quand tu fais des scénarios de tests fonctionnels, tests de charges,… pour simuler les clients on utilise des injecteurs qui doivent être "programmer".
Tu peux faire tout à la main à coup de commande Curl ou utiliser un logiciel dédié (jmeter,… liste non exhaustive en début d'article).
Dans ces logiciels tu peux de même tout décrire les scénarios à la main ou lancer un proxy http dédié qui intercepte les requêtes et les réponses. Le logiciel pourra ensuite les rejouer (bien sur, il est possible de variabiliser les requêtes et contrôler les réponses attendus).
Dans le cas de jmetre que je connais un peu, on te propose de lancer un proxy et de modifier la configuration de ton navigateur pour l'utiliser.
Ici l'idée pour simplifier l'utilisation pour l'utilisateur non technique et leur permettre de créer les scénarios et de (si j'ai tout bien compris):
se rendre sur "le site du proxy"
soumettre l'url cible
le proxy sert la page en prenant soin de modifier toutes les urls pour que le clic suivant passe toujours par lui
=> les requêtes sont mémorisés et peuvent ensuite être charger dans CLIF pour être rejouées dans le cadre de tests automatisés.
Pour la base Nextcloud > il provisionne à la volé les comptes. quand le compte est désactivé coté IdP, l'utilisateur ne peut plus s’authentifie
serveur mail et ejabberd : Je ne sais pas. pas encore eu l’occasion de jouer. Mais il est possible en se basant sur le même référentiel (ldap ?) au minimun d'avoir du Common sign on et d'utiliser IdP pour la gestion des utilisateurs et "des authentifications web"
Beaucoup, (mais pas toutes, c'est surtout dans le monde web, même si ça évolue) applications sont capable de déléguer leur authentification à une application dédié (dans le language SAML V2, on l'appel IdP : Identity Provider).
lorsque l'application à besoin d'authentifier un utilisateur, elle le redirige vers son IdP qui se charge de la partie authentification proprement dite (et est capable de détecter si un utilisateur est déjà connecter via sa session et donc de ne pas redemander l'authentification dans se cas. C'est donc transparent pour l'utilisateur). Une fois l'utilisateur authentifié, l'IdP envoie un jeton d'authentification à l'application. L'appliation n'a plus qu'a truster ce dernier pour ouvrir "ses portes" sans avoir connaissance des identifiants mot de passe de l'utilisateur.
en SAML la sécurité se base essentiellement par de la signature de jetons (le chiffrement et aussi possible). Tout passe par le navigateur, il n'y a pas besoin d'ouverture de flux.
en OpenId Connect, cela depend du token utilisé et du flow utilisé :
access_token : doit être valider par le client au prêt de "l'IdP"
un id_token, tout comme SAML est signé et est donc autoporteur
Note : OpenId Connect est utilisé par google, facebook,… pour leur authentification sociale. C'est aussi le protocole utilisé par france connect. SAML lui est beaucoup utilisé en entreprise ou université (exemple renater : https://services.renater.fr/federation/introduction/comment-ca-marche) car la techno est plus ancienne.
Note 2 : d'autres IdP que keycloak existe : shibboleth, simplesamlphp, …
yop, si tu souhaites gérer des authentifications utilisateurs sur des services web (type nextcloud) la fédération est là pour ça (SAML V2, OpenId Connect) !
Un petit keycloak (avec ou non un ldap en backend) te permettra de faire les authentifications, délégué à d'autre provider d'identité pour les utilisateur qui le souhaite, utiliser l'application FreeOTP pour faire de l'authentification forte pour les utilisateur qui le souhaite, gérer une politique de mot de passe et de renouvellement,…
Par contre pour le mail, nextcloud fait du rejeu de mot de passe (de mémoire), qu'il n'aura plus. L'authentification sur le mail sera donc plus délicat. Il est certainement possible (si pas déjà fait !) de faire dès choses quand même !
salut,
tu peux utiliser le chiffrement intégré à Nextcloud et y ajouter le versionning de Duplicati sur le dossier data de Nextcloud. C'est pas complètement intégré, mais il doit y avoir de faire des choses….
