Double authentification sous Joomla : Différence entre versions

De Vulgum Techus
Aller à : Navigation, rechercher
(Page créée avec « '''Lien court''' vers cette page : http://vt.cx/DaJ '''QR code''' vers cette page : http://vt.cx/DaJ.qr <html> <script type="text/javascript"><!-- google_ad_clie... »)
 
(Présentation)
 
(26 révisions intermédiaires par un utilisateur sont masquées)
Ligne 1 : Ligne 1 :
  '''[[Lien court]]''' vers cette page : http://vt.cx/DaJ
+
<!-- Links checked 12/03/19 -->
  '''[[QR code]]''' vers cette page : http://vt.cx/DaJ.qr
+
[[Catégorie:Joomla]]
 +
[[Catégorie:Sécurité]]
 +
  '''[[Lien court]]''' vers cette page : https://vt.cx/DaJ
 +
  '''[[QR code]]''' vers cette page : https://vt.cx/DaJ.qr
 
<html>
 
<html>
 
<script type="text/javascript"><!--
 
<script type="text/javascript"><!--
Ligne 16 : Ligne 19 :
  
 
= [[Lexique]] =
 
= [[Lexique]] =
'''authentification à deux facteurs''' : synonyme de '''double authentification'''
+
* '''[[authentification à deux facteurs]]''' : synonyme de '''[[double authentification]]'''
'''TFA''' : abréviation de two factor authentication
+
* '''TFA''' : sigle de '''[[two factor authentication]]'''
'''two factor authentication''' : anglais pour double authentification ou authentification à deux facteurs
+
* '''[[two factor authentication]]''' : anglais pour '''[[double authentification]]''' ou '''[[authentification à deux facteurs]]'''
  
 
= Présentation =
 
= Présentation =
Ultime sécurisation pour tous les accès, la '''[[double authentification]]''' a fait son arrivée sur '''[[Joomla]]''' depuis la '''[[version]] 3.2'''. Cette fonctionnalité utilise un '''plugin''' spécifique qui n'est pas activé par défaut. Voici comment le mettre en fonction et paramétrer l'accès sécurisé.
+
Ultime sécurisation pour tous les accès, la double authentification a fait son arrivée sur Joomla depuis la version 3.2. Cette fonctionnalité utilise un plugin spécifique qui n'est pas activé par défaut. Voici comment le mettre en fonction et paramétrer l'accès sécurisé.
  
 
= Procédure =
 
= Procédure =
 
== Activation ==
 
== Activation ==
L'ensemble des manipulations décrites ici impose la présence d'une '''[[version]] 3.2''' ou supérieure de '''[[Joomla]]'''. L'opération se fait en deux étapes :
+
L'ensemble des manipulations décrites ici impose la présence d'une '''[[version]] 3.2''' ou supérieure de '''[[Joomla]]'''. L'opération se fait en deux étapes sous réserve que les plugins de double authentification aient été activés.
# Activation du plugin et choix du type de '''double authentification'''
+
# Activation du plugin (dépend de la version de Joomla)
 +
# Choix du type de double authentification souhaité
 
# Paramétrage des utilisateurs
 
# Paramétrage des utilisateurs
  
 
=== Étape 1 ===
 
=== Étape 1 ===
* Se connecter au '''back office''' du '''[[site]] [[Joomla]]''' avec un compte '''super administrateur'''
+
L'activation des plug-ins nécessaires à la double authentification a été faite lors de l'installation de Joomla 3.2 de la manière suivante :
 +
* Se connecter au back office du '''[[site]] [[Joomla]]''' avec un compte '''super administrateur'''
 +
* Afficher les messages post installation
 +
* Au niveau du message '''L'authentification en deux étapes est disponible''' cliquer sur '''Activer l'authentification en deux étapes'''
 +
Si cela n'a pas été fait, les plug-ins sont dans la liste '''A découvrir''' et doivent être activés comme suit :
 +
* Choisir '''Découvrir''' dans le menu '''Extensions'''
 +
* Cocher les deux plug-ins relatifs à la double authentification et cliquer sur le bouton '''Installer'''
 +
A ce stade les deux plug-ins nécessaires sont maintenant disponibles et leur paramétrage peut commencer à l'étape suivante.
 +
 
