Discussion :

[daveg]

Bonjour,

Je réalise un soft (en C#) de messagerie interne sous environement Server 2003.

Je souhaite que les utilisateurs n'aient pas à entrer leur mot de passe pour récupérer leur mail.

Mon prog va donc identifier l'utilisateur en cours et récupérer son mot de passe pour qu'il puisse s'identifier.

Mon problème est que je ne sais pas récupérer le mot de passe.
C'est possible puisque le prog HMailServer le fait. Il récupére dans AD les utilisateurs et les mots de passe.

Comment lire (je ne les veux pas en clair !) le mot de passe d'un utilisateur sous AD ?

Merci.

[rattlehead]

ca n'est pas plutot tu fournis le login et mot de passe et active directory te dit si l'utilisateur a droit ou pas.

[daveg]

Sur le serveur j'ai donc installé HmailServer

Il récupére la liste des utilisateurs, leur mot de passe et cré donc pour chacun une adresse email interne au réseau.

Les utilisateurs utilisent un logiciel de messagerie (outlook express par exemple) qu'il doivent paramétérer (pop3, smtp, login, mot de passe ...)

Je ne veux pas qu'il aient à le faire.

Mon prog récupére donc le nom de l'utilisateur en cours et à partir de cette info, renseigne le pop, le smtp, le login et le mot de passe pour pouvoir se connecter à HmailServer et donc lire et/ou envoyer des messages.

Connaître l'utilsateur en cours c'est facile (Environment.UserName) mais le mot de passe ...

[rattlehead]

et comment il récupère le login et mot de passe ton soft?

[Thomas Lebrun]

Tu ne peux pas récupérer les mots de passe et c'est normal. Tu imagines la faille de sécurité sinon ?

Ce qu'il faut faire: demander à l'utilisateur de saisir son login/mdp et faire une vérif dans l'AD

[Louis-Guillaume Morand]

je confirme, quelque soit l'ad, (meme du ldap ou leur bidule de chez novell) tu ne peux que vérifier les crédentials mais tu ne peux pas récupérer le mot de passe.
Les tests de faisabilité du projet n'ont pas été correctement faits. spa bien

[daveg]

Tu ne peux pas récupérer les mots de passe et c'est normal. Tu imagines la faille de sécurité sinon ?

Ce qu'il faut faire: demander à l'utilisateur de saisir son login/mdp et faire une vérif dans l'AD

je confirme, quelque soit l'ad, (meme du ldap ou leur bidule de chez novell) tu ne peux que vérifier les crédentials mais tu ne peux pas récupérer le mot de passe.
Les tests de faisabilité du projet n'ont pas été correctement faits. spa bien

C'est inexact !

HMailServer (http://www.framasoft.net/article3425.html) le fait bien , je l'utilise sous Serveur 2003
Une fois intallé, avec tu te connecte à l'AD et tu récupére la liste des utilisateurs, il se charge au passage de prendre les mots de passe. Ensuite il s'en sert pour identification.

En ce qui concerne la sécurité je n'ai jamais dit que ce soft les donnaient, ils n'apparaissent jamais en clair.

Sécurité toujours, je rigole car le soft "LC5" les récupére en clair

De plus je suis l'admin, et c'est moi qui les donne aux utilisateurs, donc je les connais mais je ne veux pas passer par ma liste mais directement par l'AD.

Il existe un autre programme qui lit les mot de passe depuis l'AD c'est "Oceane", une application développé epour l'Education Nationale.

[rattlehead]

es tu sur qu'il récupère tous les comptes ad ou bien que lui aussi n'interroge pas active directory?

[daveg]

et comment il récupère le login et mot de passe ton soft?

Le login je l'ai décrit plus haut par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
UtilisateurEnCours = Environment.UserName;

Le mot de passe, c'est le but de ma question ....

[daveg]

es tu sur qu'il récupère tous les comptes ad ou bien que lui aussi n'interroge pas active directory?

Certain !

Depuis une fenetre tu parcoure l'AD, tu va dans l'OU qui concerne les utilisateurs pour lesquels tu veux céer une BAL, tu valide et le tour est joué il les ajoutes automatiquement dans sa base.