Cela dépend du retard, mais il n'est pas irrationnel de faire perdre 5 minutes à certaines personnes pour éviter d'en faire perdre 60 à d'autres.
Et donc peut-etre faire perdre une correspondance à certaines personnes qui était dans le train en temps et en heure. La correspondance pouvant être SNCF (on retarde aussi le ce train est c'est le domino) ou non SNCF comme une ligne de CAR, un avion,…
De mémoire, a une certaine époque, il faisait attendre les train quand c’était le dernier de la journée (une règle comme une autre qui est pas déconnante. Et si tu la connais il est possible de la prendre en compte)
Le userPassword est lisible dans certain cas (utilisation du compte pour de l'autologon de poste je crois). Du coup une petite recherche (&(objectClass=user)(userPassword=*)) donne des fois quelques surprises :)
A noter que le pwdlastset est mis à jour à chaque changement de mot de passe.
le sujet m’intéresse aussi. chez OVH il y a l'offre hubic https://hubic.com/ qui semble pas mal. Mais il me semble pas très user friendly sous linux. L'agent est toujours en béta pour linux …
Je suis en train de l'essayer sur l'offre gratuite (25Go) pour me faire une idée. Mais je suis preneur de tout retour, astuces, autres solutions,…
Personnellement, j'ai surtout regarder les challenges web à base d'injection SQL, LDAP,…
Et j'ai trouvé les docs "lié" assez intéressantes pour comprendre les choses
Pour apprendre plein de choses sur la sécurisation informatique tout en "jouant" tu as le site https://www.root-me.org qui propose plein de challenges pour jouer les vrais pirates de l'internet et comprendre les erreurs à ne pas faire dans tes futures développement.
Il y en a pour tous les goûts et tous les niveaux.
Sans aucune connaissance de la faisabilités avec les logiciels cité :
- Passer en LDAPs histoire de pas avoir de mot de passe qui passe en clair (port standard : 636).
- Activé la complexité, la rotation et l'historique des mot de passe sur le serveur LDAP (si pas par défaut)
Moi qui ai beaucoup aimer le Cycle de Shaedra, je vois qu'il y a un nouveau cycle de prévu dont le premier tome sort en septembre …. "Le Cycle de Dashvara"
Je sais ce que je vais bientôt lire dans mon train quotidien.
Une petite remarque sur ce que j'ai pu lire (pas que dans ce commentaire d’ailleurs) notamment sur OIDC, Google, …:
A mon sens il faut décorréler les méthodes Authentifications des protocoles telle que OIDC ou SAML. De ce que je comprend ici nous sommes face à une méthode d'authentification, CAD un moyen de valider l'identité de l’utilisateur (au même titre que un bind ldap, un certificat, un OTP par sms,…).
Ici rien empêchement à un fournisseur d’identité (pour prendre la terminologie SAML, mais c'est valable aussi en OIDC, OAuth2,…) d'utiliser cette méthode d’authentification XMPP.
Pour aller plus loin, on peut même l'utiliser pour faire du google :
Site web cible --[demande d'authentification SAML]--> IDP -[Validation de l'identité de l'utilisateur]->Authentification XMPP
Dans ce cas on vois bien que SAML ne fait pas l'authentification proprement dite (pas plus que OIDC) mais ne fait que transporter l'identité de l'utilisateur validé en bout de chaine par une Authentification qui peut elle être plus ou moins sur.
la plupart des distributions permette de tester sur live CD, voir même sur clef usb, ce qui permet facilement d'utiliser le même medium pour plusieurs tests.
cela va permettre de tester les distributions, look ergonomie des bureaux proposés, compatibilité native avec le matériel,…
Ca ne fera peut-etre pas trop avancer le côté technique mais une solution d’architecture :
- mettre sur chacune des applications cliente (cms) un module qui fait du SAML V2 (protocole de fédération). La plupart en ont des modules et la plupart des CMS en php se base sur simpleSAMLPhp. Si une application n'en à pas, il existe par exemple des modules pour les serveurs web eux même (exemple module shibboleth pour apache) ces modules permette de recevoir un jeton SAMLV2 et de fournir à l'application les informations de l'utilisateur connecté via des header complémentaires.
