Qui n'a jamais dupliqué des entrées KeePass ? Soit parce que l'auto-type diffère selon les applications qui utilisent un même identifiant/mot de passe, soit parce les URLs d'appel sont différentes.
Si comme moi vous utilisez le même compte sur plusieurs mires de connexion c'est un casse tête. C'est le cas avec les nombreuses URL de connexion d'Office 365, ou de façon générale dès que vous avez un Active Directory. Un seul compte pour plusieurs applications.
Avec une entrée pour chaque connexion il faut toutes les mettre à jour quand le mot de passe change. C'est fastidieux et chronophage.
Voyons comment régler ça pour tout soit dynamique : une fois le mot de passe changé dans l'entrée maître il se propage à toutes les entrées enfant de KeePass.
Le problème
Imaginons que j'utilise mon identifiant "superbm@blogmotion.fr" avec 3 domaines/applications différents :
- adminbackoffice.bm.fr
- dashboard.blogm.net
- sso.bm-vpn.com
On pourrait utiliser l'extension Kee pour mémoriser l'identifiant/mdp et renseigner tous les domaines... sauf qu'en pratique ça ne marche pas très bien. Les mires de connexions peuvent être exotiques et Kee aura du mal à pré-remplir les champs. Et puis on perd l'intérêt du CTRL+U qui n'ouvrira que le domaine principal de l'entrée.
En réalité cette solution est parfaite quand la même application web utilise plusieurs domaines avec un même identifiant, pas quand il s'agit d'applications différentes. Aussi quand la séquence d'auto-type est différente car on est obligé de créer une 2ème entrée.
✅ La solution : les références
KeePass est un logiciel bourré d'options et de fonctionnalités, et répond nativement à cette problématique avec les références.
Le principe est simple : chaque champ d'une entrée contient un identifiant unique, qu'il est possible d'appeler depuis une autre entrée.
Tout d'abord il faudra créer une entrée mère avec au minimum ces 3 champs :
- Nom : SuperBM
- identifiant : superbm@blogmotion.fr
- mot de passe : CeQueVousVoulez
Maintenant nous allons créer nos 3 entrées filles, voici la première :
- Nom : adminbackoffice.bm.fr (au choix)
Le nom d'utilisateur et le mot de passe seront issus de l'entrée mère "SuperBM".
Modifier cette entrée fille puis :
- cliquez sur le menu "outils" en bas à gauche
- insérer une référence à champ > dans le champ Nom d'utilisateur
Une fenêtre de recherche apparaît.
- Cherchez l'entrée mère "superbm@blogmotion.fr" dans le filtre en haut à droite et faire ENTREE
- Choisir "UUID" et "Nom d'utilisateur" comme champ de destination :
Répétez l'opération pour le mot de passe depuis le menu outils :
> insérer une référence à champ > dans le champ Mot de passe
Puis choisir "mot de passe" comme champ d'origine dans la fenêtre qui apparait.
Votre entrée comporte maintenant une référence pour l'identifiant et une référence pour le mot de passe :
➕Bonus : savoir lire l'UUID d'une entrée
Si vous allez dans l'onglet "propriétés" d'une entrée > UUID :
B86EE0435A5A8E4B07D82BEA3864732A, ps74bKpeBkuT2C4cNGKwcg==
Le champ avant la virgule "," correspond à l'identifiant (UUID) de cette entrée.
Vous comprenez maintenant que cet exemple de référence :
{REF:X@I:B86EE0435A5A8E4B07D82BEA3864732A}
est sous la forme :
{REF:<champ_cible>@I:<UUID>}
Avec X :
- U : nom d'utilisateur
- P : mot de passe
- A : URL
- N : notes
Exemples de références à un :
- identifiant :
{REF:U@I:B86EE0435A5A8E4B07D82BEA3864732A}
- un mot de passe :
{REF:P@I:B86EE0435A5A8E4B07D82BEA3864732A}
Il est possible de faire plein de choses dynamiques, recherche l'entrée mère par son nom, avoir un identifiant fixe et un mot de passe en provenance d'une entrée mère...
C'est extrêmement complet : cf documentation KeePass.
Conclusion
A partir du jour ou j'ai découvert les références tout s'est simplifié dans ma base KeePass. Terminé l'entrée dupliquée pour l'applicatif de déclaration RH qui utilise vos identifiants AD 🙂 L'entrée existe toujours mais l'appel du mot de passe est dynamique. Quel plaisir de remplacer ces doublons par des références !
A noter que cela fonctionne aussi pour les identifiants qui sont parfois en domaine AD court (ex : MABOITE) et d'autres en domaine AD FQDN (ex : MABOITE.LOCAL). J'utilise aussi cette astuce pour avoir un autotype de mes identifiants AD qui fonctionnent avec Windows et Linux. J'ai créé une entrée dédiée pour chaque OS avec une référence vers mon entrée principale contenant mon couple d'identifiants/mdp AD. La séquence de touche est personnalisée pour chaque OS car il faut une tabulation pour passer de l'identifiant au mot de passe avec Windows, et ENTREE avec Linux en SSH.
Ainsi quand je change mon mot de passe AD toutes les entrées pointant vers cette référence sont automatiquement à jour. Pour ceux qui se posent la question, ce n'est pas plus lent, c'est totalement transparent à l'utilisation.
Auteur : Mr Xhark
Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter
3 commentaires
Merci pour l'info.
Salut !
J'ai tenté de jouer avec ça il y a quelques temps déjà, malheureusement Kee que j'utilise pour remplir les champs dans Firefox récupère l'entrée "brute" et pas le mot de passe, je ne sais pas si tu as été confronté à cela.
Salutations
@Strik-Strak: Hello ! Alors je n'ai aucun souci avec Kee et firefox. Vérifie bien que le champ est vide avant de lier une référence, sinon il l'ajoute à la valeur déjà présente et effectivement là ça déconnera (on le voit pas forcément facilement sur le mot de passe étant donné qu'il est masqué par défaut)