Mathieu CLAUDEL a écrit 192 commentaires

Je préfèrerais un OTP mail. Je ne vois pas l'intérêt de créer un compte pour certains sites (genre où tu te connectes une fois par an).

Je vais chipoter :) Mais tu veux dire créer un mot de passe ? car envoyer un OTP, c'est une méthode d'authentification lié à une identité (un compte) existant préalablement et qui à donc été créée (dans ton cas une boite mail).
C'est une solution que j'ai employée pour un site perso afin de ne pas m’embêter à gérer des mot de passe. Mais dans ce cas, il faut avoir conscience que la sécurité se base sur la boite mail (ce qui bien souvent le cas via les fonctionnalités "j'ai oublié mon mot de passe" et il y a peu, le site des impôt français à eu quelques soucis à ce sujet). Mais ce n'est pas une solution pour beaucoup de site .

Salut,

Le problème avec les protocoles classiques est qu'il faut gérer des comptes utilisateurs, des login/mdp, des codes de confirmation par SMS ou mail…

Je pense que tu lies protocoles (SAML v2, OpenID Connect,…) et Gestion des Identités.
On peut tout à fait faire ce que tu décris en utilisant l'un de ces protocoles (qui créer une relation de confiance entre IdP et SP et par extension aux identités fournies mais si elles sont farfelue). Par exemples en SAMLv2 tu peux utiliser https://stubidp.sustainsys.com/ qui est un IdP compatible SAML v2 dans lequel tu forges toi même le jeton de retour (assez intéressant pour les tests).

Pour faire une gestion d'identité simple pour des applications grand public (par opposition à une application interne à une entreprise où la maitrise des salariés est indispensable), avec keycloak, tu peux activer la création de compte ce qui permet au utilisateur de renseigner eux même leur identité et de gérer son cycle de vie.

Je tiens aussi à souligner que sans méthodes d'authentifications (mot de passe, OTP, Certificat, Webauthn,…), l'IdP ne peux vérifier l'identité revendiquée par l'utilisateur et ouvre la porte à l'usurpation.

D'où l'idée d'un protocole basé sur la confiance: selfid.

Un protocole qui est basé sur la confiance est OpenID (pas connect !) mais il ne résout pas le problème de la création et du cycle de vie des identités :). Mais ça n'a pas spécialement pris.

Je réfléchis aussi à une future version, selfid coinect, pour authentifier les canards, mais je ne sais pas si les anatides peuvent se reconnaître.

Voila un beau projet de rfc pour le 1er avril prochain !

ça me fait personnellement penser à une infrastructure docker managée comme Kubernetes avec son ingress (que ce soit traefik ou ngnix+cert manager) qui apporte nativement : reverse proxy (avec certificat ou non), dns interne, load balancer, scalabilité horizontal, automatisation de déploiement,…

si je comprend bien, Fusion Directory est un interface de gestion d'annuaire LDAP v3 qui prend en charge un certain nombre de schéma (eux même lié à des applications spécifiques ou transverse comme peut l'être SupAnn) ?

Et si je compend bien aussi, il à sa propre extension de schéma pour gérer sa propre gestion de droits (ACL) au dessus de celle éventuelement fournit par l'annuaire. Donc si une application fait directement du LDAP, ces ACLs ne sont pas prise en compte, elle ne serve que pour l'interface Fusion Directory (ce qui pas inintéressant d’ailleurs) ?

J'ai bien compris ce qu'est Fusion Directory ?

top, quand on aura oublié son mot de passe on n'aura plus qu'a faire une la requête HTJP "login success" :)

Complément au POST du dessus …

qu'il faut en effet déployer un agent sur le client

Oui. Dans LemonLDAP::NG 2, si j'ai bien compris, c'est du FastCGI ? c'est donc bien exécute aussi coté serveur web ? Il est aussi possible de mettre ton apache en reverse proxy de ton application et de propager les claims via, par exemple, les headers (comme Lemon, si j'ai bien suivis).

merci pour le retour.

OpenID Connect exige que le client soit déclaré au niveau du serveur pour obtenir en particulier un client_id et un client_secret.

Comment le serveur sait-il que la demande est ou non légitime et que ce n'est pas une application faisant par exemple du phishing ?

Enfin OpenID Connect impose l'utilisation de scope et de claims

Il est tout à fait possible de faire une demande d'autorisation sans scope et de ne retourner aucun claims (et donc de ne faire que de l'authentification). Mais c'est plutôt dommage si l'application doit faire du contrôle d'accès derrière.

avec validation du consentement de l'utilisateur

Toutes les solutions que je connais permet de bypasser cette étape au besoin

pas forcément souhaité dans le déploiement de micro services.