- créer un IdP ou Fournisseur d’identité qui va servie de page d'authentification centralisée elle même pouvant se basé sur ton ldap. Il est possible d'utiliser Shibboleth, OpenAM, LenonLDAP:NG, simpleSAMLPhp…
Pour ceux que le SSO intéresse : en php pour faire du SSO il y a un très bon produit : SimpleSAMLphp/. Contrairement à ce que fait pensé son nom, il ne permet pas que de faire du SAML v2 mais aussi du OAuth, OpenID Connect, gérer des méthodes d'authentification interne,….
Il est possible de l'utiliser directement ou via des modules disponibles dans la plupart des CMS (Drupal, Joomla, Wordpress,…)
# du huit du six
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au sondage Prononciation des options. Évalué à 5.
perso, j'utilise le moins surtout car cela évite de devoir préciser de quel tiret il s'agit.
[^] # Re: Quels cas d'usage ?
Posté par Mathieu CLAUDEL (site web personnel) . En réponse à la dépêche RyDroid Web Proxy (1.0) : outil de capture de sessions Web. Évalué à 5. Dernière modification le 22 juin 2018 à 08:55.
salut,
quand tu fais des scénarios de tests fonctionnels, tests de charges,… pour simuler les clients on utilise des injecteurs qui doivent être "programmer".
Tu peux faire tout à la main à coup de commande Curl ou utiliser un logiciel dédié (jmeter,… liste non exhaustive en début d'article).
Dans ces logiciels tu peux de même tout décrire les scénarios à la main ou lancer un proxy http dédié qui intercepte les requêtes et les réponses. Le logiciel pourra ensuite les rejouer (bien sur, il est possible de variabiliser les requêtes et contrôler les réponses attendus).
Dans le cas de jmetre que je connais un peu, on te propose de lancer un proxy et de modifier la configuration de ton navigateur pour l'utiliser.
Ici l'idée pour simplifier l'utilisation pour l'utilisateur non technique et leur permettre de créer les scénarios et de (si j'ai tout bien compris):
=> les requêtes sont mémorisés et peuvent ensuite être charger dans CLIF pour être rejouées dans le cadre de tests automatisés.
[^] # Re: Fédération
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au message Quel logiciel pour gérer une base d'utilisateurs centralisée ?. Évalué à 2.
Pour la base Nextcloud > il provisionne à la volé les comptes. quand le compte est désactivé coté IdP, l'utilisateur ne peut plus s’authentifie
serveur mail et ejabberd : Je ne sais pas. pas encore eu l’occasion de jouer. Mais il est possible en se basant sur le même référentiel (ldap ?) au minimun d'avoir du Common sign on et d'utiliser IdP pour la gestion des utilisateurs et "des authentifications web"
FreeIPA permet de faire de la gestion d'identité (et pas de l'authentification), qui est peut-etre du coup la solution pour ton cas https://connect.ed-diamond.com/GNU-Linux-Magazine/GLMF-186/Gestion-d-identite-avec-FreeIPA
[^] # Re: Fédération
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au message Quel logiciel pour gérer une base d'utilisateurs centralisée ?. Évalué à 3. Dernière modification le 29 mai 2018 à 16:15.
