Active Directory (LAN) et hMailServeur (DMZ)



  • Bonsoir à tous !

    Je suis en train d’essayer de travailler sur pfSense, j'ai donc simuler tout ceci via des machines virtuelles (VMWare) avec une DMZ, une LAN et WAN. La DMZ contient un serveur WEB et un serveur mail. Le LAN l'AD et le WAN un client windows.

    Contexte : Personnel pour faire des tests, niveau BAC +2,

    Besoin : Mon serveur hmail (DMZ) doit récupérer les compte de l'AD (LAN) pour pouvoir crée les compte mails, ensuite une fois les compte récupérer configurer les comptes sur le réseau WAN ou LAN.  Et une fois tout configurer pouvoir envoyer et recevoir les mails depuis le LAN ou le WAN.

    Schéma :

    WAN :

    • Interface pfSense 192.168.1.254/24

    • Poste Client  WAN (Fixe) (192.168.1.150/24)

    • Pas d'accès à internet

    LAN :

    • Interface pfSense 172.16.0.254/16

    • AD/DNS : 172.16.0.11/16

    • Poste Client LAN (Fixe)  (172.16.0.150/16)

    DMZ :

    • Interface pfSense 192.168.2.254/24

    • 1 Serveur WEB (192.168.2.1/24)

    • 1 Serveur MAIL (hMailServer) (192.168.2.2/24)

    Règles :

    WAN : http://i.imgur.com/gqEcLbe.png

    LAN : Aucunes

    DMZ : http://i.imgur.com/FRBg9Pf.png

    Question :

    • Impossible de récupérer les compte AD via hmail
    • Impossible de configurer le compte mail sur le WAN

    Pour récupérer les compte j'ai penser à utiliser le port 389 (LDAP) voir même le port 636 (LDAP SSL) pour pouvoir y accéder mail impossible j'ai le droit à un message d'erreur sur hmail serveur quand je fait la recherche de compte…

    Pour la configuration du compte j'ai crée les règles NAT selon le port 25 et 110 (SMTP et POP) : J'ai le droit à mauvais mot de passe depuis le WAN (or le mot de passe est bon)

    Logs et tests : Tests effectué mis ci dessus

    Merci à tous pour votre aide futur !



  • :o  /16  :o
    C'est pour un test mais j'espère que tu comprends bien que ça n'a pas d'intérêt… Does size matter?  ;)

    Plus sérieusement:
    Ton annuaire LDAP n'est pas un annuaire LDAP mais un AD, ce qui signifie qu'il y a quelques contraintes au niveau de l'authentification parce que Microsoft estime que si tu utilises AD, alors tu es connecté au domaine, donc Kerberos donc SASL (GSSAPI)

    Je ne suis pas certain que les ports 389 et 636 soient, par défaut, ouverts à de l’authentification "simple" contrairement au port 3268 (Global Catalog)

    Mais dans tous les cas, tu ne peux pas faire un post qui dit juste

    …impossible j'ai le droit à un message d'erreur sur hmail serveur quand je fait la recherche de compte...

    Tu devrais à minima décrire le message d'erreur et meiux, aller voir dans le log pur fournir un complément d'information.
    Si tu as un code erreur LDAP 49, c'est un mot de passe erroné mais il y a plein d'autres raisons pour lesquelles ça peut ne pas fonctionner.

    https://technet.microsoft.com/en-us/library/cc755809(v=ws.10).aspx

    AMHA, pour faire ce genre de test, sauf si tu as ensuite des contraintes pour t'appuyer sur un domaine Microsoft, un simple OpenLDAP ou équivalent est bien mieux qu'un AD. Et surtout tu auras des vrais messages dans le log alors que le log "LDAP" de Microsoft, c'est n’importe quoi !



  • Tu devrais à minima décrire le message d'erreur et mieux, aller voir dans le log pur fournir un complément d'information.

    Tu as raison, lorsque je essaie d'ajouter des comptes, il est sensé aller chercher sur l'AD les comptes. Sauf que j'ai le droit à ce message là.

    Retrieving of domains failed
    le contexte de sécurité actuel n'est pas associé à un domaine ou une forêt active directory

    De mon coté j'ai fait un autre test, j'ai installer WireShark sur le serveur Mail et lancer une capture.

    En Request :

    • Port Source 49203
    • Port Destination : 389

    En Réponse :

    • Port Source : 389
    • Port Destination : 49203

    Capture Wireshark : http://i.imgur.com/taWv5rU.png

    Donc en créant deux règles (Aller & Retour) :  http://i.imgur.com/UcKgNn6.png

    Je réussi bien à récupérer les comptes de l'AD !

    Merci de ton aide en tout cas ! Je vais continuer avec la configuration des comptes. Je reviens vers vous pour vous informer.



  • Il y a un truc pas clair: j'ai regardé rapidement les règles que tu avais posté et il me semblait qu'il y avait déjà une règle pour le port 389. Qu'as-tu donc ajouté ?

    Au passage, 389, c'est du LDAP en clair, donc le mot de passe en base64, c'est à dire en clair aussi (ou presque). LDAPS en 636, c'est mieux  ;)


Log in to reply