Bonjour,
Mon employeur possède une application qui permet de déléguer l'authentification à un serveur LDAP ou Radius. Il m'a demandé de lister des solutions nous permettant d'implémenter l'identification à 2 facteurs à moindre coût. Je trouve ça sympa, ça pourrait aussi me servir pour mon RoundCube + Owncloud + Dolibbar qui fonctionnent pour le moment avec un simple LDAP.
Je suis parti du site de OATH. C'est a l'air bien répendu, ça permet d'utiliser google authenticator ou même des YubiKey.
J'ai trouvé quelques solutions pour Radius:
- http://www.yubico.com/products/services-software/yubiradius/ (pas OATH, VM et non package)
- http://www.rcdevs.com/products/openotp/ (payant à partir de 25 utilisateurs)
- http://www.dynalogin.org/ (pas encore de backend ldap d'après ce que je comprends)
- http://www.linotp.org/news.html (backend ldap payant)
(et plein d'autres solutions beaucoup moins ouvertes).
Par contre, pour LDAP… rien (ou de non commercial en tous cas). Et je préfère LDAP, toutes mes softs favoris supportent LDAP…
OpenOTP solutions permet d'utiliser LDAP comme backend pour stocker les utilisateurs. Seulement, il faut OpenOTP devant qui ne présente pas d'interfaces LDAP.
Connaissez-vous un serveur LDAP avec le support intégré de OTP?
J'ai bien trouvé quelques indices avec LemonLDAP mais … il semblerait que ce ne soit pas un serveur LDAP.
Sertait-il possible d'ajouter le support OTP à OpenLDAP?
Je pourrais par exemple remplacer le champ password par le OTP (en utilisant https://github.com/bdauvergne/python-oath pour le calculer).
SASL me semble aussi une bonne piste…
Ca semble réaliste?
Y'a plus simple? Plus approprié?
Ou alors mieux, ça existe déjà?
Merci d'avance,
# solution usine à gaz, mais le WE arrive et il va pleuvoir
Posté par NeoX . Évalué à 2.
tu gardes ton backend ldap pour gerer tes users/pass
dessus tu branches un radius pour gerer les identifications reseaux
radius lui sait faire du OTP.
c'est une solution qu'on a implementé dans un etablissement scolaire avec plus de 500 eleves
le ldap pour la base de données et les services
un radius qui fait la passerelle entre le ldap et les bornes wifi
ca evite de devoir synchroniser 2 bases utilisateurs
[^] # Re: solution usine à gaz, mais le WE arrive et il va pleuvoir
Posté par Simon Gillet (site web personnel) . Évalué à 0.
Ben oui, je me dis de plus en plus que c'est ce qu'il y a de plus simple.
Par contre, ça ne me donne pas d'OTP pour OwnCloud, RoundCube et autres.
Ce serait bien un serveur LDAP qui gère le OTP.
Merci, tu me confortes dans ma compréhension du sujet.
[^] # Re: solution usine à gaz, mais le WE arrive et il va pleuvoir
Posté par Simon Gillet (site web personnel) . Évalué à 0.
T'as utilisé cette solution? http://wiki.freeradius.org/guide/multiOTP-HOWTO ?
[^] # Re: solution usine à gaz, mais le WE arrive et il va pleuvoir
Posté par NeoX . Évalué à 2. Dernière modification le 27 septembre 2013 à 17:05.
j'ai quand meme chercher sur grand nain
et j'ai trouvé openOTP http://rcdevs.com/products/openotp/
que tu avais deja cité et qui, par defaut, utilise une base ldap
et en option propose une passerelle vers radius.
par contre il est gratuit jusqu'a 25 utilisateurs, payant au dela
[^] # Re: solution usine à gaz, mais le WE arrive et il va pleuvoir
Posté par Simon Gillet (site web personnel) . Évalué à 0.
Oui mais en fait c'est assez subtil, il supporte LDAP comme backend, mais visiblement ne présente pas d'interface LDAP.
Enfin, de ce que j'en comprends pcq c'est pas si clair que ça.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.