[Obm] Obm Digest, Vol 72, Issue 4

Dominique Fournier dominique.fournier at grenoble.cnrs.fr
Thu Feb 7 15:05:54 CET 2013 

Et il y a une faille de sécurité.

Une fois cliqué sur déconnecter, l'utilisateur retourne à la page 
d'authentification. Bien. Par contre, si il met dans l'URL : 
https://192.168.56.55/webmail/, il re-rentre dans le webmail...

On 07/02/13 14:36, Dominique Fournier wrote:
> Bonjour
>
> J'ai essayé sur une VM la version 4198 et l'authentification automatique
> ne fonctionne pas en entrant dans le Webmail.
> Pour installer, j'ai corrigé la base de données :
> DROP TABLE TrustToken;
> CREATE TABLE TrustToken (
>    id serial NOT NULL,
>    token char(36) NOT NULL UNIQUE,
>    email varchar(80) NOT NULL,
>    password varchar(80) NOT NULL,
>    login varchar(80) NOT NULL,
>    time_created timestamp,
>    constraint pk primary key(id)
> );
> Ensuite, Lorsqu'on se connecte à OBM, on voit l'interface principale où
> on clique sur le menu Webmail. Et là, paf, on redemande
> l'authentification, qui re-rentrée affiche le Webmail correctement.
> Je n'ai pas de logs d'erreur, du coup, je ne sais pas trop où chercher...
>
> Le "Quitter" de roundcube me renvoie aussi sur une page
> d'authentifcation '/obm.php'...
>
> Merci
>
> Dom
>
> On 31/01/13 13:43, jeremie kornobis wrote:
>> Bonjour,
>>
>> Je vais mettre à jour la branche 4198, le plugin d'auth OBM-Roundcube a
>> été repensé la semaine dernière est attendait son intégration. Cela ne
>> change rien à l'authentification par ldap, par contre le nom du cookie
>> Roundcube est modifié dans le fichier main.inc.php.
>>
>> Veuillez donc pensé a sauvegardé votre fichier si vous souhaitez mettre
>> a jour, il faut aussi ajouter dans la BDD dans la table trusttoken:
>> email et password.
>>
>> On 31/01/2013 12:00, obm-request at list.obm.org wrote:
>>> Send Obm mailing list submissions to
>>>     obm at list.obm.org
>>>
>>> To subscribe or unsubscribe via the World Wide Web, visit
>>>     http://list.obm.org/mailman/listinfo/obm
>>> or, via email, send a message with subject or body 'help' to
>>>     obm-request at list.obm.org
>>>
>>> You can reach the person managing the list at
>>>     obm-owner at list.obm.org
>>>
>>> When replying, please edit your Subject line so it is more specific
>>> than "Re: Contents of Obm digest..."
>>>
>>>
>>> Today's Topics:
>>>
>>>     1. Re: Installation Roundcube (Dominique Fournier)
>>>     2. Obm_addressbook : bug (Dominique Fournier)
>>>     3. Re: Obm_addressbook : bug (Dominique Fournier)
>>>     4. Re: Installation Roundcube (Thomas Sarboni)
>>>
>>>
>>> ----------------------------------------------------------------------
>>>
>>> Message: 1
>>> Date: Wed, 30 Jan 2013 11:51:53 +0100
>>> From: Dominique Fournier<dominique.fournier at grenoble.cnrs.fr>
>>> Subject: Re: [Obm] Installation Roundcube
>>> To:obm at list.obm.org
>>> Message-ID:<5108FB49.7080507 at grenoble.cnrs.fr>
>>> Content-Type: text/plain; charset="iso-8859-1"
>>>
>>> Bonjour,
>>> J'ai un peu avanc? :
>>> si le plugin de roundcube http_authentication est modifi? pour utiliser
>>> HTTP_AUTH_USER ? la place de PHP_AUTH_USER, le bon utilisateur est
>>> envoy? ? Roundcube, avec le mot de passe (je les vois en mettant une
>>> trace de debug) mais l'authentification ne fonctionne toujours pas.
>>> Pour y arriver, il faut param?trer Roundcube avec
>>> $rcmail_config['default_host'] = 'localhost';
>>>
>>> Grrrrr !! Ce n'est pas marqu? dans la doc !
>>>
>>> De plus ma question pr?c?dente est toujours valide :
>>> - Une fois que LemonLDAP est actif, comment peut-on d?finir des domaines
>>> puisque global.virt n'existe pas dans l'annuaire ?
>>>
>>> Merci beaucoup
>>>
>>> Dom
>>>
>>> On 29/01/13 16:48, Dominique Fournier wrote:
>>>> Re - bonjour
>>>>
>>>> Vous trouverez en pi?ce jointe la proc?dure d'installation compl?te de
>>>> OBM pour squeeze
>>>> J'ai deux questions :
>>>> - Une fois que LemonLDAP est actif, comment peut-on d?finir des
>>>> domaines
