Authentification, état de l’art

Par Yoann Gini le
8

L’autre jour, quelqu’un m’a demandé quelle est la bonne méthode pour échanger des informations d’authentification entre un client mobile et un service web. Question simple aux réponses multiples, évidentes pour certaines et complexe pour d’autres.

Vu que le sujet peut intéresser, je me propose d’entamer ici un état de l’art de l’authentification, ou du moins des méthodes d’authentifications que je connais. Si vous pensez que j’ai omis quelque chose, les commentaires sont là pour ça ! J’intègrerais les commentaires les mieux rédigés en ajout de l’article pour leur donner une meilleure visibilité.

Continuer la lecture

Utiliser l’autorité de certification d’OS X Lion Server pour vos propres certificats

Par Yoann Gini le
1

Comme vous le savez peut-être, OS X Lion Server embarque une autorité de certification. Elle est utilisée exclusivement par le Profile Manager pour la gestion des périphériques distants. Comme je l’ai déjà dit dans le passé, il est très intéressant d’avoir une autorité de certification interne à l’entreprise. Il serait donc intéressant de pouvoir nous servir de l’autorité livrée avec notre serveur Lion pour autre chose que de la gestion de périphérique.

Continuer la lecture

Utiliser un serveur d’authentification « One Time Password » avec OS X Server

Par Yoann Gini le
4

Si vous avez déjà approché de près ou de loin une grande entreprise, vous avez certainement entendu parler des générateurs de mots de passe à usage unique (token OTP pour les initiés). Ces petits appareils permettent de générer un code à usage unique qui viendra en remplacement du mot de passe utilisateur pour certains services comme l’accès distant.

L’article que je vous propose ici est une première approche de la problématique OTP
sur OS X. Il existe plusieurs solutions sur le marché, Apple recommande les Secure ID de RSA Security, bien que ce soit la solution environ documentée par Apple, c’est une solution onéreuse et qui a la mauvaise idée de ne pouvoir être hébergée que sur un serveur Windows… Pour cet article je vous propose donc la solution OTP de Feitian.
Continuer la lecture

CrashPlan, installation et configuration initiale

Par Yoann Gini le
0

Si vous n’avez pas encore entendu parler de CrashPlan, cela ne saurait tarder. Cette solution de sauvegarde est plus qu’intéressante (au point d’être utilisée par Apple en interne).

Cette solution permet une sauvegarde en temps réel des données de tout ordinateur sous votre responsabilité. Que ces machines soient sur votre réseau interne ou à distance, CrashPlan vous permet de gérer des sauvegardes différentielles chiffrées et simplement utilisables par vos utilisateurs.

Continuer la lecture

Précision sur WAB et les serveurs secondaires

Par Yoann Gini le
1

Depuis mon article sur l’implémentation d’une zone Bonjour en Wide Area j’ai reçu quelques retours sur les erreurs et problèmes rencontrés, dont un que je pense nécessaire de vous, partager (les autres étant des problèmes inhérents à un produit non documenté)

Lorsque vous mettez en place une zone WAB en suivant mon tutoriel, serveradmin va reconfigurer BIND pour le placer sur le port 5030, un cat sur /etc/dns/options.conf.apple le confirme :

directory "/var/named";

forwarders { 8.8.4.4; 8.8.8.8; };

allow-transfer { none; };

listen-on port 5030 { 127.0.0.1; };

Et en réalité c’est dnsextd qui viens écouter sur le port 53 et qui retransmettra tout sur 127.0.0.1:5030 :

root@office ~ 19:07 % lsof -i 4 -nP | grep dnsextd dnsextd 111 root 4u IPv4 0x07246abc 0t0 TCP *:53 (LISTEN) dnsextd 111 root 5u IPv4 0x06f7020c 0t0 UDP *:53

Ce qui va poser un problème, à savoir les requêtes de transfert de zone…

yoanngini@office ~ 19:08 % host -t axfr office.inig-services.com Trying "office.inig-services.com" ; Transfer failed.
Trying "office.inig-services.com.office.inig-services.com"
Host office.inig-services.com.office.inig-services.com not found: 1(FORMERR) Received 12 bytes from 127.0.0.1#53 in 0 ms ; Transfer failed.

Et cela, même si BIND est correctement configuré :


zone "office.inig-services.com." { type master;

file "db.office.inig-services.com.";

allow-transfer {any;};

allow-update {none;};

Je dirais qu’à première vue, dnsexted bloque les transferts de zone. Je vous conseillerais donc de placer votre serveur WAB soit sur un serveur isolé soit sur votre serveur DNS secondaire.

Wide Area Bonjour – Authentification des clients par secret partagé

Par Yoann Gini le
0

Dans les précédents articles, nous avons vu comment mettre en place une zone WAB en lecture seule puis comment rendre cette même zone disponible en lecture/écriture pour que nos clients puissent enregistrer leurs services et enfin nous avons vu une petite astuce pour faire en sorte que cette zone contienne le plus d’informations possible.

Voyons voir maintenant comment faire en sorte que l’écriture sur cette zone soit protégée par un secret partagé.

Continuer la lecture

[OS X Server] – Dans quel cas se servir du service Mobile Access ?

Par Yoann Gini le
3

Vous l’aurez certainement lu sur le site d’Apple, OS X Snow Leopard Server embarque un service dédié à l’accès mobile pour sécuriser l’accès à vos ressources interne sans avoir à mettre en place un système VPN lourd pour l’utilisateur. Voyons voir sur quel principe repose ce système est en quoi il est plus pratique qu’un VPN.

Continuer la lecture

[OS X] – Gestion des droits d’accès aux fichiers

Par Yoann Gini le
0

Aujourd’hui tous les systèmes d’exploitation sont conçus pour être multi-utilisateurs, ce qui est en soit pratique mais qui peut également devenir rapidement problématique si nous nous posons la question des droits d’accès. Autrement dit, comment dans un environnement multi-utilisateur pouvons nous êtres certain que des données privées le reste ? La réponse n’est autre que les droits d’accès.

Cet article ne traitera que de la partie théorique des droits d’accès et que très peut de la partie pratique (uniquement pour les exemples), il vous est donc recommandé de lire le manuel de fonctionnement des commandes ls, chown et chmod du système Mac OS X.
Continuer la lecture