Le 10/05/2013 15:53, Emmanuel Thierry a écrit :
Le 10 mai 2013 à 15:10, Julien Escario a écrit :
Le 10/05/2013 15:06, Clem Clem a écrit :
Bonjour Julien,
Un login et mot de passe par utilisateur, Une gestion de groupe d'users, Un open ldap.
Ou je n'ai pas compris la question ? Ou il manque de infos/précisions?
Ca sait faire du cryptage réversible ldap ? Parce que si on stocke en clair, bof et si on stocke crypter, il faut qu'il sache décrypter à partir du pass et/ou d'une clé bien planquée par un mécanisme X ou Y.
Non ?
OpenLDAP c'est du SSHA en général, donc du hash salté. Le salt est encodé dans le contenu du pass stocké. En gros un mot de passe est stocké sous cette forme: salt . sha(salt . pass) Donc d'une part à aucun moment tu ne stockes le mot de passe en clair, tu ne peux pas non plus le reverser du fait de la construction, enfin c'est très chaud à brute-forcer puisque le salt est unique pour chaque mot de passe (pas d'attaque par dictionnaire possible). Le mot de passe ne passe en clair qu'entre le client et le serveur (une connexion TLS et c'est fini ! :) )
OK, merci pour l'explication. Je suis un peu light sur ldap. Par contre, d'après ce que tu dis, je peux authentifier avec LDAP mais pas stocker du password de manière sécurisée.
Sinon autre solution: authentification par clé SSH ou certificat (ce qui revient à peu près au même). Tu trouveras peu de choses aussi robuste !
On mets déjà de la clé et/ou certificat chaque fois qu'on peut mais sur de l'appli web, c'est quand même vite limité.
Finalement, je confirme : keepass 2 fait très bien le boulot pour nous. Double authentification (clé sur support USB + password), base stockée cryptée sur notre serveur owncloud, lui même hébergé sur notre infra, ça me paraît déjà plutôt solide. Il ne me reste plus qu'à faire une copie de sauvegarde d'une clé USB avec un fs lui même crypté et mettre ça au coffre. Après, ca va finir par être de la parano non ?
Julien