Forum Linux.débutant Linux/ldap/php

Posté par  .
Étiquettes : aucune
0
13
juin
2006
Bonjour,

j'ai developpé une application avec la possibilité d'utiliser un moyen d'authentification externe (ldap). Avec l'aide de php, j'uilise la fonction ldap_bind() pour verifier que le login et mot de pass rentré par un utilisateur est correct.

Je me suis servi de Ethereal pour verifier si le mot de passe est crypté ou haché, mais, il est envoye en clair au serveur.

Comment puis-je sécuriser la connexion avec ldap ?


Merci d'avance...

  • # Normal

    Posté par  . Évalué à 4.

    l'authentification standard en LDAP envoie le mot de passe en clair.

    A ce propos, un hash du mot de passe ne sert à rien au niveau client, car si le serveur attend ce hash, alors il suffit au pirate qui l'a sniffé de l'envoyer au serveur pour être authentifié.

    Pour sécuriser une authentification LDAP il y a deux moyens possibles :
    - chiffrement de l'ensemble de la connexion par SSL/TLS
    - utilisation d'une méthode d'authentification sécurisée, comme DIGEST-MD5, Kerberos, ou un certificat client TLS, qui t'assure qu'aucun mot de passe en clair ne se ballade.

    Je n'ai jamais utilisé la seconde solution en PHP.

    Pour la première, regarde la doc de ldap_connect pour savoir comment faire :
    http://fr3.php.net/manual/en/function.ldap-connect.php

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.