L'utilisateur n'a plus qu'a configuer Outlook, SMTP, POP3, Adresse Mail (celle renseignée dans l'AD) et le mot de passe de l'utilisateur.

[Louis-Guillaume Morand]

nananana

1-

Sécurité toujours, je rigole car le soft "LC5" les récupére en clair

cf le point au dessus. tu as raison mais bien d'autre sont des outils qui cassent le hask NLTM en faisant du brute force et utilisent un algo pour trouver les 3-4 dernier caractères car l'algo d'AD le permet. ca a toujours existé et c'est le problème du hash mais c'est mieux qu'un cryptage trop faible (compatibilité ascendante oblige)

2- ensuite, hmailserver ne scanne pas les passwords, il fait de la comparaison et leur doc le confirme

Check this checkbox if you want to connect the account to a Windows NT/2000 Active Directory Account. There are several advantages in using a connection to an Active Directory. For example, none of the account passwords are stored in the hMailServer database. Instead, the user must supply his/her Windows NT/2000 domain password when logging in to the POP3 server.

quant à oceane, je ne la connais pas et google aussi mais il se peut fort que ce soit aussi du brute force car si l'AD était si facilement crackable je sais pas si un patch ou n'importe quoi ne serait pas sorti

[daveg]

2- ensuite, hmailserver ne scanne pas les passwords, il fait de la comparaison et leur doc le confirme

Mauvaise lecture, je n'ai jamais dit que HMailServer les stoke

Outlook se connecte à HmailServer pour lire ou recevoir un mail. Alors HmailServer vérifie l'identité de l'utilisateur en se basant sur l'identification de l'AD

C'est le théme de ma question, comment faire cette opération en C# ? Merci.

Il compare donc le mot de passe fournit par outlook et celui contenu dans l'AD pour authentification.

quant à oceane, je ne la connais pas et google aussi

Méa culpa, , je me suis trompé de prénom, c'est Adele, et ce n'est pas du brut force.
http://pedagogie.ac-montpellier.fr/TICE/telech.htm

HMailServeur :

http://www.supinfo-projects.com/fr/2...iel_windows/2/ (Voir 2.1 Comptes)

ou bien encore :

http://pedagogie.ac-montpellier.fr:8...mailserver.pdf

[Thomas Lebrun]

Alors HmailServer vérifie l'identité de l'utilisateur en se basant sur l'identification de l'AD

Je serais curieux de voir comment il fait ca sans avoir les mdp.....

HMailServeur :

http://www.supinfo-projects.com/fr/2...iel_windows/2/ (Voir 2.1 Comptes)

Mouais, j'ai rien vu d'intéressant la dedans...

[daveg]

Je serais curieux de voir comment il fait ca sans avoir les mdp.....

Je le répéte pour la 3eme fois, c'est justement là l'objet de ma question.
Je persiste à dire que ce soft récuppére les infos de l'AD y compris le mot de passe.



Toutes les réponses qui sont apportées ici sont des mises en doute, aucune proposition, tout ceci n'est pas constructif.

[Louis-Guillaume Morand]

si tu commences par croire le contenu de supinfo-projects, t'es pas sorti de l'auberge. Thomas et Moi même y avons rédigé lors de notre scolarité et je ne compte pas des conneries que l'on peut y trouver (surtout dans mes articles )

ensuite, pour Adele, il est possible qu'il exporte la liste des utilisateurs et leur hash mais sûrement pas le password en clair. pour cela, il doit utiliser ldifde ou csvde comme le laisse le supposer son fichier pdf joint.

