Reprise du message précédent :
Saraj  

jlaken

Vates Gold Partner trusted profesionnnel learning solutions bundle in ultimate edition 2023

T'es tombé sur des champions toi

Ce sont les premiers à s'étonner de devoir payer beaucoup plus cher car ils se sont « auto vendor locké » et à se plaindre que ya pas d'alternatives crédibles hors gros éditeurs. Ils ne se rendent pas comptent qu'ils font parti du problème

edit : mais c'est très franco-français, j'ai pas ces soucis avec des clients ailleurs. Pas pour rien que la France soit une part minuscule de notre CA…

"T'as pas une solution de virtu mais avec SAP marqué dessus ? On veut prendre que SAP et Microsoft pour garder un pouvoir de négociation avec le volume du contrat"  

C'est à se demander si les gens compétents en France choisissent pas plutôt d'aller bosser à l'étranger

Ben dis donc, exactement les boites qui ont noyauté les cursus de formation  

 
dit toi j'ai eu un client qui a son informaticien c'est casser ... il a laisser aucune info nul part
 
le client m'appel et me dit :  
 
ont veut tous rassembler nos contrat chez vous ( domaine , stockage , boite mail ....)
 
je lui dit ok c'est possible votre domaine et vos boites mail sont gérer par quel société
 
la elle me dit je sais pas notre informaticien c'est casser du jour au lendemain sans prévenir
 
je regarde et le je découvre son domaine est chez ovh , les boites mail son gérer par 2 sociétés différentes , leur stockage est chez google , et pour complémenter leur serveur sont chez  1&1
 
et la fille me dit j'ai aucun mot de passe je ne sais pas ou les trouver ....
 
je lui est dit : ont est pas votre service informatique retrouver d'abord vos identifiants....
 
la réponse de la fille : mais vous êtes informaticien vous devez savoir
 
ma réponse : aurevoir madame  

 
C'est la routine du métier, ça.

Oui c'est vrai je me suis mal exprimé. Au début de mon post je parlais bien de "simili Direct Acces"
J'ai fait quelques tests hier soir, ce que Barracuda appelle DirectAccess c'est en fait une reconnexion auto au VPN, une gestion d un second profile en failback et un genre de probing pour couper le VPN si service AD détecté en direct
Par contre en combinant ça avec le SSO et le VPN pré auth on arrive à un résultat assez proche de ce que je veux
Le renouvellement du certificat machine se fait bien au travers du VPN même sans ça donc ce point est OK
Malheureusement pour le renouvellement du MDP, j'ai testé de forcer un renouvellement et ça fait comme avant, blocage de la connexion VPN tant qu'il est pas changé même en pre auth -logique vous allez me dire- ... mon seul espoir c'est que dans un cas classique de MDP qui expire ils recoivent la notif avant et le changent, mais s'ils laissent trainer jusqu'à expiration ils pourront plus se connecter au VPN
Je vais voir avec le support quand même s'il y a un moyen de passer outre

Après j'ai aussi moyen de basculer sur du forti pour gérer tout ça, si quelqu'un a déjà pu tester ?

edit : sinon passer par le VPN Windows je n'ai jamais testé ?

Pour moi le client VPN Windows n'apportera pas d'amélioration à ce niveau...
Je connais pas Barracuda n Forti, mais tu peux regarder s'il serait possible de créer deux tunnels distincts pour mimer le fonctionnement du DirectAccess de microsoft?  
Un tunnel qui se monte avant l'ouverture de session, authentifié par un certificat computer (idéalement stocké dans la TPM) et qui ne permet d'accéder qu'à l'AD/PKI/WSUS; et un tunnel utilisateur qui monte lorsque la session est ouverte et qui permet d'accéder au reste des ressources?

+1, sur les bonnes solutions VPN tu peux faire ça. Suivant les cas une simple authent par certificat machine peut suffire d'ailleurs (mode de sécu iso avec ce qu'on retouve en général sur du 802.1X donc ça a du sens, la machine est authentifiée dès l'accès au réseau, l'utilisateur est authentifié à un autre moment, par exemple au moment de l'accès aux applis).

 
 
C'est clair pour remettre la main sur une infra complete sans aucun pwd.  
Et je me demande, meme avec accès physique à un ESX on peut injecter un nouveau HASH pour récupérer la main sur le ROOT , comme avec le tres vieux erd commander ?

a part un proces ou offrir un pont d'or au fuyard pour qu'il lache les infos, c'est pas gagné en effet

Je ne veux pas faire de procès sans rien connaître dû dossiers mais defois les histoires genre ‘mon informaticien c’est  barré’ est un peu plus complexe/croustillante que ça…

Oui c’est clair. Et c’est généralement pas sans raison.
De toute manière cela révèle aussi une absence de gouvernance de la part de la société.

