J'ai créé des users dans MNF apres installation

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar Jac33 » 14 Juin 2003 17:15

Lourde erreur <BR>Après plusieurs essais, il s'avère que la création des users se fait bien avec userad+passwd, mais que leur authenfication ne fonctionne qu'une fois et supprime l'authentification des autres users qui se connectent. <BR> <BR>Donc, en gros, le premier utilisateur qui se connecte après redémarrage de squid sera le seul ensuite à pouvoir s'authentifier. <BR> <BR>argh <IMG SRC="images/smiles/icon_cussing.gif"> <BR><BR><font size=-2></font>
Avatar de l’utilisateur
Jac33
Matelot
Matelot
 
Messages: 7
Inscrit le: 13 Juin 2003 00:00
Localisation: Bordeaux

Messagepar DgSe95 » 14 Juin 2003 18:54

tu devrais aussi définir le shell correspondant a tes user ainsi que leur répertoire home si tu le souhaite, avec une durée de validité de tes users. <BR> <BR>normalement si tu ne créer pas de groupe ta commande ne devrais pas marchée.... mais je me trompe peut être. <BR> <BR>sous trustix, pour créer les users (rien n'est fait de base sur cette distrib, donc j'ai du bcp chercher) mais normalement ma commande devrais marcher. <BR> <BR>il est vrai que si tu ajoute "-p" dans ta commande d'useradd, cela ne fonctionne pas car le mdp est clair dans /etc/shadow" comme tu l'a expliquer. <BR> <BR>ma commande : <BR> <BR>groupadd test <BR> <BR>useradd test -g test (test sera dans le groupe test) -d /home/test (rep de test) -s /dev/null (shell de test, on peut mettre aussi /dev/nologin) -e 365 (valide pendant 365 jour) <BR> <BR>tu peux aussi utiliser -G au lieu de -g si tu veux que ton user appartienne a plusieur groupe <BR> <BR>passwd test <BR> <BR>et normalement cela fonctionne, en tout cas chez moi. <BR> <BR>verifie aussi que le home directory de l'user "test" comme dans mon exemple ai les bon droit qu'il lui appartienne bien
DgSe95 est de retour :)
Avatar de l’utilisateur
DgSe95
Vice-Amiral
Vice-Amiral
 
Messages: 666
Inscrit le: 03 Mars 2003 01:00
Localisation: Genève, Suisse

Messagepar ossi » 14 Juin 2003 20:01

Bon, chez moi c'est pas top top ... <BR>j'ai pu créer mes utilisateurs avec newusers... nickel... but : <BR>Les utilisateurs que j'ai créés appartiennent tous au même groupe "users - 100" (défault) et ont comme shell "/bin/false" histoire d'éviter les bêtises !!!!! <IMG SRC="images/smiles/icon_eek.gif"> <BR>Malheureusement ces utilisateurs ne peuvent s'authentifier sur le proxy MNF...la connexion est refusée. <BR>Auparavant, mes utilisateurs je l'ai créé avec la cmd adduser et il n'y avait aucun problème, sauf des crampes de doigts d'où ma question déjà posée la semaine dernière dans ce forum.... <IMG SRC="images/smiles/icon_redface.gif"> <BR>newusers était bien pratique car il permettai de créer plusieurs comptes d'une traite à partir d'un simple fichier texte. <BR>Quelqu'un peut il me dire où c'est que ça pêche ????? <BR>Les utilisateurs doivent il appartenir a un ou des groupes précis (squid par ex ...), doivent il avoir un shell précis ????? <BR>Ca fait deux jours que je planche la dessus et je pense que je vais me finir au gazzzzzzzzzzzzzzzzzzzzzz ce soir <IMG SRC="images/smiles/icon_cussing.gif"> <BR>
Avatar de l’utilisateur
ossi
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 147
Inscrit le: 10 Juin 2003 00:00
Localisation: Paris

Messagepar DgSe95 » 14 Juin 2003 20:10

pour l'appartenance a un shell précis, je ne crois pas. mais pour l'appartenance a un group précis, là je ne sais pas du tout. <BR> <BR>ton pb peut venir de la définition des mdp de tes users <BR> <BR>si il ne sont pas crypter par la commande passwd "user" cela ne fonctionnera pas <BR> <BR>dommage que grosbedos ne soit pas là, il avait créer un script pour creer des users, a partir d'un fichier texte contenant : les noms, group et mdp des users, et ça fonctionnait très bien
DgSe95 est de retour :)
Avatar de l’utilisateur
DgSe95
Vice-Amiral
Vice-Amiral
 
Messages: 666
Inscrit le: 03 Mars 2003 01:00
Localisation: Genève, Suisse

Messagepar Jac33 » 15 Juin 2003 11:47

To ossi : <BR>Tu peux regarder dans le fichier /etc/shadow <BR>Si tes mots de passe sont en clair, eh bien il faut te reprendre chaque mot de passe à la papatte avec paswd. <BR>C'est pas élégant mais ça va bien plus vite qu'on ne l'imagine. <BR>
Avatar de l’utilisateur
Jac33
Matelot
Matelot
 
