Si utiliser le dn complet est trop contraignant pour tes utilisateurs, je me demande avec quel client LDAP tu comptes leur permettre d'afficher les données fournies par ton serveur. En effet, s'il s'agit d'un annuaire d'entreprise dans lequel on peut trouver les coordonnées des différents collaborateurs, celui-ci n'a pas besoin d'être accessible qu'avec identification préalable d'un utilisateur. En général, on permet l'accès anonyme aux données non critiques (comme userPassword). Un contrôle d'accès à ce type d'attributs et personne, à part l'administrateur et l'utilisateur correspondant au dn ne pourra lire cet attribut :
# The userPassword by default can be changed
# by the entry owning it if they are authenticated.
# Others should not be able to see it, except the
# admin entry below
access to attrs=userPassword
by dn="cn=manager,dc=example,dc=com" write
by anonymous auth
by self write
by * none
Pour SASL, il est possible d'obtenir une identification pour OpenLDAP qui ne se base pas sur le seul dn et permette un couple « classique » d'uid et mot de passe. Il y a toutefois plusieurs mécanismes disponibles avec SASL et je vais en citer quelques-un :
- GSSAPI ;
- DIGEST-MD5 ou CRAM-MD5 ;
- EXTERNAL.
La commande suivante te permettra de savoir quels sont les mécanismes supportés par ton serveur :
Le premier (GSSAPI) évoque Kerberos est nécessite donc d'avoir déjà un royaume disponible. L'avantage, en entreprise, c'est que tes utilisateurs n'auraient plus besoin de s'identifier auprès du serveur LDAP pour y accéder tout en étant identifiés.
Le deuxième s'appuie sur une base locale, sasldb, pour stocker les utilisateurs. Il faudrait donc créer autant d'utilisateurs dans cette base que d'utilisateurs dans le serveur LDAP. S'ils sont nombreux, cela peut s'avérer très rébarbatif.
Le troisième fait appel à un processus externe.
Cependant, le projet Cyrus-SASL fournit un service nommé saslauthd qui peut être utilisé pour exploiter l'un ou l'autre mécanisme et c'est là où le serpent peut finir par se mordre la queue car il est possible d'interroger un serveur ...LDAP. C'est exactement ce que je fais pour postfix.
J'aime bien le principe, mais cela ne changera pas grand chose par rapport aux systèmes de paquets habituels : si le logiciel n'est pas dans le pkgsrc, cela pourra être la galère à tout recompiler (pour note pkgsrc c'est 7300, Debian c'est plus de 18000).
Il y a exactement 18733 paquets binaires avec la publication de Debian Etch. Il faudrait comparer avec le nombre de paquets sources pour être correct car pour un paquet source, il y a souvent plusieurs paquets binaires.
Ce n'est pas aussi évident que cela car Chirac et Debré peuvent très bien préférer laisser passer la loi avec cet amendement « techniquement conforme » dans l'hypothétique espoir de mettre Sarko dans l'embarras. Et si le Conseil censure cet amendement, ça ne fera jamais que la seconde fois, au moins, que Sarko compte sur les Sages pour donner l'impression de tenir ses promesses malgré l'adversité.
Dans ce cas : s/Ubuntu/Les distributions Linux/
L'irresponsabilité est de ne pas avoir de sauvegardes. J'imagine que c'est en partie pour cela que tu es en colère.
Et l'augmentation de la rentabilité pour mieux garnir les poches des actionnaires.
C'est fou le nombre de produits dont la durée de vie a chuté ces dernières années...
J'ai un vieux réfrigirateur qui doit avoir 20 ans et j'ai juste remplacé son ampoule. Prenons une machine à laver récente : au bout de deux ans, elle commence déjà à montrer des signes de fatigue. Ça tombe bien, la garantie a justement expiré...
Bien sûr que ça dépend un peu du bios et du matériel.
Dans ma société, nous sommes tous ou presque équipés avec des portables Dell D800 ou D810. Tu crois franchement qu'on n'aurait pas remarqué qu'Ubuntu réduirait singulièrement la durée de vie des disques durs ? Or, depuis au moins deux ans, de nombreux collaborateurs ainsi que moi-même utilisons Ubuntu.
Accuser le seul éditeur du système alors qu'il y a vraisemblablement une corrélation entre le matériel et, sans doute, le logiciel, c'est vraiment se foutre de la gueule du monde.
Quant à l'auteur de l'article, s'il en avait écrit de meilleurs, l'avis de certains aurait été sans doute différent à son crédit. Mais ce n'est pas le cas.
Pour finir, qui nous dit que tu n'auras pas de nouveau (parce que j'imagine que tu viens de racheter ton disque dur) un problème dans quelques mois ?
Dans un fichier LDIF, les definitions d'objets sont séparées par des lignes vides. C'est pourquoi il ne prend pas en compte les attributs « userPassword » et « description » pour « dn: cn=admin,dc=zoro,dc=com ».
Dans un cas comme dans l'autre, c'est relativement immoral sur le plan démocratique mais ils n'ont faits que redistribuer le budget qu'ils ont déjà. Ils ne l'augmentent pas (encore).
Tu as raison sur le message d'erreur mais pas sur la solution.
L'option -x est correcte car elle permet un bind classique au lieu de passer par SASL. L'option -X prend un argument supplémentaire pour préciser l'ID pour SASL.
Oui mais curieusement, ces élus-là sont rarement députés en même temps. Les députés-maires ont généralement de grandes villes à "administrer". Paradoxe quand tu nous tiens...
Le menu que tu énonces correspond à gstreamer.
Encore faut-il que les lecteurs multimédias que tu utilises exploitent ce framework et le seul, à ma connaissance, c'est totem-gstreamer.
Quand tu dis « tous les players en général », as-tu essayé avec totem ?
En outre, de quelle carte vidéo disposes-tu et quel est le pilote utilisé ?
Je ne suis pas un partisan de Windows mais quand je vois des utilisateurs de ce système installer tout et surtout n'importe quoi et, quand ça plante, accuser le système lui-même d'être de la merde, c'est un peu l'hôpital qui se fout de la charité.
Je vais être plus précis : ce n'est pas avec le nombre de services accessibles par défaut depuis l'extérieur que tu vas réussir à pénétrer sur le système à distance, donc peu importe le nombre de services locaux.
Ensuite, on parle d'une distribution destinée à un usage de poste de travail, pas d'un serveur de données classifiées. Faut-il interdire les services locaux sous prétexte que cela nuit à la sécurité du système ? Si oui, alors interdisons carrément Linux, vu le nombre d'exploits locaux possibles. D'ailleurs, il ne faudrait même pas avoir de noyau modulaire, trop dangereux.
Il y a des moments où les adeptes de la sécurité pour la sécurité devraient sortir un peu de leur tours d'Ivoire et aller voir comment les autres êtres humains utilisent les outils informatiques au lieu de pondre des dogmes inapplicables.
La sécurité est une évaluation des risques par rapport aux besoins des utilisateurs. Si ta sécurité est trop rigide, les utilisateurs trouveront un moyen (forcément crade) de contourner ton système (par exemple, en utilisant une clé USB parce que ton serveur de mail ne laisse pas passer les grosses pièces jointes). Si ta politique de sécurité ne prend pas en compte l'humain, elle ne servira à rien.
Je n'ai jamais compris pourquoi certains ont absolument voulu faire une distribution dérivée d'Ubuntu pour KDE, XFCE. Ce n'est pas comme si Canonical avait caché son intérêt pour le projet Gnome ni sa volonté pour se caler sur le calendrier de publication de ce projet. Or, pour les distributions dérivées, il faudrait pourtant qu'elles se calent sur les calendriers (s'il y en a) de publications des projets qu'elles entendent préférer à Gnome. Sinon, il n'y aura que des incohérences.
[^] # Re: OpenLDAP et SASL
Posté par Raphaël SurcouF (site web personnel) . En réponse au message Couple login/password pour accèder à OpenLDAP. Évalué à 1.
# OpenLDAP et SASL
Posté par Raphaël SurcouF (site web personnel) . En réponse au message Couple login/password pour accèder à OpenLDAP. Évalué à 1.
Pour SASL, il est possible d'obtenir une identification pour OpenLDAP qui ne se base pas sur le seul dn et permette un couple « classique » d'uid et mot de passe. Il y a toutefois plusieurs mécanismes disponibles avec SASL et je vais en citer quelques-un :
- GSSAPI ;
- DIGEST-MD5 ou CRAM-MD5 ;
- EXTERNAL.
La commande suivante te permettra de savoir quels sont les mécanismes supportés par ton serveur :
Le premier (GSSAPI) évoque Kerberos est nécessite donc d'avoir déjà un royaume disponible. L'avantage, en entreprise, c'est que tes utilisateurs n'auraient plus besoin de s'identifier auprès du serveur LDAP pour y accéder tout en étant identifiés.
Le deuxième s'appuie sur une base locale, sasldb, pour stocker les utilisateurs. Il faudrait donc créer autant d'utilisateurs dans cette base que d'utilisateurs dans le serveur LDAP. S'ils sont nombreux, cela peut s'avérer très rébarbatif.
Le troisième fait appel à un processus externe.
Cependant, le projet Cyrus-SASL fournit un service nommé saslauthd qui peut être utilisé pour exploiter l'un ou l'autre mécanisme et c'est là où le serpent peut finir par se mordre la queue car il est possible d'interroger un serveur ...LDAP. C'est exactement ce que je fais pour postfix.
J'avoue cependant ne pas avoir poussé plus que cela la recherche quant OpenLDAP et SASL mais voici ce que j'ai trouvé sur Google pour t'aider :
http://www-lor.int-evry.fr/~michel/LDAP/SASL/ActivationSASL.(...)
http://www-lor.int-evry.fr/~michel/LDAP/SASL/Scenarios/diges(...)
Pour diriger ta recherche, la directive sasl-regexp semble pouvoir répondre à ton besoin.
# OMA Mail Archive
Posté par Raphaël SurcouF (site web personnel) . En réponse au message Serveur d'archive pour mail. Évalué à 3.
http://linuxfr.org/2006/12/15/21766.html
http://linuxfr.org/2007/10/09/23179.html
http://opensources.octant-fr.com/news.php
[^] # Re: dracolinux : enfin un linux pour le desktop
Posté par Raphaël SurcouF (site web personnel) . En réponse au message Sortie d'une distribution originale. Évalué à 2.
Il y a exactement 18733 paquets binaires avec la publication de Debian Etch. Il faudrait comparer avec le nombre de paquets sources pour être correct car pour un paquet source, il y a souvent plusieurs paquets binaires.
[^] # Re: Et les sources ?
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal A quand un Ministère de la Vérité. Évalué à 3.
D'autre part, à quoi sert-il de lire cette lettre en particulier aux lycéens ?
[^] # Re: Le titre est "trompeur"
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal "Honte l'assemblée nationale". Évalué à 2.
[^] # Re: unixfix travaillerait pour Paris Match ?
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal Canonical aurait des actions de fabricants de disques durs!. Évalué à 1.
[^] # Re: re
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal Canonical aurait des actions de fabricants de disques durs!. Évalué à 1.
[^] # Re: unixfix travaillerait pour Paris Match ?
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal Canonical aurait des actions de fabricants de disques durs!. Évalué à -2.
L'irresponsabilité est de ne pas avoir de sauvegardes. J'imagine que c'est en partie pour cela que tu es en colère.
[^] # Re: re
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal Canonical aurait des actions de fabricants de disques durs!. Évalué à 6.
C'est fou le nombre de produits dont la durée de vie a chuté ces dernières années...
J'ai un vieux réfrigirateur qui doit avoir 20 ans et j'ai juste remplacé son ampoule. Prenons une machine à laver récente : au bout de deux ans, elle commence déjà à montrer des signes de fatigue. Ça tombe bien, la garantie a justement expiré...
[^] # Re: unixfix travaillerait pour Paris Match ?
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal Canonical aurait des actions de fabricants de disques durs!. Évalué à 7.
Dans ma société, nous sommes tous ou presque équipés avec des portables Dell D800 ou D810. Tu crois franchement qu'on n'aurait pas remarqué qu'Ubuntu réduirait singulièrement la durée de vie des disques durs ? Or, depuis au moins deux ans, de nombreux collaborateurs ainsi que moi-même utilisons Ubuntu.
Accuser le seul éditeur du système alors qu'il y a vraisemblablement une corrélation entre le matériel et, sans doute, le logiciel, c'est vraiment se foutre de la gueule du monde.
Quant à l'auteur de l'article, s'il en avait écrit de meilleurs, l'avis de certains aurait été sans doute différent à son crédit. Mais ce n'est pas le cas.
Pour finir, qui nous dit que tu n'auras pas de nouveau (parce que j'imagine que tu viens de racheter ton disque dur) un problème dans quelques mois ?
[^] # Re: Mauvais mot de passe
Posté par Raphaël SurcouF (site web personnel) . En réponse au message ldif, ldap, probleme de syntax. Évalué à 3.
[^] # Re: Mauvais mot de passe
Posté par Raphaël SurcouF (site web personnel) . En réponse au message ldif, ldap, probleme de syntax. Évalué à 2.
[^] # Re: Résumé
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal "Honte l'assemblée nationale". Évalué à 1.
[^] # Re: Mauvais mot de passe
Posté par Raphaël SurcouF (site web personnel) . En réponse au message ldif, ldap, probleme de syntax. Évalué à 1.
L'option -x est correcte car elle permet un bind classique au lieu de passer par SASL. L'option -X prend un argument supplémentaire pour préciser l'ID pour SASL.
[^] # Re: Résumé
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal "Honte l'assemblée nationale". Évalué à 5.
[^] # Re: ma vie
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal sortie de la Ubuntu 7.10, The Gutsy Gibbon. Évalué à 1.
[^] # Re: ma vie
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal sortie de la Ubuntu 7.10, The Gutsy Gibbon. Évalué à 1.
Encore faut-il que les lecteurs multimédias que tu utilises exploitent ce framework et le seul, à ma connaissance, c'est totem-gstreamer.
Quand tu dis « tous les players en général », as-tu essayé avec totem ?
En outre, de quelle carte vidéo disposes-tu et quel est le pilote utilisé ?
[^] # Re: Ah, Ubuntu...
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal sortie de la Ubuntu 7.10, The Gutsy Gibbon. Évalué à 4.
[^] # Re: Ah, Ubuntu...
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal sortie de la Ubuntu 7.10, The Gutsy Gibbon. Évalué à 3.
Ensuite, on parle d'une distribution destinée à un usage de poste de travail, pas d'un serveur de données classifiées. Faut-il interdire les services locaux sous prétexte que cela nuit à la sécurité du système ? Si oui, alors interdisons carrément Linux, vu le nombre d'exploits locaux possibles. D'ailleurs, il ne faudrait même pas avoir de noyau modulaire, trop dangereux.
Il y a des moments où les adeptes de la sécurité pour la sécurité devraient sortir un peu de leur tours d'Ivoire et aller voir comment les autres êtres humains utilisent les outils informatiques au lieu de pondre des dogmes inapplicables.
La sécurité est une évaluation des risques par rapport aux besoins des utilisateurs. Si ta sécurité est trop rigide, les utilisateurs trouveront un moyen (forcément crade) de contourner ton système (par exemple, en utilisant une clé USB parce que ton serveur de mail ne laisse pas passer les grosses pièces jointes). Si ta politique de sécurité ne prend pas en compte l'humain, elle ne servira à rien.
[^] # Re: Ah, Ubuntu...
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal sortie de la Ubuntu 7.10, The Gutsy Gibbon. Évalué à 0.
[^] # Re: Ah, Ubuntu...
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal sortie de la Ubuntu 7.10, The Gutsy Gibbon. Évalué à 1.
[^] # Re: Ah, Ubuntu...
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal sortie de la Ubuntu 7.10, The Gutsy Gibbon. Évalué à 1.
[^] # Re: Et Kubuntu ?
Posté par Raphaël SurcouF (site web personnel) . En réponse à la dépêche Ubuntu 7.10 : lâchez le singe !. Évalué à 5.
[^] # Re: Ah, Ubuntu...
Posté par Raphaël SurcouF (site web personnel) . En réponse au journal sortie de la Ubuntu 7.10, The Gutsy Gibbon. Évalué à 2.
Normalement aucun sauf avahi-daemon.