Jump to content
  • 0

FMS 19 Linux et LDAP


Esaïe
 Share

Question

Hello tout le monde et surtout ceux qui on accès à la Developper Release 

J'aurai besoin de savoir si on peut toujours utiliser un serveur externe LDAP pour l'authentification des utilisateurs dans cette nouvelle version de FMS.

ça me permettra de savoir si je dois investir en temps et en heures dans la mise à jour de mon serveur ESXi et ma machine virtuel de macOS prochainement ou si je peux attendre la sortie de cette nouvelle version 

Link to comment
Share on other sites

14 answers to this question

Recommended Posts

  • 0

Hello Esaïe, c'est une putain de bonne question,  et pas eu le temps de tenter pour l'instant !!

J'ai l'impression qu'il me faudrait une seconde vague de COVID pour l'avoir 🤧 , ne serais-ce que pour convaincre le service informatique d'utiliser Linux

 Du coup  je suis ce post avec intérêt !!

A+

JL

Link to comment
Share on other sites

  • 0

J'ai vérifié. L'interface d'administration n'a pas changé.
J'avais déjà cherché sur la V 18 sans succès. Et puis après avoir remarque qu'on pouvais utiliser les comptes Google, Amazon et Microsoft j'ai pris peur.

Link to comment
Share on other sites

  • 0

Alors j'ai reçu mes accès à FMS 19 et j'ai commencé à faire des testes.

Premièrement, j'ai pas mal galèré à me connecter à mon LDAP Synology, j'ai essayé plusieurs tuto sans succès jusqu'à ce que je trouve celui là : https://www.lisenet.com/2016/setup-ldap-authentication-on-centos-7/ 

Il y a 4 heures, fifi_fifi a dit :

J'ai vérifié. L'interface d'administration n'a pas changé.
J'avais déjà cherché sur la V 18 sans succès. Et puis après avoir remarque qu'on pouvais utiliser les comptes Google, Amazon et Microsoft j'ai pris peur.

Oui, l'interface n'a pas changé ce qui laisse à penser que ça doit marcher mais en tout cas chez moi, c'est pas le cas. 😪

J'ai plus trop de temps aujourd'hui, je m'y remettrais ses prochains jours 

Link to comment
Share on other sites

  • 0

Il faut installer le client LDAP sur le Linux.

Ton tuto correspond à un serveur LDAP Linux. Or tu tentes d'utiliser le LDAP Synology comme serveur.

J'ai trouvé ça, mais pas encore testé : https://www.server-world.info/en/note?os=CentOS_7&p=openldap&f=3

Link to comment
Share on other sites

  • 0
Il y a 13 heures, fifi_fifi a dit :

Ton tuto correspond à un serveur LDAP Linux. Or tu tentes d'utiliser le LDAP Synology comme serveur.

Non, non, c'est pas la partie serveur dans ce tuto mais du client. je peux me connecter à mes utilisateurs de mon LDAP via la commande "su - monutilisateur" ou bien afficher les groupes avec la commande "id monutilisateur"  

Perso, je trouve que c'est un peux une aberration que FMS se base sur l'intégration de LDAP et AD via le système hôte et non de façon direct !!!

Link to comment
Share on other sites

  • 0

Je viens de poster une "IDEE" sur le site de Claris pour qu'ils revoient l'intégration de LDAP et AD directement dans FMS et non plus via le système hôte, c'est volontiers si vous pouvez aller voter :

https://community.claris.com/en/s/idea/0873w000001LyVFAA0/detail

Link to comment
Share on other sites

  • 0
Il y a 6 heures, Esaïe a dit :

Non, non, c'est pas la partie serveur dans ce tuto mais du client. je peux me connecter à mes utilisateurs de mon LDAP via la commande "su - monutilisateur" ou bien afficher les groupes avec la commande "id monutilisateur"  

Perso, je trouve que c'est un peux une aberration que FMS se base sur l'intégration de LDAP et AD via le système hôte et non de façon direct !!!

Bonjour,

En fait l'idée de passer par FileMaker Server vient du fait que si l'utilisateur n'est pas authentifié alors la base ne s'ouvre pas et. aucune données ne transite sur le réseau. En effet, dans le processus actuel, lorsqu'un utilisateur souhaite ouvrir une base hébergée par FileMaker Server :

  1. FileMaker Server demande à FileMaker Pro (en local) d'afficher la boîte de dialogue de saisie de compte et de mot de passe, si c'est du SSO, alors FileMaker Pro envoie le compte de session à FileMaker Server.
  2. FileMaker Server reçoit alors l'information crypté/hashé du compte et mot de passe, ou du groupe d'appartenance dans le cas du SSO. Il compare dans le cas du compte/mot de passe s'il y a une concordance dans la base (qui pour le moment reste côté serveur) ou dans le cas du SSO il interroge l'annuaire LDAP ou AD (là encore la base reste côté serveur).
  3. S'il y a concordance, alors FileMaker Server envoie les données de la base (tables, rubriques, indexes, modèles et données) au client, qui peut alors commencer à utiliser la base.

Dans ce que vous proposez, il faudrait qu'une partie de la base transite sur le réseau pour que le poste client (FileMaker Pro) vérifie la concordance entre le groupe définit dans la sécurité du fichier avec l'annuaire LDAP ou AD. Ce qui signifie que d'un point de vue sécurité, il y a déjà un envoi de données de la base elle-même alors que l'on est pas encore sûr des droits d'accès de l'utilisateur.

Je préfère la situation actuelle, où aucune données de la base ne transite sur le réseau avant toute authentification de l'utilisateur. Je pense que c'est pour cette raison que l'interrogation de l'annuaire LDAP ou AD est effectuée par FileMaker Server et non FileMaker Pro ou FileMaker Go. Et que ce n'est donc pas une aberration d'un point de vue sécurité.

