Sécuriser la directive AuthLDAPBindPassword

satyre · Février 20, 2016, 9:38pm

Bonjour à tous,
J’ai actuellement sur une debian lenny ce code dans un virtual Host fonctionnel :

[code]AuthBasicProvider ldap
AuthType basic
AuthzLDAPAuthoritative Off
AuthName “Test Apache Secure”

AuthLDAPBindDN "CN=apache,CN=ou,DC=example,DC=domain,DC=com"
AuthLDAPBindPassword secretPassword

AuthLDAPURL "ldap://dc.example.domain.com:3268/DC=example,DC=domain,DC=com?sAMAccountName

Order Deny,Allow
Deny from all
require valid-user
[/code]
Je souhaiterais sécuriser la ligne AuthLDAPBindPassword car pour l’instant, le mot de passe rensigné pour se connecter à l’active directory est en clair.
Est ce possible de le crypter ou dans un htapasswd ou alors à l’aide du mot clé {crypt} ?

J’ai essayé de crypter mon pass avec htpasswd puis de reprendre le pass crypté et de le mettre de cette manière

Mais sans succès …

Avez vous des idées ?
Merci d’avance !

thomas.leclerc · Février 20, 2016, 9:38pm

le module apache mod_authn_alias te permet de créer des alias pour l’authentification apache.

tu peux deja créer un alias dans le repertoire conf.d de apache et metter des droits differents sur ce fichier, ça t’evitera de laisser le password trainer dans tous les virtualhosts.

veille aussi à ce que le BindDN n’ai pas de droits en écriture sur LDAP

ricardo · Février 20, 2016, 9:38pm

Posté dans la mauvaise section.
Je déplace mais fais attention la prochaine fois.

satyre · Février 20, 2016, 9:38pm

[quote=“thomas.leclerc”]le module apache mod_authn_alias te permet de créer des alias pour l’authentification apache.

tu peux deja créer un alias dans le repertoire conf.d de apache et metter des droits differents sur ce fichier, ça t’evitera de laisser le password trainer dans tous les virtualhosts.[/quote]

Désolé d’etre un newbie mais je ne vois pas de quoi tu parles lorsque tu parles d’alias ? Peux tu m’en dire plus ?

thomas.leclerc · Février 20, 2016, 9:38pm

tu créé une fois pour toute un alias qui contient toutes les directives permettant d’acceder à ton ldap.

ensuite dans tes virtualhost tu n’as plus qu’à appeler cet alias au lieu de remettre le nom du serveur le binddn et les password associés.

http://httpd.apache.org/docs/2.2/mod/mod_authn_alias.html

un p’tit google translate plus tard

satyre · Février 20, 2016, 9:39pm

Génial, merci beaucoup pour cette petite astuce !
Mais malheureusement, je ne sais toujours pas comment faire pour sécuriser mon BindPassword, meme si il est dans un fichier Alias…

Aucune idée du coté du {crypt} ? J’ai un googleisé ca, mais je n’ai rien trouvé de satisfaisant …

thomas.leclerc · Février 20, 2016, 9:39pm

personnellemt je me concentrerai deja sur le cryptage des flux entre apache et le serveur ldap.

sinon regarde ces conseils : http://www.gossamer-threads.com/lists/apache/users/346939

1/ ne pas renseigner de mot de passe dans le fichier . il sera demandé au démarrage de apache.
2/ utiliser une empreinte SSHA
3/ sécuriser les fichiers de conf apache

++