 +
=== Étape 2 ===
 +
* Se connecter au back office du site Joomla avec un compte '''super administrateur'''
 
* Dérouler '''Extensions''' et choisir '''Plug-ins'''
 
* Dérouler '''Extensions''' et choisir '''Plug-ins'''
 
* Saisir '''Auth''' dans le champ de recherche et cliquer sur la loupe
 
* Saisir '''Auth''' dans le champ de recherche et cliquer sur la loupe
 
* La liste de tous les '''plug-ins''' contenant '''Authentification''' dans leur titre s'affiche
 
* La liste de tous les '''plug-ins''' contenant '''Authentification''' dans leur titre s'affiche
* Choisir une ou plusieurs '''Authentification en deux étapes''' proposées soit :
+
* Choisir une ou plusieurs '''[[Authentification en deux étapes]]''' proposées soit :
** '''Authentification en deux étapes - [[Google Authenticator]]'''
+
** '''[[Authentification en deux étapes]] - [[Google Authenticator]]'''
** '''Authentification en deux étapes - [[YubiKey]]'''
+
** '''[[Authentification en deux étapes]] - [[YubiKey]]'''
 
* Les paramètres proposés pour chacune des '''authentifications''' sont :
 
* Les paramètres proposés pour chacune des '''authentifications''' sont :
 
* '''Section du [[site]]''' -> choisir les accès protégés à savoir :
 
* '''Section du [[site]]''' -> choisir les accès protégés à savoir :
Ligne 46 : Ligne 60 :
 
* Une fois les choix effectués, cliquer sur '''Enregistrer et Fermer''' pour les valider et quitter le paramétrage du '''plug-in'''
 
* Une fois les choix effectués, cliquer sur '''Enregistrer et Fermer''' pour les valider et quitter le paramétrage du '''plug-in'''
  
=== Étape 2 ===
+
=== Étape 3 ===
Cette étape paramètre, pour un '''utilisateur''' particulier, le moteur d'authentification choisi. Ce choix implique l'installation préalable sur un '''[[smartphone]]''' ou une '''[[tablette]]''' de l'application correspondant à la méthode choisie parmi les deux proposées par la version]] '''3.5.1''' de '''[[Joola]]''' à savoir '''[[Google Authenticator]]''' ou '''[[YubiKey]]'''. Ceci fait, procéder comme suit :
+
Cette étape paramètre, pour un utilisateur particulier, le moteur d'authentification choisi. Ceci implique l'installation préalable sur un '''[[smartphone]]''' ou une '''[[tablette]]''' de l'application correspondant à la méthode choisie parmi les deux proposées par la version 3.5.1 de Joomla à savoir '''[[Google Authenticator]]''' ou '''[[YubiKey]]'''. Ceci fait, procéder comme suit :
* Cliquer sur '''Utilisateurs''' dans le back office de '''[[Joomla]]'''
+
* Cliquer sur '''Utilisateurs''' dans le back office de Joomla
* Cliquer sur l''''utilisateur''' à qui l'on souhaite permettre la '''double authentification'''
+
* Cliquer sur l'utilisateur à qui l'on souhaite permettre la double authentification
* Cliquer sur l'onglet '''Authentification en deux étapes''' (cet onglet n'est visible que si l''''étape 1''' a été correctement effectuée)
+
* Confirmer le '''[[mot de passe]]''' de l'utilisateur
* Dans le menu déroulant '''Méthode d'authentification''', choisir celle souhaitée parmi celles qui ont été activées durant l''''étape 1'''
+
* Cliquer sur l'onglet '''Authentification en deux étapes''' (cet onglet n'est visible que si l'étape 2 a été suivie)
* Suivre les instructions données par l''''activation''' choisie
+
* Dans le menu déroulant '''Méthode d'authentification''', choisir celle souhaitée parmi celles qui ont été activées durant l'étape 2
* Saisir le '''Code de sécurité''' indiqué par l'application d'authentification sur le '''[[smartphone]]''' ou la '''[[tablette]]''' impliquée dans le process
+
* Suivre les instructions données par l'activation choisie
* Cliquer sur '''Enregistrer''' pour vérifier que tout est conforme. Si c'est le cas aucun message d'erreur n'est affiché et l'on revient en début d''''étape 2'''. On peut maintenant cliquer sur '''Fermer''' pour quitter la gestion '''Utilisateur'''.
+
* Saisir le Code de sécurité indiqué par l'application d'authentification sur le smartphone ou la tablette impliquée dans le process
* Une liste de '''10 |[mots de passe]] d'urgence à utilisation unique''' est fourni qu'il faut noter précieusement pour pouvoir se connecter lorsqu'il y a un problème d'accès à '''[[Google Authenticator]]''' ou à '''[[Yubikey]]'''
+
* Cliquer sur '''Enregistrer''' pour vérifier que tout est conforme. Si c'est le cas aucun message d'erreur n'est affiché et l'on revient en début d'étape 3. On peut maintenant cliquer sur '''Fermer''' pour quitter la gestion '''Utilisateur'''.
 
