Forum Linux.général PAM et restriction d'accès par utilisateur/IP à un service

Posté par Doude le 21 octobre 2010 à 12:54.

Étiquettes : aucune

oct.

2010

Salut,

J'ai besoin de restreindre l'accès à mon serveur POP3 (dovecot).
Dovecot est configuré pour utiliser PAM à l'authentification des utilisateurs.
Je voudrais restreindre l'accès au POP à l'IP (ou au hostname) de la machine cliente en fonction du login.

A l'installation de dovecot, un fichier "dovecot" a été rajouté dans le répertoire "/etc/pam.d/".
J'ai rajouté "account required pam_access.so" dans ce fichier et j'ai modifié le fichier "/etc/security/access.conf" :

+ : user : 1.2.3.4

- : ALL : ALL

Mais, l'authentification ne fonctionne plus ("-ERR Authentication failed.") même si je me connecte de puis l'adresse 1.2.3.4.

Quelle est mon erreur de configuration ? Pouvez-vous m'aiguiller ?

# Précision

Posté par Doude le 21 octobre 2010 à 13:05. Évalué à 1.

J'ai aussi essayé la règle :-:ALL EXCEPT user:1.2.3.4qui revient au même (si j'ai bien saisi la syntaxe). Mais ça ne fonctionne pas, non plus.
# Que disent les logs?

Posté par nono14 (site web personnel) le 21 octobre 2010 à 13:43. Évalué à 2.

Tout est dans le titre.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
- [^] # Re: Que disent les logs?
  
  Posté par Doude le 21 octobre 2010 à 14:31. Évalué à 1.
  
  je n'ai trouvé que ce log dans le fichier "/var/log/security" : Oct 21 12:25:13 pop3-server dovecot-auth: pam_access(dovecot:account): access denied for user `user' from `::ffff:1.2.3.4'
  - [^] # Re: Que disent les logs?
    
    Posté par gst le 21 octobre 2010 à 15:30. Évalué à 4.
    
    "::ffff:1.2.3.4" != "1.2.3.4" ?
    
    pas ça simplement ?
    - [^] # Re: Que disent les logs?
      
      Posté par Doude le 21 octobre 2010 à 15:49. Évalué à 2.
      
      Bien vu, tu as raison. Il faut être plus précis dans la définition de l'IP+ : user: ::ffff:1.2.3.4 - : ALL : ALLÇa fonctionne.
      C'est étonnant, dans le fichier "access.conf", il a des exemples et des explications qui validait ma syntaxe.
      J'ai aussi fais le teste de mettre le nom de la machine cliente mais ça ne fonctionne pas non plus.
      
      Merci.
      - [^] # Re: Que disent les logs?
        
        Posté par NeoX le 21 octobre 2010 à 16:04. Évalué à 2.
        
        ton utilisateur se presente avec une IPv6 ::ffff:1.2.3.4
        il faut donc configurer PAM pour voire cette IPv6
        
        et pas l'IPv4 1.2.3.4
        
        ce n'est clairement pas la meme chose
        
        [^] # Re: Que disent les logs?
        
        Posté par symoon le 22 octobre 2010 à 14:16. Évalué à 1.
        
        ::ffff:1.2.3.4 c'est une adresse v4 mappée en v6, pas une adresse v6 en tant que telle.
        
        http://fr.wikipedia.org/wiki/Adresse_IPv6_mappant_IPv4
        
        [^] # Re: Que disent les logs?
        
        Posté par NeoX le 24 octobre 2010 à 00:36. Évalué à 2.
        
        oui merci, j'avais deviné
        
        ce que je voulais dire c'est qu'il autorisait l'utilisateur à partir d'une IPv4.
        mais que cet utilisateur se presentait avec une "IPv4 mappée en v6"
        
        du coup PAM ne le laissait pas entrer.
        
        il faut donc soit desactiver l'IPv6, soit faire l'autorisation sur du IPv6

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.