Authentification par identifiant NT : Différence entre versions
(→Utilisation du protocole NTLM) |
(→Utilisation du protocole NTLM) |
||
| Ligne 43 : | Ligne 43 : | ||
* [[http://en.wikipedia.org/wiki/NTLM NTLM sur Wikipedia]] (en anglais) | * [[http://en.wikipedia.org/wiki/NTLM NTLM sur Wikipedia]] (en anglais) | ||
* [[http://www.innovation.ch/personal/ronald/ntlm.html NTLM Authentication Scheme for HTTP]] (en anglais) | * [[http://www.innovation.ch/personal/ronald/ntlm.html NTLM Authentication Scheme for HTTP]] (en anglais) | ||
| + | * [[http://pear.php.net/pepr/pepr-proposal-show.php?id=396 NTLMProxy en PHP sur PEAR]] | ||
Version du 15 janvier 2008 à 11:16
Important : L'identification de l'utilisateur par le "login NT" n'est pas un mode d'authentification sécurisé.
Sommaire
Proposition des évolutions à apporter dans le noyau pour utiliser l'identifiant NT du système
Sur la page de modification d'un utilisateur par l'administrateur, une case à cocher pour autoriser la connexion par identifiant uniquement. Lors de la première connexion de l'utilisateur, la case à cocher sera désactivée automatiquement.
Lorsque la case est cochée, l'administrateur devra sélectionner la durée d'activité du cookie dans une liste déroulante similaire à celle proposée lors de la connexion par cookie. La connexion par cookie au niveau du site devra être activée pour utiliser la liste déroulante.
Lors de l'identification par login uniquement la durée du cookie ne sera pas modifiable par l'utilisateur
Note : il reste encore un trou de sécurité entre le moment ou l'administrateur active la fonction et la connexion suivante de l'utilisateur (il faut responsabiliser l'administrateur avec les bons libellés)
Libellé pour la case à cocher : Autoriser une fois la connexion avec le champ "Identifiant" uniquement
Changements sur le babNtAuth
L'activation de l'activeX doit se faire sur la page d'authentification par formulaire HTML, il appartient à la personne qui crée le skin de rediriger l'utilisateur vers la page de login si celui-ci n'est pas connecté pour reproduire le fonctionnement du babNtAuth.
Le script qui obtient l'identifiant de windows par l'intermédiaire d'un activeX devra être mis dans le skin et intervenir sur la page d'identification par login uniquement.
Autre amélioration possible
Ajouter un lien sur l'interface d'administration pour poser un cookie sur la machine en cours à la place de l'utilisateur
Utilisation du protocole NTLM
NTLM (NT LAN Manager) est un protocole d'authentification supporté par Internet Explorer et Firefox. Avec ce système, le client envoie automatiquement au serveur le login et le mot de passe système de l'utilisateur
Les navigateurs supportant NTLM :
- Safari 3
- Firefox 1.0+
- IE 5.5+
Configuration de Firefox
Dans firefox NTLM est actif si l'URI du serveur est ajouté à network.automatic-ntlm-auth.trusted-uris (modifiable dans about:config) :
- Dans la barre d'adresse de Firefox, saisir "about:config"
- Dans le filtre saisir ntlm, puis dans la liste éditer l'entrée network.automatic-ntlm-auth.trusted-uris. Elle doit contenir une liste d'URI séparées par des virgules.
- Saisir les URI, par exemple: "http://host1.example.com,https://host2.example.com"
Plus d'infos sur NTLM
- [NTLM sur Wikipedia] (en anglais)
- [NTLM Authentication Scheme for HTTP] (en anglais)
- [NTLMProxy en PHP sur PEAR]
