[MOT DE PASSE]Cherche une solution pour un intranet

Salut la zone,

Je bosse dans une agence web d’une dizaine de personne et on m’a chargé de regarder ce qui se faisait en matière de soft pour la gestion des mots de passe.

Aujourd’hui on utilise du fait-maison qui fonctionne bien mais commence à sérieusement faire défaut sur certains points.
Les besoins sont les suivant:

  • hebergeable sur un serveur et accessible via un navigateur web
  • ne tourne pas sous windows
  • possibilité de faire des recherches sur plusieurs champs (id, nom, type, login, etc.)
  • multi utilisateurs
  • (pas trop cher…)

Je précise que ça ne sera pas accessible depuis l’extérieur de la boîte (sauf via le vpn).

J’ai pas trouvé sur les précédents sujets (ou j’ai mal cherché). Sur Google je trouve que cette solution qui a l’air de correspondre aux besoins, mais ça tourne que sous windows.

Est-ce que vous avez des suggestions, des bons softs à conseiller pour ce genre de besoins?

Merci d’avance.

Si je comprends bien ce qui t’intéresse c’est probablement LDAP :

Pas du tout, il veulent un truc pour partager les mots de passe entre gens de la même entreprise, avec je suppose des groupes et tout ça, sans stocker le tout en plain.

Bah je suis peut-être totalement à côté de la plaque mais je réitère : LDAP. Parce que je vois mal comment tu peux “partager” des mots de passe. Ca n’a pas vraiment de sens, ou alors ça s’appelle des clefs SSH.

En fait, il ne vaut pas un SSO. Mais un genre de keepass en réseau…

Donc LDAP Out (ou alors en back-end)

J’ai peut-être été un peu incisif, désolé Histerion :slight_smile:

Oui le principe ce sont des clés ssh, sauf que pour tout sauf ssh, ça marche pas. (* sauf ce qui marche, mais on s’en fou)

Imagine, une société qui achète du matos chez dell, ils ont un compte achat chez dell, donc mot de passe.
Ensuite, ils utilisent vmware, donc il faut accéder au panel pour vérifier les licences, idem.
Ils ont un GLPI pour le matos => encore un.
Des applis maison pour gérer tout un tas de truc => encore des mots de passe.

Tout ça à partager entre la secrétaire, les stagiaires, les admins, les dev etc … tu comprends bien qu’ils (dans l’entreprise hein, je ne connais pas le contexte) ont besoin d’un truc pour partager des mots de passe, et pas des clés ssh, ni un SSO.

Non non, y a pas de mal.

Je vois déjà mieux le problème. En gros ils veulent un trousseau de mots de passes (ou un trousseau de trousseaux, avec un par groupe d’utilisateurs). Maintenant pour faire mon têtu je pense (et j’espère) que ça existe en LDAP :wink:

Sinon perso j’ai déjà utilisé ça : http://keepass.info/
Mais je m’en suis lassé (pour une utilisation perso c’est trop chiant en fait). J’imagine que la base peut être distribuée sur les postes de travail en fonction des besoins. Et de toute façon c’est OpenSource, donc adaptable aux besoins de la boîte (avec du LDAP… vous me dites si je suis lourd hein ^^).

non, ldap saibien!

moi j’ai trouve ca:

c’est assez basique (donc c’est bien), tu peux mettre en place autant d’instance du soft que tu veux (genre http://myserver/admin , http://myserver/direction , etc). Chaque entrée est protégé par un mot de passe. Perso j’ai rajouté une auth apache en plus pour accéder au site web.

voila :slight_smile:

LoneWolf
Quand je suis arrivé dans la boite, y avait un fichier « mots de passe.txt » :teehee:

On avait le même dans ma boite. Au début on a commencé sur Keepass. Mais c’est vite devenu le bordel lorsqu’on est devenu un peu plus nombreux dans la boite: Pas de gestion du multiuser, le 1er qui l’ouvre a les droits en RW les autres juste en R, pas de possibilité d’ajouter des champs persos pour décrire un mdp…
Bref, on est en train d’évaluer différents produits. Pour le moment le plus prométeur: Password Manager Pro
Par contre c’est payant. Mais bon, quand on aime…

Je déterre un topic (vive la fonction sujets similaires) plutôt que d’en ouvrir un nouveau, car la demande est la même, juste 5 ans plus tard et je profite du succès du topic gestion de vos mots de passe pour relancer la discussion.

