Le blog de Michauko » webmail

Changer son mot de passe dans roundcubemail+postfix+utilisateurs virtuels

michauko — Thu, 07 Oct 2010 15:42:02 +0000

Dans la lignée des articles suivant :

Montage d’un serveur complet postfix et outils annexes
…en y ajoutant des domaines et utilisateurs virtuels
…et à la limite un répondeur (vacation) sur des utilisateurs virtuels
…en oubliant la partie roundcubemail (facile à installer, j’ai pas fait d’article, désolé)

Voici maintenant comment « configurer et activer le plugin de changement de mot de passe dans roundcubemail (actuellement v0.4) sur des utilisateurs virtuels (SQL)« . Depuis la 0.4, le plugin est intégré et propre. Pas la peine d’ajouter du code PHP un peu partout.
Notez que le plugin est modulaire et gère des « drivers » pour l’authentification : sql, ldap, poppassd, cyrus/SASL etc.
Allez, let’s go!

Vu que j’avais eu quelques déboires avec les vieilles versions de roundcube, je suis parti sur la dernière release stable du site officiel, pas d’une version packagée Debian.

Toute la doc tient dans un README simpliste, dans vos sources roundcubemail, fichier /plugins/password/README. Mon article applique ceci en expliquant un peu plus…

Je considère que vous partez d’une configuration d’utilisateurs virtuels comme décrite dans mes docs mentionnés en haut de l’article. Sinon il faut adapter et je ne peux pas prédire ce que vous devez écrire .
Dans vos sources roundcube, renommez/copiez le fichier /plugins/password/config.inc.php.dist en /plugins/password/config.inc.php et modifiez uniquement ce qui suit :

$rcmail_config['password_db_dsn'] = 'mysql://admin:son_pass@localhost/ma_base';
$rcmail_config['password_query'] = 'UPDATE ma_base.users SET password=ENCRYPT(%p) WHERE email=%u LIMIT 1';

Dans password_db_dsn, on indique la base de données des utilisateurs virtuels. Puisque l’outil roundcube bosse sur SA base de données, il faudra bien qu’il aille voir autre part. A vous de voir si vous lui donnez l’accès admin à votre base ou un compte sur mesure capable de faire des UPDATE uniquement sur la table des utilisateurs. Ca ou tous les droits, c’est pas foncièrement différent me direz-vous.
Dans password_query, on indique la requête d’UPDATE. Remarques :

Non, pas la peine d’ajouter un « WHERE… AND password = ENCRYPT(%o) » pour soit disant contrôler que l’ancien pass est le bon. D’une part c’est contrôlé au niveau de la session PHP via une fonction « decrypt » (cherchez dans le code) et d’autre part, ENCRYPT ne produit pas nécessairement le même résultat pour un pass donné, l’histoire du ‘salt’, aléatoire lorsqu’on ne le précise pas (amha).
On limite à 1 par sécurité et aussi car le plugin gueule s’il n’a pas modifié qu’une ligne. En même temps, il a raison
Je préfère forcer le nom complet « ma_base.users » pour éviter une erreur, si 2 tables avaient le même nom dans les 2 bases, je pense

J’ai passé sous silence ces 2 paramètres déjà OK de base :

$rcmail_config['password_driver'] = 'sql';
$rcmail_config['password_confirm_current'] = true;

Enfin, on active le plugin dans la conf principale, fichier config/main.inc.php :

$rcmail_config['plugins'] = array('password');

Voilà, c’est tout. Rechargez la page des préférences sur roundcube. Tout ceci étant en PHP, c’est dynamique et vous verrez l’onglet de changement de mot de passe, et il devrait fonctionner

Mon serveur indispo ? merci roundcube

michauko — Wed, 18 Feb 2009 00:19:33 +0000

Salut,
Du fait d’un résidu de conf de test de RoundCube, un soft de webmail joli mais pas très fonctionnel (de ce que j’en avais testé, tout l’IMAP n’était pas bien géré) ; en version 0.1 à l’époque, je me suis fait un peu hacké mon serveur récemment… récup de scripts pas joli-joli, en Russie tu penses bien. Et grosses attaques brute-force SSH depuis mon serveur. Youpi…

