Nextcloud (et owncloud) permet d'utiliser un serveur LDAP, ce qui vous permet de centraliser les sessions de vos différents services et ainsi d'utiliser le même couple pseudo/mot de passe sur tout vos services.
Note : les communications entre le serveur LDAP de YUnohost et le serveur Nextcloud n'étant pas sécurisées, il est conseillé de les faire communiquer à travers un VPN.
Note Bis : Afin d'augmenter l'intégration avec vos différents services et la sécurité de l'ensemble, je vous conseil de jeter un œil sur phpldapadmin dont voici le tutoriel d'installation sur Yunohost.
Sans aucune connaissance de la faisabilités avec les logiciels cité :
- Passer en LDAPs histoire de pas avoir de mot de passe qui passe en clair (port standard : 636).
- Activé la complexité, la rotation et l'historique des mot de passe sur le serveur LDAP (si pas par défaut)
Pour ma défense la normalisation de la chose laisse a désirer:
The specification of functionality is described by an RFC draft draft-behera-ldap-password-policy-09.txt which appears to have remained in that state since since 2005.
Posté par EauFroide .
Évalué à 1.
Dernière modification le 15 mai 2017 à 12:39.
Oui c'est se qu'explique le tutoriel derrière ce lien :)
Par contre, coté dommage, le firewall de yunohost ne permet que d'autoriser/bloquer tout ipv4 ou ipv6 et pas de specifier une ip/plage. Il faut passer par la ligne de commande qu'il faut lancer a chaque boot. (car pas d'iptable-persistent)
pas de souci avec le tunnel ssh,
puisque ton serveur nextcloud se connecte à ton ldap en ssh, puis fait du localhost:389 (nextcloud) => tunnel ssh => localhost:389 (serveur ldap)
pas besoin d'ouvrir le firewall car de memoire localhost (127.0.0.1) ne passe pas sur INPUT puisque local sur local
Il y a un problème avec les groupes : tout les utilisateurs ont accès au cloud (l'option pour restreindre à certains groupe est grisée).
Je suis en train de chercher comment régler le problème.
Only from those groups:
If your LDAP server supports the member-of-overlay in LDAP filters, you can define that only users from one or more certain groups are allowed to appear in user listings in Nextcloud. By default, no value will be selected. You may select multiple groups.
If your LDAP server does not support the member-of-overlay in LDAP filters, the input field is disabled. Please contact your LDAP administrator.
Ouai le type qui a rédigé cette doc a du bosser chez microsoft ^ ^ (ca rappel ce bon vieux "veuillez contacter votre administrateur système" :D )
Il faut que je teste cette solution ou encore ici mais je sens venir le prochain crash à vue de nez :P (quelle idée de merde d'avoir déjà commencé à migrer certains utilisateurs ^ ^ )
Les tests ont été fait en ligne de commande sous les users root et admin ainsi que via l'interface phpLDAPdmin (qui me dit "Logged in as: cn=admin" bien que je suis connecté sous un utilisateur (le premier) créé par mes soins et qui est le seul à avoir accès a cette interface).
# Sécurité et améliorations de l'intégration du LDAP
Posté par EauFroide . Évalué à 1.
Si certains d'entre vous ont des idées ou des recommandations : ne vous en privez pas tant que je peux encore éditer le tuto :)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Sécurité et améliorations de l'intégration du LDAP
Posté par Mathieu CLAUDEL (site web personnel) . Évalué à 3. Dernière modification le 14 mai 2017 à 20:24.
Sans aucune connaissance de la faisabilités avec les logiciels cité :
- Passer en LDAPs histoire de pas avoir de mot de passe qui passe en clair (port standard : 636).
- Activé la complexité, la rotation et l'historique des mot de passe sur le serveur LDAP (si pas par défaut)
[^] # Re: Sécurité et améliorations de l'intégration du LDAP
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 3.
Le LDAPS sur port dédié est deprecated, il est recomamndé d'activer le STARTTLS sur le port 389
Un serveur LDAP est un annuaire, ce n'est pas lui va gérer la compléxité/rotation/historique de mots de passe d'ailleurs
[^] # Re: Sécurité et améliorations de l'intégration du LDAP
Posté par Mathieu CLAUDEL (site web personnel) . Évalué à 1.
Oui, le StartTLS est une autre solution pour sécurisé le bind simple.
Pourtant c'est bien le cas pour les objets qui sont "bindable" :
* OpenLDAP : http://www.zytrax.com/books/ldap/ch6/ppolicy.html
* OpenDJ : https://backstage.forgerock.com/#!/docs/opendj/2.6.0/admin-guide/chap-pwd-policy
* AD DS : https://technet.microsoft.com/en-us/library/cc770394.aspx
[^] # Re: Sécurité et améliorations de l'intégration du LDAP
Posté par -=[ silmaril ]=- (site web personnel) . Évalué à 1.
Effectivement, my bad…
Pour ma défense la normalisation de la chose laisse a désirer:
# oui mais
Posté par NeoX . Évalué à 3.
en fait il faut l'ouvrir mais pas sur l'exterieur sinon tout le monde peut se connecter à ton port 389
il faut en fait ouvrir le port 389 sur l'IP VPN (client ou serveur tout depend dans quel sens tu montes ton tunnel)
MAIS
perso je ferais juste un tunnel ssh entre les deux machines, lancé automatiquement via autossh,
et faire pointer ton nextcloud sur localhost:389
[^] # Re: oui mais
Posté par EauFroide . Évalué à 1. Dernière modification le 15 mai 2017 à 12:39.
Oui c'est se qu'explique le tutoriel derrière ce lien :)
Par contre, coté dommage, le firewall de yunohost ne permet que d'autoriser/bloquer tout ipv4 ou ipv6 et pas de specifier une ip/plage. Il faut passer par la ligne de commande qu'il faut lancer a chaque boot. (car pas d'iptable-persistent)
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: oui mais
Posté par NeoX . Évalué à 3.
pas de souci avec le tunnel ssh,
puisque ton serveur nextcloud se connecte à ton ldap en ssh, puis fait du localhost:389 (nextcloud) => tunnel ssh => localhost:389 (serveur ldap)
pas besoin d'ouvrir le firewall car de memoire localhost (127.0.0.1) ne passe pas sur INPUT puisque local sur local
# Problème avec member-of
Posté par EauFroide . Évalué à 1.
Il y a un problème avec les groupes : tout les utilisateurs ont accès au cloud (l'option pour restreindre à certains groupe est grisée).
Je suis en train de chercher comment régler le problème.
Nextcloud doc
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Problème avec member-of
Posté par NeoX . Évalué à 2.
ton probleme
ta solution
[^] # Re: Problème avec member-of
Posté par EauFroide . Évalué à 0.
Ouai le type qui a rédigé cette doc a du bosser chez microsoft ^ ^ (ca rappel ce bon vieux "veuillez contacter votre administrateur système" :D )
Il faut que je teste cette solution ou encore ici mais je sens venir le prochain crash à vue de nez :P (quelle idée de merde d'avoir déjà commencé à migrer certains utilisateurs ^ ^ )
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
[^] # Re: Problème avec member-of
Posté par EauFroide . Évalué à 1.
J'ai testé les deux liens ci-haut et résultat :
Les tests ont été fait en ligne de commande sous les users root et admin ainsi que via l'interface phpLDAPdmin (qui me dit "Logged in as: cn=admin" bien que je suis connecté sous un utilisateur (le premier) créé par mes soins et qui est le seul à avoir accès a cette interface).
Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.