Transfert de données entre la DMZ/LAN

[yanis97]

Bonjour


Mon application web (un extranet) utilise un LDAP situé ds une DMZ pour identifier des users et affecter des rôles à ces users.
Cet annuaire est alimenté et maj par un autre LDAP situé ds le LAN par un système de réplication automatique.
Le pb c'est que mon application modifie les data (les mots de passe des users) du LDAP de la DMZ et vue que c'est interdit de répliquer de la DMZ vers le LDAP du LAN.
Alors j'essaye de trouver un solution automatique pour maj le LDAP du LAN sans passer par l'export des data (LDIF) qui nécessaite un support amovible.
Toute solution sera la bienvenue.


Merci

[gregory.legrand]

J'ai eu la chance de pouvoir mettre la meme architecture que toi en place, et nous avons mis les memes politique de sécurité en place que les tiennes avec TLS (cryptage des données...). Nous n'avons pas pu autoriser le changement des mdp, et nous n'avons pas trouver de solution autre que l'export de data pou les mdp de l'arbre LDAP....

Je ne pense pas qu'il existe de possibilité... en tout cas nous n'en avons pas trouvé...


Je ne post pas ce msg pour te décourager, mais juste pour te prévenir que si il existe une solution elle ne doit pas être si évidente....

[yanis97]

J'ai eu la chance de pouvoir mettre la meme architecture que toi en place, et nous avons mis les memes politique de sécurité en place que les tiennes avec TLS (cryptage des données...). Nous n'avons pas pu autoriser le changement des mdp, et nous n'avons pas trouver de solution autre que l'export de data pou les mdp de l'arbre LDAP....

Je ne pense pas qu'il existe de possibilité... en tout cas nous n'en avons pas trouvé...


Je ne post pas ce msg pour te décourager, mais juste pour te prévenir que si il existe une solution elle ne doit pas être si évidente....

Bonjour Gregory

Merci pour ta réponse, mais alors comment font les gens lorsqu'il s'agit d'une base de données : comment se fait la synchronisation des data entre le base de la DMZ et celle du LAN ?
J'aimerais bien savoir ?


A+;

[gregory.legrand]

En général pour des raisons de sécurité en ne met pas de "base de données" dans la dmz... On la laisse dans le LAN et on configure des ACL particulier sur le routeur, ou alors on définit les le chemin des requetes SQL depuis le serveur vers le LAN, en identifiant le port d'ecoute et d'émission (propre à ton sgbdr : oracle, mysql, mssql...) surtout laissez fermé les ports d'administration de la dmz vers le lan...pour des raisons évidente de sécurité!!!

Voilà jspR que j'a pu répondre à tes questions!!

[yanis97]

En général pour des raisons de sécurité en ne met pas de "base de données" dans la dmz... On la laisse dans le LAN et on configure des ACL particulier sur le routeur, ou alors on définit les le chemin des requetes SQL depuis le serveur vers le LAN, en identifiant le port d'ecoute et d'émission (propre à ton sgbdr : oracle, mysql, mssql...) surtout laissez fermé les ports d'administration de la dmz vers le lan...pour des raisons évidente de sécurité!!!

Voilà jspR que j'a pu répondre à tes questions!!

Désolé de te drénager encore mais j'ai une autre question concernant l'oubli d'un mot de passe : ds mon application il se peux q'un user perd son mot de passe, alors je souhaite qu'il puisse se reconnecter en lui envoyant un mail automatiquement un password bidon qu'il pourra utiliser pour se connecter.
Impossible de crypter le password, alors comment faire ?
As-tu des conseils sur ce sujet ?

Merci

[gregory.legrand]

En général pour des raisons de sécurité en ne met pas de "base de données" dans la dmz... On la laisse dans le LAN et on configure des ACL particulier sur le routeur, ou alors on définit les le chemin des requetes SQL depuis le serveur vers le LAN, en identifiant le port d'ecoute et d'émission (propre à ton sgbdr : oracle, mysql, mssql...) surtout laissez fermé les ports d'administration de la dmz vers le lan...pour des raisons évidente de sécurité!!!

Voilà jspR que j'a pu répondre à tes questions!!

Désolé de te drénager encore mais j'ai une autre question concernant l'oubli d'un mot de passe : ds mon application il se peux q'un user perd son mot de passe, alors je souhaite qu'il puisse se reconnecter en lui envoyant un mail automatiquement un password bidon qu'il pourra utiliser pour se connecter.
Impossible de crypter le password, alors comment faire ?
As-tu des conseils sur ce sujet ?

Merci

Oui il faut que le serveur de messagerie utilise SSL!!!!!!Sinon je ne vois pas d'autres solutions...dsl

[maestro1303]

Bonjours à tous,
Félicitation pour ce forum bien animé.

Je suis dans une entreprise depuis peu, et quelqu'un y a déjà installé un webmail(non sécurisé apparemment). Car je trouve que les mots de passe des utilsateurs et leur login circulent en clair!!!!
Le webmail utilisé est du type (je connais pas bien la différence: horde, IMP etc..), serveur RedHat.

Alors mes questions:
1.Est-il possible de compiler un autre module avec apache ou horde pour crypter les mot de passe au départ du client pour que ceux ci ne soit plus visibles avec des outils du genre ethereal?
2.comment le faire sans couper le service?

Merci

[Methos_Hi]

Horde est le framework et IMP l'un des modules l'utilisant. La fonction de ce dernier étant le webmail.

Horde est un ensemble de service Web qui fonctionne avec un serveur Web, donc, en locurrence ici Apache.
Tu peux configurer Apache pour accéder à Horde en https. Il suffit de suivre les documentatiojns d'apache.
Evidemment, le mod_ssl (je crois que c'est le nom) doit être installé mais c'est souvent le cas par défaut.

Le service sera coupé quelques secondes ou qualques minute au pire.

Le problème c'est que les utilisateurs devront modifier l'url pour y accéder.

[maestro1303]

Merci beaucoup Methos_Hi de ces explications je suis là uniquement pour un audit de sécurité bien que je connaise assez bien apache sous unix, mais pas l'incidence de certains modules comme mod-ssl sur le cryptage des données.

mon grand problème est que ce webmail fonctionne déjà depuis plusieurs années et je constate que les login et mot de passe circulent en clair sur le réseau. Ce que je veux maintenant c'est :

1. Avoir plus de détail sur ce framework et ses modules(ce que tu as bien commencé par me faire!!)

2. Savoir quel module excat à compiler pour que les mots de passe des gens ne circulent plus en clair sur le réseau.

Merci d'avance.

[Methos_Hi]

Pour info : http://www.horde.org/

Mais pour le https, c'est ici qu'il faut regarder : http://httpd.apache.org/docs/