JaliosXperience
fr en
Link

SSO Windows NTLM Plugin 2.1.2 > Incompatibilité du module NTLM avec la réplication de fichier via Jsync

Incompatibilité du module NTLM avec la réplication de fichier via Jsync

Frédéric Geslin - on 3/2/10 at 3:05 PM

Bonjour,

Vous indiquez que le module est incompatible avec la réplication de fichier via Jsync, pouvez-vous préciser à quel niveau l'incompatibilité intervient et quels sont les dégradations observées?

Merci d'avance,

Frédéric

Olivier Jaquemet - on 3/2/10 at 4:13 PM

Bonjour,

Le module était historiquement incompatible avec le réplication de fichier via JSync car son principe de fonctionnement est de mettre un filtre d'authentification NTLM (servlet JCIFS) devant toutes les URLs de JCMS susceptible d'être accédé par des utilisateurs, donc notamment le répertoire upload/. Cette servlet ne laisse passer aucune requête n'ayant pas l'authentification NTLM, ce qui est le cas des replica JSync qui tenterait de télécharger les fichiers.

Cependant la version 2.1 du module introduit une évolution (référencée NTLM-4) qui permet l'utilisation de systèmes d'authentifications mixtes suivant des règles personnalisables.
Grâce à cela il est alors envisageable d'utiliser une règle pour débrayer l'authentification NTLM SI ET UNIQUEMENT SI :

  1. l'ip du client est l'ip d'un replica JSync
  2. ET que l'URL accédée commence par upload/

Si vous souhaitez partir sur cette piste, consultez la documentation incluse dans le module pour connaitre les modalités de développement d'une règle de gestion spécifique concernant l'authentification NTLM.

Notez cependant que Jalios recommande de privilégier d'autre mode de réplication que la réplication de fichiers via JSync. Ceci afin d'éviter d'alourdir la charge du serveur d'application et de la JVM (puisque la réplication de fichier via JSync utilise le canal HTTP du serveur J2EE).

Frédéric Geslin - on 3/2/10 at 4:45 PM

A ta réponse, j'ai l'impression que l'utilisation du module SSO NTLM impose que le site soit privé, est-ce le cas? en gros cela revient à la question : peut-on utiliser le module sur un site qui a une cible internet en front-office?

Olivier Jaquemet - on 3/2/10 at 4:53 PM

Normalement NTLM est plutôt destiné à un usage sur un réseau intranet, cela pour plusieurs raisons :

  1. il faut que Internet Explorer considère le site comme un site de confiance, donc sur un site internet il faudra configurer explicitement les postes clients.
  2. il faut que l'utilisateur est ouvert une session sur le domaine Windows, je ne suis pas expert en architecture Microsoft mais je ne suis pas sur que cela soit possible facilement sans posé des problème de sécurité...

Mais comme je l'expliquais plus haut, l'évolution NTLM-4 permet un usage mixte, par exemple authentification classique (ou aucune) pour les utilisateurs externes (internet), authentification NTLM pour les utilisateurs connecté depuis l'intranet (eg : règle via l'IP du client)

Login   Home   fr en
JALIOS SA - SIREN 440 126 035