Archive

Archive for April, 2009

Activation du lastlogin dans OpenDS

April 30th, 2009 No comments

Suite à mon précédent billet, voici les modifications à apporter à la configuration d’OpenDS pour activer le champ permettant d’obtenir la date de la dernière authentification (réussie) d’un utilisateur :

dn: cn=Default Password Policy,cn=Password Policies,cn=config
changetype: modify
replace: ds-cfg-last-login-time-attribute
ds-cfg-last-login-time-attribute: ds-pwp-last-login-time
-
changetype: modify
replace: ds-cfg-last-login-time-format
ds-cfg-last-login-time-format: yyyyMMddHHmmssZ

Attention ce champ n’est visible par défaut que par les administrateurs !

Ce qui donne :

% ldapsearch -Wxh localhost -p 1389 -D "cn=Directory Manager" -b "ou=people,dc=asyd,dc=net" '(uid=asyd)' 'ds-pwp-last-login-time'
[..]
# asyd, People, asyd.net
dn: uid=asyd,ou=People,dc=asyd,dc=net
ds-pwp-last-login-time: 20090428221635+0200

Categories: Sysadmin Tags:

Petite surprise en LDAP: last successful bind

April 28th, 2009 2 comments

Un rapide poste qui je l’espère fera suite à d’autres pour exposer une petite surprise que j’ai eu avec LDAP (enfin de manière plus précises avec les serveurs). Lors d’un projet pour mon nouvel employeur, on me demanda d’installer un OpenSSO pour authentifier des utilisateurs et obtenir leurs attributs LDAP. Bon, jusqu’ici rien d’anormal. Néanmoins, dans les attributs utilisateurs, il est demandé un attribut fournissant la date de la dernière connexion d’un utilisateur (en pratique la date d’un dernier bind opéré avec succès). Sur le moment, je n’ai pas percuté. Ce n’est qu’au moment de revenir sur mon poste, et par acquis de conscience, que j’ai commencé à me renseigner.

Et quelle ne fut pas ma surprise lorsque je me suis rendu que :

  • OpenSSO ne le permet pas de base. Après une rapide rechercher, il semblerait qu’une manière simple (c’est tout relatif) est d’écrire une classe (Java) qui sera exécutée après une authentification utilisateur.
  • Active Directory semble fournir cette fonctionnalité de base (via l’attribut lastlogon)
  • Sun Directory Directory Server Entreprise Edition (DSEE pour faire court) ne semble à priori pas le supporter dans toutes ses versions (>= 6.2 de mémoire, à prendre avec grande précaution) (tests en court)
  • OpenDS le supporte (tests en court)
  • Sun iPlanet 5.x ne le supporte tout simplement pas
  • Je n’ai pas regardé pour les autres serveurs, si jamais vous avez des retours dessus, je suis preneur.

Évidemment, je vous laisse deviner quel serveur j’utilise. Donc, je me suis retrouvé à écrire un plugin (en C) pour iPlanet, j’avoue que cela est assez intéressant (enfin il y a bien pire comme tâche :). Je vais mettre à disposition le code de ce plugin d’ici quelques jours, même si je doute qu’en Avril 2009 cela intéresse encore beaucoup de gens !

Pour information, pour obtenir cette fonctionnalité avec DSEE et OpenDS, il faut utiliser les password policies, et n’activer que la partie concernée. Cela va mettre à jour le champ ds-pwp-last-login-time (au moins vrai pour OpenDS).

Néannmoins, j’avoue que je suis assez surpris que cela ne soit pas de base, partout, dans tous les serveurs LDAP. Certes, cela demande un minimum de performances supplémentaires. En effet, cela provoque une écriture (opération considérée comme lente sur un annuaire LDAP) à chaque opération d’authentification réussie (mais on pourrait imaginer de vouloir l’équivalent pour un last failure). Mais au point de vue gestion d’identité, c’est quand même une information qui peut être très intéressante. Au hasard, sur un portail public, d’obtenir rapidement, et simplement, la liste des utilisateurs qui ne se sont pas connectés depuis une année.

Categories: IAM, Security, Sysadmin Tags: ,

Article sur la mise en place de l’authentification X509 avec OpenSSO et EJBCA

April 3rd, 2009 No comments

Suite à mon article et la création d’une imageVMWare pour démontrer l’utilisation d’EJBCA et d’OpenSSO pour faire de l’authentification X509 client, Pat ma gentiment demandé si je pouvais écrire un article à ce sujet. Et c’est maintenant chose faite, l’article est disponible ici. En route pour la deuxième partie !

Categories: IAM, PKI, Security, SSO Tags: ,

Devenez un (open)solaris kernel hackers en 2 jours !

April 2nd, 2009 No comments

Nos chers amis polonais (très actif dans la communauté OpenSolaris) nous propose d’assister à une session de formation sur les internes du noyau OpenSolaris. Je ne peux que vous encourager à vous inscrire pour suivre ce cours qui sera je le pense excellent !

Cela se passe ici !

Categories: OpenSolaris, Solaris, Sysadmin Tags: