LDAP sécurisé

  • cedric22
  • Auteur du sujet
  • Nouveau membre
  • Nouveau membre
Plus d'informations
il y a 4 ans 5 mois #2744 par cedric22
LDAP sécurisé a été créé par cedric22
Bonjour


Un agent de notre collectivité travaillant sur la sécurité informatique de notre SI, a mise en évidence des failles sur les applicatifs qui initient des connexions aux AD sans signature LDAP.
Microsoft va rendre obligatoire la signature LDAP via une update. Cette mise à jour est prévue le 2nd semestre de l’année 2020.
Y a t'il un moyen pour que GRR utilise le LDAPS (sécurisé)

merci par avance pour votre assistance

Connexion ou Créer un compte pour participer à la conversation.

  • Yan
  • Developpeur GRR
  • Developpeur GRR
Plus d'informations
il y a 4 ans 5 mois #2745 par Yan
Réponse de Yan sur le sujet LDAP sécurisé
Bonjour,
a priori les dernières modifications apportées au code permettent l'utilisation du protocole LDAPS.
Pour cela veuillez utiliser la dernière version stable :
github.com/JeromeDevome/GRR/releases
Cordialement,
YN

Connexion ou Créer un compte pour participer à la conversation.

  • GuillaumePetit
  • Nouveau membre
  • Nouveau membre
Plus d'informations
il y a 4 ans 5 mois #2798 par GuillaumePetit
Réponse de GuillaumePetit sur le sujet LDAP sécurisé
Bonjour,

Après plusieurs tentatives pour réaliser des connexions LDAPS depuis l'applicatif GRR.
Nous obtenons uniquement des connexions échouées (la connexion depuis le service LDAP non sécurisée est fonctionnelle)

Description de l'environnement de test :
- GRR est installé sur une Debian 10,
- Nous utilisions la dernière version de GRR que vous avez préconisé : github.com/JeromeDevome/GRR/releases
- Enfin, nous avons intégré le certificat généré par notre autorité de certification locale dans GRR,
Puis il a été référencé dans le fichier /etc/ldap/ldap.conf

Nous avons réalisé des tests depuis ce serveur en PHP pour réaliser des connexions LDAPS, celles-ci sont fonctionnelles.
En revanche depuis votre applicatif il nous est impossible de réaliser des connexions LDAPS.

Avez-vous une idée, process de debugage à réaliser ?

Connexion ou Créer un compte pour participer à la conversation.

  • Yan
  • Developpeur GRR
  • Developpeur GRR
Plus d'informations
il y a 4 ans 5 mois #2807 par Yan
Réponse de Yan sur le sujet LDAP sécurisé
Bonjour,
assez vaguement parce que je ne suis pas en mesure de tester sur un annuaire LDAP(S), ce qui est à amender devrait se trouver dans functionc.inc.php, session.inc.php et config_ldap.inc.php. Ou faire une recherche ldap dans les fichiers de l'arborescence de GRR ;-)
Et utiliser GRR en version 3.4.1c ou, mieux, 3.4.1d.
Cordialement
YN

Connexion ou Créer un compte pour participer à la conversation.

  • anteldan
  • Nouveau membre
  • Nouveau membre
Plus d'informations
il y a 4 ans 2 semaines - il y a 4 ans 2 semaines #3074 par anteldan
Réponse de anteldan sur le sujet LDAP sécurisé
Depuis la version 3.4.1 le LDAPS est possible, d'ailleurs cela a engendré des modifications pour le LDAP (non-sécurisé) car il faut renseigner également le schema du protocole "ldap://" ou "ldaps://"
Pour l'hôte -disons qu'il s'agit de localhost- il faut indiquer maintenant dans le champ "ldap://localhost" ou "ldaps://localhost"

Si le port utilisé n'est pas le port standard du protocole, vous devez le rajouter dans l'URI, par exemple "ldap://localhost:11022" ou "ldaps://localhost:10087"
Dernière édition: il y a 4 ans 2 semaines par anteldan. Raison: Ajout de précisions en cas de port personnalisé

Connexion ou Créer un compte pour participer à la conversation.

  • GuillaumePetit
  • Nouveau membre
  • Nouveau membre
Plus d'informations
il y a 4 ans 2 semaines #3078 par GuillaumePetit
Réponse de GuillaumePetit sur le sujet LDAP sécurisé
Ok merci pour vos retours, je vais tenter de modifier la solution pour prendre en charge le LDAPS.

Si ca intéresse des personnes, je pourrai poster les fix sur un git ou sur le repo officiel de GRR.

Merci à vous ! ;)

Connexion ou Créer un compte pour participer à la conversation.

  • anteldan
  • Nouveau membre
  • Nouveau membre
Plus d'informations
il y a 4 ans 2 semaines #3079 par anteldan
Réponse de anteldan sur le sujet LDAP sécurisé
La version 3.4.1 gère déjà le LDAPS.
J'ai édité mon message plus haut pour indiquer le port dans le cas où vous utilisez un port particulier (autre que le standard 636).

Connexion ou Créer un compte pour participer à la conversation.

  • GuillaumePetit
  • Nouveau membre
  • Nouveau membre
Plus d'informations
il y a 4 ans 2 semaines #3080 par GuillaumePetit
Réponse de GuillaumePetit sur le sujet LDAP sécurisé
Oui merci mais normalement dans LDAPS en PHP il n'est pas nécessaire de spécifier le port de destination si le port du contrôleur de domaine utilise le 636.

Connexion ou Créer un compte pour participer à la conversation.

  • mathieu.ploton
  • Nouveau membre
  • Nouveau membre
Plus d'informations
il y a 2 ans 1 mois #4473 par mathieu.ploton
Réponse de mathieu.ploton sur le sujet LDAP sécurisé
Bonjour, j'aimerais passer la connexion en LDAPS mais ne maitrise pas toutes les implications, notamment "nous avons intégré le certificat généré par notre autorité de certification locale dans GRR".
Je suis sur du Windows et les certificats sont bien importés dans les magasins adéquats mais ça ne fonctionne pas. J'en déduis qu'il y a autre chose...
Pouvez-vous m'aider ?

Connexion ou Créer un compte pour participer à la conversation.

  • EVer69
  • Membre junior
  • Membre junior
Plus d'informations
il y a 2 ans 4 semaines #4477 par EVer69
Réponse de EVer69 sur le sujet LDAP sécurisé
Bonjour,

Lorsque que vous essayez de paramétrer le LDAPS, est-ce que vous avez activé le TLS ?
Nous faisons également des tests avec le LDAPS, nous arrivons à nous connecter quand le TLS est désactivé, mais pas quand il est activé.

Connexion ou Créer un compte pour participer à la conversation.

Modérateurs: Yan