[...] mais j'espère une fois ce guide terminé qu'il sera édité, relié et distribué en librairie, c'est du moins vers ceci que tends ce projet s'il se concrétise.
Non c'est bien de faire un guide sur la sécurité informatique et de proposer à plein de gens de participer, mais finir par l'imprimer sur des arbres morts pour un domaine où demain on peut nous annoncer qu'il y a une faille dans tous les algos en concurrence pour SHA-3 et que cette méthode permet aussi de casser SHA-2 et SHA-1, je trouve aberrant de vouloir l'imprimer.
Si c'est un livre sur les théories fondamentales, je veux bien, mais la la pratique ça évolue et il faut se tenir à jour un minimum.
La place de ce document est dans un Wiki !
Montre-moi un wiki où je peux éditer anonymement et je te montre un article sur pourquoi éviter SSL dans ses communications vraiment secrètes.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Pas de compte par application, ça dépend encore. Par exemple samba nécessite un compte et c'est légitime :
1) Windows ne peut pas s'authentifier sur le LDAP directement (si il peut, mais le plus simple c'est directement avec samba)
2) Samba a ces propres entrées qu'il doit pouvoir accéder
Les groupes, de nouveau c'est les ACLs qui gèrent l'accès (tiré d'un cas réel) :
access to dn.sub="ou=contacts,o=example"
by group.exact="cn=admin,ou=groups,o=example" peername.ip=127.0.0.1 write
by group.exact="cn=contact,ou=groups,o=example" peername.ip=127.0.0.1 write
by group.exact="cn=users,ou=groups,o=example" peername.ip=127.0.0.1 read
by group.exact="cn=admin,ou=groups,o=example" ssf=112 write
by group.exact="cn=contact,ou=groups,o=example" ssf=112 write
by group.exact="cn=users,ou=groups,o=example" ssf=112 read
by * none
Voilà ici j'ai trois groupes (admin, contact, users) chacun ayant leur niveau. Chaque membre du groupe peut accéder en local sans aucune autre limitation, sinon pour tous les autres accès le chiffrement de la communication doit au moins être du tripleDES (ssf=112).
Après tu peux faire des trucs encore plus fun avec les expressions régulières, par exemple j'ai fait un cas suivant :
"ou=contacts,o=example" -> annuaire d'entreprise, tout le monde peut lire et écrire (après il y a encore des attributs réservés au secrétariat (tu peux imposer des ACL par attribut)
"ou=username,ou=contacts,o=example" -> carnet d'adresse par utilisateur
Donc ACL :
access to dn.regex="(.+),ou=([^,]+),ou=contacts,o=example$"
by dn.exact,expand="uid=$2,ou=users,o=example" write
access to dn.regex="^ou=([^,]+),ou=contacts,o=example$" attrs=entry,children
by dn.exact,expand="uid=$1,ou=users,o=example" write
by dn.base="cn=xerox,ou=applications,o=example" none
by * break
Et là on voit qu'il y a un compte pour les machines xerox pour qu'elles accèdent au carnet d'adresse sans demander à l'utilisateur de s'authentifier.
Ensuite les groupes que je t'ai montré c'est pour les groupes contenant des "uniqueMember", mais tu peux faire ce que tu veux avec la syntaxe là :
access to ....
by set="[cn=Domain Admins,ou=groups,o=example]/memberUid & user/uid" write
Donc si l'attribut "uid" de l'utilisateur actuellement est dans un attribut "memberUid" de l'objet "cn=Domain Admins,ou=groups,o=example", droit en écriture !
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Uniquement les acheteurs légaux en parlent et pestent contre, en effet. C'est un jour avec un ami qu'on s'est rendu compte que très souvent on parlait des problèmes de protections avec du contenu que nous achetions légalement. Et dans le même temps on s'est rendu compte que chaque fois qu'on en parlait dans notre entourage les gens disaient "chais pas, moi j'ai téléchargé sur *(mettez ici un nom de logiciel de partage p2p), j'ai pas eu de problèmes".
Maintenant la musique, pour moi, c'est aller au concert et acheter en directe au groupe/à l'artiste.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
1. Se connecter
2. Faire le bind
3. Faire des requêtes
4. Se déconnecter.
Le serveur sait ce que tu as le droit d'accéder, toi pas. C'est pas l'application qui gère les autorisations, c'est l'annuaire. Toi tu veux l'objet cn=Paul,ou=Bass,o=Beatles, ben tu fais une lecture de l'objet. Tu sais pas s'il existe, tu cherches pour (&(objectclass=musicien)(cn=Paul)) et tu verras bien si tu as quelques chose.
Je vois pas ce que tu voudrais faire de plus ?
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
plus tard tu as besoin de faire l'authentification unix sur ton ldap, tu rajoutes à ta feuille utilisateur les attributs Posix à ton utilisateur (uid, gid...). Le truc chiant, c'est de savoir à quoi correspond chaque acronyme, et lesquels sont nécessaires ou facultatifs
Tout ça c'est écrit dans les RFC ou dans les schémas qui se trouvent (pour openldap) dans /etc/ldap/schema/*.schema ... Le format est aisé à lire.
