Forum Linux.debian/ubuntu Authentification centralisée de services web.

Posté par  . Licence CC By‑SA.
Étiquettes :
0
6
juil.
2015

Bonjour tout le monde,

J'ai une petite problématique à soumettre à la communauté :

Contexte :
J'ai un serveur qui fait tourner un certain nombre de services :
- Mail (postfix, dovecot, spamassassin, clamav accessible via impa (rouncube))
- Cloud (owncloud)
- Streaming (Madsonic)
- Portail pour accéder à tout ça (Posh)

Pour l'instant, chaque service dispose de son propre service d'identification mais je compte centraliser tout ça avec un LDAP pour simplifier la gestion.

Jusque là, pas de soucis (…)

Forum Linux.général Authentification centralisée et évolutive

Posté par  . Licence CC By‑SA.
Étiquettes :
1
16
oct.
2014

Bonjour à tous,

je vais devoir gérer un parc modeste de machines ayant des système hétérogènes (des serveurs en Ubuntu Server, Debian et des stations Windows 7 et Ubuntu principalement).
Le parc risque de grossir très rapidement dans un futur très proche, ainsi que le nombre d'utilisateurs.
Il n'y a pour le moment à ma connaissance aucune authentification centralisée, seulement un serveur Samba pour les partages Windows.

J'aurais voulu avoir votre avis sur la meilleure solution à mettre en place (…)

Forum Linux.debian/ubuntu rsync ssh authentification par certificat

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
1
11
fév.
2014

Bonjour,

Je cherche à mettre en place une authentification par certificat pour des sauvegarde avec rsync. Donc cela fonctionne très bien avec la commande ssh

ssh myuser@remote

J'ai utilisé le fichier ~/.ssh/config :

Host remote
Port 22
User myuser
IdentityFile /home/myuser/.ssh/id_rsa
Hostname remote.domain.fr

Mais si j'utilise avec rsync, j'ai une demande de mot de passe

/usr/bin/rsync -e 'ssh -i /home/myuser/.ssh/id_rsa' -azv /local/backup/ myuser@remote:/mnt/backup/
myuser@remote.domain.fr's password:

Sur le serveur distant j'ai cela dans /var/log/auth.log

Feb 11 15:55:42 remote sshd[12453]: Invalid (…)

Forum Linux.redhat Quel module conseillez-vous (et pourquoi !) pour authentification apache ?

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes :
0
22
déc.
2013

M'sieur Dames,

Je voudrai mettre en place un système simple d'authentification pour un site web tournant sous :
# cat /etc/centos-release
CentOS release 6.5 (Final)
# apachectl -v
Server version: Apache/2.2.15 (Unix)

Je vois qu'il y a principalement 2 modules qui font ce boulot :
mod-auth-pam
mod_authnz_external / mod_auth_external

J'ai lu des commentaires qui parle d'obsolescence de mod_auth_pam, qu'en pensez-vous, quel module conseillez-vous ?

merci de vos lumières !

Bonnes fêtes de fin d'année à tous.

Pierre

Forum Linux.général Connexion ssh sans entrer sans mot de passe.

Posté par  . Licence CC By‑SA.
Étiquettes :
1
19
nov.
2013

Bonjour

Je rencontre un souci actuellement avec un serveur openssh sous windows.
J'ai un client ssh linux qui doit se connecter au serveur openssh sous windows, afin de récupérer un certain nombre d'info sur des logs.

Le client ssh-linux est un batch, il faut donc que je puisse m'authentifier sans avoir à rentrer un mot de passe, sous peine d'arrêter mon script en plein milieu.

