none
[MOSS2007] HTTP et HTTPS en interne + question AD :) RRS feed

  • Question

  • Bonjour,

    J'utilise actuellement MOSS2007 sur une platforme qui a comme mode d'authentification le mode Windows (en Negociate (Kerberos)).
    Les comptes autorisés sont synchronisés régulièrement avec l'Active Directory.

    J'ai deux questions à ce sujet :

    A l'heure actuelle tout SharePoint est en HTTPS (IIS est configuré pour cela) et cela prend pas mal de ressource. Je voulais savoir si il était possible d'avoir un processus sécurisé au moment de l'authentification (login&mdp en https) mais une fois loggé avoir le contenu et les sites en http... Cela est il réalisable ?

    Lorsqu'une personne quitte l'entreprise, son compte AD n'est pas effacé mais reste comme étant "inactif". Est il possible de configurer SharePoint pour que le people picker ne parcoure que les utilisateurs dont le compte est actif ??

    Merci beaucoup.
    mercredi 4 juin 2008 12:50

Réponses

  • Bonjour

     

    Pour la partie HTTPS, je ne suis pas certain qu'on puisse limiter le mode à seulement une page précise. D'un autre côté, si vous passez par l'authentification Windows, je ne comprends pas l'utilité de la page de login.

     

    Pour le compte AD, il existe depuis le SP1 une nouvelle propriété pour la commande "setproperty" de l'utilitaire stsadm permettant de limiter la recherche à seulement certains utilisateurs : http://technet.microsoft.com/en-us/library/cc263452.aspx

     

    Il faudra mettre en propertyvalue (pv) "(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))"  (à vérifier quand même, les requêtes LDAP dans l'AD j'en ai fait ya bien longtemps, là j'ai juste récupérer l'info ici : http://www.petri.co.il/ldap_search_samples_for_windows_2003_and_exchange.htm)

     

    Bonne journée

    vendredi 6 juin 2008 08:23

Toutes les réponses

  • Bonjour

     

    Pour la partie HTTPS, je ne suis pas certain qu'on puisse limiter le mode à seulement une page précise. D'un autre côté, si vous passez par l'authentification Windows, je ne comprends pas l'utilité de la page de login.

     

    Pour le compte AD, il existe depuis le SP1 une nouvelle propriété pour la commande "setproperty" de l'utilitaire stsadm permettant de limiter la recherche à seulement certains utilisateurs : http://technet.microsoft.com/en-us/library/cc263452.aspx

     

    Il faudra mettre en propertyvalue (pv) "(&(objectCategory=person)(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=2))"  (à vérifier quand même, les requêtes LDAP dans l'AD j'en ai fait ya bien longtemps, là j'ai juste récupérer l'info ici : http://www.petri.co.il/ldap_search_samples_for_windows_2003_and_exchange.htm)

     

    Bonne journée

    vendredi 6 juin 2008 08:23
  • Merci pour cette réponse.

     

    La deuxième partie est très claire, j'aurai voulu en revanche revenir sur la première question : nous passons actuellement par l'authentification Windows, ce que je voudrais savoir c'est si, dans ce cas, les login / mdp que l'on entre au moment de la connection à SharePoint sont éventuellement interceptables sur le réseau "en clair" par des outils de sniff et autres...

     

    En gros nous sommes passés en https pour éviter l'interception de ces données (login/mdp), mais je ne sais pas du tout comment marche l'authentification windows et si les raisons d'une interception possible des données est justifité ou pas... Dans le but d'améliorer les performances je voudrais repasser en http mais je suis très mal documenté sur l'authentification et le cryptage des données https donc toutes les informations / liens vers des docs seront les bienvenus !

     

    Merci Smile 

     

    mardi 10 juin 2008 09:33
  • Concernant HTTPS et l'authentification Windows, étant donné que le mot de passe ne transite pas en clair, je ne vois pas l'intérêt du HTTPS.

    Donc il y a p-e possibilité d'intercepter quelquechose, mais je ne sais pas si ça serait pour autant réexploitable (je n'ai jamais vu d'utilisation du SSL en entreprise avec l'authentification Windows), et sans être un expert en la matière, je ne pense pas me tromper en disant que ça ne sert à rien d'encrypter dans ce cas. De plus, l'authentification Windows ne passe pas par une page de login mais est directement transmise aux pages du site.

     

    J'espère que ça éclaircit un peu votre vision Smile (et en plus ça simplifiera beaucoup votre implémentation)

    mardi 10 juin 2008 09:42
  • Effectivement ça m'aide maintenant il faudrait que je puisse le prouver ! Savez-vous ou je peux trouver des informations confirmant le fait que le mot de passe ne transite pas en clair ?

     

    Je confirme pour l'implémentation ca va beaucoup simplifier, surtout au niveau de reporting services en mode sharepoint mais bon ca c'est encore une autre histoire Wink !

     

    mardi 10 juin 2008 11:05
  • Une source d'info comme une autre : MSDN http://msdn.microsoft.com/en-us/library/ms998358.aspx, voire la kb : http://support.microsoft.com/kb/308160/en-us

     

    Par contre, attention pour l'utilisation de certains outils, si vous devez passer les informations de login pour des connexions authentifiées depuis SharePoint, vous risquez d'avoir besoin de Kerberos ou du SSO. Mais cela est effectivement une autre histoire.

    mardi 10 juin 2008 12:11