'avais trouvée était de créer un réseau 0.0.0.0 avec un masque de 0.0.0.0. Ca ne me convient pas parce qu'il ne s'agit pas d'une solution très orthodoxe et encore moins sécurisée ! Je n'y connais pas grand chose en VPN mais j'ai déclaré mes utilisateurs avec un accès VPN mais cela ne change rien à l'accès à cette interface (erreur 403). Quelqu'un aurait-il une solution à me proposer ?
Merci d'avance.
Dernière édition par mhemart le 20 Juil 2006 14:18, édité 1 fois au total.
mhemart
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 17 Juil 2006 14:33

Ca m'apprendra à poster trop vite...

Messagepar mhemart » 19 Juil 2006 14:02

J'ai trouvé comment faire. Dans les accès à distance, il suffit de modifier le nombre de connexion PPTN et de rajouter 0.0.0.0 et 0.0.0.0 dans les hôtes.

Merci de m'avoir lu malgré tout !
mhemart
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 17 Juil 2006 14:33

Messagepar leso » 19 Juil 2006 22:39

avec ce lien ca marchait pas? http://nom ou domaine du sme/user-password
MCITP Windows Server 2008, Enterprise Administrator
MCITP Windows Server 2008, Server Administrator
MCITP Exchange 2007 Enterprise Messaging Administrator
Avatar de l’utilisateur
leso
Vice-Amiral
Vice-Amiral
 
Messages: 648
Inscrit le: 03 Avr 2003 00:00
Localisation: Paris

Messagepar mhemart » 20 Juil 2006 07:53

Salut leso,
Non, ça ne marchait pas, mes utilisateurs tombaient sur un accès 403 (forbidden).
L'essentiel est que ça fonctionne maintenant sans avoir à déclarer tout internet comme un réseau local !!! :roll:
mhemart
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 17 Juil 2006 14:33

Messagepar Muzo » 20 Juil 2006 08:23

Salut,

mhemart a écrit:Salut leso,
Non, ça ne marchait pas, mes utilisateurs tombaient sur un accès 403 (forbidden).
L'essentiel est que ça fonctionne maintenant sans avoir à déclarer tout internet comme un réseau local !!! :roll:


Alors l'authentification ssh fonctionne aussi via le net? donc o eut accéder à ton compte ROOT depuis le net?
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar mhemart » 20 Juil 2006 08:39

Salut Muzo,
euh oui j'ai mis l'accès à l'authentification SSH par le net et donc par la même occasion, je peux accéder à mon compte ROOT. Je sens que c'est pas une bonne idée ça ??? :?
Disons que pour le moment j'essaye d'installer mon système avant de désactiver l'authentification SSH.
Si tu as des conseils pour sécuriser mon serveur mais tout en me laissant la possibilité de pouvoir y accéder de temps en temps, étant donné que je débute, ce serait sympa !

Petite correction : non, j'ai dit une erreur (pas réveillé ce matin !), j'ai désactivé l'accès SSH à travers internet et j'ai déclaré l'adresse IP fixe de l'ordinateur qui me sert à accéder au serveur en tant que réseau local. Donc pas d'accès SSH à travers le net (seulement pour les réseaux locaux, ce qui inclus l'ordi de l'autre côté du net !). Déjà moins dangereux comme accès ?
mhemart
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 17 Juil 2006 14:33

Messagepar Muzo » 20 Juil 2006 09:03

Non car tu as déclaré le net comme faisant parti de ton réseau local.
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar mhemart » 20 Juil 2006 09:08

OK, donc j'ai ouvert un trou gros comme une maison dans ma sécurité alors ?
J'ai lu sur le site de SMEServer.fr qu'il y avait une autre solution :
la solution la plus sécurisante, consistant à désactiver l'option Autoriser l'administrateur à se connecter au serveur par SSH dans la page Accès à distance du gestionnaire du serveur. Mais ceci impose bien entendu de pouvoir se loguer avec un autre compte pour administrer le serveur via SSH

