En fait, le reverse proxy passe au sites proxiisés les champs ldap uilisés pour l'authentification.
L'idée est que les sites proxiisés sont en http et en adressage privé ou derriere un firewall , peut importe, et seul l'ip du reverse proxy peut atttaqué le port 80.
Le certificat ne s'échange qu'entre le reverse proxy https et le navigateur client.
Les services webs proxiisés recuperent par des variables d'environnement d'apache les champs de l'annuaire et refont ou non un controle sur la personne, ou recherche d'autres champs ldap nécessaires au fonctionnement du site.
Lemonldap si j'ai bien compris, permet de passer d'autres parametres que l'identifiant utilisé comme login, ca evite ainsi au sites proxxiisés de ne pas refaire de requetes ldap suplementaires. Je pense que je vais tester ca .
Un reverse proxy peut etre un apache (squid le fait aussi) qui "proxiise" en entré tous les serveurs web de ton reseau.
C'est a dire que tous tes serveurs web pointent sur l'ip de ton proxy dans ton dns, et c'est l'apache de ton proxy qui interroge le bon site web (virtual host) et fait suivre la requete jusqu'au client .
C'est le mod_proxy d'apache qui s'occupe de ca.
L'avantage est que tu peux faire des regles d'ecriture (mod_rewrite) au niveau des requetes http envoyé pour par example eviter les buffer overflows, virer les nimda etc..
C'est aussi tres utilie pour proteger les IIS de ton réseau.
Un single-sign on est une authentification unique, en commulant proxy http et single-sign on, typiquement tu accedes a tous les services web, nécessisant une authentification, de ton reseau en ne t'authentifiant qu'une seule fois.
Dans le cadre de mon boulot, j'ai mis en place aussi un reverse proxy https avec ldap, mais j'ai utilisé le mod_auth_ldap, mod_proxy et et le mod_proxy_html d'apache.
Si quelqu'un a un retour d'expérience sur lemonldap je suis preneur.
Avoir des comportements déviants ou la seul personne mise en cause est soi-meme est une chose. D'ailleurs nous ne sommes pas tous fait (fort heureusement) dans le meme moule, chacun ses démons.
MAIS Mettre en danger la vie d'autres personnes par son comportement, c'est completement stupide et totalement intolérable.
Ouais, un des commentaires sur openoffice et mozilla est de moi .
Mince, je me suis trahis, je vais sur tf1.fr :)
Mais c'est vrai que la ou l'on a droit à la parole, autant glisser un ou deux mots sur le libre. Ca peut pas faire de mal.
http://www.linechec.tuxfamily.org/telechargement.php(...)
j'ai un petit soucis sous firebird 0.6.1, du texte dépasse du cadre vert ? c normal ?
et lorsque je compile :
In file included from main.cc:27:
echecs_arbre_k_aire.cc:4:33: echecs_arbre_k_aire.h: No such file or directory
Les liens sont ok, juste que je sais pas ce qu'il a bricolé avec sa webcam, mais juste en passant (http://chrboe.free.fr/webcam.html(...)) j'ai une quickcam VC et c'est pas aussi crad; c'est identique au drivers de windows.
Eclairer ma lanterne : a t'on vraiment besoin d'un compte pour exploiter le ptrace ?
Ne peut on pas récupérer un shell ou lancer un bindshell avec l'uid d'un daemon qui tourne genre par buffer overflow (si cet uid possede un shell, et pas /sbin/nologin) et apres appliqué le ptrace pout passer en root ?
Sympa, parceque c'est complet (listes modérés, repertoires de partage etc...) et facile a configurer une fois que c'est en place (interface web).
MAIS , assez fastidieu a installer a partir des sources, a titre d'example sur une RH, j'ai dus suprimer tous les modules perls et ne garder que le perle de base.
Apres tout va bcps mieux grace au module cpan et au ./configure de sympa.
Meme le package officiel rpm ne marchait pas . Par contre sur debian j'ai l'impression que ca ne pose aucun probleme.
Ca peut être une bonne nouvelle pour le secteur public francais (entre autre ) puisque bull y est encore beaucoups utilisé, actuellement avec AIX comme système d'explotation.
[^] # Re: Publication du reverse-proxy LemonLDAP
Posté par degeu raoul ⭐ (Mastodon) . En réponse à la dépêche Publication du reverse-proxy LemonLDAP. Évalué à 2.
L'idée est que les sites proxiisés sont en http et en adressage privé ou derriere un firewall , peut importe, et seul l'ip du reverse proxy peut atttaqué le port 80.
Le certificat ne s'échange qu'entre le reverse proxy https et le navigateur client.
Les services webs proxiisés recuperent par des variables d'environnement d'apache les champs de l'annuaire et refont ou non un controle sur la personne, ou recherche d'autres champs ldap nécessaires au fonctionnement du site.
Lemonldap si j'ai bien compris, permet de passer d'autres parametres que l'identifiant utilisé comme login, ca evite ainsi au sites proxxiisés de ne pas refaire de requetes ldap suplementaires. Je pense que je vais tester ca .
[^] # Re: Publication du reverse-proxy LemonLDAP
Posté par degeu raoul ⭐ (Mastodon) . En réponse à la dépêche Publication du reverse-proxy LemonLDAP. Évalué à 1.
Puisque l'authentification et l'echange de certificat ne se fait qu'une seule fois pour pouvoir acceder a tous les services web "proxiisé".
[^] # Re: Publication du reverse-proxy LemonLDAP
Posté par degeu raoul ⭐ (Mastodon) . En réponse à la dépêche Publication du reverse-proxy LemonLDAP. Évalué à 6.
