Raphaël SurcouF a écrit 2609 commentaires

À noter que la directive sasl-regexp s'appelle désormais authz-regexp.

Si utiliser le dn complet est trop contraignant pour tes utilisateurs, je me demande avec quel client LDAP tu comptes leur permettre d'afficher les données fournies par ton serveur. En effet, s'il s'agit d'un annuaire d'entreprise dans lequel on peut trouver les coordonnées des différents collaborateurs, celui-ci n'a pas besoin d'être accessible qu'avec identification préalable d'un utilisateur. En général, on permet l'accès anonyme aux données non critiques (comme userPassword). Un contrôle d'accès à ce type d'attributs et personne, à part l'administrateur et l'utilisateur correspondant au dn ne pourra lire cet attribut :

# The userPassword by default can be changed
# by the entry owning it if they are authenticated.
# Others should not be able to see it, except the
# admin entry below
access to attrs=userPassword
by dn="cn=manager,dc=example,dc=com" write
by anonymous auth
by self write
by * none

Pour SASL, il est possible d'obtenir une identification pour OpenLDAP qui ne se base pas sur le seul dn et permette un couple « classique » d'uid et mot de passe. Il y a toutefois plusieurs mécanismes disponibles avec SASL et je vais en citer quelques-un :
- GSSAPI ;
- DIGEST-MD5 ou CRAM-MD5 ;
- EXTERNAL.
La commande suivante te permettra de savoir quels sont les mécanismes supportés par ton serveur :

$ ldapsearch -LLL -x -b "" -s base supportedSASLMechanisms
dn:
supportedSASLMechanisms: NTLM
supportedSASLMechanisms: LOGIN
supportedSASLMechanisms: PLAIN
supportedSASLMechanisms: DIGEST-MD5
supportedSASLMechanisms: CRAM-MD5
supportedSASLMechanisms: EXTERNAL

Le premier (GSSAPI) évoque Kerberos est nécessite donc d'avoir déjà un royaume disponible. L'avantage, en entreprise, c'est que tes utilisateurs n'auraient plus besoin de s'identifier auprès du serveur LDAP pour y accéder tout en étant identifiés.
Le deuxième s'appuie sur une base locale, sasldb, pour stocker les utilisateurs. Il faudrait donc créer autant d'utilisateurs dans cette base que d'utilisateurs dans le serveur LDAP. S'ils sont nombreux, cela peut s'avérer très rébarbatif.
Le troisième fait appel à un processus externe.

Cependant, le projet Cyrus-SASL fournit un service nommé saslauthd qui peut être utilisé pour exploiter l'un ou l'autre mécanisme et c'est là où le serpent peut finir par se mordre la queue car il est possible d'interroger un serveur ...LDAP. C'est exactement ce que je fais pour postfix.

J'avoue cependant ne pas avoir poussé plus que cela la recherche quant OpenLDAP et SASL mais voici ce que j'ai trouvé sur Google pour t'aider :
http://www-lor.int-evry.fr/~michel/LDAP/SASL/ActivationSASL.(...)
http://www-lor.int-evry.fr/~michel/LDAP/SASL/Scenarios/diges(...)

Pour diriger ta recherche, la directive sasl-regexp semble pouvoir répondre à ton besoin.

Il existe une solution tout-en-un qui peut faire office de serveur d'archivage de messagerie, développé par la société française Octant :

http://linuxfr.org/2006/12/15/21766.html
http://linuxfr.org/2007/10/09/23179.html
http://opensources.octant-fr.com/news.php

J'aime bien le principe, mais cela ne changera pas grand chose par rapport aux systèmes de paquets habituels : si le logiciel n'est pas dans le pkgsrc, cela pourra être la galère à tout recompiler (pour note pkgsrc c'est 7300, Debian c'est plus de 18000).

Il y a exactement 18733 paquets binaires avec la publication de Debian Etch. Il faudrait comparer avec le nombre de paquets sources pour être correct car pour un paquet source, il y a souvent plusieurs paquets binaires.

Parce qu'on ne peut l'y contraindre, d'une part.
D'autre part, à quoi sert-il de lire cette lettre en particulier aux lycéens ?

Ce n'est pas aussi évident que cela car Chirac et Debré peuvent très bien préférer laisser passer la loi avec cet amendement « techniquement conforme » dans l'hypothétique espoir de mettre Sarko dans l'embarras. Et si le Conseil censure cet amendement, ça ne fera jamais que la seconde fois, au moins, que Sarko compte sur les Sages pour donner l'impression de tenir ses promesses malgré l'adversité.

Je ne prétend pas connaître ta vie, j'essaie de comprendre pourquoi tu es aussi remonté pour ce problème.

Oui mais des lave-linges à plus de 500¤, je n'ai pas envie d'en acheter tous les deux ans quand même.

Dans ce cas : s/Ubuntu/Les distributions Linux/
L'irresponsabilité est de ne pas avoir de sauvegardes. J'imagine que c'est en partie pour cela que tu es en colère.

Et l'augmentation de la rentabilité pour mieux garnir les poches des actionnaires.
C'est fou le nombre de produits dont la durée de vie a chuté ces dernières années...
J'ai un vieux réfrigirateur qui doit avoir 20 ans et j'ai juste remplacé son ampoule. Prenons une machine à laver récente : au bout de deux ans, elle commence déjà à montrer des signes de fatigue. Ça tombe bien, la garantie a justement expiré...

Bien sûr que ça dépend un peu du bios et du matériel.
Dans ma société, nous sommes tous ou presque équipés avec des portables Dell D800 ou D810. Tu crois franchement qu'on n'aurait pas remarqué qu'Ubuntu réduirait singulièrement la durée de vie des disques durs ? Or, depuis au moins deux ans, de nombreux collaborateurs ainsi que moi-même utilisons Ubuntu.
Accuser le seul éditeur du système alors qu'il y a vraisemblablement une corrélation entre le matériel et, sans doute, le logiciel, c'est vraiment se foutre de la gueule du monde.
Quant à l'auteur de l'article, s'il en avait écrit de meilleurs, l'avis de certains aurait été sans doute différent à son crédit. Mais ce n'est pas le cas.
Pour finir, qui nous dit que tu n'auras pas de nouveau (parce que j'imagine que tu viens de racheter ton disque dur) un problème dans quelques mois ?

Dans un fichier LDIF, les definitions d'objets sont séparées par des lignes vides. C'est pourquoi il ne prend pas en compte les attributs « userPassword » et « description » pour « dn: cn=admin,dc=zoro,dc=com ».

Là, il s'agit bien d'une erreur provenant de ton fichier LDIF.

Dans un cas comme dans l'autre, c'est relativement immoral sur le plan démocratique mais ils n'ont faits que redistribuer le budget qu'ils ont déjà. Ils ne l'augmentent pas (encore).

Tu as raison sur le message d'erreur mais pas sur la solution.
L'option -x est correcte car elle permet un bind classique au lieu de passer par SASL. L'option -X prend un argument supplémentaire pour préciser l'ID pour SASL.

Oui mais curieusement, ces élus-là sont rarement députés en même temps. Les députés-maires ont généralement de grandes villes à "administrer". Paradoxe quand tu nous tiens...

Même avec un autre lecteur ou juste avec VLC (qui n'est pas un paquet officiellement supporté) ?

Le menu que tu énonces correspond à gstreamer.
Encore faut-il que les lecteurs multimédias que tu utilises exploitent ce framework et le seul, à ma connaissance, c'est totem-gstreamer.
Quand tu dis « tous les players en général », as-tu essayé avec totem ?
En outre, de quelle carte vidéo disposes-tu et quel est le pilote utilisé ?

Je ne suis pas un partisan de Windows mais quand je vois des utilisateurs de ce système installer tout et surtout n'importe quoi et, quand ça plante, accuser le système lui-même d'être de la merde, c'est un peu l'hôpital qui se fout de la charité.

Je vais être plus précis : ce n'est pas avec le nombre de services accessibles par défaut depuis l'extérieur que tu vas réussir à pénétrer sur le système à distance, donc peu importe le nombre de services locaux.
Ensuite, on parle d'une distribution destinée à un usage de poste de travail, pas d'un serveur de données classifiées. Faut-il interdire les services locaux sous prétexte que cela nuit à la sécurité du système ? Si oui, alors interdisons carrément Linux, vu le nombre d'exploits locaux possibles. D'ailleurs, il ne faudrait même pas avoir de noyau modulaire, trop dangereux.
Il y a des moments où les adeptes de la sécurité pour la sécurité devraient sortir un peu de leur tours d'Ivoire et aller voir comment les autres êtres humains utilisent les outils informatiques au lieu de pondre des dogmes inapplicables.
La sécurité est une évaluation des risques par rapport aux besoins des utilisateurs. Si ta sécurité est trop rigide, les utilisateurs trouveront un moyen (forcément crade) de contourner ton système (par exemple, en utilisant une clé USB parce que ton serveur de mail ne laisse pas passer les grosses pièces jointes). Si ta politique de sécurité ne prend pas en compte l'humain, elle ne servira à rien.

Encore faut-il avoir un accès local à la machine.

Je n'ai jamais dit que je cautionnais ces recherches de « performances » mais que c'était le sujet.

Oui mais uniquement si tu es dans un contexte DHCP.

Je n'ai jamais compris pourquoi certains ont absolument voulu faire une distribution dérivée d'Ubuntu pour KDE, XFCE. Ce n'est pas comme si Canonical avait caché son intérêt pour le projet Gnome ni sa volonté pour se caler sur le calendrier de publication de ce projet. Or, pour les distributions dérivées, il faudrait pourtant qu'elles se calent sur les calendriers (s'il y en a) de publications des projets qu'elles entendent préférer à Gnome. Sinon, il n'y aura que des incohérences.

Si Ubuntu fait comme Fedora, il y a plein de services CLIENTS qui sont lancés. Pas des trucs qui sont à l'écoute du réseau.

Normalement aucun sauf avahi-daemon.