+
* Une liste de 10 mots de passe d'urgence à utilisation unique est fournie qu'il faut noter précieusement pour pouvoir se connecter lorsqu'il y a un problème d'accès à Google Authenticator ou à YubiKey. Si cette liste n'est pas proposée, c'est que la synchronisation entre les horloges des différents intervenants ('''[[PC]], [[Android]]''' ou '''[[iOS]]''', serveur) ne sont pas synchronisées et qu'il faut y remédier en synchronisant l'ensemble des horloges comme, par exemple :
 +
** [[Android]] -> '''Paramètres''' -> '''Date et heure''' -> '''Dates et heure automatiques'''
 +
** [[Windows]] -> {{K|Windows}}+{{K|R}} -> timedate.cpl -> '''Temps Internet''' -> '''Modifier les paramètres...''' -> '''Synchroniser avec un serveur de temps Internet''' -> Choisir le serveur -> '''Mettre à jour'''
  
 
== Désactivation ==
 
== Désactivation ==
La '''désactivation''' peut se faire plus ou moins facilement selon qu'on peut ou non accéder au back office du '''[[site]]''' protégé par la '''[[double authentification]]'''
+
La désactivation peut se faire plus ou moins facilement selon qu'on peut ou non accéder au back office du site protégé par la double authentification
  
 
=== Accès au back office ===
 
=== Accès au back office ===
 
==== Désactivation globale ====
 
==== Désactivation globale ====
 
La désactivation globale concerne tous les utilisateurs d'un coup. Pour cela il suffit simplement de désactiver le plugin comme suit :
 
La désactivation globale concerne tous les utilisateurs d'un coup. Pour cela il suffit simplement de désactiver le plugin comme suit :
* Se connecter au '''back office''' du '''[[site]] [[Joomla]]''' avec un compte '''super administrateur'''
+
* Se connecter au back office du site Joomla avec un compte super administrateur
 
* Dérouler '''Extensions''' et choisir '''Plug-ins'''
 
* Dérouler '''Extensions''' et choisir '''Plug-ins'''
 
* Saisir '''Auth''' dans le champ de recherche et cliquer sur la loupe
 
* Saisir '''Auth''' dans le champ de recherche et cliquer sur la loupe
* La liste de tous les '''plug-ins''' contenant '''Authentification''' dans leur titre s'affiche
+
* La liste de tous les plug-ins contenant '''Authentification''' dans leur titre s'affiche
* Choisir les '''Authentification en deux étapes''' actives parmis celles disponibles et les désactiver en les cochant et en cliquant sur '''Désactiver'''
+
* Choisir les '''Authentification en deux étapes''' actives parmi celles disponibles et les désactiver en les cochant et en cliquant sur '''Désactiver'''
  