Messages: 7
Inscrit le: 13 Juin 2003 00:00
Localisation: Bordeaux

Messagepar Jacques- » 15 Juin 2003 20:43

Essaye de modifier un de tes utilisateurs, en changeant le shell (/bin/bass) et en créant un répertoire home classique. En fait, si cela ne marche pas danssquid, il faut comparer les 2 utilisateurs et trouver ce qui coince, le shell suffit peut-êtrre en effet, mais il doit y avoir moyen de rajouter une option dans le fichier de config de squid pour autoriser un shell nul (sinon, dans ma oîte, on aurait tous un compte valide sur la passerelle... <BR> <BR>Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar DgSe95 » 17 Juin 2003 15:22

pas super top le shell valide sur la passerelle.... <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>je plaisante jacques-
DgSe95 est de retour :)
Avatar de l’utilisateur
DgSe95
Vice-Amiral
Vice-Amiral
 
Messages: 666
Inscrit le: 03 Mars 2003 01:00
Localisation: Genève, Suisse

Messagepar Jacques- » 18 Juin 2003 13:08

C'est bien pour cela que je pense qu'il est possible de se passer d'un shell pour squid. <BR>Il y a bien plus d'un millier de comptes autorisés à accéder au web via le squid de la boîte où je bosse, et je ne pense vraiment pas que l'admin soit assez fou pour laisser un shell à tout le monde !! <BR>Donc, c'est possible, reste à trouver comment... <BR> <BR>Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar tomtom » 18 Juin 2003 15:10

Il faut indiquer au systeme que /bin/false est un shell valide. <BR> <BR>Sur ma debian, ça se passe dans le fichier /etc/shells <BR> <BR>Il doit exister l'equivalent sur lamandrake, peut-etre bien au même endroit. <BR> <BR>Tout ce que tu mets comme shell pour les utilisateurs doit etre renseigné dans ce fichier pour etre valide. <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar rak » 19 Juin 2003 09:14

personne n a de problème de logs???? <BR>Car mes comptes sont créés correctement grâce à un script mais le problème c est qu'il n y a qu'un seul compte à la fois ki peut se connect! <BR>Bizar Bizar.... <BR>Si jamais quelqu'un en sait d'avantage, qu'il fasse signe !!!!! <BR>@+ <IMG SRC="images/smiles/icon_cussing.gif">
Avatar de l’utilisateur
rak
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 17 Juin 2003 00:00

Messagepar bghilardi » 19 Juin 2003 14:50

J'AI TROUVE !!! <BR> <BR>Enfin, comment regler le problème: <BR> <BR>Il faut modifier les regle de Pam pour squid. Je pense qu'il y a un bug sur au niveau du fichier pam_stack.so. <BR> <BR>Aller dans /etc/pam.d/ <BR>Editer le fichier squid et mettre ses lignes. <BR> <BR>#%PAM-1.0 <BR>#auth required /lib/security/pam_nologin.so <BR>#session required /lib/security/pam_limits.so <BR>auth requisite pam_pwdb.so shadow <BR>account requisite pam_pwdb.so shadow <BR>session requisite pam_pwdb.so shadow <BR>password requisite pam_pwdb.so shadow <BR> <BR>Attention: tous les utilisateurs enregistres on le droit de sortir. Pour les bloquer voir dansguardian. <BR> <BR>Voila... JE SUIS CONTENT <BR> <BR> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_biggrin.gif"> <IMG SRC="images/smiles/icon_up.gif">
Avatar de l’utilisateur
bghilardi
Second Maître
Second Maître
 
Messages: 34
Inscrit le: 18 Juin 2003 00:00

Messagepar rak » 19 Juin 2003 16:21

joli mon gas tu nous tire de bo draps!!! <BR>enfin je vais kan meme tester ça avant de trop me réjouir!!! <BR>a++ <IMG SRC="images/smiles/icon_up.gif">
Avatar de l’utilisateur
rak
Quartier Maître
Quartier Maître
 
Messages: 14
Inscrit le: 17 Juin 2003 00:00

Messagepar DgSe95 » 19 Juin 2003 20:34

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-06-18 15:10, tomtom a écrit: <BR>Il faut indiquer au systeme que /bin/false est un shell valide. <BR> <BR>Sur ma debian, ça se passe dans le fichier /etc/shells <BR> <BR>Il doit exister l'equivalent sur lamandrake, peut-etre bien au même endroit. <BR> <BR>Tout ce que tu mets comme shell pour les utilisateurs doit etre renseigné dans ce fichier pour etre valide. <BR> <BR>T. <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>merci tomtom, j'avais déjà déclarer des shell non valide, pour éviter les accès, mais je ne savais pas que les shell valides était renseigner dans ce fichier ! <BR> <BR>mais si je met /dev/null comme shell non valide, ça devrait aller, sans créer de trou de sécurité ? <BR> <BR>ps : heureusement que je ne suis pas en production, mais chez moi ! <IMG SRC="images/smiles/icon_biggrin.gif">
DgSe95 est de retour :)
Avatar de l’utilisateur
DgSe95
Vice-Amiral
Vice-Amiral
 
Messages: 666
Inscrit le: 03 Mars 2003 01:00
Localisation: Genève, Suisse


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron