nimc
Bonjour à tous,
et meilleurs vœux pour cette année 2014 au passage ! 🙂
J'espère être dans la bonne partie du forum pour mon "problème" ... si ce n'est pas le cas, n'hésitez pas à me l'indiquer ou à rediriger le post au bon endroit.
- Le contexte:
Je suis en train de tester la distribution Fedora 19 x64 dans un environnement qui utilise oracle directory server 6.3 comme "gestionnaire" d'authentification (= serveur ldap si vous préférez)
Les machines clientes seraient donc sous Fedora 19 (je teste en parallèle avec ubuntu 13.10, mais c'est une autre histoire :roll:).
- Ma situation:
Pour le moment, j'essaye d'utiliser le combo SSSD + ldap afin de gérer l'authentification des machines clientes.
(J'ai pris soin de désactiver NSCD)
Ça fonctionne bien de base, sauf qu'à la base justement, openldap et sssd n'utilisent pas nécessairement un protocole sécurisé lors de ces phases d'authentification ou de changement de mot de passe: les mots de passe circulent en clair sur le réseau.
Or, c'est là que se situe mon problème, comme c'est un environnement assez important (+ de 100 machines), il est nécessaire de sécuriser ce trafic et d'utiliser LDAPS (LDAP over SSL/TLS) avec l'utilisation de certificat.
Mon souci, c'est qu'en utilisant cette configuration, tous les échanges (ou presque, je ne suis pas sûr, je débute) client/serveur passent par des communications sécurisées, ce qui, à mon avis, risque de peser à la longue sur les ressources côté serveur (les pc clients sont récents et ne devraient pas être affectés par cette charge supplémentaire). Je dis ça dans le sens ou communiquer sans cesse, crypter, décrypter entre les machines, au bout d'un moment, ça doit sans doute avoir un impact sur les performances.
Maintenant, comme je suis assez novice dans ce domaine, c'est également pour ça que je post ici, afin d'avoir votre avis sur ce genre de pratiques, ou de m'arrêter tout de suite si je fais fausse route.
Du coup, je cherche un moyen pour garder l'utilisation d'une connexion sécurisée lors de l'authentification (phase de login) et du changement de mot de passe (passwd), mais sans le reste des communications.
J'aimerais mettre en place une configuration qui permette donc d'isoler cette phase de sécurisation, juste pour ces 2 paramètres. Cela est-il possible ?
J'ai voulu essayer de voir un petit peu ce que ça donnerait en suivant quelques trames réseau avec Wireshark, et il est vrai que le protocole TLS entre le pc et le serveur revient très régulièrement.
N'hésitez pas à me donner votre avis, ou un retour d'expérience !
Merci d'avance 🙂