je dois permettre a mes utilisateurs d'echanger des fichiers entre leur
machine a la maison et nos serveurs de fichiers. Je ne veux plus
entendre parler de SSH (utilisateurs sur la passerelle) donc je cherche
un proxy... par exemple FTP, a SSLiser evidemment. La machine en DMZ ne
fait donc plus que proxifier / SSLiser, sans authentifier les
utilisateurs.
Il y a mieux ? Quelle solution utilisez-vous ? Je suis preneur de tout
retour d'experiences, bonnes et mauvaises...
je dois permettre a mes utilisateurs d'echanger des fichiers entre leur machine a la maison et nos serveurs de fichiers. Je ne veux plus entendre parler de SSH (utilisateurs sur la passerelle) donc je cherche
je ne voie pas pour quelle raison ssh serait mauvais.
un proxy... par exemple FTP, a SSLiser evidemment. La machine en DMZ ne fait donc plus que proxifier / SSLiser, sans authentifier les utilisateurs.
Il y a mieux ? Quelle solution utilisez-vous ? Je suis preneur de tout retour d'experiences, bonnes et mauvaises...
ben..... ftp over ssh --> sftp
certains applicatifs graphiques savent bien l'exploiter: konqueror (en drag'n grop même !), mozilla & firefox (pour déposer un fichier j'ai pas essayé).
a+
Pascal Cabaud wrote:
Bonjour,
je dois permettre a mes utilisateurs d'echanger des fichiers entre leur
machine a la maison et nos serveurs de fichiers. Je ne veux plus
entendre parler de SSH (utilisateurs sur la passerelle) donc je cherche
je ne voie pas pour quelle raison ssh serait mauvais.
un proxy... par exemple FTP, a SSLiser evidemment. La machine en DMZ ne
fait donc plus que proxifier / SSLiser, sans authentifier les
utilisateurs.
Il y a mieux ? Quelle solution utilisez-vous ? Je suis preneur de tout
retour d'experiences, bonnes et mauvaises...
ben..... ftp over ssh --> sftp
certains applicatifs graphiques savent bien l'exploiter: konqueror (en
drag'n grop même !), mozilla & firefox (pour déposer un fichier j'ai pas
essayé).
je dois permettre a mes utilisateurs d'echanger des fichiers entre leur machine a la maison et nos serveurs de fichiers. Je ne veux plus entendre parler de SSH (utilisateurs sur la passerelle) donc je cherche
je ne voie pas pour quelle raison ssh serait mauvais.
un proxy... par exemple FTP, a SSLiser evidemment. La machine en DMZ ne fait donc plus que proxifier / SSLiser, sans authentifier les utilisateurs.
Il y a mieux ? Quelle solution utilisez-vous ? Je suis preneur de tout retour d'experiences, bonnes et mauvaises...
ben..... ftp over ssh --> sftp
certains applicatifs graphiques savent bien l'exploiter: konqueror (en drag'n grop même !), mozilla & firefox (pour déposer un fichier j'ai pas essayé).
a+
Jean-Claude
On 02 Aug 2004 14:45:52 GMT Pascal Cabaud wrote:
je dois permettre a mes utilisateurs d'echanger des fichiers entre leur machine a la maison et nos serveurs de fichiers.
Gros comment tes fichiers ? Un serveur de mail IMAP: Je trouve ca assez fantastique (avantage du mail et serveur de fichiers). En plus tu dois pouvoir securiser tout ca par SSL si tu as un gros besoin de securite.
J.C
On 02 Aug 2004 14:45:52 GMT
Pascal Cabaud <pcNO@SPAMeila.jussieu.fr> wrote:
je dois permettre a mes utilisateurs d'echanger des fichiers entre leur
machine a la maison et nos serveurs de fichiers.
Gros comment tes fichiers ?
Un serveur de mail IMAP:
Je trouve ca assez fantastique (avantage du mail et serveur de fichiers).
En plus tu dois pouvoir securiser tout ca par SSL si tu as un gros besoin de securite.
je dois permettre a mes utilisateurs d'echanger des fichiers entre leur machine a la maison et nos serveurs de fichiers.
Gros comment tes fichiers ? Un serveur de mail IMAP: Je trouve ca assez fantastique (avantage du mail et serveur de fichiers). En plus tu dois pouvoir securiser tout ca par SSL si tu as un gros besoin de securite.
J.C
Pascal Cabaud
Le 02 Aug 2004 19:19:55 GMT, Laurent Bruder disait :
je dois permettre a mes utilisateurs d'echanger des fichiers entre leur machine a la maison et nos serveurs de fichiers. Je ne veux plus entendre parler de SSH (utilisateurs sur la passerelle) donc je cherche
je ne voie pas pour quelle raison ssh serait mauvais.
Parce que des lors que la machine est accessible en SSH, elle connait les utilisateurs (/etc/passwd, NIS, LDAP, Kerberos, RADIUS ou que sais je encore). Accessoirement, ca veut dire que la passerelle monte les $HOME des utilisateurs. Et dans un cas comme dans l'autre ca ne me parait pas souhaitable.
Le 02 Aug 2004 19:19:55 GMT, Laurent Bruder <linux@gnouland.org> disait :
je dois permettre a mes utilisateurs d'echanger des fichiers entre leur
machine a la maison et nos serveurs de fichiers. Je ne veux plus
entendre parler de SSH (utilisateurs sur la passerelle) donc je cherche
je ne voie pas pour quelle raison ssh serait mauvais.
Parce que des lors que la machine est accessible en SSH, elle connait
les utilisateurs (/etc/passwd, NIS, LDAP, Kerberos, RADIUS ou que sais
je encore). Accessoirement, ca veut dire que la passerelle monte les
$HOME des utilisateurs. Et dans un cas comme dans l'autre ca ne me
parait pas souhaitable.
Le 02 Aug 2004 19:19:55 GMT, Laurent Bruder disait :
je dois permettre a mes utilisateurs d'echanger des fichiers entre leur machine a la maison et nos serveurs de fichiers. Je ne veux plus entendre parler de SSH (utilisateurs sur la passerelle) donc je cherche
je ne voie pas pour quelle raison ssh serait mauvais.
Parce que des lors que la machine est accessible en SSH, elle connait les utilisateurs (/etc/passwd, NIS, LDAP, Kerberos, RADIUS ou que sais je encore). Accessoirement, ca veut dire que la passerelle monte les $HOME des utilisateurs. Et dans un cas comme dans l'autre ca ne me parait pas souhaitable.
T0t0
"Pascal Cabaud" wrote in message news:
Parce que des lors que la machine est accessible en SSH, elle connait les utilisateurs (/etc/passwd, NIS, LDAP, Kerberos, RADIUS ou que sais je encore)
Si tu fais une authentification par clefs RSA ou DSA, tu n'as pas à connaître de passwd, juste le login d'un compte. Tu peux créer un compte de transfert avec des droits limités. En utilisant un utilitaire graphique comme winscp, tes transferts se feront en drag'n'drop de façon très simple, et sécurisés par SFTP. Sinon, une modification de sshd.conf devrait te permettre d'obtenir la sécurité que tu souhaites.
Accessoirement, ca veut dire que la passerelle monte les $HOME des utilisateurs. Et dans un cas comme dans l'autre ca ne me parait pas souhaitable.
Une solution SSH couplée avec RSYNC sera peut-être plus convaincante, mais je n'ai pas testé...
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Pascal Cabaud" <pcN0@SP4Meila.jussieu.fr> wrote in message
news:slrncgte7n.l2.pcN0@mars.bertillon.fr
Parce que des lors que la machine est accessible en SSH, elle connait
les utilisateurs (/etc/passwd, NIS, LDAP, Kerberos, RADIUS ou que sais
je encore)
Si tu fais une authentification par clefs RSA ou DSA, tu n'as pas à
connaître de passwd, juste le login d'un compte.
Tu peux créer un compte de transfert avec des droits limités.
En utilisant un utilitaire graphique comme winscp, tes transferts se
feront en drag'n'drop de façon très simple, et sécurisés par SFTP.
Sinon, une modification de sshd.conf devrait te permettre d'obtenir la
sécurité que tu souhaites.
Accessoirement, ca veut dire que la passerelle monte les
$HOME des utilisateurs. Et dans un cas comme dans l'autre ca ne me
parait pas souhaitable.
Une solution SSH couplée avec RSYNC sera peut-être plus convaincante,
mais je n'ai pas testé...
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Parce que des lors que la machine est accessible en SSH, elle connait les utilisateurs (/etc/passwd, NIS, LDAP, Kerberos, RADIUS ou que sais je encore)
Si tu fais une authentification par clefs RSA ou DSA, tu n'as pas à connaître de passwd, juste le login d'un compte. Tu peux créer un compte de transfert avec des droits limités. En utilisant un utilitaire graphique comme winscp, tes transferts se feront en drag'n'drop de façon très simple, et sécurisés par SFTP. Sinon, une modification de sshd.conf devrait te permettre d'obtenir la sécurité que tu souhaites.