Je vois que le soft est en version 0.2… j’attendrai la 1.0 avant de jeter un oeil à ce truc à nouveau… ou un paquet Debian, ce qui sera une bonne preuve de fiabilité je pense…

Conclusion ? y’aurait beaucoup à dire, je retiendrai seulement : évitez roundcube, c’est « beau » mais c’est troué ; évitez les applis à la con ; évitez d’être trop ouvert dans vos règles réseaux firewall -> net etc etc… et vive une petite nuit pourrie pour en profiter pour remettre au carré certains détails qu’on remet toujours à demain….

Merci à Toinator qui a noté mon activité réseau débordante tout à fait par hasard (j’avais rien vu – ouuups, je remets quelques sondes là…). Le plus fun, c’est qu’il lui était arrivé la même chose…. avec le même logiciel….

squirrelmail, beurk => IlohaMail, mieux

michauko — Fri, 18 Jul 2008 14:51:09 +0000

P’tite intro

J’utilise Squirrelmail comme client webmail pour les comptes en IMAP. C’est parfaitement fonctionnel, mais aussi très moche.
On peut certes changer le look si on adore le CSS, ou en trouver d’autres sur le web (mais ça se cantonne à changer la palette de couleur), ou enfin, pour 100/150 € on peut en payer un super-jouli avec des fleurs bleues dans les coins, au look de MS-LookOut.

Il y aussi Horde/IMP, très utilisé et complet. Et Roundcube, qui monte : très très joli (en AJAX-qui-tâche) mais pas encore 100% fonctionnel (bal IMAP partagées KO par exemple).

Sinon il y a aussi IlohaMail. C’est moins moche (sans être beau) et aussi simple à installer.
Par contre, le développement semble bien arrêté (depuis 2006). Sur une debian testing, on est en 0.8.6-rc3sid là où la .0.8.6 est officiellement sortie et la 0.9 en beta depuis 2 ans. Pas un message depuis 2 ans sur le blog.
Si vous êtes toujours en train de lire, c’est que cette vieillerie ne vous fait pas peur ; ça tombe bien vu que l’IMAP a pas du évoluer des masses depuis longtemps.
Comme Squirrelmail, les « thèmes » sont en options, voire rares, voire moches, voire payants….
Bon je critique, mais pour le prix, j’en suis content.

Allez, mise en place de la chose (au besoin, la mise en place de squirrelmail est décrite dans ma doc Debian qu’il-faut-que-je-mette-à-jour-un-de-ces-quatre).

Pré-requis

Idéalement, un serveur IMAP pour accéder à vos boîtes aux lettres, le PHP, un Apache2 et optionnellement une base de données (ex: MySQL). Regardez ma doc si vous n’avez rien de tout ça, sauf une grosse envie de monter une Debian.

Installation

Ca commence sur un air connu :

root@linux:~# sudo aptitude install ilohamail
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances
Lecture des informations d'état... Fait
Lecture de l'information d'état étendu
Initialisation de l'état des paquets... Fait
Lecture des descriptions de tâches... Fait
Les NOUVEAUX paquets suivants vont être installés :
  aspell{a} aspell-en{a} dictionaries-common{a} ilohamail libaspell15{a}
0 paquets mis à jour, 5 nouvellement installés, 0 à enlever et 4 non mis à jour.
Il est nécessaire de télécharger 1550ko/1799ko d'archives. Après dépaquetage, 8889ko seront utilisés.
Voulez-vous continuer ? [Y/n/?]

Ensuite, vous aurez 2 questions :

Si votre installation Apache2 n’est pas trop en ruine, alors ça fera ce qu’il faut tout seul.

La deuxième question – je n’ai pas gardé la photo – vous demande quel alias utiliser pour accéder à l’application, par défaut « /IlohaMail ». Ca se change plus tard.

