Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
infrastructure:ldap [2019/05/13 15:42]
127.0.0.1 modification externe
infrastructure:ldap [2019/06/20 12:18] (Version actuelle)
huetremy Fix syntax
Ligne 71: Ligne 71:
 Pour le premier, on peut garder le mot de passe défini dans le docker-compose,​ mais cela permettrait à n'​importe quel utlisateur ayant accès à ''​monitoring''​ de se donner tous les accès qu'il souhaite. **Pour le moment, on met donc un autre mot de passe : TODO : filtrer les connexion à monitoring**. Il se modifie facilement depuis phpldapadmin. Pour le premier, on peut garder le mot de passe défini dans le docker-compose,​ mais cela permettrait à n'​importe quel utlisateur ayant accès à ''​monitoring''​ de se donner tous les accès qu'il souhaite. **Pour le moment, on met donc un autre mot de passe : TODO : filtrer les connexion à monitoring**. Il se modifie facilement depuis phpldapadmin.
  
-Pour le second, la manipulation est plus complexe. **Dans le conteneur**,​ on crée un fichier ​''​change_passwd.ldif''​. On y écrit : +Pour le second, la manipulation est plus complexe. **Dans le conteneur**,​ on crée un fichier ​`change_passwd.ldif`. On y écrit : 
-<​code ​ldif>+```ldif
 dn: olcDatabase={0}config,​cn=config dn: olcDatabase={0}config,​cn=config
 changetype: modify changetype: modify
 replace: olcRootPW replace: olcRootPW
 olcRootPW: nouveau_passwd olcRootPW: nouveau_passwd
-</​code>​+```
 Ensuite, on lance la commande : Ensuite, on lance la commande :
-<​code>​+```bash
 # ldapmodify -Y EXTERNAL -H ldapi:/// -f rootpw_cnconfig.ldif # ldapmodify -Y EXTERNAL -H ldapi:/// -f rootpw_cnconfig.ldif
-</​code>​+```
 Le mot de passe a été changé. Le mot de passe a été changé.
  
-**/!\** Cette manipulation nous montre que **n'​importe quel utilisateur** pouvant lancer un ''​docker exec''​ sur ''​monitoring''​ a **les pleins pouvoirs sur le LDAP**. Il convient donc de restreindre les accès à ''​monitoring''​ **et** à ''​bob''​+**Attention :** Cette manipulation nous montre que **n'​importe quel utilisateur** pouvant lancer un ''​docker exec''​ sur ''​monitoring''​ a **les pleins pouvoirs sur le LDAP**. Il convient donc de restreindre les accès à ''​monitoring''​ **et** à ''​bob''​
  
 ===Population de la base de données=== ===Population de la base de données===
  • infrastructure/ldap.txt
  • Dernière modification: 2019/06/20 12:18
  • par huetremy