Authentification par identifiant NT : Différence entre versions
(→Changements sur le babNtAuth) |
|||
| Ligne 1 : | Ligne 1 : | ||
Actuellement l'identification de l'utilisateur par le login NT n'est pas un mode d'authentification sécurisé. | Actuellement l'identification de l'utilisateur par le login NT n'est pas un mode d'authentification sécurisé. | ||
| − | Proposition des évolutions à apporter dans le noyau pour utiliser l'identifiant NT du système : | + | == Proposition des évolutions à apporter dans le noyau pour utiliser l'identifiant NT du système : == |
Sur la page de modification d'un utilisateur par l'administrateur, une case à cocher pour autoriser la connexion par identifiant uniquement. Lors de la première connexion de l'utilisateur, la case à cocher sera désactivée automatiquement. | Sur la page de modification d'un utilisateur par l'administrateur, une case à cocher pour autoriser la connexion par identifiant uniquement. Lors de la première connexion de l'utilisateur, la case à cocher sera désactivée automatiquement. | ||
| − | + | lorsque la case est coché, l'administrateur devra sélectionner la durée d'activité du cookie dans une liste déroulante similaire à celle proposée lors de la connexion par cookie. La connexion par cookie au niveau du site devra être activée pour utiliser la liste déroulante. | |
| + | |||
| + | Lors de l'indentification par login uniquement la durée du cookie ne sera pas modifiable par l'utilisateur | ||
Note : il reste encore un trou de sécurité entre le moment ou l'administrateur active la fonction et la connexion suivante de l'utilisateur (il faut responsabiliser l'administrateur avec les bons libellés) | Note : il reste encore un trou de sécurité entre le moment ou l'administrateur active la fonction et la connexion suivante de l'utilisateur (il faut responsabiliser l'administrateur avec les bons libellés) | ||
| + | Libellé pour la case à cocher : Autoriser une fois la connexion avec le champ "Identifiant" uniquement | ||
| − | |||
| − | |||
| − | |||
| − | |||
| Ligne 19 : | Ligne 18 : | ||
L'activation de l'activeX doit se faire sur la page d'authentification par formulaire HTML, il appartient à la personne qui crée le skin de rediriger l'utilisateur vers la page de login si celui-ci n'est pas connecté pour reproduire le fonctionnement du babNtAuth. | L'activation de l'activeX doit se faire sur la page d'authentification par formulaire HTML, il appartient à la personne qui crée le skin de rediriger l'utilisateur vers la page de login si celui-ci n'est pas connecté pour reproduire le fonctionnement du babNtAuth. | ||
| + | |||
| + | Le script qui obtiens l'identifiant de windows par l'intermédiaire d'un activeX devra être mis dans le skin et intervenir sur la page d'identification par login uniquement. | ||
| + | |||
| + | |||
== Autre amélioration possible == | == Autre amélioration possible == | ||
Ajouter un lien sur l'interface d'administration pour poser un cookie sur la machine en cours à la place de l'utilisateur | Ajouter un lien sur l'interface d'administration pour poser un cookie sur la machine en cours à la place de l'utilisateur | ||
Version du 23 octobre 2007 à 16:10
Actuellement l'identification de l'utilisateur par le login NT n'est pas un mode d'authentification sécurisé.
Proposition des évolutions à apporter dans le noyau pour utiliser l'identifiant NT du système :
Sur la page de modification d'un utilisateur par l'administrateur, une case à cocher pour autoriser la connexion par identifiant uniquement. Lors de la première connexion de l'utilisateur, la case à cocher sera désactivée automatiquement.
lorsque la case est coché, l'administrateur devra sélectionner la durée d'activité du cookie dans une liste déroulante similaire à celle proposée lors de la connexion par cookie. La connexion par cookie au niveau du site devra être activée pour utiliser la liste déroulante.
Lors de l'indentification par login uniquement la durée du cookie ne sera pas modifiable par l'utilisateur
Note : il reste encore un trou de sécurité entre le moment ou l'administrateur active la fonction et la connexion suivante de l'utilisateur (il faut responsabiliser l'administrateur avec les bons libellés)
Libellé pour la case à cocher : Autoriser une fois la connexion avec le champ "Identifiant" uniquement
Changements sur le babNtAuth
L'activation de l'activeX doit se faire sur la page d'authentification par formulaire HTML, il appartient à la personne qui crée le skin de rediriger l'utilisateur vers la page de login si celui-ci n'est pas connecté pour reproduire le fonctionnement du babNtAuth.
Le script qui obtiens l'identifiant de windows par l'intermédiaire d'un activeX devra être mis dans le skin et intervenir sur la page d'identification par login uniquement.
Autre amélioration possible
Ajouter un lien sur l'interface d'administration pour poser un cookie sur la machine en cours à la place de l'utilisateur
