Forum général.général One-Time password et OpenLDAP

Posté par (page perso) . Licence CC by-sa
Tags : aucun
1
27
sept.
2013

Bonjour,

Mon employeur possède une application qui permet de déléguer l'authentification à un serveur LDAP ou Radius. Il m'a demandé de lister des solutions nous permettant d'implémenter l'identification à 2 facteurs à moindre coût. Je trouve ça sympa, ça pourrait aussi me servir pour mon RoundCube + Owncloud + Dolibbar qui fonctionnent pour le moment avec un simple LDAP.

Je suis parti du site de OATH. C'est a l'air bien répendu, ça permet d'utiliser google authenticator ou même des YubiKey.

J'ai trouvé quelques solutions pour Radius:
- http://www.yubico.com/products/services-software/yubiradius/ (pas OATH, VM et non package)
- http://www.rcdevs.com/products/openotp/ (payant à partir de 25 utilisateurs)
- http://www.dynalogin.org/ (pas encore de backend ldap d'après ce que je comprends)
- http://www.linotp.org/news.html (backend ldap payant)
(et plein d'autres solutions beaucoup moins ouvertes).

Par contre, pour LDAP… rien (ou de non commercial en tous cas). Et je préfère LDAP, toutes mes softs favoris supportent LDAP…
OpenOTP solutions permet d'utiliser LDAP comme backend pour stocker les utilisateurs. Seulement, il faut OpenOTP devant qui ne présente pas d'interfaces LDAP.

Connaissez-vous un serveur LDAP avec le support intégré de OTP?
J'ai bien trouvé quelques indices avec LemonLDAP mais … il semblerait que ce ne soit pas un serveur LDAP.
Sertait-il possible d'ajouter le support OTP à OpenLDAP?
Je pourrais par exemple remplacer le champ password par le OTP (en utilisant https://github.com/bdauvergne/python-oath pour le calculer).
SASL me semble aussi une bonne piste…
Ca semble réaliste?
Y'a plus simple? Plus approprié?
Ou alors mieux, ça existe déjà?

Merci d'avance,

  • # solution usine à gaz, mais le WE arrive et il va pleuvoir

    Posté par . Évalué à 2.

    tu gardes ton backend ldap pour gerer tes users/pass
    dessus tu branches un radius pour gerer les identifications reseaux

    radius lui sait faire du OTP.

    c'est une solution qu'on a implementé dans un etablissement scolaire avec plus de 500 eleves
    le ldap pour la base de données et les services
    un radius qui fait la passerelle entre le ldap et les bornes wifi

    ca evite de devoir synchroniser 2 bases utilisateurs

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.