Forum Linux.général PAM et restriction d'accès par utilisateur/IP à un service

Posté par  .
Étiquettes : aucune
0
21
oct.
2010
Salut,

J'ai besoin de restreindre l'accès à mon serveur POP3 (dovecot).
Dovecot est configuré pour utiliser PAM à l'authentification des utilisateurs.
Je voudrais restreindre l'accès au POP à l'IP (ou au hostname) de la machine cliente en fonction du login.

A l'installation de dovecot, un fichier "dovecot" a été rajouté dans le répertoire "/etc/pam.d/".
J'ai rajouté "account required pam_access.so" dans ce fichier et j'ai modifié le fichier "/etc/security/access.conf" :

+ : user : 1.2.3.4
- : ALL : ALL

Mais, l'authentification ne fonctionne plus ("-ERR Authentication failed.") même si je me connecte de puis l'adresse 1.2.3.4.

Quelle est mon erreur de configuration ? Pouvez-vous m'aiguiller ?
  • # Précision

    Posté par  . Évalué à 1.

    J'ai aussi essayé la règle :-:ALL EXCEPT user:1.2.3.4
    qui revient au même (si j'ai bien saisi la syntaxe). Mais ça ne fonctionne pas, non plus.
  • # Que disent les logs?

    Posté par  (site web personnel) . Évalué à 2.

    Tout est dans le titre.

    Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

    • [^] # Re: Que disent les logs?

      Posté par  . Évalué à 1.

      je n'ai trouvé que ce log dans le fichier "/var/log/security" : Oct 21 12:25:13 pop3-server dovecot-auth: pam_access(dovecot:account): access denied for user `user' from `::ffff:1.2.3.4'
      • [^] # Re: Que disent les logs?

        Posté par  . Évalué à 4.

        "::ffff:1.2.3.4" != "1.2.3.4" ?

        pas ça simplement ?
        • [^] # Re: Que disent les logs?

          Posté par  . Évalué à 2.

          Bien vu, tu as raison. Il faut être plus précis dans la définition de l'IP+ : user: ::ffff:1.2.3.4
          - : ALL : ALL
          Ça fonctionne.
          C'est étonnant, dans le fichier "access.conf", il a des exemples et des explications qui validait ma syntaxe.
          J'ai aussi fais le teste de mettre le nom de la machine cliente mais ça ne fonctionne pas non plus.

          Merci.
          • [^] # Re: Que disent les logs?

            Posté par  . Évalué à 2.

            ton utilisateur se presente avec une IPv6 ::ffff:1.2.3.4
            il faut donc configurer PAM pour voire cette IPv6

            et pas l'IPv4 1.2.3.4

            ce n'est clairement pas la meme chose
            • [^] # Re: Que disent les logs?

              Posté par  . Évalué à 1.

              ::ffff:1.2.3.4 c'est une adresse v4 mappée en v6, pas une adresse v6 en tant que telle.

              http://fr.wikipedia.org/wiki/Adresse_IPv6_mappant_IPv4
              • [^] # Re: Que disent les logs?

                Posté par  . Évalué à 2.

                oui merci, j'avais deviné

                ce que je voulais dire c'est qu'il autorisait l'utilisateur à partir d'une IPv4.
                mais que cet utilisateur se presentait avec une "IPv4 mappée en v6"

                du coup PAM ne le laissait pas entrer.

                il faut donc soit desactiver l'IPv6, soit faire l'autorisation sur du IPv6

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.