En suite il faut aussi bien se rendre compte que chacun te des objets n'ont qu'une seule (1,1) classe structurelle (STRUCTURAL) et autant de classes auxiliaires (AUXILIARY) que tu souhaites (0,n). Les classes abstraites il faut juste savoir que la classe top et toutes les classes en descende.
Ensuite il y a un héritage entre les classes, dans les schémas tu vas voir "SUP top AUXILIARY", tu sais que c'est une classe auxiliaire qui descend de top, mais tu peux voir "SUP person STRUCTURAL" donc ta classe hérite des attributs de person et est structurelle.
Les attributs c'est presque la même chose, ils ont une syntaxe et tu dois t'en tenir, l'héritage existe ...
Chaque objet à un nom unique, le DN, c'est à dire "tout le chemin que tu vas parcourir depuis la racine de l'arbre jusqu'à l'objet" et c'est "l'identifiant unique" de ton objet. Il est composé d'un attribut que tu choisi (et qui va devenir ainsi le RDN).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Je suis pas certain d'avoir tout compris ton message.
Une chose est certaine : des applications codées avec les pieds au niveau de l'authentification, il y'en a. Comme j'ai compris ton problème, c'est le cas des applications qui s'authentifient et gèrent ça un peu comme une base de donnée sql. En fait c'est faux car, comme tu l'as si bien remarqué, ça contourne les ACL du serveur LDAP (qui sont, à mon avis, très puissantes (par expression régulière, demander un niveau d'algo de chiffrement minimum (en plus du classique utilisateurs/groupe) avec diverses niveaux (tu peux donner l'accès à un attribut uniquement à l'authentification, mais pas à la lecture, la comparaison et la recherche)).
Malheureusement j'ai trop souvent vu des applications qui demandent un utilisateur dédié et vont comparer le mot de passe directement en assumant que l'annuaire stocke celui-ci dans un format X (genre SSHA ou SHA ou MD5) ou pire qui vont modifier le mot de passe en écrivant directement l'attribut userPassword au lieu d'utiliser l'opération étendue disponible pour ça (et qui permet à l'annuaire de gérer d'autres champs, très utile pour avoir les mots de passe unifié entre Unix et Windows (samba et pam gère très bien le changement de mot de passe avec exop))
Le problème de LDAP c'est que du côté applicatif, beaucoup de gens n'ont pas compris et utilisent ça comme une base MySQL (et tellement peu d'applications ont compris le referal qu'il faut faire faire au serveur le chaînage (alors que le client est nettement moins occupé et peut le faire (d'ailleurs je dois le faire pour lref)).
Donc oui la méthode 2 est la plus utilisée parce que c'est fait comme ça dans MySQL, mais maintenant je banni automatiquement ou corrige (si je peux) l'application. Quand je fait la remarque à un projet, on me dit que non https://linuxfr.org//comments/1107150.html#1107150
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Pour finir en faillite elle même, être sauvée par l'argent du contribuable, donnée aux allemands et redevenir rentable. Oui.
Bel exemple de socialisation du déficit et de privatisation du bénéfice.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Et pourtant ! S'il y'avait une vraie concurrence je me demande si Swisscom serait encore de ce monde. Ça va faire comme Swissair.
Sinon ce n'est pas deux serveurs dans un garage et c'est bien dommage. Ça marcherai peut-être. Faut arrêter avec cet argument "on est trop gros", et peut-être commencer à donner des raisons plus réels : les données informatiques ne demandent qu'un peut de temps pour être migrées ... sauf si l'on s'est enfermé dans un format propriétaire. Et durant les 10h de panne de l'autre jour, vous aviez le temps.
Mais sinon un truc me fait terriblement souci, vous êtes une autorité de certification. Les certificats sont gérés comme les clients ? Et bien SSL est
définitivement mort.
Enfin, au final c'est moi qui vais devoir faire le travail de Swisscom bénévolement et continuer à payer un abonnement Internet avec le port 25 bloqué en sortie.
(Et se moquer d'un projet quand on a système d'information défectueux ça ne se fait pas)
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Non, il y a quelques applications qui n'arrivent pas l'utiliser pour des raisons parfois obscures, comme Thunderbird (et c'est pas les seules) qui écrivent leur @#%&*@ de schéma abMozillaTruc (ou je sais plus quel autre nom) contenant 95% du schéma inetOrgPerson et le reste des attributs à eux, mais complètement débile. De plus leur schéma est structurel, alors qu'un minimum de réflexion aurait amené à faire un shéma auxiliaire contenant juste les attributs spécifiques à Thunderbird.
En réalité ils ont enfin changé le schéma et, miracle, "SUP top AUXILIARY". Mais ça doit pas faire longtemps ... Donc je retire ce que j'ai dis.
