Re: Authentification AD: directe ou via OpenLDAP ?

To: ML Debian User French <debian-user-french@lists.debian.org>
Subject: Re: Authentification AD: directe ou via OpenLDAP ?
From: Olivier <oza_4h07@yahoo.fr>
Date: Wed, 10 Oct 2012 08:58:54 +0200
Message-id: <[🔎] CAPeT9jgoN2xa1ZYDHQ2yBUaM-=Ug+qrj2uakpyDUanagVd8uNQ@mail.gmail.com>
In-reply-to: <[🔎] CABwLUptgaTYcTv_otMg8OV0OmFEzDBxszHWaqzocx784aN4f1w@mail.gmail.com>
References: <[🔎] CAPeT9jjXKOagEeS7B-PPW7bUU+0XJTFH56LN230RaVZQPxGUAA@mail.gmail.com> <[🔎] CABwLUptgaTYcTv_otMg8OV0OmFEzDBxszHWaqzocx784aN4f1w@mail.gmail.com>

Le 9 octobre 2012 09:31, Mathias Dufresne <mathias.dufresne@gmail.com> a écrit :

Salut,

Les deux devraient fonctionner sans souci, d'un point de l'authentification.

La difficulté réside essentiellement, si je ne dis pas de bêtises, dans la configuration de Kerberos, mais le net doit fourmiller de documentation depuis le temps que les Linux accèdent aux AD.

La question du coup me semble plus être :
- faut-il configurer Kerberos pour une auth directe ?
- si oui, ne serait-ce pas plus simple de configurer Kerberos avec OpenLDAP et avoir une auth web pure LDAP ? Ce qui pourrait faire un poil diminuer la sécurité du site s'il n'utilise pas krb, celui-ci ne devant pas être complètement inutile :p

Cdlt,

mathias

Le 8 octobre 2012 08:49, Olivier <oza_4h07@yahoo.fr> a écrit :

Bonjour,

Je suis totalement novice dans le domaine des annuaires LDAP.
Je développe une appli web (apache2, ...) qui comprend un module d'authentification-autorisation.
Elle va être utilisée chez un client qui utilise Active Directory.

Est-il préférable de configurer apache2 pour authentifier-autoriser les utilisateurs en interrogeant directement Active Directory ou bien est-il préférable d'interroger une base intermédiaire sous OpenLDAP, par exemple, et de mettre en place une synchronisation entre OpenLDAP et Active Directory ?

Slts

Suite aux indications de Mathias, je viens en effet, de (re-)découvrir le protocole Kerberos et son module libapache2-mod-auth-kerb.
Ce protocole semble bien adapté à mon contexte car il permet le Single Sign On.
Il semble donc possible de configurer Apache2 pour authentifier-autoriser des utilisateurs définis dans une base Active Directory via le protocole Kerberos.

Pour bien faire, j'ai recherché des annuaires LDAP Open Source supportant aussi Kerberos et qui pourraient avantageusement de se substituer à une base Active Directory, pour des tests ou des démos, par exemple.

Le projet 389-ds semble inclure un module Kerberos mais 389-ds n'est pas encore empaqueté pour Squeeze ou Wheezy.
Le projet FusionDirectory prévoit pour sa future version 1.0.5, un plugin Kerberos mais la version 1.0.4 du projet n'est pas encore publiée.

Avez-vous des recommandations en la matière ?

Reply to:

References:
- Authentification AD: directe ou via OpenLDAP ?
  - From: Olivier <oza_4h07@yahoo.fr>
- Re: Authentification AD: directe ou via OpenLDAP ?
  - From: Mathias Dufresne <mathias.dufresne@gmail.com>

Prev by Date: Re: systemd et debian
Next by Date: Re: clavier azerty en tty
Previous by thread: Re: Authentification AD: directe ou via OpenLDAP ?
Next by thread: Comment installer plusieurs instances de PHP
Index(es):
- Date
- Thread