Accessoirement, ca veut dire que la passerelle monte les $HOME des utilisateurs. Et dans un cas comme dans l'autre ca ne me parait pas souhaitable.
Une solution SSH couplée avec RSYNC sera peut-être plus convaincante, mais je n'ai pas testé...
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Pascal Cabaud
Le 03 Aug 2004 08:03:12 GMT, Jean-Claude disait :
je dois permettre a mes utilisateurs d'echanger des fichiers entre leur machine a la maison et nos serveurs de fichiers.
Gros comment tes fichiers ?
J'ai jamais fait de stats la dessus mais 10M maximum, ca me parait deja pas mal, sinon ca devient du warez ;-)
Un serveur de mail IMAP: Je trouve ca assez fantastique (avantage du mail et serveur de fichiers). En plus tu dois pouvoir securiser tout ca par SSL si tu as un gros besoin de securite.
Tiens, je n'y avais pas pense du tout... C'est utilisable par le neuneu de base avec des outils cliquodromes Win32 ?
Le 03 Aug 2004 08:03:12 GMT, Jean-Claude disait :
je dois permettre a mes utilisateurs d'echanger des fichiers entre leur
machine a la maison et nos serveurs de fichiers.
Gros comment tes fichiers ?
J'ai jamais fait de stats la dessus mais 10M maximum, ca me parait deja
pas mal, sinon ca devient du warez ;-)
Un serveur de mail IMAP:
Je trouve ca assez fantastique (avantage du mail et serveur de fichiers).
En plus tu dois pouvoir securiser tout ca par SSL si tu as un gros besoin de securite.
Tiens, je n'y avais pas pense du tout... C'est utilisable par le neuneu
de base avec des outils cliquodromes Win32 ?
je dois permettre a mes utilisateurs d'echanger des fichiers entre leur machine a la maison et nos serveurs de fichiers.
Gros comment tes fichiers ?
J'ai jamais fait de stats la dessus mais 10M maximum, ca me parait deja pas mal, sinon ca devient du warez ;-)
Un serveur de mail IMAP: Je trouve ca assez fantastique (avantage du mail et serveur de fichiers). En plus tu dois pouvoir securiser tout ca par SSL si tu as un gros besoin de securite.
Tiens, je n'y avais pas pense du tout... C'est utilisable par le neuneu de base avec des outils cliquodromes Win32 ?
Simon Marechal
Pascal Cabaud wrote:
Parce que des lors que la machine est accessible en SSH, elle connait les utilisateurs (/etc/passwd, NIS, LDAP, Kerberos, RADIUS ou que sais je encore). Accessoirement, ca veut dire que la passerelle monte les $HOME des utilisateurs. Et dans un cas comme dans l'autre ca ne me parait pas souhaitable.
Pourquoi ne pas forwarder ssh vers le serveur de fichiers?
Pascal Cabaud wrote:
Parce que des lors que la machine est accessible en SSH, elle connait
les utilisateurs (/etc/passwd, NIS, LDAP, Kerberos, RADIUS ou que sais
je encore). Accessoirement, ca veut dire que la passerelle monte les
$HOME des utilisateurs. Et dans un cas comme dans l'autre ca ne me
parait pas souhaitable.
Pourquoi ne pas forwarder ssh vers le serveur de fichiers?
Parce que des lors que la machine est accessible en SSH, elle connait les utilisateurs (/etc/passwd, NIS, LDAP, Kerberos, RADIUS ou que sais je encore). Accessoirement, ca veut dire que la passerelle monte les $HOME des utilisateurs. Et dans un cas comme dans l'autre ca ne me parait pas souhaitable.
Pourquoi ne pas forwarder ssh vers le serveur de fichiers?
Arnaud Gomes-do-Vale
Pascal Cabaud writes:
Parce que des lors que la machine est accessible en SSH, elle connait les utilisateurs (/etc/passwd, NIS, LDAP, Kerberos, RADIUS ou que sais je encore).
Ça, d'accord.
Accessoirement, ca veut dire que la passerelle monte les $HOME des utilisateurs.
Ça, par contre, j'ai du mal à voir pourquoi.