 
==== Désactivation utilisateur ====
 
==== Désactivation utilisateur ====
Celle-ci consiste à supprimer l''''[[authentification en deux étapes]]''' pour un utilisateur particulier. Pour cela procéder comme suit :
+
Celle-ci consiste à supprimer l'authentification en deux étapes pour un utilisateur particulier. Pour cela procéder comme suit :
* Se connecter au '''back office''' du '''[[site]] [[Joomla]]''' avec un compte '''super administrateur'''
+
* Se connecter au back office du site Joomla avec un compte super administrateur
* Cliquer sur '''Utilisateurs''' dans le back office de '''[[Joomla]]'''
+
* Cliquer sur '''Utilisateurs''' dans le back office de Joomla
* Cliquer sur l''''utilisateur''' à qui l'on souhaite permettre la '''double authentification'''
+
* Cliquer sur l'utilisateur à qui l'on souhaite désactiver la double authentification
* Cliquer sur l'onglet '''[[Authentification en deux étapes]]''' (cet onglet n'est visible que si l''''étape 1''' a été correctement effectuée)
+
* Cliquer sur l'onglet Authentification en deux étapes (cet onglet n'est visible que si l'étape 1 a été correctement effectuée)
 
* Dans le menu déroulant '''Méthode d'authentification''', choisir '''Désactiver l'authentification en deux étapes'''
 
* Dans le menu déroulant '''Méthode d'authentification''', choisir '''Désactiver l'authentification en deux étapes'''
 
* Cliquer sur '''Enregistrer & Fermer'''
 
* Cliquer sur '''Enregistrer & Fermer'''
  
 
=== Pas d'accès au back office ===
 
=== Pas d'accès au back office ===
Dans le cas où l'accès au back office n'est pas possible il reste possible de désactiver l''''[[authentification en deux étapes]]''' en intervenant directement sur la '''[[base de donnée]]''' du '''[[site]]''' à condition d'y avoir accès. Voici comment procéder :
+
Dans le cas où l'accès au back office n'est pas possible il reste possible de désactiver l'authentification en deux étapes en intervenant directement sur la '''[[base de données]]''' du site à condition d'y avoir accès. Voici comment procéder :
* Se connecter au '''[[serveur]]'''
+
* Se connecter au serveur
 
* Lancer '''[[phpMyAdmin]]'''
 
* Lancer '''[[phpMyAdmin]]'''
* Ouvrir la table '''user'''
+
* Ouvrir la table '''_extensions'''
* Editer l'utilisateur concerné par la suppression de la '''[[double authentification]]''' et effacer la valeur contenu dans '''otpKey'''
+
* Mettre '''enabled''' à '''0''' dans le champ '''plg_twofactorauth_totp''' pour désactiver l'authentification en deux étape avec Google Authenticator
 +
* Mettre '''enabled''' à '''0''' dans le champ '''plg_twofactorauth_yubikey''' pour désactiver l'authentification en deux étapes avec YubiKey
 +
 
 +
== Problèmes rencontrés ==
 +
=== Code refusé ===
 +
Il est possible que le code affiché dans Authenticator ne soit pas accepté au moment où il s'affiche. Dans certains cas, il ne sera accepté que lorsque le suivant sera proposé par Authenticator. C'est le signe que les horloges PC/Android/iOS/serveur ne sont pas synchronisées. La solution consiste alors à effectuer la synchronisation de toutes les horloges internes.
 +
 
 +
=== Must match character set ===
 +
Le message '''Must match character set''' peut se produire après une mise à jour. Il indique que la double authentification sous Joomla n'est plus opérationnelle. Pour régler ce problème procéder comme suit :
 +
* Se connecter sans code
 +
* Supprimer le compte dans Authenticator
 +
* Désactiver la double authentification pour l'utilisateur pour qui cela ne fonctionne plus
 +
* Réactiver la double authentification comme expliqué à l'étape 2 plus haut
 +
* A ce stade tout devrait rentrer dans l'ordre
 +
 