Beaucoup, (mais pas toutes, c'est surtout dans le monde web, même si ça évolue) applications sont capable de déléguer leur authentification à une application dédié (dans le language SAML V2, on l'appel IdP : Identity Provider).
lorsque l'application à besoin d'authentifier un utilisateur, elle le redirige vers son IdP qui se charge de la partie authentification proprement dite (et est capable de détecter si un utilisateur est déjà connecter via sa session et donc de ne pas redemander l'authentification dans se cas. C'est donc transparent pour l'utilisateur). Une fois l'utilisateur authentifié, l'IdP envoie un jeton d'authentification à l'application. L'appliation n'a plus qu'a truster ce dernier pour ouvrir "ses portes" sans avoir connaissance des identifiants mot de passe de l'utilisateur.
en SAML la sécurité se base essentiellement par de la signature de jetons (le chiffrement et aussi possible). Tout passe par le navigateur, il n'y a pas besoin d'ouverture de flux.
en OpenId Connect, cela depend du token utilisé et du flow utilisé :
access_token : doit être valider par le client au prêt de "l'IdP"
un id_token, tout comme SAML est signé et est donc autoporteur
Note : OpenId Connect est utilisé par google, facebook,… pour leur authentification sociale. C'est aussi le protocole utilisé par france connect. SAML lui est beaucoup utilisé en entreprise ou université (exemple renater : https://services.renater.fr/federation/introduction/comment-ca-marche) car la techno est plus ancienne.
Note 2 : d'autres IdP que keycloak existe : shibboleth, simplesamlphp, …
# Fédération
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au message Quel logiciel pour gérer une base d'utilisateurs centralisée ?. Évalué à 1.
yop, si tu souhaites gérer des authentifications utilisateurs sur des services web (type nextcloud) la fédération est là pour ça (SAML V2, OpenId Connect) !
Un petit keycloak (avec ou non un ldap en backend) te permettra de faire les authentifications, délégué à d'autre provider d'identité pour les utilisateur qui le souhaite, utiliser l'application FreeOTP pour faire de l'authentification forte pour les utilisateur qui le souhaite, gérer une politique de mot de passe et de renouvellement,…
Par contre pour le mail, nextcloud fait du rejeu de mot de passe (de mémoire), qu'il n'aura plus. L'authentification sur le mail sera donc plus délicat. Il est certainement possible (si pas déjà fait !) de faire dès choses quand même !
# Nextcloud + Duplicati
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au message Nexcloud ou Seafile avec versionning et surtout chiffrement de bout en bout. Évalué à 1.
salut,
tu peux utiliser le chiffrement intégré à Nextcloud et y ajouter le versionning de Duplicati sur le dossier data de Nextcloud. C'est pas complètement intégré, mais il doit y avoir de faire des choses….
[^] # Re: Article pas terrible
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au journal [liens] Mais juste un. Évalué à 4.
Un très bon roman dont le personne principal joue dans sa tête : le joueur d'échec de Stefan Zweig. Attention on est plus très loin du point godwin…
[^] # Re: Aigreur, quand tu nous tiens
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au journal ils l'ont voulu, ils l'ont obtenu, et ils l'ont dans le baba.... Évalué à 3.
Et donc peut-etre faire perdre une correspondance à certaines personnes qui était dans le train en temps et en heure. La correspondance pouvant être SNCF (on retarde aussi le ce train est c'est le domino) ou non SNCF comme une ligne de CAR, un avion,…
De mémoire, a une certaine époque, il faisait attendre les train quand c’était le dernier de la journée (une règle comme une autre qui est pas déconnante. Et si tu la connais il est possible de la prendre en compte)
[^] # Re: Très Pratique !
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au sondage Que pensez-vous des liseuses ?. Évalué à 7.
C'est dommage de lire sur une tablette, c'est tellement plus confort sur une liseuse !
[^] # Re: Mots de passe Active Directory
Posté par Mathieu CLAUDEL (site web personnel) . En réponse à la dépêche Sortie de LDAP Tool Box Self Service Password 1.1. Évalué à 2.
L'attribut est en lecture seul.
Idem pour userPassword
Le userPassword est lisible dans certain cas (utilisation du compte pour de l'autologon de poste je crois). Du coup une petite recherche (&(objectClass=user)(userPassword=*)) donne des fois quelques surprises :)
A noter que le pwdlastset est mis à jour à chaque changement de mot de passe.
