Active Directory (LAN) et hMailServeur (DMZ)
-
Bonsoir à tous !
Je suis en train d’essayer de travailler sur pfSense, j'ai donc simuler tout ceci via des machines virtuelles (VMWare) avec une DMZ, une LAN et WAN. La DMZ contient un serveur WEB et un serveur mail. Le LAN l'AD et le WAN un client windows.
Contexte : Personnel pour faire des tests, niveau BAC +2,
Besoin : Mon serveur hmail (DMZ) doit récupérer les compte de l'AD (LAN) pour pouvoir crée les compte mails, ensuite une fois les compte récupérer configurer les comptes sur le réseau WAN ou LAN. Et une fois tout configurer pouvoir envoyer et recevoir les mails depuis le LAN ou le WAN.
Schéma :
WAN :
-
Interface pfSense 192.168.1.254/24
-
Poste Client WAN (Fixe) (192.168.1.150/24)
-
Pas d'accès à internet
LAN :
-
Interface pfSense 172.16.0.254/16
-
AD/DNS : 172.16.0.11/16
-
Poste Client LAN (Fixe) (172.16.0.150/16)
DMZ :
-
Interface pfSense 192.168.2.254/24
-
1 Serveur WEB (192.168.2.1/24)
-
1 Serveur MAIL (hMailServer) (192.168.2.2/24)
Règles :
WAN : http://i.imgur.com/gqEcLbe.png
LAN : Aucunes
DMZ : http://i.imgur.com/FRBg9Pf.png
Question :
- Impossible de récupérer les compte AD via hmail
- Impossible de configurer le compte mail sur le WAN
Pour récupérer les compte j'ai penser à utiliser le port 389 (LDAP) voir même le port 636 (LDAP SSL) pour pouvoir y accéder mail impossible j'ai le droit à un message d'erreur sur hmail serveur quand je fait la recherche de compte…
Pour la configuration du compte j'ai crée les règles NAT selon le port 25 et 110 (SMTP et POP) : J'ai le droit à mauvais mot de passe depuis le WAN (or le mot de passe est bon)
Logs et tests : Tests effectué mis ci dessus
Merci à tous pour votre aide futur !
-
-
:o /16 :o
C'est pour un test mais j'espère que tu comprends bien que ça n'a pas d'intérêt… Does size matter? ;)Plus sérieusement:
Ton annuaire LDAP n'est pas un annuaire LDAP mais un AD, ce qui signifie qu'il y a quelques contraintes au niveau de l'authentification parce que Microsoft estime que si tu utilises AD, alors tu es connecté au domaine, donc Kerberos donc SASL (GSSAPI)Je ne suis pas certain que les ports 389 et 636 soient, par défaut, ouverts à de l’authentification "simple" contrairement au port 3268 (Global Catalog)
Mais dans tous les cas, tu ne peux pas faire un post qui dit juste
…impossible j'ai le droit à un message d'erreur sur hmail serveur quand je fait la recherche de compte...
Tu devrais à minima décrire le message d'erreur et meiux, aller voir dans le log pur fournir un complément d'information.
Si tu as un code erreur LDAP 49, c'est un mot de passe erroné mais il y a plein d'autres raisons pour lesquelles ça peut ne pas fonctionner.https://technet.microsoft.com/en-us/library/cc755809(v=ws.10).aspx
AMHA, pour faire ce genre de test, sauf si tu as ensuite des contraintes pour t'appuyer sur un domaine Microsoft, un simple OpenLDAP ou équivalent est bien mieux qu'un AD. Et surtout tu auras des vrais messages dans le log alors que le log "LDAP" de Microsoft, c'est n’importe quoi !
-
Tu devrais à minima décrire le message d'erreur et mieux, aller voir dans le log pur fournir un complément d'information.
Tu as raison, lorsque je essaie d'ajouter des comptes, il est sensé aller chercher sur l'AD les comptes. Sauf que j'ai le droit à ce message là.
Retrieving of domains failed
le contexte de sécurité actuel n'est pas associé à un domaine ou une forêt active directoryDe mon coté j'ai fait un autre test, j'ai installer WireShark sur le serveur Mail et lancer une capture.
En Request :
- Port Source 49203
- Port Destination : 389
En Réponse :
- Port Source : 389
- Port Destination : 49203
Capture Wireshark : http://i.imgur.com/taWv5rU.png
Donc en créant deux règles (Aller & Retour) : http://i.imgur.com/UcKgNn6.png
Je réussi bien à récupérer les comptes de l'AD !
Merci de ton aide en tout cas ! Je vais continuer avec la configuration des comptes. Je reviens vers vous pour vous informer.
-
Il y a un truc pas clair: j'ai regardé rapidement les règles que tu avais posté et il me semblait qu'il y avait déjà une règle pour le port 389. Qu'as-tu donc ajouté ?
Au passage, 389, c'est du LDAP en clair, donc le mot de passe en base64, c'est à dire en clair aussi (ou presque). LDAPS en 636, c'est mieux ;)