j'ai developp=E9 une application avec la possibilit=E9 d'utiliser un moyen
d'authentification externe (ldap). Avec l'aide de php, j'uilise la fonction
ldap_bind() pour verifier que le login et mot de pass rentr=E9 par un
utilisateur est correct.
Je me suis servi de Ethereal pour verifier si le mot de passe est crypt=E9 =
ou
hach=E9, mais, il est envoye en clair au serveur.
Comment puis-je s=E9curiser la connexion avec ldap ?
Bonjour,<br>
<br>
j'ai developp=E9 une application avec la possibilit=E9 d'utiliser un moyen
d'authentification externe (ldap). Avec l'aide de php, j'uilise la
fonction ldap_bind() pour verifier que le login et mot de pass rentr=E9
par un utilisateur est correct. <br>
<br>
Je me suis servi de Ethereal pour verifier si le mot de passe est crypt=E9 =
ou hach=E9, mais, il est envoye en clair au serveur. <br>
<br>
Comment puis-je s=E9curiser la connexion avec ldap ? <br>
<br>
<br>
Merci d'avance...
------=_Part_14831_804938.1150189902271--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Emmanuel QUEMENER
G DEBIAN wrote:
Bonjour,
j'ai developpé une application avec la possibilité d'utiliser un moyen d'authentification externe (ldap). Avec l'aide de php, j'uilise la fonction ldap_bind() pour verifier que le login et mot de pass rentré par un utilisateur est correct.
Je me suis servi de Ethereal pour verifier si le mot de passe est crypté ou haché, mais, il est envoye en clair au serveur.
Comment puis-je sécuriser la connexion avec ldap ?
Merci d'avance...
- Utiliser ldap-ssl pour la requête ldap : ldaps://ldap.chezmoi:636 comme ça, c'est SSL qui se charge du boulot - Utiliser un stunnel et déporter sa requête vers le serveur local sur un port prédéfini - Utiliser SSH et un tunnel ? (surement, on fait cela pour plein de protocoles, ldap ne devrait pas poser de problèmes)
Le plus rapide, c'est certainement le 3ième : un truc du style |ssh -L 389:ldap.chezmoi:389 -l utilisateur -N chezmoi|. Cela fonctionne, mais il faut utiliser un compte utilisateur et le serveur SSH du serveur Ldap. Donc un compte avec une authentification sans mot de passe et un init.d qui démarre cela à chaque redémarrage.
Le plus "propre", c'est le premier, mais il faut que ton serveur Ldap ait un certificat validé par une autorité de certification connue du client...
Le second, intermédiaire : dans le passé, les certificats auto-signés fonctionnaient et un stunnel prenait quelques minutes à être configuré de chaque côté...
Bon courage !
Numa
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
G DEBIAN wrote:
Bonjour,
j'ai developpé une application avec la possibilité d'utiliser un moyen
d'authentification externe (ldap). Avec l'aide de php, j'uilise la
fonction ldap_bind() pour verifier que le login et mot de pass rentré
par un utilisateur est correct.
Je me suis servi de Ethereal pour verifier si le mot de passe est
crypté ou haché, mais, il est envoye en clair au serveur.
Comment puis-je sécuriser la connexion avec ldap ?
Merci d'avance...
- Utiliser ldap-ssl pour la requête ldap : ldaps://ldap.chezmoi:636
comme ça, c'est SSL qui se charge du boulot
- Utiliser un stunnel et déporter sa requête vers le serveur local sur
un port prédéfini
- Utiliser SSH et un tunnel ? (surement, on fait cela pour plein de
protocoles, ldap ne devrait pas poser de problèmes)
Le plus rapide, c'est certainement le 3ième : un truc du style |ssh -L
389:ldap.chezmoi:389 -l utilisateur -N chezmoi|. Cela fonctionne, mais
il faut utiliser un compte utilisateur et le serveur SSH du serveur
Ldap. Donc un compte avec une authentification sans mot de passe et un
init.d qui démarre cela à chaque redémarrage.
Le plus "propre", c'est le premier, mais il faut que ton serveur Ldap
ait un certificat validé par une autorité de certification connue du
client...
Le second, intermédiaire : dans le passé, les certificats auto-signés
fonctionnaient et un stunnel prenait quelques minutes à être configuré
de chaque côté...
Bon courage !
Numa
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
j'ai developpé une application avec la possibilité d'utiliser un moyen d'authentification externe (ldap). Avec l'aide de php, j'uilise la fonction ldap_bind() pour verifier que le login et mot de pass rentré par un utilisateur est correct.
Je me suis servi de Ethereal pour verifier si le mot de passe est crypté ou haché, mais, il est envoye en clair au serveur.
Comment puis-je sécuriser la connexion avec ldap ?
Merci d'avance...
- Utiliser ldap-ssl pour la requête ldap : ldaps://ldap.chezmoi:636 comme ça, c'est SSL qui se charge du boulot - Utiliser un stunnel et déporter sa requête vers le serveur local sur un port prédéfini - Utiliser SSH et un tunnel ? (surement, on fait cela pour plein de protocoles, ldap ne devrait pas poser de problèmes)
Le plus rapide, c'est certainement le 3ième : un truc du style |ssh -L 389:ldap.chezmoi:389 -l utilisateur -N chezmoi|. Cela fonctionne, mais il faut utiliser un compte utilisateur et le serveur SSH du serveur Ldap. Donc un compte avec une authentification sans mot de passe et un init.d qui démarre cela à chaque redémarrage.
Le plus "propre", c'est le premier, mais il faut que ton serveur Ldap ait un certificat validé par une autorité de certification connue du client...
Le second, intermédiaire : dans le passé, les certificats auto-signés fonctionnaient et un stunnel prenait quelques minutes à être configuré de chaque côté...
Bon courage !
Numa
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