Y a t il une possibilité de créer un utilisateur ayant les même pouvoirs que le ROOT ?
mhemart
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 17 Juil 2006 14:33

Messagepar Muzo » 20 Juil 2006 09:31

Oui, c'est faisable.
Mais là si tu veux en savoir plus je te conseil de surfer sur le site léa-linux ;)
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar MasterSleepy » 20 Juil 2006 09:55

Salut,

Il y a une autre solution,
modifier le template pour la gestion de user-password.
Voici comment je ferais

ATTENTION uniquement sur la version 6
Création du répertoire de template
Code: Tout sélectionner
mkdir -p /etc/e-smith/templates/etc/httpd/conf/httpd.conf/

Copie de l'ancien template
Code: Tout sélectionner
cp /etc/e-smith/templates/etc/httpd/conf/httpd.conf/92ProxyPassPassword /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/92ProxyPassPassword

Modification du template
Code: Tout sélectionner
pico /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/92ProxyPassPassword

il devra ressembler à
Code: Tout sélectionner
{
# ProxyPass executes a module which relays requests to another server
# We use it to allow transparent access to the admin instance of the
# web server.
}

ProxyPass /e-smith-password http://127.0.0.1:980/user-password/
<Location /e-smith-password>
    RequireSSL on
    order deny,allow
    deny from all
    allow form all
</Location>

ProxyPass /user-password http://127.0.0.1:980/user-password/
<Location /user-password>
    RequireSSL on

    order deny,allow
    deny from all
    allow from all
</Location>

et enfin le classique
Code: Tout sélectionner
/sbin/e-smith/expand-template /etc/httpd/conf/httpd.conf
service httpd-e-smith gracefull


Donc ca se serait pour la version 6.
Je cherche encore pour la 7.
Je reviens dès que j'ai trouvé.

A+
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Messagepar Grand-Pa » 20 Juil 2006 10:01

Plutôt que de créer des comptes "sudo" (qui ne me semblent pas vraiment utiles dans ton cas), une solution plus simple pourrait être, depuis le gestionnaire du serveur :
- "Réseaux locaux" : NE PAS mettre de machines externes (ie. sur Internet) !!!
- "Accès à distance" / "gestion à distance" : tu indiques la ou les machines qui peuvent accéder à la gestion du serveur (pour avoir accès aux gestionnaires du serveur et des mots de passe)
- "Accès à distance" / "Paramètres SSH" : dans l'ordre, il faut mettre "Permettre l'accès public (tout Internet)", "Non", "Non" (pour avoir accès au shell depuis le Net)

Ensuite, tu crées un utilisateur lambda, tu l'autorise à accéder au shell et tu lui crées sa paire de clés SSH.
Comme indiqué dans le dernier lien, tu te connectes avec cet utilisateur et pour ouvrir une session root, il suffit de taper en ligne de commande su et d'indiquer le mot de passe root.
Et hop, finis les galons !
Avatar de l’utilisateur
Grand-Pa
Vice-Amiral
Vice-Amiral
 
Messages: 728
Inscrit le: 08 Avr 2002 00:00
Localisation: Gap, France

Messagepar mhemart » 20 Juil 2006 10:06

Salut Master, je crois que cette solution est déjà quelque chose qui me plait beaucoup plus. Je pense avoir compris la façon dont ça fonctionne mais pour simple vérification, si tu pouvais me donner la bonne version pour la SME7, je vais essayer de mon côté de chipoter au template et voir si j'obtiens quelque chose.
En ce qui concerne la méthode de Muzo, j'ai lu quelque chose à propos de la modification du fichier sudoers. Par contre, je ne connais pas encore bien linux donc, je continue de creuser cette piste pour gagner en sécurité.