Toutes les réponses qui sont apportées ici sont des mises en doute, aucune proposition, tout ceci n'est pas constructif.

ca aurait pu être le case mais dans le cas précis je suis désolé, tu ne connais pas ton sujet et notre mot d'ordre est de prévenir les utilisateurs lorsqu'ils se fourvoient. Nous avions 19 ans quand thomas et moi codions déjà une appli de management sur Active Directory (tu t'en rappelle tomtom d'ADicted? ) et le sujet, on le connait

Active Directory, ca utilise un hash (le terme est même one-way hash et ca veut bien dire ce que ca veut dire)
un hash ca veut dire que ca ne peut être QUE cassé par du brute force
que tu le veuilles ou non, c'est vrai depuis la nuit des temps de l'informatique. Même superman ne pourrait rien faire

lis la doc MS, potasse là, intéresse toi un peu à la sécurité sous les systèmes Windows (mais aussi LDAP tout simplement) et tu te rendras compte qu'il y a des moyens de faire plusieurs choses mais sans brute force, pas de password en clair
Je comprend même pas que ca te saute pas aux yeux qu'un AD en entreprise n'est quasiment jamais sécurisé, tout membre authentifié a le droit de l'interroger et donc il pourrait récupérer le password de son voisin en ayant son full qualified name si ta logique était vraie. Pourquoi hasher les passwords dans ce cas?.

Il n'y a pas d'agressivité dans mon message, nous, on est juste là pour t'aider. Si nos réponses te semblent déplacées, nous ignorerons tes demandes. ce sera donc mon dernier message sur ce thread, comme çà, tu pourras continuer tranquillement et venir poser ici le code qui récupère le mot de passe dans l'AD...

[Thomas Lebrun]

Rien d'autre à ajouter suite au message de LG

[daveg]

Il est vraiment dommage de constater que ma discution est polluée par des considérations qui n'on rien à voir avec le thème abordé.

Donc je vais scinder mon post en deux parties, l'une pour répondre et clotûrer j'espére cette polution et la deuxième partie revenir sur ma question de base en précisant les points qui n'ont peut-être pas été compris (j'ai du mal m'exprimmer).

1° partie :

si tu commences par croire le contenu de supinfo-projects, t'es pas sorti de l'auberge. Thomas et Moi même y avons rédigé lors de notre scolarité et je ne compte pas des conneries que l'on peut y trouver (surtout dans mes articles )

J'ai mis un lien vers Supinfo, cette page montre comment configurer HMailServer. Ceci dans le but de montrer aux septiques ce que fait ce soft, qu'il prend bien en compte directement les données de l'AD.
Je n'ai jamais dit que Supinfo répondait à ma question.

Il n'y a pas d'agressivité dans mon message, nous, on est juste là pour t'aider.

Je suis désolé mais quand je lis :

si tu commences par croire le contenu de supinfo-projects, t'es pas sorti de l'auberge. Thomas et Moi même y avons rédigé lors de notre scolarité et je ne compte pas des conneries que l'on peut y trouver (surtout dans mes articles )

Je trouve ceci plutot agressif.Toujours dans le domaine de l'agressivité j'en veux pour preuve encore votre signature :

"moi c'est Louis-Guillaume, ni Louis, ni Guillaume mais Louis-Guillaume. Si comprendre un prénom composé est trop compliqué pour toi, ne t'adresse pas à moi "

Sans commentaires comme dirait Thomas Lebrun.

En ce qui concerne la sécurité des mots de passe c'est relatif. J'en prend pour exemple les forum comme celui-ci (ceci n'est pas une accusation envers ce forum). Il est très facile l'admin du forum de désactiver le cryptage du mot de passe à l'inscription d'un utilisateur, dans ce cas le mot de passe apparaît en clair dans la base.


Encore une fois je regrette que la dicution ne se contente pas de porter uniquement sur le coté technique, et qu'elle est polluée par des considérations qui n'ont pas place ici.
J'aurais pu en faire appel à un modérateur mais vu le précédent post de Thomas Lebrun cela me semble incongru.

La question de rattlehead va dans le bon sens.

es tu sur qu'il récupère tous les comptes ad ou bien que lui aussi n'interroge pas active directory?

2° Partie : (la technique).

lis la doc MS, potasse là, intéresse toi un peu à la sécurité sous les systèmes Windows (mais aussi LDAP tout simplement) et tu te rendras compte qu'il y a des moyens de faire plusieurs choses mais sans brute force, pas de password en clair

Encore une fois (je l'ai déjà dit dans mes précédents post) je ne dit pas qu'il est possible de lire en clair le password.
D'ailleurs ce n'est pas du tout l'objet de ma question.
Quand je dit récupérer, cela veut dire utiliser. Nul n'est besoin de connaitre, de voir un mot de passe pour l'utiliser.
Je constate que HMailServer l'utilise sans le connaitre.
Jamais dans l'utilisation de ce soft l'admin ne voit, ne connait le mot de passe.