# hubic
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au message sauvegarde dans le cloud. Évalué à 2.
'lut,
le sujet m’intéresse aussi. chez OVH il y a l'offre hubic https://hubic.com/ qui semble pas mal. Mais il me semble pas très user friendly sous linux. L'agent est toujours en béta pour linux …
Je suis en train de l'essayer sur l'offre gratuite (25Go) pour me faire une idée. Mais je suis preneur de tout retour, astuces, autres solutions,…
[^] # Re: Sécurité informatique
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au journal « Mr. Robot » ou comment j’ai appris à aimer l’informatique. Évalué à 1.
Personnellement, j'ai surtout regarder les challenges web à base d'injection SQL, LDAP,…
Et j'ai trouvé les docs "lié" assez intéressantes pour comprendre les choses
# Sécurité informatique
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au journal « Mr. Robot » ou comment j’ai appris à aimer l’informatique. Évalué à 5.
Pour apprendre plein de choses sur la sécurisation informatique tout en "jouant" tu as le site https://www.root-me.org qui propose plein de challenges pour jouer les vrais pirates de l'internet et comprendre les erreurs à ne pas faire dans tes futures développement.
Il y en a pour tous les goûts et tous les niveaux.
[^] # Re: Sécurité et améliorations de l'intégration du LDAP
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au message [Tuto/HowTo] Utiliser le LDAP de Yunohost avec Nextcloud. Évalué à 1.
Oui, le StartTLS est une autre solution pour sécurisé le bind simple.
Pourtant c'est bien le cas pour les objets qui sont "bindable" :
* OpenLDAP : http://www.zytrax.com/books/ldap/ch6/ppolicy.html
* OpenDJ : https://backstage.forgerock.com/#!/docs/opendj/2.6.0/admin-guide/chap-pwd-policy
* AD DS : https://technet.microsoft.com/en-us/library/cc770394.aspx
[^] # Re: Sécurité et améliorations de l'intégration du LDAP
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au message [Tuto/HowTo] Utiliser le LDAP de Yunohost avec Nextcloud. Évalué à 3. Dernière modification le 14 mai 2017 à 20:24.
Sans aucune connaissance de la faisabilités avec les logiciels cité :
- Passer en LDAPs histoire de pas avoir de mot de passe qui passe en clair (port standard : 636).
- Activé la complexité, la rotation et l'historique des mot de passe sur le serveur LDAP (si pas par défaut)
# Ansible
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au message Interaction LAMP et Powershell. Évalué à 4.
une solution serait peut-etre de piloter des scripts ansible, qui me il me semble, sait interagir avec des serveur windows via du remote powershell.
http://docs.ansible.com/ansible/win_user_module.html
mais un coup de LDAP comme indiqué plus haut est certainement le plus simple.
# Concrete5
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au journal Site web : Wysiwyg et drag & drop. Évalué à 2.
Il y a quelque temps, j'avais testé Concrete5 qui de mémoire fait ce que tu veux. Mais c’était (à l'époque) assez lent.
c'est peut-etre l'occasion de re tester ..
https://fr.wikipedia.org/wiki/Concrete5
https://www.concrete5.org/
# Doses
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au journal j'ai testé... devenir radioactif. Évalué à 10.
Un petit dessin qui montre les doses absorbé en fonction des examens (le PET scan n'est pas dans le lot)
Issue d'un article plus long :
http://www.irsn.fr/FR/connaissances/Sante/applications-medicales/radiologie-scanner/Pages/Des-examens-banals.aspx?dId=35dd447e-6653-4773-ab72-ce5b2a4403e6&dwId=74d0db1e-c62d-4a4a-953d-94392490990c#.WEaqm30kGSk
[^] # Re: heu
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au journal Appel à idées pour prof(s) de lycée. Évalué à 3.