Je ne suis absolument pas un spécialiste en micro service, mais n'utiliserions nous pas simplement les jetons en Bearer (access_token ou id_token). Jetons issuent d'une authentification utilisateur préalable (avec éventuellement un consentement :)) ou d'une authentification en grant_type=client_credential pour les "non humains" puis propagation des jetons de services en services (exemple de conf de sécurisation de ressource avec mon cher mod_auth_openidc https://github.com/zmartzone/mod_auth_openidc/wiki/OAuth-2.0-Resource-Server) ?

Mais mod_auth_openidc n'est par exemple disponible que pour Apache, pas Nginx

Pour ngnix il y a https://github.com/zmartzone/lua-resty-openidc (lui aussi certifié)

Désolé, j'ai beaucoup de questions et interrogations, mais c'est un sujet qui m’intéresse beaucoup.

Bonjour,

je n'ais trop compris ce qu'apporte LemonLDAP::NG 2 par rapport à un couple IdP <-> Agent pour serveur web plus classique.

Comme par exemple un IdP OpenID Connect (LemonLDAP::NG, keycloak, …) et le module apache mod_openidc (idem avec SAML en le module shibboleth,…) qui en 5 lignes de configurations dans le fichier ( https://github.com/zmartzone/mod_auth_openidc#quickstart-with-a-generic-openid-connect-provider ) apache permets de sécuriser un site ou une API tout en mettant à disposition des claims à l'application et aussi de gérer les droits d'accès ( https://github.com/zmartzone/mod_auth_openidc/wiki/Authorization ).

perso, j'utilise le moins surtout car cela évite de devoir préciser de quel tiret il s'agit.

salut,

quand tu fais des scénarios de tests fonctionnels, tests de charges,… pour simuler les clients on utilise des injecteurs qui doivent être "programmer".
Tu peux faire tout à la main à coup de commande Curl ou utiliser un logiciel dédié (jmeter,… liste non exhaustive en début d'article).
Dans ces logiciels tu peux de même tout décrire les scénarios à la main ou lancer un proxy http dédié qui intercepte les requêtes et les réponses. Le logiciel pourra ensuite les rejouer (bien sur, il est possible de variabiliser les requêtes et contrôler les réponses attendus).

Dans le cas de jmetre que je connais un peu, on te propose de lancer un proxy et de modifier la configuration de ton navigateur pour l'utiliser.

Ici l'idée pour simplifier l'utilisation pour l'utilisateur non technique et leur permettre de créer les scénarios et de (si j'ai tout bien compris):

• se rendre sur "le site du proxy"
• soumettre l'url cible
• le proxy sert la page en prenant soin de modifier toutes les urls pour que le clic suivant passe toujours par lui

=> les requêtes sont mémorisés et peuvent ensuite être charger dans CLIF pour être rejouées dans le cadre de tests automatisés.

Pour la base Nextcloud > il provisionne à la volé les comptes. quand le compte est désactivé coté IdP, l'utilisateur ne peut plus s’authentifie
serveur mail et ejabberd : Je ne sais pas. pas encore eu l’occasion de jouer. Mais il est possible en se basant sur le même référentiel (ldap ?) au minimun d'avoir du Common sign on et d'utiliser IdP pour la gestion des utilisateurs et "des authentifications web"

FreeIPA permet de faire de la gestion d'identité (et pas de l'authentification), qui est peut-etre du coup la solution pour ton cas https://connect.ed-diamond.com/GNU-Linux-Magazine/GLMF-186/Gestion-d-identite-avec-FreeIPA

Beaucoup, (mais pas toutes, c'est surtout dans le monde web, même si ça évolue) applications sont capable de déléguer leur authentification à une application dédié (dans le language SAML V2, on l'appel IdP : Identity Provider).
lorsque l'application à besoin d'authentifier un utilisateur, elle le redirige vers son IdP qui se charge de la partie authentification proprement dite (et est capable de détecter si un utilisateur est déjà connecter via sa session et donc de ne pas redemander l'authentification dans se cas. C'est donc transparent pour l'utilisateur). Une fois l'utilisateur authentifié, l'IdP envoie un jeton d'authentification à l'application. L'appliation n'a plus qu'a truster ce dernier pour ouvrir "ses portes" sans avoir connaissance des identifiants mot de passe de l'utilisateur.

en SAML la sécurité se base essentiellement par de la signature de jetons (le chiffrement et aussi possible). Tout passe par le navigateur, il n'y a pas besoin d'ouverture de flux.

en OpenId Connect, cela depend du token utilisé et du flow utilisé :

• access_token : doit être valider par le client au prêt de "l'IdP"

• un id_token, tout comme SAML est signé et est donc autoporteur

Note : OpenId Connect est utilisé par google, facebook,… pour leur authentification sociale. C'est aussi le protocole utilisé par france connect. SAML lui est beaucoup utilisé en entreprise ou université (exemple renater : https://services.renater.fr/federation/introduction/comment-ca-marche) car la techno est plus ancienne.