-- Arnaud
Pascal Cabaud <pcN0@SP4Meila.jussieu.fr> writes:
Parce que des lors que la machine est accessible en SSH, elle connait
les utilisateurs (/etc/passwd, NIS, LDAP, Kerberos, RADIUS ou que sais
je encore).
Ça, d'accord.
Accessoirement, ca veut dire que la passerelle monte les $HOME des
utilisateurs.
Parce que des lors que la machine est accessible en SSH, elle connait les utilisateurs (/etc/passwd, NIS, LDAP, Kerberos, RADIUS ou que sais je encore).
Ça, d'accord.
Accessoirement, ca veut dire que la passerelle monte les $HOME des utilisateurs.
Ça, par contre, j'ai du mal à voir pourquoi.
-- Arnaud
Laurent Bruder
Pascal Cabaud wrote:
Le 02 Aug 2004 19:19:55 GMT, Laurent Bruder disait :
je ne voie pas pour quelle raison ssh serait mauvais.
Parce que des lors que la machine est accessible en SSH, elle connait les utilisateurs (/etc/passwd, NIS, LDAP, Kerberos, RADIUS ou que sais je encore). Accessoirement, ca veut dire que la passerelle monte les $HOME des utilisateurs. Et dans un cas comme dans l'autre ca ne me parait pas souhaitable.
Pas forcément. Tu fabriques sur la machine "serveur" juste un seul compte, par exemple "transfert".
Chaque utilisateur devra - soit connaître le mot de passe de "transfert" et le donner à chaque utilisation du service (sftp ). Inconvénient: faut donner un mot de passe (le même) à plusieurs personnes, et faut que ces dernières le retiennent. - soit donner à l'administrateur de la passerelle sa clé DSA (~/.ssh/id_sda.pub sur linux) que ce dernier va incorporer dans le /home/transfert/.ssh/authorized_keys2. Dans ce cas, l'utilisateur n'aura même pas a fournir le password lors de la connexion. Inconvénient: l'utilisateur "en vadrouille" aura du mal à se connecter d'une autre machine puisque pas le même identificateur, et devra alors donner le mot de passe pour avoir accès.
dans les 2 cas, il copie (dans un sens ou autre) ses fichiers par scp ou sftp (ou leur équivalent windaube ou autre).
Pascal Cabaud wrote:
Le 02 Aug 2004 19:19:55 GMT, Laurent Bruder <linux@gnouland.org> disait :
je ne voie pas pour quelle raison ssh serait mauvais.
Parce que des lors que la machine est accessible en SSH, elle connait
les utilisateurs (/etc/passwd, NIS, LDAP, Kerberos, RADIUS ou que sais
je encore). Accessoirement, ca veut dire que la passerelle monte les
$HOME des utilisateurs. Et dans un cas comme dans l'autre ca ne me
parait pas souhaitable.
Pas forcément. Tu fabriques sur la machine "serveur" juste un seul
compte, par exemple "transfert".
Chaque utilisateur devra
- soit connaître le mot de passe de "transfert" et le donner à chaque
utilisation du service (sftp transfert@passerelle). Inconvénient: faut
donner un mot de passe (le même) à plusieurs personnes, et faut que ces
dernières le retiennent.
- soit donner à l'administrateur de la passerelle sa clé DSA
(~/.ssh/id_sda.pub sur linux) que ce dernier va incorporer dans le
/home/transfert/.ssh/authorized_keys2. Dans ce cas, l'utilisateur n'aura
même pas a fournir le password lors de la connexion. Inconvénient:
l'utilisateur "en vadrouille" aura du mal à se connecter d'une autre
machine puisque pas le même identificateur, et devra alors donner le mot
de passe pour avoir accès.
dans les 2 cas, il copie (dans un sens ou autre) ses fichiers par scp ou
sftp (ou leur équivalent windaube ou autre).
Le 02 Aug 2004 19:19:55 GMT, Laurent Bruder disait :
je ne voie pas pour quelle raison ssh serait mauvais.
Parce que des lors que la machine est accessible en SSH, elle connait les utilisateurs (/etc/passwd, NIS, LDAP, Kerberos, RADIUS ou que sais je encore). Accessoirement, ca veut dire que la passerelle monte les $HOME des utilisateurs. Et dans un cas comme dans l'autre ca ne me parait pas souhaitable.
Pas forcément. Tu fabriques sur la machine "serveur" juste un seul compte, par exemple "transfert".