Ce que fait ce soft, je voudrais le faire aussi.
Je me pose la question de savoir s'il n'existe pas une fonction qui permet d'obtenir le mot de passe (crypté évidement ...) à fin que mon application puisse s'identifier à la place de l'utilisateur.

Pourquoi me direz-vous ?

Il se trouve que mes utilisateurs sont des élèves de collège. Ils ont de nombreuses qualités mais pour la plupart d'entre-eux ils ne retiennent pas un mot de passe et éprouve des difficultés à configurer un logiciel de messagerie même si on leur donne une doc très explicite.

Donc je crée un soft de messagerie simpliste pour lequel il n'ont aucun paramétrage à effectuer, juste le lancer et l'utiliser.

Mon applic se charge donc d'identifier l'utilisateur de par sa session (je sais faire), de renseigner le POP3 et le SMTP (je sais faire) et de communiquer le mot de passe (je ne sais pas faire, d'où l'objet de ma question).

Je ne m'étais jamais poser la question de récupérer le mot de passe dans l'AD puisque je le connais déjà vu que je leur donne (il est collé dans leur carnet de correspondance, donc la sécurité n'est pas un soucis )
J'utilisais jusqu'à présent Hamster comme serveur de messagerie.
Mais il n'est pas très pratique pour mon utilité.
J'aurais pu intégrer Exchange Server mais il faut l'acheter (au passage lui aussi utilise le mot de passe directement dans l'AD).

J'ai découvert HMailServer et j'en suis ravi il correspond parfaitement à mes attentes.
En l'utilisant je constate qu'il récupére les mot de passe (crypté, non crypté je m'en moque) de l'AD, cela me fait dire que c'est donc faisable et donc je pose ici la question du comment.

Merci.

[rattlehead]

Je pense que thomas et Louis-Guillaume ont raison. pour des raisons de sécurité il n'est pas possible de récupérer le mot de passe d'active directory.
ce que fait ton soft hmailserver, il se connecte à active directory pour vérifier si l'utilisateur peut se connecter. comme c'est indiqué dans la doc:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
Check this checkbox if you want to connect the account to a Windows NT/2000 Active Directory Account. There are several advantages in using a connection to an Active Directory. For example, none of the account passwords are stored in the hMailServer database. Instead, the user must supply his/her Windows NT/2000 domain password when logging in to the POP3 server.

hmailserveur ne garde pas de mot de passe et il dit bien que c'est un avantage d'utiliser active directory parce qu'il n'a pas à gérer les mots de passe.

et tu voulais savoir comment faire pour les extraire. Thomas et Louis-Guillaume ,qui sont plus spécialisés dans le genre, t'ont donné une piste tout en esssayant de te faire comprendre que ca n'a finalement guère d'interet.
Bref le mieux pour toi est de mettre tes mots de passe dans une base sql et de faire une synchro avec AD. comme ca tu auras les mots de passe et tu pourras configurer tes comptes outlook.

[oyigit]

Bonjour,

Il est effectivement pas possible de récupérer les mots de passes de l'AD. D'ailleurs ils en parlent sur les forum HmailServer.

Passwords, to make things simple, should probably be the same as the AD password but you can't retrieve those.

hMailServer doesn't have to. hMailServer can use standard windows API calls to validate the password given by the IMAP/POP3 cleint. In fact, hMailServer already supports this. But today, the users needs to be added manually. The thing that is new with my suggestion is the automatic creation, updating and removal of accounts.

http://www.hmailserver.com/forum/vie...tive+directory

[SaumonAgile]

D'un autre coté, si tu es tellement sûr que HmailServer dans sa grande magnificence est capable de récupérer les mots de passe sous quelque forme que ce soit, pourquoi ne récupères tu pas les sources et vois par toi même ?

Cela sera sûrement plus constructif...