J'ai suivi cette procédure :

http://www.linuxproblem.org/art_9.html

Mon utilisateur toto est déclaré sur mon serveur windows. (…)

Journal AuthorizedKeysCommand

Posté par  . Licence CC By‑SA.
Étiquettes :
32
3
juin
2013

Bonjour Nal,
Pour mon premier journal, je voulais te partager une nouvelle feature d'OpenSSH que j'ai découvert en lisant le dernier Linux Mag, il s'agit de l'AuthorizedKeysCommand qui permet de déléguer la gestion des authorizedkeys à un script plutôt que de juste le comparer aux clés stockés dans le bien connu fichier ~/.ssh/authorized_keys.
Perso je trouve ça génial, parce que ça permet de facilement gérer les accès à nos chers serveurs sans avoir à mettre en place de mécanisme de (…)

Forum général.général LinuxFR: password à remettre à zero sans cesse

Posté par  .
Étiquettes :
0
27
sept.
2012

Salut DLFPistes,

J'ai un soucis, à chaque fois que je reviens sur LinuxFR via une nouvelle "session", ou onglet, mon mot de passe est refusé, je dois alors faire une demande de reset, ça passe, je tente également de faire un reset moi via mes préférences, ça passe mais lorsque je reviens plus tard et que ma session a expiré, j'ai beau entrer à nouveau le mot de passe, l'accès m'est refusé.

Du coup, j'abuse de la fonction reset.

A (…)

Forum Linux.debian/ubuntu Squid authentification problème (Résolu)

Posté par  .
Étiquettes :
0
27
août
2012

Bonjour,

nous avons un problème particulier que je n'arrive pas à résoudre. Je demande de l'Aide car je suis à court de ressource…

CONTEXTE
Nous avons un squid linux qui gère l'authentification avec un AD.

PROBLEMATIQUE
Nous devons tester une application qui fonctionne parfaitement au niveau de l'authentification avec le compte administrateur AD en revanche avec tous les autres utilisateurs sa ne fonctionnement pas. Nous avons créer un autre compte similaire au compte administrateur AD sa ne fonctionne pas non (…)

Journal Solution d'authentification par mot de passe unique

Posté par  . Licence CC By‑SA.
Étiquettes :
60
21
mai
2012

Il y a quelque temps, j'ai écrit un système d'authentification utilisant les clés Yubikeys. Cela permet de s'authentifier par SSH ou sur un serveur web en utilisant un jeton, en plus de son mot de passe. Je l'utilise quotidiennement depuis plusieurs mois. Voici donc le code (GPL v2+).

Yubikeys

Ce sont des périphériques USB de la taille d'une clef fournissant des mots de passe uniques (One Time Password) ou jetons. Elles se comportent comme un clavier et émettent une (…)

Forum Linux.général LTSP - Authentification Squid via login/mdp de session

Posté par  .
Étiquettes :
0
23
jan.
2012

Bonjour,

Je travaille actuellement à la mise en place de clients légers dans un environnement scolaire via LTSP (Ubuntu 10.04). Tout fonctionne bien, j'ai réussi à connecter mon serveur sur mon Active Directory pour l'authentification mais je coince sur l'authentification du proxy. En l'état mes clients peuvent se connecter au net via le proxy (Squid, et je n'ai malheureusement pas la main sur sa config) en utilisant le pseudo-proxy ntlmaps identifié avec un utilisateur quelconque coté serveur. Du coup, je (…)

API OAuth d'authentification

Posté par  (site web personnel) . Édité par Benoît Sibaud et claudex. Modéré par Benoît Sibaud. Licence CC By‑SA.
Étiquettes :
33
11
déc.
2011
LinuxFr.org

LinuxFr.org dispose maintenant d'une API Rest au format JSON qui s'appuie sur OAuth2 pour l'authentification. Cette API est encore très limitée (elle ne possède qu'une seule méthode), mais elle s'enrichira en fonction de vos demandes. N'hésitez pas à créer des entrées dans le suivi pour indiquer quelles seraient les méthodes dont vous auriez besoin.

Pour le moment, elle permet à des sites externes d'authentifier un utilisateur à partir de son compte sur LinuxFr.org comme le proposent des réseaux sociaux bien connus. Cela pourrait par exemple servir à des tribunes hébergées sur d'autres sites pour permettre à leurs utilisateurs de se connecter en un clic.

