{hs de chez HS}

8 réponses
Avatar
Jean-Yves F. Barbier
salut liste,

j'ai besoin de f=C3=A9d=C3=A9rer un tas de services et je me demande, vu le=
s docs, si
=C3=A7a vaut vraiment le coup de le faire par LDAP (eeerk) ou plut=C3=B4t p=
ar qq
chose comme OpenID (d'apr=C3=A8s ce que J'AI compris, si les SVRs sont en p=
rise
avec l'Internet, OpenID se satisfait de qq lignes dans la page d'accueil,
alors que LDAP vire au cauchemar au-del=C3=A0 de qq Sces utilisant diff=C3=
=A9rentes
bases)

JY
--=20
You will be dead within a year.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20100602002335.48e6528e@anubis.defcon1

8 réponses

Avatar
fabrice régnier
salut,

j'ai besoin de fédérer un tas de services et je me demande,


[zap]
alors que LDAP vire au cauchemar au-delà de qq Sces utilisant différentes
bases)


Il doit sans doute s'agir de service web ? lesquels ?
Dans ce cas, si tu souhaites juste gérer les identifiants de connexion,
ET si tu utilises apache, tu as aussi la solution htpasswd/htacess.

a+

f.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4c0626c6$0$19152$
Avatar
Jean-Yves F. Barbier
Le Wed, 02 Jun 2010 11:39:17 +0200,
fabrice régnier a écrit :

salut,

> j'ai besoin de fédérer un tas de services et je me demande,
[zap]
> alors que LDAP vire au cauchemar au-delà de qq Sces utilisant
> différentes bases)
Il doit sans doute s'agir de service web ? lesquels ?



EGW, webmin, usermin, maarch, un erp et sans doute d'autres.

Etant donné que tout ce monde là fonctionne en PHP ou HTML, à §a devrait le
faire.

Dans ce cas, si tu souhaites juste gérer les identifiants de connexi on,
ET si tu utilises apache, tu as aussi la solution htpasswd/htacess.



Sans doute pas: c'est lourdingue.
Mais je ne vois pas ce que tu veux dire avec htpasswd/htaccess.

--
My, how you've changed since I've changed.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
fabrice régnier
Mais je ne vois pas ce que tu veux dire avec htpasswd/htaccess.



htpasswd -c /etc/fichier_de_password va te créer le fichier des mot de
passe.

Ensuite tu crées tes users avec htpasswd /etc/fichier_de_password
nom_du_user

Ensuite, tu autorises ou pas tel ou tel user dans telle ou telle appli
grace à tes fichiers htacess ou directement dans httpd.conf si tu
n'utilises pas htaccess.

Par exemple:

<Directory /var/www/appli_no_UN> <----------------WEBMIN
Options Indexes FollowSymLinks
AuthType Basic
AuthUserFile /etc/fichier_de_password
Require user toto titi tata <----------------ICI
Order allow,deny
Allow from all
</Directory>

<Directory /var/www/appli_no_DEUX><----------------MAARCH
Options Indexes FollowSymLinks
AuthType Basic
AuthUserFile /etc/fichier_de_password
Require user ma_pomme titi <----------------ICI
Order allow,deny
Allow from all
</Directory>

Enfin, dans tes applis PHP (et c'est là que ça peut devenir lourdingue
car il te faut modifier les scripts de connexion), tu fais un acceuil
chaleureux à $_SERVER['PHP_AUTH_USER'] sans qu'il ait besoin de se
connecter à l'appli.

J'espère avoir été plus clair. Sinon, je me suis colté avec
l'implémentation ldap pour l'authentification avec webcalendar et j'ai
beaucoup souffert.

Si je devais retravailler sur le sujet, je me pencherais sur OpenId,
quitte à proposer des patchs pour l'intégration d'openID en utilisant
php-openid par exemple, pour les applications ne le proposant pas
(Maarch par exemple)

a+

f.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4c066738$0$1426$
Avatar
Erwan David
On Wed, Jun 02, 2010 at 04:14:14PM CEST, fabrice régnier said:

>Mais je ne vois pas ce que tu veux dire avec htpasswd/htaccess.

htpasswd -c /etc/fichier_de_password va te créer le fichier des mot
de passe.

Ensuite tu crées tes users avec htpasswd /etc/fichier_de_password
nom_du_user

Ensuite, tu autorises ou pas tel ou tel user dans telle ou telle
appli grace à tes fichiers htacess ou directement dans httpd.conf si
tu n'utilises pas htaccess.

