Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Active Directory (LAN) et hMailServeur (DMZ)

    Scheduled Pinned Locked Moved Français
    4 Posts 2 Posters 1.7k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Y
      Yoann-95
      last edited by

      Bonsoir à tous !

      Je suis en train d’essayer de travailler sur pfSense, j'ai donc simuler tout ceci via des machines virtuelles (VMWare) avec une DMZ, une LAN et WAN. La DMZ contient un serveur WEB et un serveur mail. Le LAN l'AD et le WAN un client windows.

      Contexte : Personnel pour faire des tests, niveau BAC +2,

      Besoin : Mon serveur hmail (DMZ) doit récupérer les compte de l'AD (LAN) pour pouvoir crée les compte mails, ensuite une fois les compte récupérer configurer les comptes sur le réseau WAN ou LAN.  Et une fois tout configurer pouvoir envoyer et recevoir les mails depuis le LAN ou le WAN.

      Schéma :

      WAN :

      • Interface pfSense 192.168.1.254/24

      • Poste Client  WAN (Fixe) (192.168.1.150/24)

      • Pas d'accès à internet

      LAN :

      • Interface pfSense 172.16.0.254/16

      • AD/DNS : 172.16.0.11/16

      • Poste Client LAN (Fixe)  (172.16.0.150/16)

      DMZ :

      • Interface pfSense 192.168.2.254/24

      • 1 Serveur WEB (192.168.2.1/24)

      • 1 Serveur MAIL (hMailServer) (192.168.2.2/24)

      Règles :

      WAN : http://i.imgur.com/gqEcLbe.png

      LAN : Aucunes

      DMZ : http://i.imgur.com/FRBg9Pf.png

      Question :

      • Impossible de récupérer les compte AD via hmail
      • Impossible de configurer le compte mail sur le WAN

      Pour récupérer les compte j'ai penser à utiliser le port 389 (LDAP) voir même le port 636 (LDAP SSL) pour pouvoir y accéder mail impossible j'ai le droit à un message d'erreur sur hmail serveur quand je fait la recherche de compte…

      Pour la configuration du compte j'ai crée les règles NAT selon le port 25 et 110 (SMTP et POP) : J'ai le droit à mauvais mot de passe depuis le WAN (or le mot de passe est bon)

      Logs et tests : Tests effectué mis ci dessus

      Merci à tous pour votre aide futur !

      1 Reply Last reply Reply Quote 0
      • C
        chris4916
        last edited by

        :o  /16  :o
        C'est pour un test mais j'espère que tu comprends bien que ça n'a pas d'intérêt… Does size matter?  ;)

        Plus sérieusement:
        Ton annuaire LDAP n'est pas un annuaire LDAP mais un AD, ce qui signifie qu'il y a quelques contraintes au niveau de l'authentification parce que Microsoft estime que si tu utilises AD, alors tu es connecté au domaine, donc Kerberos donc SASL (GSSAPI)

        Je ne suis pas certain que les ports 389 et 636 soient, par défaut, ouverts à de l’authentification "simple" contrairement au port 3268 (Global Catalog)

        Mais dans tous les cas, tu ne peux pas faire un post qui dit juste

        …impossible j'ai le droit à un message d'erreur sur hmail serveur quand je fait la recherche de compte...

        Tu devrais à minima décrire le message d'erreur et meiux, aller voir dans le log pur fournir un complément d'information.
        Si tu as un code erreur LDAP 49, c'est un mot de passe erroné mais il y a plein d'autres raisons pour lesquelles ça peut ne pas fonctionner.

        https://technet.microsoft.com/en-us/library/cc755809(v=ws.10).aspx

        AMHA, pour faire ce genre de test, sauf si tu as ensuite des contraintes pour t'appuyer sur un domaine Microsoft, un simple OpenLDAP ou équivalent est bien mieux qu'un AD. Et surtout tu auras des vrais messages dans le log alors que le log "LDAP" de Microsoft, c'est n’importe quoi !

        Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

        1 Reply Last reply Reply Quote 0
        • Y
          Yoann-95
          last edited by

          Tu devrais à minima décrire le message d'erreur et mieux, aller voir dans le log pur fournir un complément d'information.

          Tu as raison, lorsque je essaie d'ajouter des comptes, il est sensé aller chercher sur l'AD les comptes. Sauf que j'ai le droit à ce message là.

          Retrieving of domains failed
          le contexte de sécurité actuel n'est pas associé à un domaine ou une forêt active directory

          De mon coté j'ai fait un autre test, j'ai installer WireShark sur le serveur Mail et lancer une capture.

          En Request :

          • Port Source 49203
          • Port Destination : 389

          En Réponse :

          • Port Source : 389
          • Port Destination : 49203

          Capture Wireshark : http://i.imgur.com/taWv5rU.png

          Donc en créant deux règles (Aller & Retour) :  http://i.imgur.com/UcKgNn6.png

          Je réussi bien à récupérer les comptes de l'AD !

          Merci de ton aide en tout cas ! Je vais continuer avec la configuration des comptes. Je reviens vers vous pour vous informer.

          1 Reply Last reply Reply Quote 0
          • C
            chris4916
            last edited by

            Il y a un truc pas clair: j'ai regardé rapidement les règles que tu avais posté et il me semblait qu'il y avait déjà une règle pour le port 389. Qu'as-tu donc ajouté ?

            Au passage, 389, c'est du LDAP en clair, donc le mot de passe en base64, c'est à dire en clair aussi (ou presque). LDAPS en 636, c'est mieux  ;)

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.