Forum Linux.général Sécurité LDAP

Posté par  (site web personnel) .
Étiquettes : aucune
0
28
mai
2009
Bonjour,
Sur la page du future nouveau Mac OS X serveur[1], j'ai été très surpris de voir, je cite :
... remotely access contact information without the schema limitations and security issues associated with LDAP.

Donc bon les limitations des schémas, je trouve ça étrange, mais ce que je trouve carrément surprenant c'est ces problèmes de sécurité. J'ai un peu cherché et j'ai rien trouvé de bien sérieux à ce sujet.
Est-ce que quelqu'un sait si il y a vraiment des problèmes avec le LDAP ou si Steve Jobs c'est remis aux hallucinogènes ?

La question subsidiaire, est-ce que ce "emerging CardDAV" existe vraiment ? J'ai rien trouvé de particulier sur le sujet et c'est décrit comme étant un standard ouvert.

Bref comme j'ai des machines Apple dans mon réseau et qu'il y a une régression dans le LDAP entre 10.4 et 10.5 (ce dernier n'arrive pas à se connecter avec LDAP v3), je me demande si Apple lache du LDAP complètement ou pas !

[1] http://www.apple.com/server/macosx/snowleopard/ (section "Address Book Server")

Etienne.
  • # hallucinogenes

    Posté par  . Évalué à 4.

    Est-ce que quelqu'un sait si il y a vraiment des problèmes avec le LDAP ou si Steve Jobs c'est remis aux hallucinogènes ?

    Il n'avait jamais arrété les hallucinogènes : comment crois-tu qu'il a inventé la souris à 1 bouton ?
  • # TLS_REQCERT

    Posté par  (site web personnel) . Évalué à 1.

    Une courte recherche sur Google m'a permis de savoir qu'à partir de MacOS X 10.5, la configuration par défaut est « TLS_REQCERT demand » :

    http://futureshare.lip6.fr/MacOSX-ConfigLDAP-NFS.html

    Cela devrait sans doute mieux éclairer ta lanterne.
    • [^] # Re: TLS_REQCERT

      Posté par  (site web personnel) . Évalué à 1.

      Je sais. Non le problème est bien que durant la phase d'authentification, l'outil de carnet d'adresse OS X 10.5 le fait avec le protocole LDAP v2, malgré que celui-ci ait été configuré avec LDAP v3.
      Mac OS X 10.4 fonctionne normalement.

      Par contre les fonctions ldapsearch (je supposes prises directement du projet openLDAP), fonctionne normalement.

      Mais le TLS_REQCERT n'a rien à voir, puisqu'il touche à TLS. Bien entendu j'ai testé avec TLS_REQCERT never, sans TLS, ...

      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

  • # CardDAV

    Posté par  (site web personnel) . Évalué à 1.

    Introducing the first open standards-based Address Book Server, Snow Leopard Server makes it easier than ever to share contacts across multiple computers. Based on the emerging CardDAV specification, which uses WebDAV to exchange vCards, Address Book Server lets users share personal and group contacts across multiple computers and remotely access contact information without the schema limitations and security issues associated with LDAP.

    CardDAV* est une extension de WebDAV qui permet de publier des fichiers vCard à travers WebDAV. Alliée au protocole Zerconf, une ressource WebDAV est plus facile à « découvrir » et donc à partager dans un réseau local.
    Il ne fallait pas lire, dans ce passage, un grief contre LDAP de la part d'Apple. Il s'agit simplement de l'exposé commercial de l'utilisation d'un nouveau protocole par MacOS X.

    Autre article parlant de MacOS X 10.5 et de LDAP (StartSSL) :
    http://blog.garnett.fr/?p=23

    Il semblerait que, par défaut, MacOS X 10.5 impose l'utilisateur d'un port LDAP/SSL (636) et ne se contente plus de StartSSL (via le port 389).


    *: http://www.ietf.org/html.charters/vcarddav-charter.html
    • [^] # Re: CardDAV

      Posté par  (site web personnel) . Évalué à 1.

      Sans LDAPS ou LDAP TLS, le problème est quand même présent. À l'authentification LDAP (sans SASL, juste authentification simple), le serveur indique que le client essaie de se connecter en LDAP v2.
      Si j'active "allow bind_v2" sur le serveur, tout fonctionne comme avant.

      Maintenant je trouve que cela est assez agressif de dire qu'un protocole a des défauts de sécurités, surtout que le WebDAV et basé sur du HTTP et donc sécurisé par SSL/TLS, soit exactement comme LDAP.

      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

  • # la solution

    Posté par  . Évalué à 2.

    change ton horrible mac par un linux
    • [^] # Re: la solution

      Posté par  (site web personnel) . Évalué à 1.

      Holà, c'est pour mes utilisateurs, pas pour moi. Qu'on ne se trompe pas, je suis un gentil, j'utilise Debian, j'ai Rockbox sur mon lecteur OGG et mon prochain natel sera un openMoko (j'attends juste que mon actuel rende l'âme) et j'ai arrêté de parler à mes amis qui n'utilisaient pas Linux (du coups j'ai plus de vie sociale, mais je suis certain que Dieu^WRMS serait fière de moi).
      Mais j'ai beaucoup d'utilisateurs qui ont changé d'un portable PC/Windows à Apple/MacOSX, c'est un début, mais au moins ils ont compris que c'était pas si difficile de changer de système.

      "It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.