Reprise du message précédent :
je regarde pour implémenter une solution de SSO/management d'identité. On est sur du gsuite + un serveur ldap à coté (qu'on veut dégager), pas de AD et pas envie d'en mettre.
Je regarde Okta, j'ai aussi jeté un oeil à onelogin. Des avis ?

Utilisé dans une très grosse boite française. Je sais pas quelles briques tu veux utiliser mais c'est je trouve un super produit. Il étaient vraiment en avance. Maintenant MS avec Azure AD a largement comblé son retard et dépassé niveau fonctionnalité mais si on est refractaire à l'écosystème MS c'est pour moi la meilleure alternative.

Tu parles duquel parmi les 2 qu'il cite ?  

Juste pour le SSO y'a CAS.
Sinon, si t'a du LDAP et que tu veux du SSO, tu peux aussi réfléchir à migrer sur FreeIPA.

 
vires tout et prends o365  . G.Suite c'est de la m**de

Enfin un post censé

oops, okta je parlais

Ca marche bien ces solutions SSO sans Vindoze?
Vraie question hein, j'ai été habitué à ne croiser du SSO qu'en environnement avec une grosse base Vindoze.

CAS c'est du SSO pour applications web. Et, oui, ça marche bien. T'arrive sur une appli, t'es logué directement, c'est transparent pour l'user (sauf à la première connexion web de la session).

Y'a que moi qui trouve owncloud/nextcloud bancal ?

Détaille ta pensée ?

Je trouve le client a chier

Pas génia, mais diablement pratique

A chier dans quel sens ? Une fois que le truc est configuré il se fait oublier, il tourne dans son coin et ne demande rien, je vois pas le souci

C'est de l'open source, l'UI est forcément à chier    

Je le trouve instable (nextcloud-client) et pas super ergonomique, mais bon en général il fait son taf en fond sans trop faire chier
Aussi côté serveur j'ai l'impression qu'ils partent dans tous les sens
Je préférerais une meilleure UI et de meilleures perfs que d'ajouter pleins de fonctionnalités

edit: et c'est chiant à chaque client de spécifier de sync les fichiers cachés. C'est vrai que dans un espace de travail / dépôt git le .git est pas du tout à garder

J'avais regardé en 2015 et onelogin était bien plus au point qu'Okta mais ça a pu changer...

Mini Orange SSO ici. Pour wordpress.

 
L’avantage c’est que c’est open tu peux faire mieux en écrivant ton propre client  

Ok laisse moi 10 ans

Des avis sur PacketFence ?

https://transfer.sh/

Pour Docker/Portainer, gérer son ct via systemd (service) ça se fait ou y'a une aure méthode plus adaptée ?

Question pour les pros du réseau : sur une infra full Cisco, je voudrais pouvoir faire un shutdown (ou bascule vers un VLAN dédié) automatique des ports non utilisés depuis 30 jours. J’étais parti pour un script TCL, mais si vous avez  d’autres alternatives ..  
 
Merci !

Hello, VMPS ? ou script ansible, m'enfin VMPS réglera tous tes problèmes ! Si mac connu, attribution du vlan que tu lui a donné dans une base sinon pas de vlan ou vlan poubelle au choix.

ça veut pas dire grand chose full cisco, on parle de 2948XL ou de cat9k ?

note que le besoin exprimé n'est pas du tout celui-ci

 
ct ?    
 
j'ai déjà deployé des services dockerisés via systemd, avec l'option "--rm" pour que le stop flingue correctement l'instance.
ca permet aussi de garder les options du container (volume, networks, env, ...) à un seul endroit (/etc/systemd/system/blabla.service).
et du coup c'est trivial à déployer

 
Salut !  
C’est plutôt pas mal mais effectivement pas vraiment ce que je cherche

 
Salut,
 
Essentiellement du 2960X/2960CX/3560CG
 

je ne sais pas si ces gammes ont un accès par API, si oui j'utiliserais ça, sinon SNMP.

@Saguu: Ca dépends du besoin final, pourquoi tu veux un shut en fait? Ansible pourrait faire un shut, un script ansible lancer tous les X temps qui verifie l'uptime d'un port et faire un shut sur ce/ces ports si uptime plus grand que 30jours.
 
Le VMPS rends le port inutilisable, mais toi si j'ai bien compris tu veux que si le port est off plus de 30 jours = qu'un shut de l'interface soit fait? Je ne vois pas à quoi ça sert si quelqu'un se remet dessus il sera shut donc ça ne fonctionnera pas?
 