Cela fonctionne avec le standard OAuth2 mais, si vous êtes un développeur Ruby, je vous recommande d'utiliser la gem Omniauth qui permet de mettre en place l'authentification via LinuxFr.org de manière très simple.

Journal Opérateurs mobiles et codes PUK

Posté par  .
Étiquettes :
5
19
sept.
2011

Bonjour.

Il n'y a pas si longtemps que ça, le code PUK d'une carte SIM était imprimé sur le support de ladite carte, ce qui fait qu'on pouvait se débloquer soi-même en cas de pépin.

Il y a quelques jours, mon téléphone s'est bloqué sur la saisie du code PUK : je l'ai sorti comme ça de ma poche : mon téléphone s'est rallumé de manière intempestive dans ma poche (merci aux clés et autres joyeusetés dans la poche) et (…)

Journal Mobilité, banques et authentification

Posté par  .
Étiquettes :
6
8
sept.
2011

J'avais déjà parlé de la nouvelle méthode discutable d'authentification d'une certaine banque, qui passait d'une authentification par secret partagé à une authentification par téléphone, et qui ouvrait une faille lorsque celui ci n'était pas renseigné (corrigée depuis).

Or, les choses ont encore changé et il faut maintenant associer l'ordinateur de connexion (cookie?) et le confirmer par code de confirmation.

Scénario (vécu):
Vous êtes à l'étranger, dans l'incapacité de recevoir un code de confirmation.
Vous souhaitez suivre vos dépenses ainsi que (…)

Vulture 2.0 beta disponible

Posté par  (site web personnel) . Modéré par patrick_g.
Étiquettes :
16
2
sept.
2011
Sécurité

Le code source de la version 2.0 de Vulture est disponible, sous licence GPL v2. Vulture est une solution Web-SSO basée sur une technologie de proxy inverse implémentée sur le socle Apache. Vulture implémente également des fonctionnalités de firewall applicatif.

Nouvautés

Les principaux changements par rapport à la version 1.99 sont :

  • le passage à Django pour l’interface d’administration ;
  • le passage à SQLite3 ;
  • le découpage du code Perl suivant l’API Apache, ce qui améliore la lisibilité du code ;
  • le passage à ModSecurity 2.6.1 :
    • Support du moteur de détection par scoring ;
    • Embryon de gestion des politiques depuis l’interface ;
    • Mise à jour des règles ModSecurity.org depuis l’interface.

Il s’agit encore d’une version beta, quelques bugs subsistent, mais l’essentiel pour commencer à tester est là… avis aux amateurs ! Pour récupérer le code : svn checkout http://vulture.googlecode.com/svn/trunk/ vulture-read-only

Nouveau cas de certificat SSL frauduleux (contre Google.com en Iran, autorité DigiNotar)

Posté par  (site web personnel) . Modéré par rootix. Licence CC By‑SA.
Étiquettes :
24
30
août
2011
Sécurité

L'Electronic Frontier Foundation (EFF), qui défend la liberté d'expression sur Internet, a publié hier un article concernant l'attaque Man-in-the-middle contre les utilisateurs de Google en Iran, qui a eu lieu en douce pendant deux mois.

Une nouvelle fois, la vulnérabilité des systèmes de chiffrement sur le web basés sur des autorités de certification est mis en lumière : encore une fois l'attaquant a obtenu un certificat frauduleux d'une autorité (cette fois-ci DigiNotar). L'attaque a été détectée via le navigateur Google Chrome car celui-ci embarque en dur des vérifications pour les certificats de Google.

Pour mémoire je vous rappelle les deux entrées dans l'aide du site LinuxFr.org concernant le certificat SSL/TLS de LinuxFr.org et alertes dans les navigateurs et la réponse à la question Pourquoi ne prenez pas un certificat SSL/TLS gratuit ou payant de chez Machin qui est par défaut dans un navigateur ? Ce dernier lien comporte notamment des pointeurs vers des affaires précédentes autour des certificats SSL/TLS et des autorités de confiance (Comodo, Microsoft et Tunisie, Defcon 2010, CCC 2010, Verisign 2003/2004).