C'est a dire que tous tes serveurs web pointent sur l'ip de ton proxy dans ton dns, et c'est l'apache de ton proxy qui interroge le bon site web (virtual host) et fait suivre la requete jusqu'au client .
C'est le mod_proxy d'apache qui s'occupe de ca.
L'avantage est que tu peux faire des regles d'ecriture (mod_rewrite) au niveau des requetes http envoyé pour par example eviter les buffer overflows, virer les nimda etc..
C'est aussi tres utilie pour proteger les IIS de ton réseau.
Un single-sign on est une authentification unique, en commulant proxy http et single-sign on, typiquement tu accedes a tous les services web, nécessisant une authentification, de ton reseau en ne t'authentifiant qu'une seule fois.
Voilou
# Re: Publication du reverse-proxy LemonLDAP
Posté par degeu raoul ⭐ (Mastodon) . En réponse à la dépêche Publication du reverse-proxy LemonLDAP. Évalué à 1.
Si quelqu'un a un retour d'expérience sur lemonldap je suis preneur.
[^] # Re: Ratatouille
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal Ratatouille. Évalué à 5.
MAIS Mettre en danger la vie d'autres personnes par son comportement, c'est completement stupide et totalement intolérable.
[^] # Re: eggdrop
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal eggdrop. Évalué à 1.
# Re: Webcam on line
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal Webcam on line. Évalué à 1.
# Re: Evolution du Libre
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal Evolution du Libre. Évalué à 2.
Mince, je me suis trahis, je vais sur tf1.fr :)
Mais c'est vrai que la ou l'on a droit à la parole, autant glisser un ou deux mots sur le libre. Ca peut pas faire de mal.
# Re: Mais quand arrêteront-ils...
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal Mais quand arrêteront-ils.... Évalué à 2.
http://chrispederick.myacen.com/work/firebird/useragentswitcher/(...)
[^] # Re: Redhat, rpms et dépendances...
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal Redhat, rpms et dépendances.... Évalué à 2.
yum -y update
yum -y install
C'est bcps moins puissant qu'apt mais c'est aussi bcps plus simple
[^] # Re: La montre pour épater la galerie !
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal La montre pour épater la galerie !. Évalué à 5.
[^] # Re: Aldebert
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal Aldebert. Évalué à 1.
Je deviens fou
# Re: Aldebert
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal Aldebert. Évalué à 1.
Pour troller un peu,le doubs c'est presque aussi joli que le jura.
Aldebert c'est aussi des musiciens en live , dont Christophe "ToUf" DARLOT ,un copain a moi qui bosse au dessus de mon bureau.
# Re: Pourquoi c'est vert ?
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal Pourquoi c'est vert ?. Évalué à 1.
# Re: un peu de pub !
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal un peu de pub !. Évalué à 1.
j'ai un petit soucis sous firebird 0.6.1, du texte dépasse du cadre vert ? c normal ?
et lorsque je compile :
In file included from main.cc:27:
echecs_arbre_k_aire.cc:4:33: echecs_arbre_k_aire.h: No such file or directory
voilou
# Re: Permissions
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal Permissions. Évalué à 1.
# Re: Un musée des premiers temps
Posté par degeu raoul ⭐ (Mastodon) . En réponse à la dépêche Un musée des premiers temps. Évalué à 3.
Il y a meme une version 0.99, ca pourait etre sympa a tester aussi, d'ailleurs je sais meme pas si je l'ai deja vu tourner.
La premiere version du noyau, elle etait numérotée combien ?
[^] # Re: IBM (re)fait de la pub pour Linux
Posté par degeu raoul ⭐ (Mastodon) . En réponse à la dépêche IBM (re)fait de la pub pour Linux. Évalué à 1.
[^] # Re: Manifestation en ligne contre les brevets logiciels (c'est suivi ?)
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal Manifestation en ligne contre les brevets logiciels (c'est suivi ?). Évalué à 2.
# Re: ftp.gnu.org piraté
Posté par degeu raoul ⭐ (Mastodon) . En réponse à la dépêche ftp.gnu.org compromis. Évalué à 5.
Ne peut on pas récupérer un shell ou lancer un bindshell avec l'uid d'un daemon qui tourne genre par buffer overflow (si cet uid possede un shell, et pas /sbin/nologin) et apres appliqué le ptrace pout passer en root ?
# Re: Sortie d'Afterstep 2.0 beta
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal Sortie d'Afterstep 2.0 beta. Évalué à 1.
# Re: Sondage, votre mailing list préférée...
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal Sondage, votre mailing list préférée.... Évalué à 4.
MAIS , assez fastidieu a installer a partir des sources, a titre d'example sur une RH, j'ai dus suprimer tous les modules perls et ne garder que le perle de base.
Apres tout va bcps mieux grace au module cpan et au ./configure de sympa.
Meme le package officiel rpm ne marchait pas . Par contre sur debian j'ai l'impression que ca ne pose aucun probleme.
Ah oui, sympa utilise bcps de modules perl.
# Re: Quelques nouvelles relatives à RedHat
Posté par degeu raoul ⭐ (Mastodon) . En réponse à la dépêche Quelques nouvelles relatives à RedHat. Évalué à 3.
[^] # Re: Road to 2.0
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal Road to 2.0. Évalué à 1.
http://gimp.org/download.html(...)
[^] # Re: Rodidjiu d'crénom
Posté par degeu raoul ⭐ (Mastodon) . En réponse au journal Rodidjiu d'crénom. Évalué à 1.
cf: http://www.tt-hardware.com/article.php?op=Print&sid=4320(...)