Dans la même veine : la porte automatique pour les poules (c'est aussi très tendance les poules)
[^] # Re: Heu ...
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au journal Un conseil de lecture.. Évalué à 1.
Moi qui ai beaucoup aimer le Cycle de Shaedra, je vois qu'il y a un nouveau cycle de prévu dont le premier tome sort en septembre …. "Le Cycle de Dashvara"
Je sais ce que je vais bientôt lire dans mon train quotidien.
[^] # Re: Le Persona de Jabber ?
Posté par Mathieu CLAUDEL (site web personnel) . En réponse à la dépêche Authentifiez-vous sans mot de passe grâce à XMPP !. Évalué à 2.
Une petite remarque sur ce que j'ai pu lire (pas que dans ce commentaire d’ailleurs) notamment sur OIDC, Google, …:
A mon sens il faut décorréler les méthodes Authentifications des protocoles telle que OIDC ou SAML. De ce que je comprend ici nous sommes face à une méthode d'authentification, CAD un moyen de valider l'identité de l’utilisateur (au même titre que un bind ldap, un certificat, un OTP par sms,…).
Ici rien empêchement à un fournisseur d’identité (pour prendre la terminologie SAML, mais c'est valable aussi en OIDC, OAuth2,…) d'utiliser cette méthode d’authentification XMPP.
Pour aller plus loin, on peut même l'utiliser pour faire du google :
Site web cible --[demande d'authentification SAML]--> IDP -[Validation de l'identité de l'utilisateur]->Authentification XMPP
Dans ce cas on vois bien que SAML ne fait pas l'authentification proprement dite (pas plus que OIDC) mais ne fait que transporter l'identité de l'utilisateur validé en bout de chaine par une Authentification qui peut elle être plus ou moins sur.
# Live CD
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au message Quelle est la distribution idéale pour débuter ? Surtout après 7 versions de " windows " . Évalué à 2.
salut,
la plupart des distributions permette de tester sur live CD, voir même sur clef usb, ce qui permet facilement d'utiliser le même medium pour plusieurs tests.
cela va permettre de tester les distributions, look ergonomie des bureaux proposés, compatibilité native avec le matériel,…
# SAML V2
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au message Comment faire du SSO sur un site avec pleins de cms ?. Évalué à 4.
Ca ne fera peut-etre pas trop avancer le côté technique mais une solution d’architecture :
- mettre sur chacune des applications cliente (cms) un module qui fait du SAML V2 (protocole de fédération). La plupart en ont des modules et la plupart des CMS en php se base sur simpleSAMLPhp. Si une application n'en à pas, il existe par exemple des modules pour les serveurs web eux même (exemple module shibboleth pour apache) ces modules permette de recevoir un jeton SAMLV2 et de fournir à l'application les informations de l'utilisateur connecté via des header complémentaires.
- créer un IdP ou Fournisseur d’identité qui va servie de page d'authentification centralisée elle même pouvant se basé sur ton ldap. Il est possible d'utiliser Shibboleth, OpenAM, LenonLDAP:NG, simpleSAMLPhp…
# Etherpad
Posté par Mathieu CLAUDEL (site web personnel) . En réponse au message Logiciel: prise de notes et synchronisation. Évalué à 2.
Une piste est Etherpad (en plus, on peut rédiger à plusieurs)
Une instance est mis à disposition par farmasoft : http://framapad.org/
# SSO
Posté par Mathieu CLAUDEL (site web personnel) . En réponse à la dépêche Sortie de Flarum 0.1.0-beta. Évalué à 6.
Bonjour,
Pour ceux que le SSO intéresse : en php pour faire du SSO il y a un très bon produit : SimpleSAMLphp/. Contrairement à ce que fait pensé son nom, il ne permet pas que de faire du SAML v2 mais aussi du OAuth, OpenID Connect, gérer des méthodes d'authentification interne,….
Il est possible de l'utiliser directement ou via des modules disponibles dans la plupart des CMS (Drupal, Joomla, Wordpress,…)