Présentation du projet LDAP Tool Box

Posté par  (site web personnel, Mastodon) . Modéré par patrick_g.
Étiquettes :
16
26
oct.
2009
Sécurité
Le projet LDAP Tool Box (aussi connu comme LTB project) est une compilation de petits outils destinés aux administrateurs d'annuaires LDAP. Certains de ces outils sont dédiés à OpenLDAP, mais la plupart peuvent être utilisés sur n'importe quel annuaire compatible avec le standard LDAPv3.

On trouve par exemple dans ces outils des scripts de supervision pour Nagios et Cacti, des RPMs de la dernière version stable d'OpenLDAP, ou encore une interface de changement de mot de passe.

LDAP Tool Box est publié sous licence GPLv2. Supervision Nagios :
  • Vérification de la présence d'une entrée ;
  • Vérification du temps de réponse ;
  • Vérification du statut de slurpd ;
  • Vérification du statut de syncrepl ;
  • Relance d'OpenLDAP sur interception d'évènement (event handler).

Supervision Cacti :
  • Temps de réponse ;
  • Nombre d'opérations initiées (sur 10 types d'opération).

OpenLDAP :
  • RPMs de la dernière version stable ;
  • Script d'initialisation ;
  • Module de vérification de mot de passe compatible cracklib.

Scripts :
  • Envoi de messages d'avertissement avant expiration des comptes ;
  • Nettoyage des alias cassés ;
  • Transformation de fichiers CSV ou LDIF en fichiers LDIF.

Web :
  • Interface de changement de mot de passe, avec mode de support Active Directory.

Aller plus loin

  • # Self Service Password

    Posté par  . Évalué à 3.

    Assez sympa le Self Service Password, je cherchais justement un petit utilitaire de ce genre pour que les utilisateurs puissent modifier comme ils le souhaitent leur mot de passe.

    Par contre, y a t'il une vérification de la complexité du mot de passe, histoire de pas mettre des trucs trop simples ?
    Si non, est-ce prévu ?

    • [^] # Re: Self Service Password

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      La complexité du mot de passe doit plutôt se gérer côté serveur, afin que tous les moyens utilisés pour changer le mot de passe soient soumis aux mêmes contraintes. C'est d'ailleurs l'objectif du module check_password pour OpenLDAP :
      http://ltb-project.org/wiki/documentation/openldap-ppolicy-c(...)

      Ensuite, il faudrait en effet que l'interface renvoie un message correct à l'utilisateur. Je pense implémenter cela en utilisant le contrôle étendu ppolicy. Pour l'instant, avec une politique correcte au niveau du serveur, l'utilisateur aura juste un message « le mot de passe a été refusé par le serveur ».

  • # Sympa l'idée...

    Posté par  (site web personnel) . Évalué à 1.

    L'idée est sympa ... mais on l'as installée sur une machine voir ce que ça donne... une fois le login entré, ecran blanc avec juste une balise html et body vide....

    J'ai donc activé le error reporting ( error_reporting(E_ALL) ) voir un peu ce qu'il se passe.... et ça fait peur... des erreurs dans tout les coins genre :

    Notice: Undefined index: confirmpassword in /usr/local/self-service-password/index.php on line 34

    avec des tests genres

    if ($_POST[login'])

    • [^] # Re: Sympa l'idée...

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      Je n'ai pas rencontré ce type de problème. Je suis preneur d'informations pour améliorer le code.

      Le projet est libre, et possède un gestionnaire du bugs ici : http://tools.ltb-project.org/projects/ltb/issues

      Merci.

      • [^] # Re: Sympa l'idée...

        Posté par  (site web personnel) . Évalué à 1.

        Bon par exemple j'utiliserai if(isset($_POST['brol']) ) plutôt que if($_POST['brol']) ...

        ensuite pour le développement c'est toujours une bonne idée de mettre les erreur à E_ALL comme ça on est au courant de tout... ( mais faut pas laisser ça en prod évidemment) ...

        Enfin voilà c'est se genre de petits truc... j'ai pas regardé plus loin... à suivre donc

    • [^] # Re: Sympa l'idée...

      Posté par  . Évalué à 1.

      j'ai eu le même problème, c'est seulement que j'avais pas installé php5-ldap ;)

      • [^] # Re: Sympa l'idée...

        Posté par  (site web personnel, Mastodon) . Évalué à 4.

        Juste un petit mot pour remercier Rémi et Brice (eMerzh) d'avoir soumis leurs remarques sur le gestionnaire d'incidents du projet.

        J'espère que nous pourrons rapidement en compte les remarques et sortir de nouvelles versions.

  • # Quel intérêt de distribuer des paquetages rpm...

    Posté par  (site web personnel) . Évalué à 2.

    ...quand ceux-ci ne sont fournis que pour redhat, pour i386 seulement, et sont en retard de surcroit (2.4.16, alors que la version courante est la 2.4.19).

    Pour Redhat, ceux fournis par Buchan Milne sont plus à jour et plus complets:
    http://staff.telkomsa.net/packages/

    Pour d'autres distributions, comme Mandriva, ils sont inclus de base.

    • [^] # Re: Quel intérêt de distribuer des paquetages rpm...

      Posté par  (site web personnel, Mastodon) . Évalué à 2.

      L'intérêt est je pense de laisser les utilisateurs choisir le paquet qui leur correspond le mieux. Dans le cas des paquets LTB, ceux-ci embarquent le script d'initialisation LTB et la module de vérification des mots de passe.

      La version 2.4.16 est la dernière étiquetée stable chez OpenLDAP. Ce n'est donc pas être en retard que de fournir les dernière stable, et non la dernière version sortie.

      Avant de faire nos propres paquets RPMs, nous en avons essayé plusieurs. Pour diverses raisons, nous avons préféré faire les nôtres (en particulier avant un module check_password déjà compilé). S'ils peuvent servir à d'autres tant mieux. Voilà pourquoi ils sont publiés.

      Bien entendu, je suis preneur de remarques permettant d'améliorer les paquets fournis.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.