Link to comment
Share on other sites

  • 0
Il y a 9 heures, Esaïe a dit :

Non, non, c'est pas la partie serveur dans ce tuto mais du client. je peux me connecter à mes utilisateurs de mon LDAP via la commande "su - monutilisateur" ou bien afficher les groupes avec la commande "id monutilisateur"  

Perso, je trouve que c'est un peux une aberration que FMS se base sur l'intégration de LDAP et AD via le système hôte et non de façon direct !!!

Et dire que ça existait et fonctionnait très bien jusqu'à FMS15...

Citation

Je préfère la situation actuelle, où aucune données de la base ne transite sur le réseau avant toute authentification de l'utilisateur. Je pense que c'est pour cette raison que l'interrogation de l'annuaire LDAP ou AD est effectuée par FileMaker Server et non FileMaker Pro ou FileMaker Go. Et que ce n'est donc pas une aberration d'un point de vue sécurité.

Mais je pense qu'il n'y a pas plus de trafic réseau que FMS s'adresse via le système hôte au serveur LDAP qu'en direct avec ses propres paramètres. 
L'avantage sur un Linux avec Webmin, c'est que l'interrogation la connexion à un serveur LDAP et la vérification que tout est OK est plus "claire", même vers un OSX Server. Au moins il y a des interfaces de test.

Link to comment
Share on other sites

  • 0

Je ne parlais pas de trafic réseau, mais du fait que des données de la base doivent transitées sur le réseau avant que l’on vérifie que l’utilisateur ait bien les droits d’y accéder. D’où le processus effectué côté serveur et non côté client. C’est donc une procédure de sécurité. 

Link to comment
Share on other sites

  • 0
Il y a 4 heures, David Julot a dit :

Bonjour,

En fait l'idée de passer par FileMaker Server vient du fait que si l'utilisateur n'est pas authentifié alors la base ne s'ouvre pas et. aucune données ne transite sur le réseau. En effet, dans le processus actuel, lorsqu'un utilisateur souhaite ouvrir une base hébergée par FileMaker Server :

  1. FileMaker Server demande à FileMaker Pro (en local) d'afficher la boîte de dialogue de saisie de compte et de mot de passe, si c'est du SSO, alors FileMaker Pro envoie le compte de session à FileMaker Server.
  2. FileMaker Server reçoit alors l'information crypté/hashé du compte et mot de passe, ou du groupe d'appartenance dans le cas du SSO. Il compare dans le cas du compte/mot de passe s'il y a une concordance dans la base (qui pour le moment reste côté serveur) ou dans le cas du SSO il interroge l'annuaire LDAP ou AD (là encore la base reste côté serveur).
  3. S'il y a concordance, alors FileMaker Server envoie les données de la base (tables, rubriques, indexes, modèles et données) au client, qui peut alors commencer à utiliser la base.

Je suis presque d'accord avec toi sur ce processus mais ton étape 2 n'est pas tout à fait exacte. Tu dis "il (Filemaker Server) interroge l'annuaire LDAP ou AD" mais dans la réalité, c'est pas FMS qui le fait, c'est le système hôte (macOS ou Windows Serveur) sur demande de FMS.

Il y a 4 heures, David Julot a dit :

Dans ce que vous proposez, il faudrait qu'une partie de la base transite sur le réseau pour que le poste client (FileMaker Pro) vérifie la concordance entre le groupe définit dans la sécurité du fichier avec l'annuaire LDAP ou AD. Ce qui signifie que d'un point de vue sécurité, il y a déjà un envoi de données de la base elle-même alors que l'on est pas encore sûr des droits d'accès de l'utilisateur.

Non,non. Ce que je propose, c'est que comme pour les OAuth, que ça soit géré directement par FMS et non plus par le système hôte du FMS. En faite, ce que tu dis dans ton étape 2 ;) 

Dans le message que tu cites, je parle que mon Centos qui héberge mon FMS est "client" de mon serveur LDAP Synology. ça ne concerne absolument pas les machines clientes qui se connectent sur le FMS avec FileMaker Pro

Edited by Esaïe
Link to comment
Share on other sites

  • 0
Il y a 3 heures, fifi_fifi a dit :

Et dire que ça existait et fonctionnait très bien jusqu'à FMS15...

Non, le réglage qui a disparu ne concernait pas le "bind" (connection) à un serveur LDAP pour l'authentification mais permettait à FMS à déclarer son adresse dans le LDAP pour être plus facilement trouvé dans les très grand réseau à couche multiple où le protocole mDNS (Bonjour) ne fonctionne pas. 

Il n'y a jamais eu de connexion direct entre FMS et le serveur LDAP

Link to comment
Share on other sites

  • 0

Bon ben la messe est dite maintenant que FMS Linux est sorti en version final: pas d'authentification externe LDAP et pour AD, il faut installer AD FS Oauth. 😢

Je vais donc migrer sur une authentification 0Auth avec la plateforme auth0.com que j'arrive à connecter à mon LDAP et dans un deuxième temps, je tenterais l'installation de mon propre serveur 0auth 

Link to comment
Share on other sites

  • 0

J'ai pas donné de nouvelle depuis un moment. J'ai mis en place un serveur Keycloak qui lui se synchronise avec mon LDAP. Si vous êtes intéressé, vous avez toutes les infos requise dans les documents ci-dessous:

https://fmforums.com/files/file/115-how-to-extend-oauth/

https://fmforums.com/files/file/118-oauth-extensibility-addendum3/ 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...