G DEBIAN wrote:
Bonjour,j'ai developpé une application avec la possibilité d'utiliser un moyen d'authentification externe (ldap). Avec l'aide de php, j'uilise la fonction ldap_bind() pour verifier que le login et mot de pass rentré par un utilisateur est correct.Je me suis servi de Ethereal pour verifier si le mot de passe est crypté ou haché, mais, il est envoye en clair au serveur.Comment puis-je sécuriser la connexion avec ldap ?Merci d'avance...
- Utiliser ldap-ssl pour la requête ldap : ldaps://ldap.chezmoi:636 comme ça, c'est SSL qui se charge du boulot - Utiliser un stunnel et déporter sa requête vers le serveur local sur un port prédéfini - Utiliser SSH et un tunnel ? (surement, on fait cela pour plein de protocoles, ldap ne devrait pas poser de problèmes)
Le plus rapide, c'est certainement le 3ième : un truc du style |ssh -L 389:ldap.chezmoi:389 -l utilisateur -N chezmoi|. Cela fonctionne, mais il faut utiliser un compte utilisateur et le serveur SSH du serveur Ldap. Donc un compte avec une authentification sans mot de passe et un init.d qui démarre cela à chaque redémarrage.
Le plus "propre", c'est le premier, mais il faut que ton serveur Ldap ait un certificat validé par une autorité de certification connue du client...
Le second, intermédiaire : dans le passé, les certificats auto-signés fonctionnaient et un stunnel prenait quelques minutes à être configuré de chaque côté...
Bon courage ! Numa