 +
= Articles [[Vulgum Techus]] =
 +
* [[double authentification]]
  
 
= Commentaires =
 
= Commentaires =

Version actuelle en date du 30 avril 2019 à 16:26

Lien court vers cette page : https://vt.cx/DaJ
QR code vers cette page : https://vt.cx/DaJ.qr

Lexique

Présentation

Ultime sécurisation pour tous les accès, la double authentification a fait son arrivée sur Joomla depuis la version 3.2. Cette fonctionnalité utilise un plugin spécifique qui n'est pas activé par défaut. Voici comment le mettre en fonction et paramétrer l'accès sécurisé.

Procédure

Activation

L'ensemble des manipulations décrites ici impose la présence d'une version 3.2 ou supérieure de Joomla. L'opération se fait en deux étapes sous réserve que les plugins de double authentification aient été activés.

  1. Activation du plugin (dépend de la version de Joomla)
  2. Choix du type de double authentification souhaité
  3. Paramétrage des utilisateurs

Étape 1

L'activation des plug-ins nécessaires à la double authentification a été faite lors de l'installation de Joomla 3.2 de la manière suivante :

  • Se connecter au back office du site Joomla avec un compte super administrateur
  • Afficher les messages post installation
  • Au niveau du message L'authentification en deux étapes est disponible cliquer sur Activer l'authentification en deux étapes

Si cela n'a pas été fait, les plug-ins sont dans la liste A découvrir et doivent être activés comme suit :

  • Choisir Découvrir dans le menu Extensions
  • Cocher les deux plug-ins relatifs à la double authentification et cliquer sur le bouton Installer

A ce stade les deux plug-ins nécessaires sont maintenant disponibles et leur paramétrage peut commencer à l'étape suivante.

Étape 2

  • Se connecter au back office du site Joomla avec un compte super administrateur
  • Dérouler Extensions et choisir Plug-ins
  • Saisir Auth dans le champ de recherche et cliquer sur la loupe
  • La liste de tous les plug-ins contenant Authentification dans leur titre s'affiche
  • Choisir une ou plusieurs Authentification en deux étapes proposées soit :
  • Les paramètres proposés pour chacune des authentifications sont :
  • Section du site -> choisir les accès protégés à savoir :
    • Site -> front office (accessible aux administrateurs et généralement aux utilisateurs enregistrés)
    • Administration -> back office (accessible aux administrateurs et aux modérateurs de tous niveaux)
    • Les deux -> front et back office
  • statut -> activé ou désactivé. Choisir activé pour la mettre en fonction
  • Accès -> choisir un type d'utilisateur si nécessaire
  • Une fois les choix effectués, cliquer sur Enregistrer et Fermer pour les valider et quitter le paramétrage du plug-in

Étape 3

Cette étape paramètre, pour un utilisateur particulier, le moteur d'authentification choisi. Ceci implique l'installation préalable sur un smartphone ou une tablette de l'application correspondant à la méthode choisie parmi les deux proposées par la version 3.5.1 de Joomla à savoir Google Authenticator ou YubiKey. Ceci fait, procéder comme suit :

