Authentification AD: directe ou via OpenLDAP ?

Le
Olivier
--e89a8f838db1475e2904cb869ea5
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

Je suis totalement novice dans le domaine des annuaires LDAP.
Je développe une appli web (apache2, ) qui comprend un module
d'authentification-autorisation.
Elle va être utilisée chez un client qui utilise Active Directory.

Est-il préférable de configurer apache2 pour authentifier-autoriser les
utilisateurs en interrogeant directement Active Directory ou bien est-il
préférable d'interroger une base intermédiaire sous OpenLDAP, par exe=
mple,
et de mettre en place une synchronisation entre OpenLDAP et Active
Directory ?

Slts

--e89a8f838db1475e2904cb869ea5
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,<br><br>Je suis totalement novice dans le domaine des annuaires LDA=
P.<br>Je développe une appli web (apache2, ) qui comprend un module d&=
#39;authentification-autorisation.<br>Elle va être utilisée chez un cli=
ent qui utilise Active Directory.<br>
<br>Est-il préférable de configurer apache2 pour authentifier-autoriser=
les utilisateurs en interrogeant directement Active Directory ou bien est-=
il préférable d&#39;interroger une base intermédiaire sous OpenLDAP, =
par exemple, et de mettre en place une synchronisation entre OpenLDAP et Ac=
tive Directory ?<br>
<br>Slts<br>

--e89a8f838db1475e2904cb869ea5--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAPeT9jjXKOagEeS7B-PPW7bUU+0XJTFH56LN230RaVZQPxGUAA@mail.gmail.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Mathias Dufresne
Le #24852012
--f46d043c81ee02fa7704cb9b522a
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Salut,

Les deux devraient fonctionner sans souci, d'un point de
l'authentification.

La difficulté réside essentiellement, si je ne dis pas de bêtises, da ns la
configuration de Kerberos, mais le net doit fourmiller de documentation
depuis le temps que les Linux accèdent aux AD.
La question du coup me semble plus être :
- faut-il configurer Kerberos pour une auth directe ?
- si oui, ne serait-ce pas plus simple de configurer Kerberos avec OpenLDAP
et avoir une auth web pure LDAP ? Ce qui pourrait faire un poil diminuer la
sécurité du site s'il n'utilise pas krb, celui-ci ne devant pas être
complètement inutile :p

Cdlt,

mathias

Le 8 octobre 2012 08:49, Olivier
Bonjour,

Je suis totalement novice dans le domaine des annuaires LDAP.
Je développe une appli web (apache2, ...) qui comprend un module
d'authentification-autorisation.
Elle va être utilisée chez un client qui utilise Active Directory.

Est-il préférable de configurer apache2 pour authentifier-autoriser l es
utilisateurs en interrogeant directement Active Directory ou bien est-il
préférable d'interroger une base intermédiaire sous OpenLDAP, par e xemple,
et de mettre en place une synchronisation entre OpenLDAP et Active
Directory ?

Slts




--f46d043c81ee02fa7704cb9b522a
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Salut, <div>La question du coup me semble plus être :</div><div>- faut-il config urer Kerberos pour une auth directe ?</div><div>- si oui, ne serait-ce pas plus simple de configurer Kerberos avec OpenLDAP et avoir une auth web pure LDAP ? Ce qui pourrait faire un poil diminuer la sécurité du site s&#3 9;il n&#39;utilise pas krb, celui-ci ne devant pas être complètement in utile :p</div>
Elle va être utilisée chez un client qui utilise Active Directory.<br>
<br>Est-il préférable de configurer apache2 pour authentifier-autoriser les utilisateurs en interrogeant directement Active Directory ou bien est- il préférable d&#39;interroger une base intermédiaire sous OpenLDAP, par exemple, et de mettre en place une synchronisation entre OpenLDAP et Ac tive Directory ?<br>

<br>Slts<br>
</blockquote></div><br></div>

--f46d043c81ee02fa7704cb9b522a--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Olivier
Le #24855292
--e89a8ff1c166ed714504cbaefc0e
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le 9 octobre 2012 09:31, Mathias Dufresne écrit :

Salut,

Les deux devraient fonctionner sans souci, d'un point de
l'authentification.

La difficulté réside essentiellement, si je ne dis pas de bêtises, dans la
configuration de Kerberos, mais le net doit fourmiller de documentation
depuis le temps que les Linux accèdent aux AD.
La question du coup me semble plus être :
- faut-il configurer Kerberos pour une auth directe ?
- si oui, ne serait-ce pas plus simple de configurer Kerberos avec
OpenLDAP et avoir une auth web pure LDAP ? Ce qui pourrait faire un poil
diminuer la sécurité du site s'il n'utilise pas krb, celui-ci ne deva nt pas
être complètement inutile :p

Cdlt,

mathias

Le 8 octobre 2012 08:49, Olivier
Bonjour,

Je suis totalement novice dans le domaine des annuaires LDAP.
Je développe une appli web (apache2, ...) qui comprend un module
d'authentification-autorisation.
Elle va être utilisée chez un client qui utilise Active Directory.

Est-il préférable de configurer apache2 pour authentifier-autoriser les
utilisateurs en interrogeant directement Active Directory ou bien est-il
préférable d'interroger une base intermédiaire sous OpenLDAP, par exemple,
et de mettre en place une synchronisation entre OpenLDAP et Active
Directory ?

Slts







Suite aux indications de Mathias, je viens en effet, de (re-)découvrir le
protocole Kerberos et son module libapache2-mod-auth-kerb.
Ce protocole semble bien adapté à mon contexte car il permet le Single Sign
On.
Il semble donc possible de configurer Apache2 pour authentifier-autoriser
des utilisateurs définis dans une base Active Directory via le protocole
Kerberos.

Pour bien faire, j'ai recherché des annuaires LDAP Open Source supportant
aussi Kerberos et qui pourraient avantageusement de se substituer à une
base Active Directory, pour des tests ou des démos, par exemple.

Le projet 389-ds semble inclure un module Kerberos mais 389-ds n'est pas
encore empaqueté pour Squeeze ou Wheezy.
Le projet FusionDirectory prévoit pour sa future version 1.0.5, un plugin
Kerberos mais la version 1.0.4 du projet n'est pas encore publiée.

Avez-vous des recommandations en la matière ?

--e89a8ff1c166ed714504cbaefc0e
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Salut,
<div>La question du coup me semble plus être :</div><div>- faut-il config urer Kerberos pour une auth directe ?</div><div>- si oui, ne serait-ce pas plus simple de configurer Kerberos avec OpenLDAP et avoir une auth web pure LDAP ? Ce qui pourrait faire un poil diminuer la sécurité du site s&#3 9;il n&#39;utilise pas krb, celui-ci ne devant pas être complètement in utile :p</div>

<div class="h5"><br>

Elle va être utilisée chez un client qui utilise Active Directory.<br>
<br>Est-il préférable de configurer apache2 pour authentifier-autoriser les utilisateurs en interrogeant directement Active Directory ou bien est- il préférable d&#39;interroger une base intermédiaire sous OpenLDAP, par exemple, et de mettre en place une synchronisation entre OpenLDAP et Ac tive Directory ?<br>


<br>Slts<br>
</blockquote></div></div></div><br></div>
Il semble donc possible de configurer Apache2 pour authentifier-autoriser d es utilisateurs définis dans une base Active Directory via le protocole K erberos. <br>Avez-vous des recommandations en la matière ?<br>

--e89a8ff1c166ed714504cbaefc0e--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAPeT9jgoN2xa1ZYDHQ2yBUaM-=Ug+
Publicité
Poster une réponse
Anonyme