Bonjour,
Nous
utilisons Jahia 4.0.5 présentement à l'Université Laval ainsi qu'un annuaire
LDAP institutionnel pour prendre en charge l'authentification dans Jahia.
Ce
processus pose actuellement un problème de sécurité au sens que le mot de
passe stocké dans l'annuaire LDAP est transmis en clair avec le processus de
login de Jahia.
Nous travaillons en
ce moment à sécuriser le processus de login dans Jahia avec SSL.
Nous
utilisons Apache 2 en "Front End" avec plusieurs hôtes virtuels configurés par
nom de domaine (name based virtual host) et prochainement
mod_jk.
Plusieurs solutions
sont envisagées à court terme de notre côté...
Un des scénarios de
solutions à évaluer est de voir la possibilité de
rendre le processus de login générique pour tous les sites web que nous
hébergeons sur notre instance Jahia. C'est à dire, utiliser par exemple une
adresse globale (ex: login.jahia.ulaval.ca) pour prendre en charge le processus
d'authentification pour chaque des sites. De cette façon, nous aurions besoin
que d'un seul certificat SSL.
J'aimerais savoir si
parmis vous certaines personne ont fait face à la même situation et de quelle
manière vous avez géré la situation (plusieurs certificats fonctionnant en
ip-based virtual host, certificats avec wildcard, certificat avec SubjectAltName,
etc...).
Merci!
Pascal