Sinon en terme applicatif, il y'a :
- samba qui supporte très bien LDAP
- des serveurs DNS, pam et nss
- il est possible de configurer thunderbird et firefox (adm.js)
- des tonnes d'applications Web (dokuwiki, webcalendar, mediawiki, phpbb, ...)
- httpd d'Apache
- authentification de Mac OS X
- exim (smtp)
- dovecot (imap4, pop3)
- asterisk (pbx)
- obélix (j'étais obligé)
- serveur jabber (je sais plus lequel j'avais testé, mais jabber.fsfe.org utilise certainement LDAP, l'interface Web pour gérer le compte étant basée sur phpldapadmin)
- mysql avait planifié l'authentification ldap (je sais pas où s'en est)
- Debian (debconf, j'ai pas testé (pas encore), mais livre "Debian, Administration et configuration avancées, Eyrolles")
- autofs (pour les automount NFS)
- il y'a un patch pour openssh (stocker les clés openssh dans LDAP au lieu de ~/.ssh)
- il est possible de faire interopérer openldap et Microsoft AD (j'ai pas d'AD pour tester, mais livre "LDAP, System Administration, O'Reilly")
- FTP (proftpd)
- GnuPG
- lref :-)
- CUPS (il semble)
- ...
Alors ça laisse quand même quelques applications ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Je connaissais pas. Mais là actuellement j'ai besoin de faire des références aux normes ITU-T (X.500 et consort) et j'écris en markdown parce que, sérieux, je suis super flemmard et latex y'a vraiment trop de caractères à écrire.
Et là, l'intérêt de ce programme c'est que je peux me faire des "bookmarks" de tout et n'importe quoi dans un annuaire LDAP et les partager aux gens s'ils veulent (d'où l'ajout de l'authentification anonyme sur le LDAP dans la version 0.2). Et les gens ils ont juste besoin de faire des "referal" vers mon annuaire pour avoir mon contenu en plus du leur. Alors quand j'aurais référencé la série X.500, c'est déjà ça de gagné.
Là je médite un schéma qui irait bien pour gérer plusieurs langues et après une petite interface web pour fédérer le tout et j'aurais créer le facebook des normes et à moi le fric, les gonzesses, la grosse voiture, les banquets, la une des journaux et tout :-)
... je trouve plus mes calmants ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Ben oui, "main: TLS init def ctx failed: -64", ça veut dire ça ... Non bon les messages en provenances des couches TLS sont assez mauvais, mais je supposes que c'est les erreurs bruts qui sont retournées. Par contre quand tu cherches une erreur au niveau des ACL, des requêtes, ... je trouve que justement tu peux bien cibler avec les différents niveaux de log.
Ensuite les outils, ils sont super, tu as phpldapadmin si tu veux une interface graphique, sinon tu as les commandes ldap* qui te permettent de tout faire. Pour les gros travaux tu fais tes fichiers ldif et départ pour voir gicler des entrées dans tous les sens. Tu as les outils slap* pour traiter avec les données quand le serveur est éteint.
Aprés tu as ldapvi pour voir ton annuaire comme un fichier ldif et l'éditer joyeusement. Il existe Gtruc ou Kmachin aussi, mais bon j'utilise pas trop ...
Je trouve plutôt mature les outils sauf ce qui sort de chez Mozilla (Thunderbird est une horreur à ce niveau) et OOo pire encore (et c'est régressif la qualité, dans 2 je pouvais approximativement me connecter, dans 3 plus rien). Je parlerais pas de Outlook et de Mac OS X, ça va gâcher mon humeur.
Et le support est bien présent dans les langages ... Non je trouve que les outils d'administration LDAP sont bons et bien présents. Et si tu veux du vrai clickodrome, tu as AD qui fonctionne bien.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
LDAP n'est pas prévu pour le desktop. C'est un protocole d'accès à un annuaire de données.
Un serveur d'annuaire LDAP demande quelques connaissances relativement pointues. Mais globalement il me semble que cela se tient très bien. La complexité de l'annuaire vient du fait que l'on y met les informations sur des personnes, des périphériques diverses, carnet d'adresses, comptes utilisateurs, groupes, DNS, ... Tout ce qui peut-être nécessaire pour l'entreprise.
La documentation est, à mon sens, très claire. Mais elle demande de connaître les bases, soit la série de documents UTI-T X.500. Chaque élément inter-agi dans un service d'annuaire et doit être vu comme un élément indépendant. Le stockage est le DIB, structuré en arbre, le DIT, accéder par le DUA à travers le DSA. Le DMD est un ensemble de DSA (1,n), ... Tous ces éléments se trouvent détaillés dans le document X.500. Il reste à lire les documents suivant pour le reste.
LDAP est une simplification de ces normes, mais totalise pas mal de RFC qu'il est nécessaire de lire.
Donc tu peux toujours appréhender LDAP par la pratique en bidoulliant et regardant les résultats, mais c'est, à mon sens, un système demandant une compréhension de la théorie de base : lire les RFC.