J'espère que les poulaillers ne te manquent pas    
Cool pour toi  

j'ai un soucis pour faire marcher un site a travers Azure Ad Proxy

ca fonctionnait au depart j'avais testé, puis on nous a demandé que l'authent sur le site soit basculé en SAML, on a  donc configuré le site pour faire de l'autenth  saml (sur azure aussi)

le site fonctionne en interne, mais maintenant sur azure ad proxy ca fonctionne plus

j'ai ce message

AADSTS50011: The redirect URI 'https://toto.com/' specified in the request does not match the redirect URIs configured for the application 'eb260502-7f2f-4f03-894e-8fa80755e2de'. Make sure the redirect URI sent in the request matches one added to your application in the Azure portal. Navigate to https://aka.ms/redirectUriMismatchError to learn more about how to fix this.

l'url publique et interne est la meme

donc je vois pas bien ce que je peux changer et ce qui le gene

si quelquu'n a une idée et a deja publié des sites avec authent saml a travers AAD Proxy ? ej sais que certains l'utilisent ici alors je tente

l'application eb260502-7f2f-4f03-894e-8fa80755e2de a quoi dans ses redirect urls ?

A priori la config de la redirect url à revoir côté application ?
https://docs.microsoft.com/en-us/tr [...] i-mismatch

Édit : oui bon

la redirect url ca correspond a quoi dans la partie saml?
edit: ok c'est la reply url, ben c'est a priori bien ce qu'il faut vu qu'on prem ca fonctionne

- ca marche on prem l'authent, que ce soit en sp ou en idp
- toutes les url que j'ai ajd dans la partie saml (identifier, reply url) ont le meme nom de domaine
j'ai cru lire que tu pouvais avoir des soucis dans les cas ou ton appli est en toto.com mais ton nom pour azure adproxy est en toto-domain.msappproxy.net

mais la c'est pas le cas

Je suis débile ou je suis le seul a ne pas comprendre :

leur calculatrice a besoin d'un reboot

bon merci les gars

je comprends rien au bousin, mais vous m'avez donné une piste
j'ai rajouté en reply url "secondaire" l'url du message d'erreur (qui est juste l'url de la page d'accueil basique) et ca fonctionne

https://www.reddit.com/r/talesfromt [...] ssed_with/

Le délire  

Quand je vois les gens discutez du fait d'arreter de basculer heure été/hiver ça me fait toujours marrer, ce serait l'apocalypse IT

L'intégralité de l'IT opérationnelle en UTC, tellement plus pratique.

si ça te plait de vivre dans le passé...

La Russie a changé ses fuseaux une dizaine de fois depuis 2010, si tu le fais pas au dernier moment ça pose pas spécialement de problèmes.

Sans parler de l'Amérique du Nord où ça change même au niveau du comté.

 
le maroc a aussi fait ça en 2019 mais en prévenant 48h à l'avance... énorme bordel avec les telephones qui changent d'heure alors qu'ils devaient rester en heure d'hiver  

Ou quand tu passes dans une réserve amérindienne

Bonjour une question.
Je travaille actuellement dans une administration. Sur une thématique non classifiée.
Bref au niveau du droit c’est une administration banale.
Le problème que me soumettre mes collègues de l’informatique c’est que la direction veut faire passer une charte informatique dédié aux administrateur systèmes et réseaux de 14 pages, qui implique des sanctions et des responsabilités personnelles en cas de défaillance ou de fuite de données.
Le service informatique est déjà défaillant à cause du DSI et de la direction.
moi je suis RSSI, et le seul agent assermenté comme agent de police judiciaire de cette administration.
Je n’ai même pas été informé ni je n’ai même pas vu cette charte.
C’est des informaticiens qui sont venus me voir car ils étaient furieux de cela.
Et légitiment ils refusent de signer et ils ont tout à fait raison à mon avis.

Grosse administration ?

je ne vois pas de question
ils ont bien raison de pas signer.

Je me demande qui a rédigé ce truc

Ça va à l’encontre de tout, vu que ça va pousser les agents à tout mettre sous le tapis.
Sans compter que je ne pense pas que ce soit légal.
Ça ressemble beaucoup à la technique du parapluie    

Cela un rapport avec des cryptolockers

Tu signes pas.
Et la charte a t elle été visé par la CNIL
j'ai trouvé que ca : https://www.cnil.fr/fr/securite-inf [...] ilisateurs

C’est tout à fait ce que je pense c’est un parapluie.
Ayant une direction soucieuse de leur carrière.
Cela ne les dérangerait pas de sacrifier des pions en cas de problèmes.
 
Le Dsi d’une incompétence rare fait mettre cela en place à la demande de la direction 2 mois avant la retraite.
Alors que sur les audits de sécurité 38 points gravement non conforme sur 42 par rapport au guide d’hygiène de l’Anssi.
Nous avons dû changer tout un pôle c’est à dire 2 agents car ils espionnaient des boites mails de VIP et la mienne.

 
Merci.
Quel est le rapport avec les crypto ?