Show more

Le soft tartanpion n’a implémenté que le login « à la SGBD » quand duchmol implémente uniquement « direct bind » et trucmuch seulement « filter + bind »…

Côté logiciel, chacun vient avec ses prérequis. Et tout le monde n’implémente pas forcément toutes les manières de faire.
Le pire étant la gestion des groupes, personne ne faisant la même chose que son voisin.

On peut raffiner le bordel avec de la gestion de groupe, en interrogeant le LDAP pour savoir si un utilisateur est dans tel ou tel groupe. Sauf que rien n’est normalisé pour définir ce qu’est un groupe…
Certains utiliseront un groupOfNames, d’autres un groupOfUniqNames. On peut aussi modéliser les groupes comme une organizationalUnit et des alias dedans.
Ou toute autre manière que vous trouverez de modéliser ça…

Une version un peu mixte est d’utiliser un compte authentifié « admin » pour la recherche, puis un bind DN + password.

Un peu plus fin : on commence par faire une requête anonyme à partir du username pour obtenir le DN de l’entrée LDAP associée à l’utilisateur. Ensuite, on bind au LDAP avec DN + password. C’est filter + bind.

Ici c’est LDAP qui gère le mécanisme d’authentification, par exemple la comparaison des hashs. Ça vous évite de réimplémenter son mécanisme côté applicatif.

À la bourrin : si tu es capable de t’authentifier au LDAP, alors tu es authentifié à l’application (aka le direct bind en langage LDAP).

« à l’ancienne », ie un compte admin utilisé pour accéder aux données utilisateurs, et on vérifier le login une fois le hash du mot de passe obtenu. Comme on le ferait naturellement avec un SGBD conventionnel donc.

On peut s’authentifier de plusieurs manières. Et certainement d’encore plein d’autres que je n’ai pas imaginé.

LDAP n’est pas plus normalisé pour faire de l’authentification que ne l’est MySQL ou PostgreSQL. Oui on peut, mais faut tout faire à la main…

Tout le monde loue LDAP « parce que c’est intéropérable avec tout ». Sauf que. En fait non.

Ça fait longtemps que je n’avais pas râlé je trouve. Donc un petit thread pour changer 😂
Ce soir, on poutre LDAP 😂

Les mails HTML c’est tabou, on en viendra tous à bout ! 😖

J’aurais du rapporter plus de confiture de rhubarbe de ma môman moi… 😭

Celle qui reste bien en tête tout le reste de la journée 😂
Dr. Peacock - Trip to Texas
youtube.com/watch?v=NCmA1CSw6d

Quelqu’un aurait une config knot nsec3 qui fonctionne ?
J’ai beau mettre « nsec3: on », il reste en nsec (ou ne signe plus rien…)

Quelle est la compatibilité actuelle de ED25519 pour DNSSec ? poke @bortzmeyer

proposed laptop sticker, boost if you think it's worth me tidying up and printing #serverless #snark

Show more
Mastodon

PARCE QUE C’EST MON INSTANCE !