>>>> puisque global.virt n'existe pas dans l'annuaire ?
>>>> - Il y a une erreur de configuration dans la doc de LemonLDAP car
>>>> http_authentication re?oit l'UID sans le domaine, ce qui emp?che les
>>>> connexions.
>>>>
>>>> J'ai adapt? la configuration de LemonLDAP pour ajouter la recherche sur
>>>> le champ mail et pas sur le champ UID (sinon on n'a pas le support de
>>>> multi-domaine).
>>>>
>>>> Avez-vous des id?es ?
>>>
>>>
>>>
>>> -------------- next part --------------
>>> A non-text attachment was scrubbed...
>>> Name: dominique_fournier.vcf
>>> Type: text/x-vcard
>>> Size: 174 bytes
>>> Desc: not available
>>> Url
>>> :http://list.obm.org/pipermail/obm/attachments/20130130/82f47ab2/attachment-0001.vcf
>>>
>>>
>>> ------------------------------
>>>
>>> Message: 2
>>> Date: Wed, 30 Jan 2013 12:17:56 +0100
>>> From: Dominique Fournier<dominique.fournier at grenoble.cnrs.fr>
>>> Subject: [Obm] Obm_addressbook : bug
>>> To:obm at list.obm.org
>>> Message-ID:<51090164.4010404 at grenoble.cnrs.fr>
>>> Content-Type: text/plain; charset="iso-8859-1"
>>>
>>> Re-bonjour,
>>>
>>> J'ai bien avanc? puisque roundcube fonctionne ? peu pr?s. Je mettrai la
>>> doc d'installation ? jour et je vous l'enverrai.
>>>
>>> J'ai essay? de mettre le plugin obm_addressbook et roundcube plante avec
>>> l'erreur :
>>> [30-Jan-2013 12:14:33] PHP Fatal error:  Class obm_addressbook_backend
>>> contains 1 abstract method and must therefore be declared abstract or
>>> implement the remaining methods (rcube_addressbook::get_name) in
>>> /usr/share/roundcube/plugins/obm_addressbook/obm_addressbook_backend.php
>>> on line 3
>>>
>>> Je suis avec la version backports de Debian Squeeze (0.7.1-1~bpo60+1).
>>>
>>> Des pistes ?
>>>
>>> Merci et bonne journ?e
>>>
>>> Dom
>>> -------------- next part --------------
>>> A non-text attachment was scrubbed...
>>> Name: dominique_fournier.vcf
>>> Type: text/x-vcard
>>> Size: 174 bytes
>>> Desc: not available
>>> Url
>>> :http://list.obm.org/pipermail/obm/attachments/20130130/1ba08b53/attachment-0001.vcf
>>>
>>>
>>> ------------------------------
>>>
>>> Message: 3
>>> Date: Wed, 30 Jan 2013 12:28:36 +0100
>>> From: Dominique Fournier<dominique.fournier at grenoble.cnrs.fr>
>>> Subject: Re: [Obm] Obm_addressbook : bug
>>> To:obm at list.obm.org
>>> Message-ID:<510903E4.1030203 at grenoble.cnrs.fr>
>>> Content-Type: text/plain; charset="utf-8"
>>>
>>> On 30/01/13 12:17, Dominique Fournier wrote:
>>>> Re-bonjour,
>>>>
>>>> J'ai bien avanc? puisque roundcube fonctionne ? peu pr?s. Je mettrai la
>>>> doc d'installation ? jour et je vous l'enverrai.
>>>>
>>>> J'ai essay? de mettre le plugin obm_addressbook et roundcube plante
>>>> avec
>>>> l'erreur :
>>>> [30-Jan-2013 12:14:33] PHP Fatal error:  Class obm_addressbook_backend
>>>> contains 1 abstract method and must therefore be declared abstract or
>>>> implement the remaining methods (rcube_addressbook::get_name) in
>>>> /usr/share/roundcube/plugins/obm_addressbook/obm_addressbook_backend.php
>>>>
>>>> on line 3
>>>>
>>>> Je suis avec la version backports de Debian Squeeze (0.7.1-1~bpo60+1).
>>>>
>>>> Des pistes ?
>>>>
>>>> Merci et bonne journ?e
>>>>
>>>> Dom
>>> Je propose le patch suivant :
>>> --- obm_addressbook/obm_addressbook_backend.php.ori    2013-01-30
>>> 12:27:02.963896557 +0100
>>> +++ obm_addressbook/obm_addressbook_backend.php    2013-01-30
>>> 12:26:25.391357124 +0100
>>> @@ -21,6 +21,10 @@
>>>        $this->uid = $uid;
>>>      }
>>>
>>> +  public function get_name () {
>>> +    $this->name = $name;
>>> +  }
>>> +
>>>      public function set_search_set($filter) {
>>>        $this->filter = $filter;
>>>      }
>>>
>>> Je me suis tromp? ?
>>> -------------- next part --------------
>>> A non-text attachment was scrubbed...
>>> Name: dominique_fournier.vcf
>>> Type: text/x-vcard
>>> Size: 182 bytes
>>> Desc: not available
>>> Url
>>> :http://list.obm.org/pipermail/obm/attachments/20130130/db0a3308/attachment-0001.vcf
>>>
>>>
>>> ------------------------------
>>>