J'adore cette communauté super-réactive, ça fait plaisir de débuter sous un nouveau système d'exploitation de cette manière !
mhemart
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 17 Juil 2006 14:33

Messagepar mhemart » 20 Juil 2006 10:11

Bonjour et merci Grand-Pa !
En combinant ta méthode et celle de Master, je pense arriver au compromis que je voulais obtenir !
Encore merci !
mhemart
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 17 Juil 2006 14:33

Messagepar MasterSleepy » 20 Juil 2006 10:12

OK j'ai trouvé la solution pour la version 7.

Voici donc la procédure

Création du répertoire de template
Code: Tout sélectionner
mkdir /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/VirtualHosts


copy de l'ancien template
Code: Tout sélectionner
cp /etc/e-smith/templates/etc/httpd/conf/httpd.conf/VirtualHosts/27ManagerProxyPass /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/VirtualHosts/


Modification du template
Code: Tout sélectionner
pico /etc/e-smith/templates-custom/etc/httpd/conf/httpd.conf/VirtualHosts/27ManagerProxyPass


Il doit resembler à:
Code: Tout sélectionner
{
    # vim: ft=perl:

    $haveSSL = (exists ${modSSL}{status} and ${modSSL}{status} eq "enabled") ?  'yes' : 'no';
    $plainTextAccess = ${'httpd-admin'}{PermitPlainTextAccess} || 'no';

    $OUT = '';
    foreach $place ('server-manager','server-common')
    {
        if (($port eq "80") && ($haveSSL eq 'yes') && ($plainTextAccess ne 'yes'))
        {
            $OUT .= "    RewriteRule ^/$place(/.*|\$)    https://%{HTTP_HOST}/$place\$1 [L,R]\n";
        } else {
            $OUT .= "    ProxyPass /$place http://127.0.0.1:${'httpd-admin'}{TCPPort}/$place/\n";
        }

        $OUT .= "    <Location /$place>\n";
        $OUT .= "        order deny,allow\n";
        $OUT .= "        deny from all\n";
        if (($haveSSL eq 'yes') && (($port eq "443") || ($plainTextAccess ne 'yes')))
        {
            $OUT .= "        allow from $localAccess $externalSSLAccess\n";
        } else {
            $OUT .= "        allow from $localAccess\n";
        }
        $OUT .= "    </Location>\n";
    }
      if (($port eq "80") && ($haveSSL eq 'yes') && ($plainTextAccess ne 'yes'))
      {
            $OUT .= "    RewriteRule ^/user-password(/.*|\$)    https://%{HTTP_HOST}/user-password\$1 [L,R]\n";
      } else {
            $OUT .= "    ProxyPass /user-password http://127.0.0.1:${'httpd-admin'}{TCPPort}/user-password/\n";
      }

      $OUT .= "    <Location /user-password>\n";
      $OUT .= "        order deny,allow\n";
      $OUT .= "        deny from all\n";
      $OUT .= "        allow from all\n";
      $OUT .= "    </Location>\n";
}


et enfin
Code: Tout sélectionner
expand-template /etc/httpd/conf/httpd.conf
service httpd-e-smith sigusr1


A+
"Microsoft fera quelque chose qui ne plantera jamais quand ils commenceront à fabriquer des clous "
http://www.vanhees.cc
Avatar de l’utilisateur
MasterSleepy
Amiral
Amiral
 
Messages: 2625
Inscrit le: 24 Juil 2002 00:00
Localisation: Belgique

Messagepar mhemart » 20 Juil 2006 11:00

Merci à vous deux, j'ai enfin réussi à trouver la solution à ce problème ! J'ai pu conserver l'accès administrateur malgré tout et j'ai enfin une base pour modifier les accès pour mes utilisateurs !

Très bonne réactivité de votre part, je tire mon chapeau !!
mhemart
Quartier Maître
Quartier Maître
 
Messages: 18
Inscrit le: 17 Juil 2006 14:33

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité