IAM

Identity and Access Management

Problème de connexion ldapsearch sur un AD LDS

J'ai été confronté à un problème curieux d'accès à un serveur AD LDS à partir d'un container de type Forgerock DS. 

Côté réseau, tout était OK, les ports ouverts d'un côté comme de l'autre.

Par contre une commande ldapsearch tombait en erreur :

/opt/opendj/bin/ldapsearch  --hostname 10.1.2.3 --port 389 -D "CN=admin,CN=Admin-Users,dc=example,dc=fr" -w admin2003 \
-b "CN=Applications,DC=example,DC=fr" "(objectclass=exApplications)"
Unable to connect to the server: 91 (Connect Error)
Additional Information:  Remote close

Pas très parlant.

Pass-Through Authentication et migration des mots de passe

Contexte

Dans un projet de migration d'un annuaire AD LDS vers un Forgerock DS, le principal problème est de pouvoir récupérer les mots de passe.

En effet, AD LDS (et AD DS) ne permettent pas d'exporter le hash du mot de passe en LDIF, et il n'est pas possible non plus simplement de les récupérer, même en passant par des outils tels que creddump , ntdsextract ou autre.

SailPoint IdentityIQ vs SailPoint IdentityNow

J'ai eu l'occasion ces derniers temps de travailler sur les deux produits phares de Sailpoint : Identity IQ (IIQ), la version "on premise" et IdentityNow (IDN), la version SaaS = Software As A Service.

L'éditeur semble mettre en avant la solution SaaS, mais même si celle-ci évolue rapidement (sans doute beaucoup plus vite que IdentityIQ), il y a encore quelques limitations.

Tags

OpenLDAP - LastBind Overlay

La question qui se pose est : pourquoi mémoriser la date de dernière authentification ?

Le principal intérêt est de mettre en place un premier niveau de gouvernance : cette date permet d'identifier les comptes qui sont obsolètes dans l'annuaire, par exemple qui n'ont pas été utilisés pour s'authentifier depuis plusieurs mois.

Par défaut, cette information n'est pas disponible sur OpenLDAP (comme cela peut l'être dans un AD).

On peut analyser les logs systèmes (avec un niveau de log OpenLDAP à 256), mais ce n'est pas optimal.

Tags

OpenIDM - Sécuriser un Connecteur Database Table

Dans un projet client qui utilise IDM 7 (après une montée de version OpenIDM 3.1 vers IDM 7 qui s'est plutôt bien passée), nous avons mis en place la gestion du cycle de vie et notamment la suppression automatique de comptes 30 jours après la fin de contrat, comme ce que l'on voit souvent.

Il a été décidé d'archiver quelques données des utilisateurs, histoire d'avoir un peu de traces.

Forgerock OpenDJ / DS - Supprimer les contrôles de syntaxe

Par défaut les nouveaux annuaires LDAP issus des sources OpenDS (tels que OpenDJ / DS chez Forgerock, mais aussi Ping Directory) renforcent les contrôles sur la syntaxe des attributs, le schéma, etc.

Ceci empêche par exemple d'avoir un objet avec de multiples classes structurelles non hiérarchiques (par exemple inetorgperson et country).

Par contre lorsqu'on importe des données d'un annuaire un peu moins strict (type Sun / Oracle DSEE), on se heurte souvent à des erreurs.

IBM Directory Server : gestion des mots de passe

L'installation par défaut de l'annuaire ISDS ne semble pas "terminée" en ce qui concerne la gestion des mots de passe : pas de politique de mot de passe par défaut, pas d'activation non plus. Et une modification par ldapmodify stocke le mot de passe en clair (tout au moins, il ressort en clair dans un ldapsearch).

Autoriser le changement de mot de passe par l'utilisateur

Par défaut, l'utilisateur ne peut pas modifier lui-même son mot de passe. Par exemple, en utilisant la commande ldapchangepwd renvoie une erreur :

Connexion OpenIDM / AD SSL

De l'importance d'utiliser un nom de serveur correspondant au CN du certificat...

Contexte

Afin de pouvoir tester la connexion d'un OpenIDM sur un serveur AD (et par la suite la mise en place du plugin de synchronisation de mot de passe) j'ai mis en place une maquette simple avec :

  • un serveur OpenIDM sous CentOS
  • un serveur AD sous Windows 2008R2

J'ai mis en place un certificat sur le serveur AD, qui est aussi le contrôleur de domaine principal, avec un certificat qu'il a généré.