Une fois armé de ce bagage, la documentation d'openLDAP devient limpide, les logs claires et précis et les configurations simples.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
phpmyadmin ne gère que mysql et cela ne pose pas de problèmes
Surtout que c'est un logiciel terrible, tu peux détruire la base de données en un seul clique; j'y ai trouvé un lien qui le faisait !!!
Je vais certainement contacter Fedora pour qu'ils suppriment cette application dangereuse et pouvant avoir un usage criminel dans certain pays.
Il y a aussi phpldapadmin pour les attaques sur les annuaires LDAP ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Objectivement je n'en sais rien, mais je te livre ma propre réflexion sur le problème :
Le coût provient de deux sources, l'infrastructure matériel/logiciel (serveurs) et humaines (intendance), et la vérification d'identité. CAcert ayant résolu le problème du coût des vérifications sans endommager la qualité, il reste l'infrastructure.
Mon avis est que CAcert ne pouvait pas donner des garanties suffisantes en terme de tenue en cas d'attaque (on bloque l'accès aux CRLs via une attaque, permettant d'utiliser des certificats révoqués) et de temps de réactions (pas d'intendance suffisante pour supporter assez rapidement une découverte comme la faille MD5).
C'est l'interprétation que j'ai faites du message de Grigg. La vérification est bonne, mais il faut plus de monde (d'ailleurs il dit "Better if you wish to help, join CAcert as a user and contribute on their large task list." et "In October 2006, server issues arose which caused a difficult migration, still on-going. These also do not meet DRC").
La phrase (clé ?) me semble être celle-ci : "Around June 2006, the audit process discovered severe imbalances in the contractual relationships between CAcert, its user community, Assurers and the world at large, as found by DRC". Mais je n'ai pas vraiment compris son sens.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Oui et en quoi n'était-il pas bon ?
Des problèmes structurels : pas assez de ressources. En aucun la méthode de vérification n'a été remise en cause. Lire ce que l'on cite c'est pas mal non plus.
Et sinon personne ne peut plus être considéré comme sécurisé dans le monde SSL parce qu'il y a +1400 CA et qu'ils signent tout et n'importe quoi du moment qu'ils sont payés (ou par incompétence).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Et c'est la que le système s'effondre. SSL (et TLS) prévoit qu'une autorité vérifie et certifie l'identité de la personne, mais comme c'était moins chère (pour Verisign et Co.) de ne rien vérifier, ils ne le faisaient pas trop. Ensuite il y a eu des problèmes, donc ils ont commencé à vendre des certificats avec le travail de vérification, mais il le vende plus chère.
Un peu plus haut (ou plus bas) dans les commentaires, tu trouveras des liens intéressants sur tout ça (notamment que ces pros des certificats arrivent à signer des 192.168.1.2 et autre localhost ...).
Et moi tous les jours je surf sur le web par mon FAI : Swisscom. Swisscom est un autorité racine. Elle n'a jamais vendu de certificats et achète les siens chez Verisign ... Trouver l'erreur.
Et Waltz Disney est une autorité de certification O_o
Désolé, si on a cassé ton rêve, mais SSL, c'est plus vraiment ça ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
Pour un truc fait "overnight" j'ai trouvé ça vraiment drôle. Au début il y a eu que les substitutions de certains mots, ensuite les keynotes de Steve et peut-être que le contenu va de plus un plus se différencier du site original.
Et depuis le temps que les gens en font référence, il est bien qu'il existe.
Pour terminer je crois que ces deux sites sont la sommes de la participations des inscrits, le contenu n'appartient à personne (à part celui qui l'écrit) ... et pour un site où les membres s'insurgent autant contre la SACEM et autres MPAA, réagir pareillement est presque malhonnête, discuter avant de frapper aurait été un mieux, non ?
Enfin, je m'en tape, mes propos sont, généralement, sous licences WTFPL.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
En ce sens la GPL qui t'"oblige" (selon ta propre expression) à redistribuer ne respecte pas cette liberté de redistribuer
C'est bien un devoir et non plus une liberté.
Non la GPL demande que la redistribution soit faite avec la même licence. Mais tu peux prendre un programme GPL, le modifier, l'utiliser et jamais le distribuer. Tu ne violes pas la GPL.
À partir du moment où tu distribues le programme (forme binaire et/ou source), tu dois le faire sous la licence GPL.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
La FSF se doit d'être intransigeante, si elle ne l'est, personne ne le sera.
Le jour où tu violeras un petit détail d'un tout petit brevet d'Apple, tu auras une armé d'avocat de grande qualité qui va te broyer jusqu'à ce qu'on ne distingue plus tes os des acariens qui les entourent.
La FSF joue dans la cour des très grands, ceux qui font plier des gouvernements à leur guise, elle ne peut rien laisser passer. Si elle le fait on va s'insurger d'un favoritisme pro-Apple : parce que ça va toucher des millions d'utilisateur alors on est moins strict sur la GPL, blablabla ...
Non, la FSF doit considérer une violation d'une virgule de la GPL à l'identique d'une violation de la GPL dans son ensemble.