Utilisation

Normalement, moyennant un rechargement Apache, vous devriez avoir l’application qui fonctionne en allant sur votre http://votre.serveur/IlohaMail/ :

A la première connexion, il y a un paramétrage des préférences. On peut choisir quel est le répertoire d’envoi et de poubelle, ça peut être bien :

Paramétrage un peu plus avancé

Dans /etc/apache2/conf.d/ilohamail, vous pourrez corriger l’alias si mal choisi, exemple :

Alias /mail /usr/share/IlohaMail/source

< DirectoryMatch /usr/share/IlohaMail/source/>#sans espace avant DirectoryMatch
Options +FollowSymLinks
DirectoryIndex index.php
AllowOverride None
order allow,deny
allow from all
< /DirectoryMatch> # sans espace non plus

Dans /etc/IlohaMail, il y a plusieurs fichiers sympa. Tous les fichiers sont commentés, pratique pour comprendre les paramètres.

/etc/IlohaMail/conf.php

$backend="DB" au lieu de « FS » si vous voulez stocker les données en base de données plutôt qu’en fichiers. Dans ce cas, il faudra aller dans le fichier db_conf.php pour finir la conf base de données (je ne l’ai pas fait).
Notez ceux là :
$AUTH_MODE["imap"] pour les méthodes d’authentification
$SMTP_SERVER défaut à localhost $MAX_SESSION_TIME $DISABLE_CALENDAR $DISABLE_BOOKMARKS


/etc/IlohaMail/login.php
$default_host = "localhost" par exemple, ça évitera de demander à l'utilisateur un nom de machine

Comprenez aussi par là que IlohaMail, comme beaucoup de "webmail" configurables, peut aller lire vos messages IMAP d'un autre serveur. Si votre webmail IMAP au boulot ne vous plaît pas, par exemple.

Vous pouvez aussi masquer la zone de saisie du serveur et ainsi éviter qu'on puisse utiliser ce webmail pour lire les messages d'un autre serveur.

$hide_host = 1;

$hide_protocol = 1;

$hide_rootdir = 1;

$hide_lang = 0;

$default_lang = "fr/" au lieu de "eng/"

$SSL_ENABLED = true; si vous en avez besoin
/etc/IlohaMail/login_title.inc
Là, vous pourrez changer le message d'accueil du webmail en bidouillant un code HTML ultra-basique.
The End
Et voilà, c'est bon.

Notez que les modifs des fichiers PHP ne nécessitent pas de rechargement d'Apache puisque ces fichiers sont lus à chaque utilisation.
Bon mail



Changement de mot de passe Linux depuis le webmail Squirrelmail
michauko — Thu, 14 Jun 2007 15:09:39 +0000
Beaucoup de mes utilisateurs Linux ont un compte chez moi uniquement pour leur boîte mail et à la limite du stockage de fichiers ou de mini-sites web. Ils n’ont en général pas d’accès SSH (et ils ne sauraient pas quoi en faire  . C’est très bien comme cela, mais pour changer leur mot de passe, ils sont marrons. Je décris dans cet article la mise en place d’un plug-in de mon webmail permettant de changer les mots de passe.
Quelques remarques avant de commencer :

J’utilise Squirrelmail comme client webmail.


Squirrelmail n’est pas très joli, mais est parfaitement fonctionnel, contrairement à RoundCube (par exemple), qui ne gère pas les boîtes mails IMAP partagées (projet trop jeune ?) . Il permet surtout d’utiliser plein de plug-ins pour rajouter des fonctionnalités au webmail.


Je vous renvoie à ma documentation Debian où un long chapitre est dédié à l’installation d’un serveur mail avec webmail (entre autres). Il faut commencer par ça, évidemment.


Mon authentification de mot de passe est basée sur le fichier « shadow », donc les mots de passes des utilisateurs (et pas une base spécifique ou une authentification SASL). Il y a d’autres mécanismes et d’autres plug-ins qui répondent à ce besoin.

