Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

OpenLdap et gestion centralisée des utilisateurs

2 réponses
Avatar
Christophe BOURGEOIS
--0-1662953434-1148312022=:4782
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

Je cherche =E0 installer openldap pour r=E9aliser une gestion centralis=E9e=
(et s=E9curis=E9e) des utilisateurs de mon lan. J'ai vu de nombreux tutori=
aux, mais tous tellement diff=E9rents que je ne sais plus ce qui est essent=
iel de ce qui ne l'est pas : sasl, kerberos, etc... Et je ne comprends pas =
toujours comment les diff=E9rentes briques s'imbriquent entre elles.

1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto),
2) qui explique ce qu'on fait et ne se contente pas de donner les apt-get q=
ui vont bien (c'est mieux) ?

a+,=20

Christophe.


--0-1662953434-1148312022=:4782
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

<html><head><style type=3D"text/css"><!-- DIV {margin:0px} --></style></hea=
d><body><div style=3D"font-family:times new roman, new york, times, serif;f=
ont-size:12pt"><div>Bonjour,<br><br>Je cherche =E0 installer openldap pour =
r=E9aliser une gestion centralis=E9e (et s=E9curis=E9e) des utilisateurs de=
mon lan. J'ai vu de nombreux tutoriaux, mais tous tellement diff=E9rents q=
ue je ne sais plus ce qui est essentiel de ce qui ne l'est pas : sasl, kerb=
eros, etc... Et je ne comprends pas toujours comment les diff=E9rentes briq=
ues s'imbriquent entre elles.<br><br>1) Est-ce que quelqu'un connait un tut=
o (c'est bien les tuto),<br>2) qui explique ce qu'on fait et ne se contente=
pas de donner les apt-get qui vont bien (c'est mieux) ?<br><br>a+, <br><br=
>Christophe.<br></div></div></body></html>
--0-1662953434-1148312022=:4782--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

2 réponses

Avatar
CONANGLE Frédéric
Christophe BOURGEOIS wrote:

Bonjour,

Je cherche à installer openldap pour réaliser une gestion centralisée (et
sécurisée) des utilisateurs de mon lan. J'ai vu de nombreux tutoriaux,
mais tous tellement différents que je ne sais plus ce qui est essentiel de
ce qui ne l'est pas : sasl, kerberos, etc... Et je ne comprends pas
toujours comment les différentes briques s'imbriquent entre elles.

1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto),
2) qui explique ce qu'on fait et ne se contente pas de donner les apt-get
qui vont bien (c'est mieux) ?

a+,

Christophe.


J'ai le même problème, je suis preneur ...


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Glennie Vignarajah
--nextPart3312571.4nM0TLxS3g
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Le Tuesday 23 May 2006 00:11, CONANGLE Frédéric(CONANGLE Frédéric
) a écrit:

> Bonjour,



Bonjour,
J'ai loupé le premier mail, je réponds là.
Je ne connais pas grand chose. D'après ce que j'ai compris :

> Je cherche à installer openldap pour réaliser une gestion
> centralisée (et sécurisée) des utilisateurs de mon lan. J'ai vu
> de nombreux tutoriaux, mais tous tellement différents que je ne
> sais plus ce qui est essentiel de ce qui ne l'est pas :



Dans le cas de l'installation d'un LDAP *propre*, il est important
de définir le schéma *correctement* en fonction votre
l'organigramme ; cela vous évitera de retoucher à l'essentiel à
chaque fois vous voulez faire l'évoluer. Après pour
la technique c'est simple. On trouve plein de tuto (plus ou moins
complet sur le Net...).

Pour revenir à LDAP, c'est une grosse (petite) base de données
stockant l'ensemble d'informations sur un objet
(login/password/groupe/clé privée etc... dans le cas d'un
utilisateur) et utilisant une protocole définie pour les échanges
avec le reste du monde !


> sasl



Encore une fois, d'après ce que *j'ai* *compris* :
sasl se place entre l'application et le serveur LDAP. C'est une
librairie qui permet de switcher le backend d'authentification sans
toucher l'appli (un peu comme PAM) : Vous pouvez mettre en place par
exemple un serveur Imap avec une authentification sasl : les
logins/password peuvent être définis dans un fichier texte, puis si
vous voulez passer à LDAP (ou une base mysql ou /etc/passwd), il
faut juste modifier la config de SASL....
Du coup, c'est plus facile pour les développeurs : ils n'ont qu'à se
baser sur des librairies (et ne s'occupent que du coeur de leur
l'appli) et les admins. peuvent switcher le backend
d'authentifcation de façon transparente!

> kerberos, etc...



Kerberos est une solution tout en 1 : le permet de stocker les
comptes/password des utilisateurs, fournit une API (GSSAPI?)
permettant aux applis de déporter l'authentification et enfin,
permet de faire du SSO.

> Et je ne comprends pas toujours comment les
> différentes briques s'imbriquent entre elles.



En gros (je vais prendre le cas d'un domaine Windows. C'est pas le
meilleur, mais, bon je *pense* IIS6 ne peut pas accèder à serveur
LDAP autre qu'AD)

- Les comptes utilisateurs/password/groups sont stockés dans l'AD
(serveur LDAP à la sauce Microsoft).

- Lorsque vous vous loggez sur le domaine, l'authentification se
fait à travers un Kerberos(à la sauce Microsoft). Vous obtenez un
token !

- Vous allez avec IE sur une application hébergée par un IIS qui est
dans le même domaine AD, avec une authentification NTLM. Vous n'avez
pas de retaper votre mot de passe.


- Vos utilisateurs peuvent récupérer leur mails par Cyrus-IMPA qui
peut attaquer AD (à travers de SASL) pour l'authentification!

- Votre application APACHE/PHP peut utiliser AD à travers
mod-auth-imap (ou le module ldap de php) pour s'autentifier !


> 1) Est-ce que quelqu'un connait un tuto (c'est bien les tuto),



Heu... non, mais je suis preneur !

> 2) qui explique ce qu'on fait et ne se contente pas de donner
> les apt-get qui vont bien (c'est mieux) ?



Pour la mise en place d'un serveur LDAP, je pense qu'il y a une
analyse fonctionnelle de votre organisation. Vous aurez du mal à
trouvez un tuto sur ce point...

J'espère que n'ai pas raconté trop de conneries...

A+

--
Glennie
"D'abord ils vous ignorent, ensuite ils vous raillent, ensuite ils
vous combattent et, enfin, vous gagnez"

--nextPart3312571.4nM0TLxS3g
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.3 (GNU/Linux)

iQEVAwUARHK9KdHiioqkksXaAQK6JQf/fKI8VP4v1oKHJOcYW+qfAYzBbBNMUUcm
3z4w22AaqiMufr70o+Pmt1L2sqJ/6DoViHQgL/jRxnaLAXMWo+3bt1diqaZf/SQh
vBuol3u721Q5K0Thi6Bzio61fqHRoJMgm8jPDpmWZZTALkxv1IvcF6cJVgFDCs7w
dRAp4/vUfl9Ko83Gh/Kc1s3b/inBvezupU2I3vx4+MMg8rv22sHCRMzgZUqfeniz
4507kUcXOIuM2zunAZ4kn3FzsZknveq/PwTizVRmQDw4mRH++mZI0eJoY8Cc7odr
MmamqcS0T/E+2vJ8MquE16lMXGYKFTStNuUPeNKdREWAlMEvIv2+Ag= =zVDn
-----END PGP SIGNATURE-----

--nextPart3312571.4nM0TLxS3g--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact