Bonnes ID ~ Clément Oudot

Tout d'abord je vous souhaite une excellente année 2010, remplie de projets d'authentification unique, de politique des mots de passe, de synchronisation et d'annuaires LDAP.

En ce début d'année, deux appels à conférences ont été publiés pour des évènements majeurs :

• Linux Tag 2010 à Berlin, du 9 au 12 juin
• RMLL 2010 à Bordeaux, du 6 au 11 juillet

Alors à vos claviers pour présenter vos projets !

J'ai présenté il y a quelques semaines sur le site LinuxFr le projet LDAP Tool Box : Article LinuxFR

Ce projet est une compilation des différents scripts et programmes que nous utilisons dans les projets de gestion d'identités basés sur des logiciels libres. On retrouve en particulier :

• Scripts de supervision Nagios et Cacti
• Script de lancement et d'arrêt d'OpenLDAP
• Interface de changement de mot de passe
• Script d'alerte d'expiration des comptes
• RPMs OpenLDAP pour RHEL5
• Convertisseur de CSV ou LDIF en LDIF

Depuis cet article, de nombreux messages de soutien sont arrivés, et également des contributions qui ont permis de sortir de nouvelles versions des différents programmes. En particulier ont été publiés les RPMs pour OpenLDAP 2.4.19 et une version 0.2 de l'interface de changement de mot de passe.

Merci donc aux développeurs, aux utilisateurs et contributeurs du projet LTB.

Site du projet LTB

L'ALDIL organise les 15, 16 et 17 octobre la 11ème édition des Journées Du Logiciel Libre sur le Campus de la Doua (Villeurbanne) dans les locaux de CPE Lyon (école supérieure de chimie, physique et électronique).

C'est l'occasion de venir rencontrer les acteurs du libre lyonnais et d'assister à des conférences variées et de très bonne qualité.

Pour ma part, j'aurai le plaisir de présenter LemonLDAP::NG le vendredi 16 octobre à 14h.

Voir aussi :

• Le programme des conférences
• L'ALDIL
• LemonLDAP::NG

En attendant un article plus complet sur la sortie officielle de la version 0.9.4 de LemonLDAP::NG, voici quelques nouvelles de la valve Tomcat.

Un version 2.1 a été publiée il y a quelques jours apportant un nouveau paramètre : passTrough. Ce paramètre permet de refuser toute connexion ne possédant pas les en-têtes attendues.

Par défaut toutes les connexions arrivent jusqu'à l'application. Avec le paramètre passTrough à "false", les en-têtes sont requises. Le paramètre allows permet toujours de filtrer les connexions autorisées par adresse IP.

Plus d'informations sur la page dédiée du wiki LemonLDAP::NG.

Merci à Thomas Chemineau pour la contribution, et Pascal Pejac pour la création de la valve.

Depuis quelques jours une version beta de la nouvelle mouture (0.9.4) de LemonLDAP::NG est disponible en téléchargement sur la forge OW2.

Cette version permet de tester dès maintenant les nouvelles fonctionnalités comme :

• Gestion de la configuration directement dans l'annuaire
• Envoi d'un nouveau mot de passe par mail
• Nouvelle gestion SOAP des sessions et de la configuration
• Jours et horaires d'accès (avec gestion des fuseaux horaires)

Cette liste n'est pas exhaustive et sera complétée pour la sortie officielle de la 0.9.4. En attendant n'hésitez pas à essayer la version beta !

Liens :

• Site de LemonLDAP::NG
• Captures d'écran
• Téléchargement de la version beta

LemonLDAP::NG est un logiciel de Web-SSO, développé par Xavier Guimard et destiné à protéger des applications Web. Pour les utilisateurs, cela permet de ne s'authentifier qu'une seule fois, et pour les administrateurs du WebSSO cela permet de contrôler de manière centralisée les droits d'accès aux applications.

LemonLDAP::NG est une réécriture de la version initiale LemonLDAP, qui n'est aujourd'hui plus maintenue. Eric German, leader historique de la communauté, est à présent impliqué sur un nouveau projet, LemonID, que nous vous invitons à découvrir.

Cette version est normalement la dernière avant la 1.0 qui se concentrera sur la refonte de la configuration (utilisation de XML, exhaustivité des paramètres de configuration dans la console d'administration Web, etc.). Elle apporte toutefois un lot conséquent de corrections et d'améliorations, telles qu'un menu des applications autorisées, un explorateur de session, et des paquetages pour les systèmes basés sur Debian et RedHat.

Cette version est également importante en terme de sécurité car elle corrige quelques failles de Cross Site Scripting (XSS) et ajoute un contrôle plus fort sur les URL de redirection.

LemonLDAP::NG permet de déployer trois types d'architectures de WebSSO :

• Un système de mandataire inverse (reverse-proxy) qui concentre en un point unique le portail d'authentification et les agents de contrôles. L'utilisateur n'accède alors jamais directement aux applications mais utilise toujours le mandataire.
• Un système de délégation, où les agents de contrôles sont déployés au plus près des applications. Dans ce cas l'utilisateur accède directement aux applications, dont les agents interagissent avec le portail d'authentification pour valider les sessions.
• Un système mixte, mélangeant le mandataire inverse et la délégation.

Voici quelques détails supplémentaires sur les principales fonctionnalités du produit :

• Indépendance des mécanismes d'authentification et de recherche des données de l'utilisateur : la phase d'authentification permet de valider la création de la session WebSSO, elle peut être effectuée sur un annuaire LDAP, par certificat SSL, par Liberty Alliance, par CAS, par Kerberos ou tout autre méthode d'authentification disponible dans Apache2. La phase de recherche des données correspond elle à la récupération des informations propres à l'utilisateur (nom, mail, etc.) qui serviront d'une part à valider les règles d'accès, et d'autre part à approvisionner les applications protégées. Cette phase ne peut à l'heure actuelle être opérée que sur un annuaire LDAP (l'ajout d'autres méthodes est prévu dans les futures versions).
• Utilisation des Web-Services (SOAP) : il est possible d'activer les Web-Services pour s'authentifier (et donc créer la session SSO correspondante), consulter et modifier les sessions existantes, consulter et modifier la configuration.
• Portail d'authentification : il permet de s'authentifier lorsque l'on est redirigé depuis des applications protégées, mais propose également un module de menu dynamique des applications (seules les applications autorisées sont affichées à l'utilisateur) et un module changement de mot de passe. L'affiche de ces modules est également dynamique, et peut permettre par exemple de ne proposer le changement de mot de passe qu'à une certain profil d'utilisateurs.
• Interface d'administration graphique : LemonLDAP::NG fournit par défaut un Manager qui permet d'éditer à travers une page Web la configuration générale du WebSSO ainsi que les droits d'accès et les en-têtes spécifiques à chaque application protégée. Cette nouvelle version propose également un explorateur de sessions, offrant une vue hiérarchique des sessions (par identifiant ou adresse IP), et affichant le contenu de chacune d'elles. Cette interface peut être protégée directement par le WebSSO.
• Choix des backends de session et de configuration : les sessions peuvent être stockées comme fichiers, dans une base MySQL, par SOAP ou dans memcached. La configuration peut être stockée comme fichier, dans une base MySQL ou par SOAP. Ce choix permet de mettre en place très rapidement des solution de haute-disponibilité. En cas de configuration stockée sur un système distant, un mécanisme de cache permet de limiter le transfert des données sur le réseau.
• Agents et applications compatibles : un certain nombre d'applications sont déjà compatibles avec LemonLDAP::NG, en particulier GLPI, Sympa, Dokuwiki, ... Mais des agents sont également disponibles, en particulier une valve pour Tomcat permettant le SSO sur les application J2EE délégant leur sécurité au conteneur de servlets (par exemple le CMS Lutece, probe, etc.). De plus, toutes les applications Web utilisant des protections Apache (par exemple par htaccess) sont nativement compatibles (c'est le cas de Nagios). Enfin, la nouvelle version de LemonLDAP::NG peut à présent mettre le mot de passe de l'utilisateur en session, ce qui permet par exemple le SSO sur des applications protégées par HTTP Basic (en particulier le fameux Outlook Web Access).
• Pages de statuts et scripts de supervision : une page de statut est à présent disponible (équivalent au mod-status d'Apache), permettant de réaliser simplement des graphiques avec des outils de supervision (un script pour MRTG est fourni dans les exemples).
• Politique des mots de passe : LemonLDAP::NG est compatible avec la politique des mots de passe des annuaires LDAP qui suivent le draft de la RFC. C'est le cas d'OpenLDAP avec l'overlay policy. Cela permet à l'utilisateur de savoir que son compte est bloqué ou expiré, et de changer son mot de passe en respectant les critères fixés dans l'annuaire (taille minimale, présence dans l'historique, etc.)