Le travail n'a peut-être pas été évident à faire et c'est certainement très dur d'admettre que ce travail risque de partir à la poubelle (perso je serais très amer), mais on le savait dès le début : la GPL n'est pas compatible avec l'AppStore. Avoir pris le risque avec le code d'autres personnes devait automatiquement poser des problèmes.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# Et les arbres ?
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Guide de sécurité informatique à l'usage des journalistes. Évalué à 3.
Non c'est bien de faire un guide sur la sécurité informatique et de proposer à plein de gens de participer, mais finir par l'imprimer sur des arbres morts pour un domaine où demain on peut nous annoncer qu'il y a une faille dans tous les algos en concurrence pour SHA-3 et que cette méthode permet aussi de casser SHA-2 et SHA-1, je trouve aberrant de vouloir l'imprimer.
Si c'est un livre sur les théories fondamentales, je veux bien, mais la la pratique ça évolue et il faut se tenir à jour un minimum.
La place de ce document est dans un Wiki !
Montre-moi un wiki où je peux éditer anonymement et je te montre un article sur pourquoi éviter SSL dans ses communications vraiment secrètes.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Pour ou contre
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Références et LDAP. Évalué à 2.
1) Windows ne peut pas s'authentifier sur le LDAP directement (si il peut, mais le plus simple c'est directement avec samba)
2) Samba a ces propres entrées qu'il doit pouvoir accéder
Les groupes, de nouveau c'est les ACLs qui gèrent l'accès (tiré d'un cas réel) :
access to dn.sub="ou=contacts,o=example"
by group.exact="cn=admin,ou=groups,o=example" peername.ip=127.0.0.1 write
by group.exact="cn=contact,ou=groups,o=example" peername.ip=127.0.0.1 write
by group.exact="cn=users,ou=groups,o=example" peername.ip=127.0.0.1 read
by group.exact="cn=admin,ou=groups,o=example" ssf=112 write
by group.exact="cn=contact,ou=groups,o=example" ssf=112 write
by group.exact="cn=users,ou=groups,o=example" ssf=112 read
by * none
Voilà ici j'ai trois groupes (admin, contact, users) chacun ayant leur niveau. Chaque membre du groupe peut accéder en local sans aucune autre limitation, sinon pour tous les autres accès le chiffrement de la communication doit au moins être du tripleDES (ssf=112).
Après tu peux faire des trucs encore plus fun avec les expressions régulières, par exemple j'ai fait un cas suivant :
"ou=contacts,o=example" -> annuaire d'entreprise, tout le monde peut lire et écrire (après il y a encore des attributs réservés au secrétariat (tu peux imposer des ACL par attribut)
"ou=username,ou=contacts,o=example" -> carnet d'adresse par utilisateur
Donc ACL :
access to dn.regex="(.+),ou=([^,]+),ou=contacts,o=example$"
by dn.exact,expand="uid=$2,ou=users,o=example" write
access to dn.regex="^ou=([^,]+),ou=contacts,o=example$" attrs=entry,children
by dn.exact,expand="uid=$1,ou=users,o=example" write
by dn.base="cn=xerox,ou=applications,o=example" none
by * break
Et là on voit qu'il y a un compte pour les machines xerox pour qu'elles accèdent au carnet d'adresse sans demander à l'utilisateur de s'authentifier.
Ensuite les groupes que je t'ai montré c'est pour les groupes contenant des "uniqueMember", mais tu peux faire ce que tu veux avec la syntaxe là :
access to ....
by set="[cn=Domain Admins,ou=groups,o=example]/memberUid & user/uid" write
Donc si l'attribut "uid" de l'utilisateur actuellement est dans un attribut "memberUid" de l'objet "cn=Domain Admins,ou=groups,o=example", droit en écriture !
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
# Les mesures de protections
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal de l'inutilite des DRM. Évalué à 7.
Maintenant la musique, pour moi, c'est aller au concert et acheter en directe au groupe/à l'artiste.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Pour ou contre
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Références et LDAP. Évalué à 2.
1. Se connecter
2. Faire le bind
3. Faire des requêtes
4. Se déconnecter.
Le serveur sait ce que tu as le droit d'accéder, toi pas. C'est pas l'application qui gère les autorisations, c'est l'annuaire. Toi tu veux l'objet cn=Paul,ou=Bass,o=Beatles, ben tu fais une lecture de l'objet. Tu sais pas s'il existe, tu cherches pour (&(objectclass=musicien)(cn=Paul)) et tu verras bien si tu as quelques chose.
Je vois pas ce que tu voudrais faire de plus ?
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: c'est parce que LDAP est mal fichu
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal X.500 et LDAP. Évalué à 3.
Tout ça c'est écrit dans les RFC ou dans les schémas qui se trouvent (pour openldap) dans /etc/ldap/schema/*.schema ... Le format est aisé à lire.
En suite il faut aussi bien se rendre compte que chacun te des objets n'ont qu'une seule (1,1) classe structurelle (STRUCTURAL) et autant de classes auxiliaires (AUXILIARY) que tu souhaites (0,n). Les classes abstraites il faut juste savoir que la classe top et toutes les classes en descende.
Ensuite il y a un héritage entre les classes, dans les schémas tu vas voir "SUP top AUXILIARY", tu sais que c'est une classe auxiliaire qui descend de top, mais tu peux voir "SUP person STRUCTURAL" donc ta classe hérite des attributs de person et est structurelle.
Les attributs c'est presque la même chose, ils ont une syntaxe et tu dois t'en tenir, l'héritage existe ...
Chaque objet à un nom unique, le DN, c'est à dire "tout le chemin que tu vas parcourir depuis la racine de l'arbre jusqu'à l'objet" et c'est "l'identifiant unique" de ton objet. Il est composé d'un attribut que tu choisi (et qui va devenir ainsi le RDN).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: c'est parce que LDAP est mal fichu
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal X.500 et LDAP. Évalué à 2.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Pour ou contre
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Références et LDAP. Évalué à 3.
Une chose est certaine : des applications codées avec les pieds au niveau de l'authentification, il y'en a. Comme j'ai compris ton problème, c'est le cas des applications qui s'authentifient et gèrent ça un peu comme une base de donnée sql. En fait c'est faux car, comme tu l'as si bien remarqué, ça contourne les ACL du serveur LDAP (qui sont, à mon avis, très puissantes (par expression régulière, demander un niveau d'algo de chiffrement minimum (en plus du classique utilisateurs/groupe) avec diverses niveaux (tu peux donner l'accès à un attribut uniquement à l'authentification, mais pas à la lecture, la comparaison et la recherche)).
Malheureusement j'ai trop souvent vu des applications qui demandent un utilisateur dédié et vont comparer le mot de passe directement en assumant que l'annuaire stocke celui-ci dans un format X (genre SSHA ou SHA ou MD5) ou pire qui vont modifier le mot de passe en écrivant directement l'attribut userPassword au lieu d'utiliser l'opération étendue disponible pour ça (et qui permet à l'annuaire de gérer d'autres champs, très utile pour avoir les mots de passe unifié entre Unix et Windows (samba et pam gère très bien le changement de mot de passe avec exop))
Le problème de LDAP c'est que du côté applicatif, beaucoup de gens n'ont pas compris et utilisent ça comme une base MySQL (et tellement peu d'applications ont compris le referal qu'il faut faire faire au serveur le chaînage (alors que le client est nettement moins occupé et peut le faire (d'ailleurs je dois le faire pour lref)).
Donc oui la méthode 2 est la plus utilisée parce que c'est fait comme ça dans MySQL, mais maintenant je banni automatiquement ou corrige (si je peux) l'application. Quand je fait la remarque à un projet, on me dit que non https://linuxfr.org//comments/1107150.html#1107150
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: simplification
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal X.500 et LDAP. Évalué à 9.
Bel exemple de socialisation du déficit et de privatisation du bénéfice.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: simplification
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal X.500 et LDAP. Évalué à 3.
Sinon ce n'est pas deux serveurs dans un garage et c'est bien dommage. Ça marcherai peut-être. Faut arrêter avec cet argument "on est trop gros", et peut-être commencer à donner des raisons plus réels : les données informatiques ne demandent qu'un peut de temps pour être migrées ... sauf si l'on s'est enfermé dans un format propriétaire. Et durant les 10h de panne de l'autre jour, vous aviez le temps.
Mais sinon un truc me fait terriblement souci, vous êtes une autorité de certification. Les certificats sont gérés comme les clients ? Et bien SSL est
définitivement mort.
Enfin, au final c'est moi qui vais devoir faire le travail de Swisscom bénévolement et continuer à payer un abonnement Internet avec le port 25 bloqué en sortie.
(Et se moquer d'un projet quand on a système d'information défectueux ça ne se fait pas)
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Pour ou contre
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Références et LDAP. Évalué à 3.
En réalité ils ont enfin changé le schéma et, miracle, "SUP top AUXILIARY". Mais ça doit pas faire longtemps ... Donc je retire ce que j'ai dis.
Sinon en terme applicatif, il y'a :
- samba qui supporte très bien LDAP
- des serveurs DNS, pam et nss
- il est possible de configurer thunderbird et firefox (adm.js)
- des tonnes d'applications Web (dokuwiki, webcalendar, mediawiki, phpbb, ...)
- httpd d'Apache
- authentification de Mac OS X
- exim (smtp)
- dovecot (imap4, pop3)
- asterisk (pbx)
- obélix (j'étais obligé)
- serveur jabber (je sais plus lequel j'avais testé, mais jabber.fsfe.org utilise certainement LDAP, l'interface Web pour gérer le compte étant basée sur phpldapadmin)
- mysql avait planifié l'authentification ldap (je sais pas où s'en est)
- Debian (debconf, j'ai pas testé (pas encore), mais livre "Debian, Administration et configuration avancées, Eyrolles")
- autofs (pour les automount NFS)
- il y'a un patch pour openssh (stocker les clés openssh dans LDAP au lieu de ~/.ssh)
- il est possible de faire interopérer openldap et Microsoft AD (j'ai pas d'AD pour tester, mais livre "LDAP, System Administration, O'Reilly")
- FTP (proftpd)
- GnuPG
- lref :-)
- CUPS (il semble)
- ...
