Mise en place de Splunk sur des logs LDAP

01/09 2017

Dans une architecture LDAP de production, on met généralement en place plusieurs instances d'annuaires, qui sont répliquées entre elles. L'inconvénient dans ce cas est que les logs sont répartis sur chaque serveur, et qu'il devient difficile d'avoir une vue d'ensemble des opérations.

Il existe cependant des solutions de centralisation, aggrégation et visualisation de données. Les plus connues étant Splunk et ELK.

Changer le nom du site (URL) de Wordpress

23/08 2017

Contrairement à Drupal, Wordpress stocke dans sa base de données l'URL complète du site. Ceci inclut également le protocole (http ou https).Du coup, en cas de passage d'un site en https, ou du transfert d'un site de développemnt en production (avec changement d'URL, par exemple de dev.monsupersite.org en www.monsupersite.org), on perd une grande partie du contenu (média, éventuellement CSS).Il est possible de résoudre le problème, avec Search-Replace-DB-master.

Wordpress : utiliser WP-CLI pour gére wordpress en ligne de commande

23/08 2017

Autant pour Drupal, l'outil drush est très connu et permet de simplifier et d'accélérer les choses (installation de modules, mises à jour, nettoyage du cache), autant il semble que l'utilisation de la ligne de commande pour Wordpress n'est pas très répandu.Cependant, il existe un outil wp-cli, qui fournit des fonctionnalités relativement semblables.Je ne reprends pas ici toutes les commandes, vous pouvez vous référer au site d'origine.InstallationL'installation (et l'utilisation) nécessite bien sûr d'avoir un accès au serveur en ligne de commande.

OpenDS / OpenDJ - Problème de recherche "Unindexed search"

21/08 2017

Suite à l'installation d'une instance OpenDS 2.3 sur une pré-production, sur RHEL 7 et java 1.6, un utilisateur se plaignait de ne plus pouvoir faire fonctionner son application.

Lorsqu'il lançait sa recherche, il n'avait aucun résultat, mais un message d'erreur :

Les ACL dans OpenLDAP

20/06 2017

Principes généraux

Les ACL dans OpenLDAP peuvent se trouver à 2 niveaux, database ou backEnd, sachant qu'il est assez courant d'avoir un backend par database (ou vice-versa).

Les ACL sont donc généralement positionnées dans la configuration de la database.

Syntaxe

La syntaxe globale est :

olcAccess: to [ressource]
  by [à qui] [type d'accès autorisé]
  by [à qui] [type d'accès autorisé]
  by [à qui] [type d'accès autorisé]

Un exemple de base, qui limite l'accès à l'attribut userPassword :

Migration de schéma Sun DSEE vers OpenLDAP

31/05 2017

Comme vu précédemment (https://www.vincentliefooghe.net/content/migration-sun-dsee-vers-openldap) la migration Sun DSEE vers OpenLDAP nécessite une phase d'adaptation des schémas spécifiques.

Si on utilise des attributs ou classes d'objets propres à la structure (ce qui est bien souvent le cas) il faudra adapter la définition pour OpenLDAP.

Exemple d'un fichier 99user.ldif :

Activation LDAPS sur Active Directory

04/05 2017

Contexte

Lors des interactions en LDAP avec Active Directory, certaines actions nécessitent l’utilisation de LDAPS (LDAP sur SSL) entre le client et Active Directory.

Ceci est notamment le cas si l’on veut modifier le mot de passe.

Ce document décrit comment activer le LDAPS sur un environnement Active Directory.

Méthodes envisageables

A priori il y a deux méthodes possibles pour activer LDAPS sur un contrôleur de domaine :

CA Identity Manager - Problèmes au lancement

02/05 2017

Récemment, nous avons eu un souci lors du redémarrage d'une instance CA Identity Manager.

Démarrage du UserStore impossible

D'une part, l'annuaire UserStore ne veut pas se lancer. Lorsqu'on tente un démarrage avec la commande dxserver start, on a le message :

dxserver start userstore

Message
userstore does not exist

On vérifie bien que la configuration est là, que les fichiers de données sont également présents... Pas de processus en cours d'exécution.

CA Identity Manager - retours d'expérience

07/04 2017

Ce post regroupe plusieurs trucs / retours d'expérience que j'ai pu avoir en travaillant sur le produit CA Identity Manager.

CA Identity Manager est issu du rachat de Netegrity - surtout connu pour sa solution de SSO SiteMinder, qui était une référence du marché il y a quelques années.

Protection d'URL avec Basic Auth, avec filtrage IP

17/02 2017

Objet de la manipulation : protéger certaines URL par une authentification basique http, sauf pour certaines adresses IP.

Ceci peut être intéressant dans plusieurs cas :

Sécuriser l'accès à des pages d'administration
Limiter les accès à un site en construction (ou une partie de site)
Réduire les tentatives de piratage par attaque en force, par exemple sur la page de login d'un CMS

Je présente ici le paramétrage pour Apache (version 2.2 et 2.4) ainsi que pour Nginx.

Vincent Liefooghe

Logiciels (libres), CMS, IDM & Co