Hello, merci de la réponse rapide :)
> Quand je vois ce que demande ce soft, j'ai très peur : Windows 2003 > Server ou Windows 2008 Server. En fait, ca peut tourner sous Linux (Oracle / Apache) mais ma boite a choisi Windows car l'équipe qui va gérer cela est windows... > C'est super "fiable" comme OS... Mais bon... Si tu as des admin > windows dans ta boite... Si cela tenait qu'à moi, l'env serait unix. > En tous cas, en tant que hébergeur j'aimerais pas dépendre d'une boite > "fenêtres xxxx" pour mon authentification surtout quand ça se met a > bugger et que tu as toute ton infra qui est hors de contrôle a cause > de ça.... > > Ceci dit, quand j'avais eu besoin d'auth centralisée, la méthode qu'on > avais utilisée était faite maison : > > - par site physique, un certain nombre de bastions composé de jails > avec FreeBSD, chaque compte est nominatif, avec log shell (bash > modifié). > - identification pas clef DSA (après on peux faire ce qu'on veux dans > ce domaine, serveur de clef distant, local a la machine de l'admin...) > - ssh-agent > - et ... openldap-lpk (ldap public key), qui te permet de revoker, > donner des droit selon les users... > - ldap réplique sur plusieurs serveurs par sites... évidement. > > Le coup de l'interface web pour chopper le mdp sudo, c'est de l'usine > a gaz, autant coller dans ce cas une interface rsa-securid, au moins > tu sais *qui* a accédé au serveur tout de suite et sans "trou" de secu > (oui, si 2 personnes en même temps demande un sudo a la même > machine?).... > En plus d'expérience, avoir le token avec toi est beaucoup plus facile > a gérer que de se faire "chier" avec un brouteur... La tu sais également qui a accéder à chaque password car faut s'identifier sur l'interface web d'ID management. Dans ton cas, cela ne gère pas les connexions RDP, si ? Le but est d'avoir une solution unifiée pour gérer des box win/unix et des fw/switch. Nico --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
