[Obm] Cyrus SASL, cyrus sysuser et LDAP filter

Thomas Sarboni tsarboni at linagora.com
Mon Feb 11 13:49:53 CET 2013


Bonjour,

Pardonnez moi si on vous a déjà répondu mais voici l'explication :

Il est indispensable pour OBM de pouvoir s'authentifier en tant que
cyrus. En effet, celà permet notamment de créer les boites des
utilisateurs ou de leur affecter des droits.

En revanche, il est très important de changer le mot de passe par défaut.

Pour ce faire il vous suffit juste de lancer la requête suivante :

UPDATE UserSystem SET usersystem_password = 'XXXXXXX' where
usersystem_login = 'cyrus';

Ensuite, vous devez lancer une mise à jour globale du domaine global,
pour ce faire :

Sous redhat :

/usr/share/obm/auto/update.pl --domain-global --global

Sous debian :

/usr/share/obm/www/auto/update.pl --domain-global --global

Cordialement,

Thomas Sarboni
Linagora SA
Support OBM/Messagerie

Le 08/02/2013 16:23, Francois Goudal a écrit :
> Bonjour,
> 
> J'ai une infrastructure OBM 2.3 en production et je viens de rencontrer 
> un souci et de le diagnostiquer. Mon probleme semble regle, mais j'ai 
> quelques petites questions :
> 
> Nous avons depoye OBM comme etant le serveur qui gere les emails de 
> notre domaine. Son port SMTP (25) est donc accessible depuis l'internet.
> Comme nous avons des collaborateurs qui voyagent beaucoup, l'idee a ete 
> de mettre en place une authentification sur le SMTP pour qu'ils puissent 
> utiliser le serveur OBM comme serveur sortant, peu importe ou ils se 
> trouvent, sans pour autant que le serveur OBM ne puisse servir de relais 
> ouvert.
> 
> Donc apres avoir fait l'installation classique d'OBM, nous avons ajuste 
> la config de postfix pour qu'il demande une authentification aux clients 
> essayant de passer par lui pour envoyer des mails a des domaines autres 
> que le domaine qu'il gere lui meme.
> Tout se passait bien, et cela semblait fonctionner correctement.
> 
> Jusqu'a ce qu'aujourd'hui, on realise que barracuda networks ont mis 
> notre IP dans leur blacklist. Et de fait, en regardant d'un peu plus 
> pres, notre serveur avait bel et bien ete utilise pour relayer du spam.
> J'ai refait les tests open-relay, et rien a signaler. Donc j'en ai 
> conclus que l'attaquant arrivait en fait bien a s'authentifier. J'ai 
> d'abord cru qu'un de nos utilisateurs avait eu ses identifiants 
> compromis, mais apres avoir fouille dans les logs, c'est bien plus 
> vicieux que cela :
> 
> L'attaquant a utilise comme login : cyrus et comme mot de passe : cyrus
> 
> En fouillant dans les fichiers d'OBM, on voit que le fichier SQL qui 
> sert a initialiser la DB cree un certain nombre de sysusers, dont celui 
> ci, avec des mots de passe standards.
> 
> Le probleme, c'est que /etc/saslauthd.conf contient cette ligne :
> 
> ldap_filter: 
> (|(&(mailBox=%U@%d)(objectClass=obmUser)(mailAccess=PERMIT))(&(uid=%U)(cn=Administrator 
> Cyrus)(objectClass=posixAccount)))
> 
> Donc en gros, on autorise les utilisateurs OBM pour lesquels l'acces 
> mail a ete autorise, *ET* l'utilisateur "cyrus" qui, en pratique, se 
> trouve dans les sysusers et a pour mot de passe....... "cyrus"
> 
> Resultat, j'ai modifie le filtre pour que SASL ne permette qu'aux 
> utilisateurs "OBM" de s'authentifier. Mais du coup, je me demande 
> vraiment pourquoi avoir aussi filtre de telle sorte que cet utilisateur 
> "cyrus" soit autorise ?
> Il y a peut-etre une raison technique derriere cela, et du coup ma modif 
> pourrait peut-etre avoir des effets indesirables ?
> 
> Quelqu'un pourrait-il clarifier cela ?
> 
> Merci
> Cordialement
> 
> _______________________________________________
> Obm mailing list
> Obm at list.obm.org
> http://list.obm.org/mailman/listinfo/obm
> 
-------------- next part --------------
A non-text attachment was scrubbed...
Name: tsarboni.vcf
Type: text/x-vcard
Size: 252 bytes
Desc: not available
Url : http://list.obm.org/pipermail/obm/attachments/20130211/b4be3ec8/attachment.vcf 
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 295 bytes
Desc: OpenPGP digital signature
Url : http://list.obm.org/pipermail/obm/attachments/20130211/b4be3ec8/attachment.pgp 


More information about the Obm mailing list