  • Cliquer sur Utilisateurs dans le back office de Joomla
  • Cliquer sur l'utilisateur à qui l'on souhaite permettre la double authentification
  • Confirmer le mot de passe de l'utilisateur
  • Cliquer sur l'onglet Authentification en deux étapes (cet onglet n'est visible que si l'étape 2 a été suivie)
  • Dans le menu déroulant Méthode d'authentification, choisir celle souhaitée parmi celles qui ont été activées durant l'étape 2
  • Suivre les instructions données par l'activation choisie
  • Saisir le Code de sécurité indiqué par l'application d'authentification sur le smartphone ou la tablette impliquée dans le process
  • Cliquer sur Enregistrer pour vérifier que tout est conforme. Si c'est le cas aucun message d'erreur n'est affiché et l'on revient en début d'étape 3. On peut maintenant cliquer sur Fermer pour quitter la gestion Utilisateur.
  • Une liste de 10 mots de passe d'urgence à utilisation unique est fournie qu'il faut noter précieusement pour pouvoir se connecter lorsqu'il y a un problème d'accès à Google Authenticator ou à YubiKey. Si cette liste n'est pas proposée, c'est que la synchronisation entre les horloges des différents intervenants (PC, Android ou iOS, serveur) ne sont pas synchronisées et qu'il faut y remédier en synchronisant l'ensemble des horloges comme, par exemple :
    • Android -> Paramètres -> Date et heure -> Dates et heure automatiques
    • Windows -> Windows+R -> timedate.cpl -> Temps Internet -> Modifier les paramètres... -> Synchroniser avec un serveur de temps Internet -> Choisir le serveur -> Mettre à jour

Désactivation

La désactivation peut se faire plus ou moins facilement selon qu'on peut ou non accéder au back office du site protégé par la double authentification

Accès au back office

Désactivation globale

La désactivation globale concerne tous les utilisateurs d'un coup. Pour cela il suffit simplement de désactiver le plugin comme suit :

  • Se connecter au back office du site Joomla avec un compte super administrateur
  • Dérouler Extensions et choisir Plug-ins
  • Saisir Auth dans le champ de recherche et cliquer sur la loupe
  • La liste de tous les plug-ins contenant Authentification dans leur titre s'affiche
  • Choisir les Authentification en deux étapes actives parmi celles disponibles et les désactiver en les cochant et en cliquant sur Désactiver

Désactivation utilisateur

Celle-ci consiste à supprimer l'authentification en deux étapes pour un utilisateur particulier. Pour cela procéder comme suit :

  • Se connecter au back office du site Joomla avec un compte super administrateur
  • Cliquer sur Utilisateurs dans le back office de Joomla
  • Cliquer sur l'utilisateur à qui l'on souhaite désactiver la double authentification
  • Cliquer sur l'onglet Authentification en deux étapes (cet onglet n'est visible que si l'étape 1 a été correctement effectuée)
  • Dans le menu déroulant Méthode d'authentification, choisir Désactiver l'authentification en deux étapes
  • Cliquer sur Enregistrer & Fermer

Pas d'accès au back office

Dans le cas où l'accès au back office n'est pas possible il reste possible de désactiver l'authentification en deux étapes en intervenant directement sur la base de données du site à condition d'y avoir accès. Voici comment procéder :

  • Se connecter au serveur
  • Lancer phpMyAdmin
  • Ouvrir la table _extensions
  • Mettre enabled à 0 dans le champ plg_twofactorauth_totp pour désactiver l'authentification en deux étape avec Google Authenticator
  • Mettre enabled à 0 dans le champ plg_twofactorauth_yubikey pour désactiver l'authentification en deux étapes avec YubiKey

Problèmes rencontrés

Code refusé

Il est possible que le code affiché dans Authenticator ne soit pas accepté au moment où il s'affiche. Dans certains cas, il ne sera accepté que lorsque le suivant sera proposé par Authenticator. C'est le signe que les horloges PC/Android/iOS/serveur ne sont pas synchronisées. La solution consiste alors à effectuer la synchronisation de toutes les horloges internes.

Must match character set

Le message Must match character set peut se produire après une mise à jour. Il indique que la double authentification sous Joomla n'est plus opérationnelle. Pour régler ce problème procéder comme suit :

  • Se connecter sans code
  • Supprimer le compte dans Authenticator
  • Désactiver la double authentification pour l'utilisateur pour qui cela ne fonctionne plus
  • Réactiver la double authentification comme expliqué à l'étape 2 plus haut
  • A ce stade tout devrait rentrer dans l'ordre

Articles Vulgum Techus

Commentaires

blog comments powered by Disqus