Par exemple:

<Directory /var/www/appli_no_UN> <----------------WEBMIN
Options Indexes FollowSymLinks
AuthType Basic
AuthUserFile /etc/fichier_de_password
Require user toto titi tata <----------------ICI
Order allow,deny
Allow from all
</Directory>

<Directory /var/www/appli_no_DEUX><----------------MAARCH
Options Indexes FollowSymLinks
AuthType Basic
AuthUserFile /etc/fichier_de_password
Require user ma_pomme titi <----------------ICI
Order allow,deny
Allow from all
</Directory>

Enfin, dans tes applis PHP (et c'est là que ça peut devenir
lourdingue car il te faut modifier les scripts de connexion), tu fais
un acceuil chaleureux à $_SERVER['PHP_AUTH_USER'] sans qu'il ait
besoin de se connecter à l'appli.

J'espère avoir été plus clair. Sinon, je me suis colté avec
l'implémentation ldap pour l'authentification avec webcalendar et
j'ai beaucoup souffert.

Si je devais retravailler sur le sujet, je me pencherais sur OpenId,
quitte à proposer des patchs pour l'intégration d'openID en utilisant
php-openid par exemple, pour les applications ne le proposant pas
(Maarch par exemple)



Le problème d'openID est qu'il faut faire confiance au fournisseur
d'authentification...

À la fois côté serveur (et là on ne le choisi pas, donc en gros on
donne l'accès complet à son serveur à tous les fournisseurs openID de
la planète), et côté client (moi je ne fais aucune confiance à aucun
fournisseur openID pour ne pas croiser les visites sur des sites
différents, donc je n'utilise pas).

--
Erwan

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Jean-Yves F. Barbier
Le Wed, 2 Jun 2010 16:49:19 +0200,
Erwan David a écrit :

...
Le problème d'openID est qu'il faut faire confiance au fournisseur
d'authentification...

À la fois côté serveur (et là on ne le choisi pas, do nc en gros on
donne l'accès complet à son serveur à tous les fournisseur s openID de
la planète), et côté client (moi je ne fais aucune confian ce à aucun
fournisseur openID pour ne pas croiser les visites sur des sites
différents, donc je n'utilise pas).



Même si c'était le cas, ça a peu d'importance, dans le sens où les sites en
question sont en intranet.

--
I've only got 12 cards.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Jean-Yves F. Barbier
Le Wed, 02 Jun 2010 16:14:14 +0200,
fabrice régnier a écrit :


> Mais je ne vois pas ce que tu veux dire avec htpasswd/htaccess.


...

Enfin, dans tes applis PHP (et c'est là que ça peut devenir lou rdingue
car il te faut modifier les scripts de connexion), tu fais un acceuil
chaleureux à $_SERVER['PHP_AUTH_USER'] sans qu'il ait besoin de se
connecter à l'appli.

J'espère avoir été plus clair. Sinon, je me suis coltà © avec
l'implémentation ldap pour l'authentification avec webcalendar et j' ai
beaucoup souffert.



Vi, c'est clair; je ne savais pas qu'on pouvait faire cela avec apache.

Mais comme tu le dis, ça devient vite lourdingue (surtout avec la fr équence
de MàJ de certains softs); c'est pour cela que je pensais à OpenI D.
Pour l'instant je n'ai que survolé la doc, mais il semble bien que les
autorisations ne prennent que qq lignes dans l'index; ça reste à voir.

Pour ce qui est de LDAP, je préférerais l'éviter notamment p arce que les
docs sont plutôt osbscures, qu'il faut des fois bricoler des connecteu rs
pour certaines applis, et que le dernier essai que j'ai fait m'a laissé
une machine inutilisable ('reusement que j'avais un backup de /etc)

Si je devais retravailler sur le sujet, je me pencherais sur OpenId,
quitte à proposer des patchs pour l'intégration d'openID en uti lisant
php-openid par exemple, pour les applications ne le proposant pas
(Maarch par exemple)



Wai, je crois que je vais me diriger vers cette voie là; au moins sur le
papier ça semble être la meilleure solution tout en restant peu c omplexe.

Merci.

--
Draft beer, not boys!

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Yves Rutschle
On Wed, Jun 02, 2010 at 04:49:19PM +0200, Erwan David wrote:
Le problème d'openID est qu'il faut faire confiance au fournisseur
d'authentification...



Je croyais qu'il était simple d'heberger son propre serveur
d'authentification? (c'est pas un petit truc à rajouter à
Apache?)

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Erwan David
On 02/06/10 17:33, Yves Rutschle wrote:
On Wed, Jun 02, 2010 at 04:49:19PM +0200, Erwan David wrote:
Le problème d'openID est qu'il faut faire confiance au fournisseur
d'authentification...



Je croyais qu'il était simple d'heberger son propre serveur
d'authentification? (c'est pas un petit truc à rajouter à
Apache?)

Y.



en dans ce cas là atant directelet utiliser ta base d'utilisateurs. Par
ailleurs c'est la même chose : il faut avoir confiance dans ce "petit
truc" en géréral un bout de scvript hermétique et à la sécurité plus que
douteuse...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/