Forcément, à la boite, le fait de partager des mots de passe dans une équipe IT (ou de postes à responsabilités) c’est le bordel. Entre le fichier excel partagé, les échanges en clair dans les logiciels de chat, etc. c’est un peu beyrouth.

Du coup est-ce que certains ici auraient déjà fait une “étude de marché” récente ? Voici le genre de fonctionnalités qui m’intéressent dans mon cas:

  • Self-hosted
  • Distribuée si possible (si le serveur explose, la base reste disponible sur les postes)
  • Multi-user (accès ou pas à certaines infos selon l’individu)

A une époque il y a eu mitro qui semblait bien parti, mais entre temps racheté par twitter et abandonné.

Password Manager Pro existe toujours, mais reste assez cher (800$ / an pour 5 users).

Des idées ?

KeePass ?

C’est tout con, c’est gratuit et ça gère très bien le multi user.

C’est vrai, il faut que je teste plus en détail, je viens de voir la fonction multi-user (qui reste un simple test sur les dates d’écritures). A voir car cela demandera certainement pas mal de tuyauterie pour le mettre en place pour chaque user (surtout si version mobile)

Sinon on est en train de tester LastPass Enterprise. L’interface est vraiment moche mais ça semble faire le job (pas de self-hosted par contre, ça m’emmerde carrément).

Dans ma boite on utilise keepass en local par contre pour les projets et les partages on a une instance de Vaultier sur un serveur distant.
Jusqu’ici on est plutôt satisfaits, ça fait le job et c’est pas trop gonflant.

J’étais tombé sur Vaultier. Le projet n’a pas l’air de beaucoup bouger, mais je me suis noté de le surveiller.

Je suis tombé sur Passwordstate.

  • Gratuit jusqu’à 5 users, payant au delà. (50$ / user, puis 8.2 $ / user / an pour les upgrades).
  • C’est un self-hosted (.net, windows, sql server)
  • L’accès mobile se fait via un appli web dédiée (qui peut être hébergée sur un autre serveur)
  • 15000 options liées au monde de l’entreprise (audit complet, notification emails, self-destruct, gestion des mdp du parc, etc.)

Une base Keepass partagée sur un Google Drive ça fait le boulot pour moi.

Question con, comment gérez-vous les mots de passe auxquels vous devez avoir accès sans votre base de mots de passe?

Typiquement, la clef de cryptage de la base de mots de passe, le login du pc, mais j’y ajoute aussi dropbox (parce que si je perds tous mes appareils en même temps dans une tempête de dinosaures, je dois pouvoir récupérer ma base depuis ailleurs), et mon e-mail principal (parce que si je perds mon fichier keepass, ça peut au moins me servir à reset la plupart de mes mots de passe).

J’arrive à retenir 4 mots de passe assez compliqués pour cet usage (celui du pc étant le plus simple - après tout il est en local), mais quand même des fois je me fais des noeuds au cerveau (si je dois rouvrir ma base keepass en fin de soirée quand je suis fatigué, des fois juste je peux pas).

Typiquement au taf j’ai le mot de passe Active Directory (pour me loguer sous Windows) et le mot de passe master de ma base Keepass à retenir. Deux ça va.

Si tu as vraiment du mal à les retenir, et que tu n’es pas dans un environnement hautement sécurisé, le mieux c’est encore de les noter quelque part. Un simple morceau de papier dans ton portefeuille ne sera probablement d’aucune utilité à un voleur qui te prendrait ton portefeuille dans le métro tant qu’il n’a pas accès à ton PC de travail, et inversement un collègue mal-intentionné ne risque pas si facilement que ça de mettre la main sur ton portefeuille.

Ici, j’ai mis en place Rattic, ca marche plutot pas mal, mais on est une quinzaine dans une boite tres Linux, donc ca aide un peu.

Clairement, l’interface a besoin d’un peu de travail, mais pour du open-source, ca fait tres bien le travail et ca remplace Keepass, qui permettait pas le multi-users.