Chaque utilisateur devra - soit connaître le mot de passe de "transfert" et le donner à chaque utilisation du service (sftp ). Inconvénient: faut donner un mot de passe (le même) à plusieurs personnes, et faut que ces dernières le retiennent. - soit donner à l'administrateur de la passerelle sa clé DSA (~/.ssh/id_sda.pub sur linux) que ce dernier va incorporer dans le /home/transfert/.ssh/authorized_keys2. Dans ce cas, l'utilisateur n'aura même pas a fournir le password lors de la connexion. Inconvénient: l'utilisateur "en vadrouille" aura du mal à se connecter d'une autre machine puisque pas le même identificateur, et devra alors donner le mot de passe pour avoir accès.
dans les 2 cas, il copie (dans un sens ou autre) ses fichiers par scp ou sftp (ou leur équivalent windaube ou autre).
Jean-Claude
Tiens, je n'y avais pas pense du tout... C'est utilisable par le neuneu de base avec des outils cliquodromes Win32 ?
Ecoute j'ai jamais testé personnellement sous WIn mais je crois avoir vu que sous OutlookExpress (pour ne pas faire de mauvaise pub mais c'est ce qu'il y a de plus utilisée) ça se configure en 4 ou 5 clics de souris + quelques paramètres. En fait rien de plus que ce qui est fait avec un client pop traditionnel !!
J.C
Tiens, je n'y avais pas pense du tout... C'est utilisable par le neuneu
de base avec des outils cliquodromes Win32 ?
Ecoute j'ai jamais testé personnellement sous WIn
mais je crois avoir vu que sous OutlookExpress
(pour ne pas faire de mauvaise pub mais c'est ce qu'il y a de plus utilisée)
ça se configure en 4 ou 5 clics de souris + quelques paramètres.
En fait rien de plus que ce qui est fait avec un client pop traditionnel !!
Tiens, je n'y avais pas pense du tout... C'est utilisable par le neuneu de base avec des outils cliquodromes Win32 ?
Ecoute j'ai jamais testé personnellement sous WIn mais je crois avoir vu que sous OutlookExpress (pour ne pas faire de mauvaise pub mais c'est ce qu'il y a de plus utilisée) ça se configure en 4 ou 5 clics de souris + quelques paramètres. En fait rien de plus que ce qui est fait avec un client pop traditionnel !!
J.C
Laurent Bruder
Pascal Cabaud wrote:
J'ai jamais fait de stats la dessus mais 10M maximum, ca me parait deja pas mal, sinon ca devient du warez ;-)
hey je pense à un truc simple: un petti script en php: - ouverture d'une session d'après un login/password (commun à tous les utilisateurs du service, ou bien individuel d'apres un fichier ou base de données) - affichage des fichiers dans le répertoire concerné et dépôt de fichiers.
J'ai déjà programmé ça, par contre la taille maxi est de 2Mo par défaut, si on veut plus (j'ai expérimenté 100Mo) il faut modifier le paramètre adéquat dans le php.ini.
Ok, ça gère pas l'aspec sécurité de la transmission, sauf peut être en https ?
A creuser !
Pascal Cabaud wrote:
J'ai jamais fait de stats la dessus mais 10M maximum, ca me parait deja
pas mal, sinon ca devient du warez ;-)
hey je pense à un truc simple: un petti script en php:
- ouverture d'une session d'après un login/password (commun à tous les
utilisateurs du service, ou bien individuel d'apres un fichier ou base
de données)
- affichage des fichiers dans le répertoire concerné et dépôt de fichiers.
J'ai déjà programmé ça, par contre la taille maxi est de 2Mo par défaut,
si on veut plus (j'ai expérimenté 100Mo) il faut modifier le paramètre
adéquat dans le php.ini.
Ok, ça gère pas l'aspec sécurité de la transmission, sauf peut être en
https ?
J'ai jamais fait de stats la dessus mais 10M maximum, ca me parait deja pas mal, sinon ca devient du warez ;-)
hey je pense à un truc simple: un petti script en php: - ouverture d'une session d'après un login/password (commun à tous les utilisateurs du service, ou bien individuel d'apres un fichier ou base de données) - affichage des fichiers dans le répertoire concerné et dépôt de fichiers.
J'ai déjà programmé ça, par contre la taille maxi est de 2Mo par défaut, si on veut plus (j'ai expérimenté 100Mo) il faut modifier le paramètre adéquat dans le php.ini.
Ok, ça gère pas l'aspec sécurité de la transmission, sauf peut être en https ?