Alors ça laisse quand même quelques applications ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: référence au RFC
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Références et LDAP. Évalué à 2.
Et là, l'intérêt de ce programme c'est que je peux me faire des "bookmarks" de tout et n'importe quoi dans un annuaire LDAP et les partager aux gens s'ils veulent (d'où l'ajout de l'authentification anonyme sur le LDAP dans la version 0.2). Et les gens ils ont juste besoin de faire des "referal" vers mon annuaire pour avoir mon contenu en plus du leur. Alors quand j'aurais référencé la série X.500, c'est déjà ça de gagné.
Là je médite un schéma qui irait bien pour gérer plusieurs langues et après une petite interface web pour fédérer le tout et j'aurais créer le facebook des normes et à moi le fric, les gonzesses, la grosse voiture, les banquets, la une des journaux et tout :-)
... je trouve plus mes calmants ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Pour ou contre
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Références et LDAP. Évalué à 3.
Ensuite les outils, ils sont super, tu as phpldapadmin si tu veux une interface graphique, sinon tu as les commandes ldap* qui te permettent de tout faire. Pour les gros travaux tu fais tes fichiers ldif et départ pour voir gicler des entrées dans tous les sens. Tu as les outils slap* pour traiter avec les données quand le serveur est éteint.
Aprés tu as ldapvi pour voir ton annuaire comme un fichier ldif et l'éditer joyeusement. Il existe Gtruc ou Kmachin aussi, mais bon j'utilise pas trop ...
Je trouve plutôt mature les outils sauf ce qui sort de chez Mozilla (Thunderbird est une horreur à ce niveau) et OOo pire encore (et c'est régressif la qualité, dans 2 je pouvais approximativement me connecter, dans 3 plus rien). Je parlerais pas de Outlook et de Mac OS X, ça va gâcher mon humeur.
Et le support est bien présent dans les langages ... Non je trouve que les outils d'administration LDAP sont bons et bien présents. Et si tu veux du vrai clickodrome, tu as AD qui fonctionne bien.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Pour ou contre
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Références et LDAP. Évalué à 4.
Un serveur d'annuaire LDAP demande quelques connaissances relativement pointues. Mais globalement il me semble que cela se tient très bien. La complexité de l'annuaire vient du fait que l'on y met les informations sur des personnes, des périphériques diverses, carnet d'adresses, comptes utilisateurs, groupes, DNS, ... Tout ce qui peut-être nécessaire pour l'entreprise.
La documentation est, à mon sens, très claire. Mais elle demande de connaître les bases, soit la série de documents UTI-T X.500. Chaque élément inter-agi dans un service d'annuaire et doit être vu comme un élément indépendant. Le stockage est le DIB, structuré en arbre, le DIT, accéder par le DUA à travers le DSA. Le DMD est un ensemble de DSA (1,n), ... Tous ces éléments se trouvent détaillés dans le document X.500. Il reste à lire les documents suivant pour le reste.
LDAP est une simplification de ces normes, mais totalise pas mal de RFC qu'il est nécessaire de lire.
Donc tu peux toujours appréhender LDAP par la pratique en bidoulliant et regardant les résultats, mais c'est, à mon sens, un système demandant une compréhension de la théorie de base : lire les RFC.
Une fois armé de ce bagage, la documentation d'openLDAP devient limpide, les logs claires et précis et les configurations simples.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: C'est LOURD!
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Références et LDAP. Évalué à 4.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Plutôt contre la décision
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Fedora rejete un package d'un outil de pentesting. Évalué à 3.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Plutôt contre la décision
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal Fedora rejete un package d'un outil de pentesting. Évalué à 1.
Surtout que c'est un logiciel terrible, tu peux détruire la base de données en un seul clique; j'y ai trouvé un lien qui le faisait !!!
Je vais certainement contacter Fedora pour qu'ils suppriment cette application dangereuse et pouvant avoir un usage criminel dans certain pays.
Il y a aussi phpldapadmin pour les attaques sur les annuaires LDAP ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: vol d'identifiants
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal DAFP 3 DLFP 0. Évalué à 3.
Le coût provient de deux sources, l'infrastructure matériel/logiciel (serveurs) et humaines (intendance), et la vérification d'identité. CAcert ayant résolu le problème du coût des vérifications sans endommager la qualité, il reste l'infrastructure.
Mon avis est que CAcert ne pouvait pas donner des garanties suffisantes en terme de tenue en cas d'attaque (on bloque l'accès aux CRLs via une attaque, permettant d'utiliser des certificats révoqués) et de temps de réactions (pas d'intendance suffisante pour supporter assez rapidement une découverte comme la faille MD5).