Je décris ci-dessous, et dans ce contexte, comment mettre en place un plug-in de changement de mot de passe sous Squirrelmail. C’est pas tout à fait automatisé sous Debian, d’où cet article.
J’ai choisi d’utiliser le plug-in qui s’appelle « change_pass« . Il ne dépend pas d’autres plug-ins de Squirrelmail. Sa documentation est suffisante mais pas aidante (voir les fichiers README, INSTALL etc).
Faites attention à la règle de nommage des plug-ins Squirrelmail avant de télécharger : ils tiennent compte de la version du plug-in et de la version nécessaire de Squirrelmail. En général, tout ceci évolue de manière assez synchrone, mais attention aux changements majeurs de version de Squirrelmail, vous pourriez perdre votre plug-in momentanément. Il vous faut un plug-in compatible avec votre squirrelmail. Exemple dans mon cas : 2.7a côté « change_pass » et 1.4(.10) côté Squirrelmail => plug-in « change_pass-2.7a-1.4.x.tar.gz« .
Téléchargez le plug-in dans votre répertoire « /usr/share/squirrelmail/plugins/ » puis décompressez-le, vous obtenez un sous-répertoire « change_pass/« .
Il faut ensuite activer le plug-in dans Squirrelmail via la commande :
squirrelmail-configure
Puis menu 8 (plug-ins), vous indiquez alors le numéro du plug-in à activer.

Pas de reboot nécessaire, juste un reload de la page « Options » si vous étiez déjà connecté à votre webmail.
Pour l’instant, néanmoins, il manque un élément, à savoir LE programme qui prend en charge le changement de mot de passe au niveau OS (shadow). Les auteurs du plug-ins conseillent d’utiliser « poppassd », un petit daemon prévu à cet effet. On pourrait sûrement raisonner à l’identique avec « courierpassd » si vous préférez (remplacez les noms dans le texte qui suit, ça devrait suffire).
Ce démon n’est lancé qu’en cas de besoin (connexion 106/TCP), grâce à inetd ou xinetd. Dans mon cas, c’est « inetd », mais je donnerai un exemple avec xinetd. Si vous ne savez pas lequel vous utilisez :
dpkg -l "*inetd*"
Personnellement, c’est « openbsd-inetd ».
Installez donc poppassd :
apt-get install poppassd
Le message suivant indique que la configuration de INETD est faite par l’installation, mais pas pour xinetd :
--------- IMPORTANT INFORMATION FOR XINETD USERS ----------
The following line will be added to your /etc/inetd.conf file:

poppassd\tstream\ttcp\tnowait\troot\t/usr/sbin/tcpd\t/usr/sbin/poppassd

If you are indeed using xinetd, you will have to convert the
above into /etc/xinetd.conf format, and add it manually. See
/usr/share/doc/xinetd/README.Debian for more information.
-----------------------------------------------------------
Pour inetd, vous devez avoir la ligne suivante dans le fichier « /etc/inetd.conf » :
poppassd        stream  tcp     nowait  root    /usr/sbin/tcpd  /usr/sbin/poppassd
Pour xinetd, il faut – probablement – un fichier /etc/xinetd.d/poppassd contenant :
service poppassd
               {
               port = 106
               socket_type = stream
               protocol = tcp
               user = root
               server = /usr/sbin/poppassd
               server_args = -s imap
               wait = no
               only_from = 127.0.0.1
               instances = 4
               disable = no
               }
Enfin, pour dire à inetd/xinetd qu’il faut surveiller le port 106, vérifier que vous avez la ligne suivante dans « /etc/services » :
poppassd        106/tcp
Relancez INETD/XINETD, dans mon cas :
/etc/init.d/openbsd-inetd restart
Puis tentez la manipulation de changement de mot de passe depuis Squirrelmail -> Options -> Change password.
Si vous avez une erreur 111, c’est le démon qui ne se lance pas. Pour en avoir le coeur net, un « telnet localhost 106 » devrait déconner. Sinon, vous avez un message de bienvenue de poppassd et l’erreur est ailleurs.
Et voilà.