Donne nous plutôt le souhait final peut être

Salut,
 
Je bosse sur un site de plusieurs km2 avec une soixantaine d’équipements réseaux ( environ 50 switches d’accès).
La problématique est que nous avons pas mal de prestataires qui peuvent (et en profite) se connecter sur des prise non déconnectées sur notre réseau.  
Il y a une volonté de ma hiérarchie de bloquer rapidement ces accès non désirés. On me promet la mise en place de 802.1X depuis plusieurs années mais toujours rien pour le moment. Je fais partie de l’équipe réseau et je dois attendre la mise en place par l’équipe serveur, elle même assistée de l’équipe AD, elle même, etc etc ..
Donc pour le moment, l’idée c’est d’avoir une solution « centralisée » pour verrouiller les accès au maximum.
J’ai un ordonnanceur (Jenkins) que je comptais utiliser pour exécuter un script pour automatiser ça.
La solution que tu proposes est sympathique mais (à moins d’avoir mal lu) obligé de renseigner toutes les MAC du réseau ? Parce que j’ai régulièrement des visites des autres sites, etc  
 
Au delà du côté sécurité, il est quand même plus propre d’avoir des ports désactivés quand non utilisés, non ?  
 
Merci  
 

Ok je comprends mieux ton besoin, tu dis rapidement mais 30 jours ça parait long et oui il faut une base d'adresses mac par Vlan, géré soit par un micro service sur un serveur, soit dans un cisco direct (plus compliqué) Effectivement il vaut mieux sh si non utilisé mais du coup après le shut potentiel, si quelqu'un s'y reconnecte à raison, il te demanderait de re up le port?
 
Pas très pratique mais si tu ne veux pas faire la base de mac effectivement compliqué, après possible dans le VMPS de donner un VLAN ""poubelle"" si mac pas renseigné, avec sur ce vlan une redirection automatique sur une page toute bête avec une demande d'accès par mail par exemple...Comme dans les logs vmps tu as la mac, facile de la recuperer et la mettre ds la base, ou recuperer direct dans la page web
Passé en 802.1X sera un peu compliqué aussi, VMPS parait un moyen détourné de faire quelque chose de semblable
Après avec jenkins et ansible effectivement tu peux peut être arriver à faire quelques chose, avec des variables ansible, ansible a des fonction cisco, mais j'ai testé récemment et fait exprès justement le shut marche pas , en tout cas pour moi. Si tu dis de faire un no shut il rentre dans l'interface et fait bien no shut, si tu dis de faire shut, il fait que rentrer dans l'interface... Peut être juste un bug corrigé depuis! Mais a voir!

Documentation à chier.
Seul Aruba ClearPass je respecte.

Python + Netmiko

Ou bien pour les plus riches :
Template poussé via Cisco Prime Infra

screenscraping = cancer

Y'en a qui utilisent du port knocking quotidiennement ?

Nan j'ai testé, ça fait bien une sécu supplémentaire, et plante pas mal de robots bien entendu.  
 
Mais pour une attaque ciblée c'est assez simple d'écouter les connexions et de voir quelle séquence est faite.  
Ce qui m'a rebuté aussi, pour les connexion via windaube pour ssh, compliqué de faire la séquence  
 
Tu parles bien de SSH au fait?

 
Depuis wiki : " The complexity of the knock can be anything from a simple ordered list (e.g. TCP port 1000, TCP port 2000, UDP port 3000) to a complex time-dependent, source-IP-based and other-factor-based encrypted hash."
 
Il doit y avoir moyen de faire des choses sympas sans trop creuser non ?

J'avais fais un truc de ce style effectivement, et ça marchait, port différent et proto différent. Sur que c'est plus sécu qu'une accroche tcp 22  
 
De toute façon c'est "mieux", mais j'avais choisis de pas le mettre ne prod a l'époque, y'avait pas encore ansible et vu le nombre de serveurs c'était un peu compliqué. Après ça marche pas de soucis, et sur linux en client = facile.  
Il faut voir si il y a une option knock sur les client SSH de windows, a l'époque j'avais trouvé un truc mais un peu crade, j'imagine que depuis il devrait ya voir ce qu'il faut!
 
tu peux aussi le faire que sur un bastion SSH et après gerer les connexions ssh aux serveurs avec le bastion

ça me semble être du tournage excessif de nerd knob, quel problème cherche t-on à résoudre ? ssh est déjà sécurisé