C'est l'interprétation que j'ai faites du message de Grigg. La vérification est bonne, mais il faut plus de monde (d'ailleurs il dit "Better if you wish to help, join CAcert as a user and contribute on their large task list." et "In October 2006, server issues arose which caused a difficult migration, still on-going. These also do not meet DRC").
La phrase (clé ?) me semble être celle-ci : "Around June 2006, the audit process discovered severe imbalances in the contractual relationships between CAcert, its user community, Assurers and the world at large, as found by DRC". Mais je n'ai pas vraiment compris son sens.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: vol d'identifiants
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal DAFP 3 DLFP 0. Évalué à 3.
Des problèmes structurels : pas assez de ressources. En aucun la méthode de vérification n'a été remise en cause. Lire ce que l'on cite c'est pas mal non plus.
Et sinon personne ne peut plus être considéré comme sécurisé dans le monde SSL parce qu'il y a +1400 CA et qu'ils signent tout et n'importe quoi du moment qu'ils sont payés (ou par incompétence).
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: vol d'identifiants
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal DAFP 3 DLFP 0. Évalué à 4.
Un peu plus haut (ou plus bas) dans les commentaires, tu trouveras des liens intéressants sur tout ça (notamment que ces pros des certificats arrivent à signer des 192.168.1.2 et autre localhost ...).
Et moi tous les jours je surf sur le web par mon FAI : Swisscom. Swisscom est un autorité racine. Elle n'a jamais vendu de certificats et achète les siens chez Verisign ... Trouver l'erreur.
Et Waltz Disney est une autorité de certification O_o
Désolé, si on a cassé ton rêve, mais SSL, c'est plus vraiment ça ...
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: C'est quoi le drôle ?
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal DAFP 3 DLFP 0. Évalué à 2.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: vol d'identifiants
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal DAFP 3 DLFP 0. Évalué à 7.
On trouve des certificats pour 192.168.1.2 ou localhost. 530 certificats valides impactés par le bug de Debian (73 révoqués) ... http://www.eff.org/files/DefconSSLiverse.pdf
Il ne manque plus que les données bruts du projet http://www.eff.org/observatory pour rigoler un bon coup de la prétendue sécurité de SSL.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: C'est quoi le drôle ?
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal DAFP 3 DLFP 0. Évalué à 10.
Et depuis le temps que les gens en font référence, il est bien qu'il existe.
Pour terminer je crois que ces deux sites sont la sommes de la participations des inscrits, le contenu n'appartient à personne (à part celui qui l'écrit) ... et pour un site où les membres s'insurgent autant contre la SACEM et autres MPAA, réagir pareillement est presque malhonnête, discuter avant de frapper aurait été un mieux, non ?
Enfin, je m'en tape, mes propos sont, généralement, sous licences WTFPL.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Encore une demonstration de l'absurdite de la GPL
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal VLC sur l'AppStore, bouhhhhh. Évalué à 7.
La seule vraie licence libre :WTFPL http://sam.zoy.org/wtfpl/
Les autres ne sont que des simulacres de la liberté.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: Encore une demonstration de l'absurdite de la GPL
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal VLC sur l'AppStore, bouhhhhh. Évalué à 2.
C'est bien un devoir et non plus une liberté.
Non la GPL demande que la redistribution soit faite avec la même licence. Mais tu peux prendre un programme GPL, le modifier, l'utiliser et jamais le distribuer. Tu ne violes pas la GPL.
À partir du moment où tu distribues le programme (forme binaire et/ou source), tu dois le faire sous la licence GPL.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell
[^] # Re: !!
Posté par Etienne Bagnoud (site web personnel) . En réponse au journal VLC sur l'AppStore, bouhhhhh. Évalué à 10.
La FSF se doit d'être intransigeante, si elle ne l'est, personne ne le sera.
Le jour où tu violeras un petit détail d'un tout petit brevet d'Apple, tu auras une armé d'avocat de grande qualité qui va te broyer jusqu'à ce qu'on ne distingue plus tes os des acariens qui les entourent.
La FSF joue dans la cour des très grands, ceux qui font plier des gouvernements à leur guise, elle ne peut rien laisser passer. Si elle le fait on va s'insurger d'un favoritisme pro-Apple : parce que ça va toucher des millions d'utilisateur alors on est moins strict sur la GPL, blablabla ...
Non, la FSF doit considérer une violation d'une virgule de la GPL à l'identique d'une violation de la GPL dans son ensemble.
Le travail n'a peut-être pas été évident à faire et c'est certainement très dur d'admettre que ce travail risque de partir à la poubelle (perso je serais très amer), mais on le savait dès le début : la GPL n'est pas compatible avec l'AppStore. Avoir pris le risque avec le code d'autres personnes devait automatiquement poser des problèmes.
"It was a bright cold day in April, and the clocks were striking thirteen" - Georges Orwell