>>> Message: 4
>>> Date: Wed, 30 Jan 2013 13:28:55 +0100
>>> From: Thomas Sarboni<tsarboni at linagora.com>
>>> Subject: Re: [Obm] Installation Roundcube
>>> To:obm at list.obm.org
>>> Message-ID:<51091207.2020302 at linagora.com>
>>> Content-Type: text/plain; charset="iso-8859-1"
>>>
>>> Nous n'avons jamais eu besoin d'effectuer ce genre d'op?rations.
>>>
>>> Dans lemonldap, il vous faut cr?er une macro login qui sera constitu?e
>>> de la valeur suivante : "$uid\@$obmDomain"
>>>
>>> Il faut ensuite transmettre ? roundcube cette variable login dans
>>> l'en-t?te suivant : Auth-User
>>>
>>> Au final, l'en-t?te HTTP_AUTH_USER aura la valeur suivante :
>>> login at domain
>>>
>>> Cordialement,
>>>
>>> Thomas Sarboni
>>> Linagora SA
>>> Support OBM/Messagerie
>>>
>>> Le 30/01/2013 11:51, Dominique Fournier a ?crit :
>>>> Bonjour,
>>>> J'ai un peu avanc? :
>>>> si le plugin de roundcube http_authentication est modifi? pour utiliser
>>>> HTTP_AUTH_USER ? la place de PHP_AUTH_USER, le bon utilisateur est
>>>> envoy? ? Roundcube, avec le mot de passe (je les vois en mettant une
>>>> trace de debug) mais l'authentification ne fonctionne toujours pas.
>>>> Pour y arriver, il faut param?trer Roundcube avec
>>>> $rcmail_config['default_host'] = 'localhost';
>>>>
>>>> Grrrrr !! Ce n'est pas marqu? dans la doc !
>>>>
>>>> De plus ma question pr?c?dente est toujours valide :
>>>> - Une fois que LemonLDAP est actif, comment peut-on d?finir des
>>>> domaines
>>>> puisque global.virt n'existe pas dans l'annuaire ?
>>>>
>>>> Merci beaucoup
>>>>
>>>> Dom
>>>>
>>>> On 29/01/13 16:48, Dominique Fournier wrote:
>>>>> Re - bonjour
>>>>>
>>>>> Vous trouverez en pi?ce jointe la proc?dure d'installation compl?te de
>>>>> OBM pour squeeze
>>>>> J'ai deux questions :
>>>>> - Une fois que LemonLDAP est actif, comment peut-on d?finir des
>>>>> domaines
>>>>> puisque global.virt n'existe pas dans l'annuaire ?
>>>>> - Il y a une erreur de configuration dans la doc de LemonLDAP car
>>>>> http_authentication re?oit l'UID sans le domaine, ce qui emp?che les
>>>>> connexions.
>>>>>
>>>>> J'ai adapt? la configuration de LemonLDAP pour ajouter la recherche
>>>>> sur
>>>>> le champ mail et pas sur le champ UID (sinon on n'a pas le support de
>>>>> multi-domaine).
>>>>>
>>>>> Avez-vous des id?es ?
>>>>
>>>>
>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> Obm mailing list
>>>> Obm at list.obm.org
>>>> http://list.obm.org/mailman/listinfo/obm
>>>>
>>> -------------- next part --------------
>>> A non-text attachment was scrubbed...
>>> Name: tsarboni.vcf
>>> Type: text/x-vcard
>>> Size: 252 bytes
>>> Desc: not available
>>> Url
>>> :http://list.obm.org/pipermail/obm/attachments/20130130/869d3567/attachment-0001.vcf
>>>
>>> -------------- next part --------------
>>> A non-text attachment was scrubbed...
>>> Name: signature.asc
>>> Type: application/pgp-signature
>>> Size: 295 bytes
>>> Desc: OpenPGP digital signature
>>> Url
>>> :http://list.obm.org/pipermail/obm/attachments/20130130/869d3567/attachment-0001.pgp
>>>
>>>
>>> ------------------------------
>>>
>>> _______________________________________________
>>> Obm mailing list
>>> Obm at list.obm.org
>>> http://list.obm.org/mailman/listinfo/obm
>>>
>>>
>>> End of Obm Digest, Vol 72, Issue 4
>>> **********************************
>>
>>
>> --
>> Jérémie Kornobis
>> R&D Developer on OBM <http://obm.org/blogs>
>> jkornobis at linagora.com
>>
>>
>> _______________________________________________
>> Obm mailing list
>> Obm at list.obm.org
>> http://list.obm.org/mailman/listinfo/obm
>>
>
>
>
> _______________________________________________
> Obm mailing list
> Obm at list.obm.org
> http://list.obm.org/mailman/listinfo/obm
>

-------------- next part --------------
A non-text attachment was scrubbed...
Name: dominique_fournier.vcf
Type: text/x-vcard
Size: 174 bytes
Desc: not available
Url : http://list.obm.org/pipermail/obm/attachments/20130207/ff2209a6/attachment-0001.vcf

More information about the Obm mailing list