Discussion :

[ExSter]

Bonjour,

J'ai une application web dont j'ai du inclure des fonctionnalités de recherches LDAP sur un Controleur de Domaines (Active Directory).

Mon application web tourne sous un serveur web IIS.

Mon Controleur de Domaine est une autre machine.

Malheureusement, contrairement à une application Windows Form, ou là, la recherche se faisait avec le login&pass de l'utilisateur connecté à la session courante de Windows, je me vois devoir spécifier le login & mot de passe pour faire ces requetes LDAP via mon application web.

Je suis contraint d'utiliser ceci dans mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

DirectoryEntry Ldap = new DirectoryEntry("LDAP://MonDomaine", "Username", "Password");

J'aimerais avoir votre avis sur la manière dont sécuriser ces requête pour éviter de voir passer en clair le login & password du compte AD pour la connexion ?

SSL ? Comment puis-je l'intégrer de manière efficace et fiable pour n'avoir aucun problème avec mes recherches LDAP ?

Merci d'avance.

[bossun]

Si ton serveur IIS set trouve dans le domaine, tu peux utiliser l'authentification Windows qui te permet de t'authentifier directement sur le domaine..

C'est super intéressant si tu es en intranet car l'authentification est transparente.

tu n'as rien à coder, juste à configurer

et si tes utilisateurs ne sont pas dans le domaine, à l'accès du site, ils auront une boite de dialogue qui va leur demander de se connecter sur "AD".

[ExSter]

En effet, mon serveur IIS se trouve dans le domaine.

Le problème est le suivant : Ce ne sont pas des personnes physiques connectées à un PC qui vont atteindre la page web.

Ce sont des téléphones IP Cisco qui atteignent la page pour faire fonctionner un service IP Phone.
Il n'y a donc pas vraiment de lien avec Windows Authentication avec les téléphones.
Même si, dans le Call Manager, ils ont chacun un propriétaire lié à l'AD. Lorsque le téléphone atteind la page, il ne fourni aucune information sur le propriétaire. (Sinon, je n'aurais pas besoin de faire ces recehrches dans l'AD en fait).

Une idée ?

[bossun]

là je ne peux pas t'aider car je ne connais pas du tout la téléphonie IP.

[ExSter]

En fait, il faudrait que je mette en place un mécanisme pour chiffrer le Mot de passe et Login que je tape en dur dans mon code, pour l'authentification LDAP.

Lorsque je fais : new DirectoryEntry("LDAP://MonDomaine", "monUser", "monPass");
et que cette requête est envoyée au serveur, controleur de domaine, j'aimerais que le mot de passe ne soit pas visible en clair.

Y'aurait-il une version sécurisée de ces recherches LDAP par exemple ?

Ou bien, devrais-je sécuriser ma page web avec certificat SSL ? Serait-ce suffisant ?

[ExSter]

J'ai trouvé.

Il existe un protocole appellé LDAPS, qui est en fait la version sécurisée TLS (descendant de SSL) pour le LDAP.

Il consiste en la création d'un certificat de sécurité propre à un Active Directory et directement installé dessus.

Il suffit alors de procéder à l'installation de ce certificat.

Pour plus d'info, il existe un article officiel de Microsoft : http://support.microsoft.com/kb/321051

Personnelement, je vais rester en LDAP, j'ai sniffé le réseau et le password ne passe pas en clair.
Seul le login utilisé est visible et la machine a partir de laquelle il fait la requête.