ClemClem
Le 10 mai 2013 à 16:13, "Julien Escario" escario@azylog.net a écrit :
Le 10/05/2013 15:53, Emmanuel Thierry a écrit :
Le 10 mai 2013 à 15:10, Julien Escario a écrit :
Le 10/05/2013 15:06, Clem Clem a écrit :
Bonjour Julien,
Un login et mot de passe par utilisateur, Une gestion de groupe d'users, Un open ldap.
Ou je n'ai pas compris la question ? Ou il manque de infos/précisions?
Ca sait faire du cryptage réversible ldap ? Parce que si on stocke en clair, bof et si on stocke crypter, il faut qu'il sache décrypter à partir du pass et/ou d'une clé bien planquée par un mécanisme X ou Y.
Non ?
OpenLDAP c'est du SSHA en général, donc du hash salté. Le salt est encodé dans le contenu du pass stocké. En gros un mot de passe est stocké sous cette forme: salt . sha(salt . pass) Donc d'une part à aucun moment tu ne stockes le mot de passe en clair, tu ne peux pas non plus le reverser du fait de la construction, enfin c'est très chaud à brute-forcer puisque le salt est unique pour chaque mot de passe (pas d'attaque par dictionnaire possible). Le mot de passe ne passe en clair qu'entre le client et le serveur (une connexion TLS et c'est fini ! :) )
OK, merci pour l'explication. Je suis un peu light sur ldap. Par contre, d'après ce que tu dis, je peux authentifier avec LDAP mais pas stocker du password de manière sécurisée.
Ldap est un des trucs les plus sécurisés et utilisé que je connaisse, mais par contre est ce que cela repond vraiment a ton probleme je ne sais pas, car on (j'ai l'impression) a un peu de msl a comprendre le pbm dans sa globalité.
Sinon autre solution: authentification par clé SSH ou certificat (ce qui revient à peu près au même). Tu trouveras peu de choses aussi robuste !
On mets déjà de la clé et/ou certificat chaque fois qu'on peut mais sur de l'appli web, c'est quand même vite limité.
Finalement, je confirme : keepass 2 fait très bien le boulot pour nous. Double authentification (clé sur support USB + password), base stockée cryptée sur notre serveur owncloud, lui même hébergé sur notre infra, ça me paraît déjà plutôt solide.
Tes logins mot de passes securisés cryptes sur clé usb etc, servent a quoi ? Acceder aux comptes admin du client pour lequel tu boss ? Par exemple? Ldap est souvent utilisé 1/ pour ouvrir des sessions 2/ gerer l'annuaire 3/ gerer des acces fichiers sur la base de ton annuaire. Si c'est pour gerer des multi reseaux qui sont pas interconnectés, ca marche pas. (Ou en tout cas il faut minimum une infra pyramidale, avec une gestion centralisée chez toi, et un client chez chaque client).
Il ne me reste plus qu'à faire une copie de sauvegarde d'une clé USB avec un fs lui même crypté et mettre ça au coffre. Après, ca va finir par être de la parano non ?
Un bon sysadmin est par definition parano, sinon c'est pas un bon sysadmin <troll>, sinon c'est un dev, ou un user ^^</troll>
Julien _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/