Note 2 : d'autres IdP que keycloak existe : shibboleth, simplesamlphp, …

yop, si tu souhaites gérer des authentifications utilisateurs sur des services web (type nextcloud) la fédération est là pour ça (SAML V2, OpenId Connect) !
Un petit keycloak (avec ou non un ldap en backend) te permettra de faire les authentifications, délégué à d'autre provider d'identité pour les utilisateur qui le souhaite, utiliser l'application FreeOTP pour faire de l'authentification forte pour les utilisateur qui le souhaite, gérer une politique de mot de passe et de renouvellement,…
Par contre pour le mail, nextcloud fait du rejeu de mot de passe (de mémoire), qu'il n'aura plus. L'authentification sur le mail sera donc plus délicat. Il est certainement possible (si pas déjà fait !) de faire dès choses quand même !

salut,
tu peux utiliser le chiffrement intégré à Nextcloud et y ajouter le versionning de Duplicati sur le dossier data de Nextcloud. C'est pas complètement intégré, mais il doit y avoir de faire des choses….

Un très bon roman dont le personne principal joue dans sa tête : le joueur d'échec de Stefan Zweig. Attention on est plus très loin du point godwin…

Cela dépend du retard, mais il n'est pas irrationnel de faire perdre 5 minutes à certaines personnes pour éviter d'en faire perdre 60 à d'autres.

Et donc peut-etre faire perdre une correspondance à certaines personnes qui était dans le train en temps et en heure. La correspondance pouvant être SNCF (on retarde aussi le ce train est c'est le domino) ou non SNCF comme une ligne de CAR, un avion,…

De mémoire, a une certaine époque, il faisait attendre les train quand c’était le dernier de la journée (une règle comme une autre qui est pas déconnante. Et si tu la connais il est possible de la prendre en compte)

C'est dommage de lire sur une tablette, c'est tellement plus confort sur une liseuse !

L'attribut est en lecture seul.

Idem pour userPassword

Le userPassword est lisible dans certain cas (utilisation du compte pour de l'autologon de poste je crois). Du coup une petite recherche (&(objectClass=user)(userPassword=*)) donne des fois quelques surprises :)

A noter que le pwdlastset est mis à jour à chaque changement de mot de passe.

'lut,

le sujet m’intéresse aussi. chez OVH il y a l'offre hubic https://hubic.com/ qui semble pas mal. Mais il me semble pas très user friendly sous linux. L'agent est toujours en béta pour linux …

Je suis en train de l'essayer sur l'offre gratuite (25Go) pour me faire une idée. Mais je suis preneur de tout retour, astuces, autres solutions,…

Personnellement, j'ai surtout regarder les challenges web à base d'injection SQL, LDAP,…
Et j'ai trouvé les docs "lié" assez intéressantes pour comprendre les choses

Pour apprendre plein de choses sur la sécurisation informatique tout en "jouant" tu as le site https://www.root-me.org qui propose plein de challenges pour jouer les vrais pirates de l'internet et comprendre les erreurs à ne pas faire dans tes futures développement.
Il y en a pour tous les goûts et tous les niveaux.

Le LDAPS sur port dédié est deprecated, il est recomamndé d'activer le STARTTLS sur le port 389

Oui, le StartTLS est une autre solution pour sécurisé le bind simple.

Un serveur LDAP est un annuaire, ce n'est pas lui va gérer la compléxité/rotation/historique de mots de passe d'ailleurs

Pourtant c'est bien le cas pour les objets qui sont "bindable" :
* OpenLDAP : http://www.zytrax.com/books/ldap/ch6/ppolicy.html
* OpenDJ : https://backstage.forgerock.com/#!/docs/opendj/2.6.0/admin-guide/chap-pwd-policy
* AD DS : https://technet.microsoft.com/en-us/library/cc770394.aspx

Sans aucune connaissance de la faisabilités avec les logiciels cité :
- Passer en LDAPs histoire de pas avoir de mot de passe qui passe en clair (port standard : 636).
- Activé la complexité, la rotation et l'historique des mot de passe sur le serveur LDAP (si pas par défaut)

une solution serait peut-etre de piloter des scripts ansible, qui me il me semble, sait interagir avec des serveur windows via du remote powershell.

http://docs.ansible.com/ansible/win_user_module.html

mais un coup de LDAP comme indiqué plus haut est certainement le plus simple.

Il y a quelque temps, j'avais testé Concrete5 qui de mémoire fait ce que tu veux. Mais c’était (à l'époque) assez lent.

c'est peut-etre l'occasion de re tester ..

https://fr.wikipedia.org/wiki/Concrete5

https://www.concrete5.org/