Cette version fait donc état de la grande maturité du produit et des nombreuses fonctionnalités offertes. Toute la communauté reste à l'écoute des utilisateurs pour répondre aux questions et enrichir le logiciel selon leurs besoins. Toutes les contributions sont également les bienvenues.

Liens :

• Site officiel
• Téléchargement
• Captures d'écran
• Projet sur la forge OW2
• Article sur Linuxfr

Les 24 et 25 septembre a eu lieu la troisième édition de Paris Capitale du Libre. Cela a été pour moi l'occasion de présenter pour la première fois notre nouvelle offre Lin ID.

Le logo est provisoire et le site est encore en construction, mais Lin ID est déjà une offre bien concrète, puisque son objectif est de fournir une solution intégrée de différentes briques Open Source existantes de gestion et de fédération des identités.

Cette offre couvre l'ensemble de besoins d'une entreprise dans le domaine de l'identité, en particulier :

• Approvisionnement des référentiels sources et destinations
• Workflows
• Publication et édition des données
• Single-Sign On
• Gestion centralisée des habilitations
• Traçabilité
• Accès aux cercles de confiance des partenaires

La présentation est attachée à ce billet.

Début juillet ont été publiées deux contributions pour le produit de WebSSO LemonLDAP::NG : une nouvelle version de la valve Tomcat (par Pascal Pejac) et un plugin Dokuwiki (par Erwan Legall).

Le plugin Dokuwiki permet de configurer un nouveau mode d'authentification, nommé "lemonldap". Il ne fonctionne qui si l'agent (Handler) est sur le même serveur Apache que Dokuwiki (pas de reverse proxy, utilisation de la variable système REMOTE_USER). Une fois en place, l'authentification à votre wiki sera gérée par LemonLDAP::NG.

La valve Tomcat s'adresse à toutes les applications J2EE utilisant le conteneur de servlets pour leur gestion d'authentification et d'autorisation (identifiant et rôles des utilisateurs). Ainsi, vous pouvez gérer l'ensemble de vos rôles dans un annuaire LDAP central, et ces rôles seront fournis aux applications par LemonLDAP::NG. Vos applications n'ont pas à être modifiées, car c'est la valve qui sera chargée de communiquer avec le WebSSO. Cela garantit donc une intégration sans modification de code.

Liens :

• Plugin Dokuwiki : Fichier | Documentation
• Valve Tomcat : Fichier | Documentation

Au pays où les téléphones publics sont roses, où les voitures de police sont vertes, et où on ne traverse pas (enfin presque jamais) au rouge, la sentence ci-dessus annonçait clairement la couleur des Linux Tag 2008. Elle a été prononcée par Jono Bacon (Canonical) lors de sa conférence Standing On The Shoulders Of Giants: The Coming Of The Linux Desktop.

Les Linux Tag se sont donc tenus au Messezentrum, grand complexe d'exposition situé au pied de la Funkturm, à l'ouest de la capitale allemande. J'ai eu le privilège de participer aux deux derniers jours de cette manifestation qui s'est déroulée du 28 au 31 mai 2008.

Dès l'entrée, on note immédiatement la différence avec des évènements tels que les Linux Days de Genève ou Solution Linux à Paris : ici, ce sont les stands des communautés qui s'imposent (par leur nombre et leur qualité), laissant ça et là des espaces aux sociétés exposantes (dont SUN, IBM, ...). En fait, la mixité de tous ces acteurs (communautés, particuliers et professionnels) est le point fort de ce salon, et certainement l'une des meilleures leçon à retenir : chacun a un rôle à jouer, chacun peut avoir un impact...

Citons pour illustrer ces propos :

• un stand LPI proposant ses certifications,
• un stand sur les jeux libres avec une démonstration de simulateur de vol gérant l'affichage simultané sur 3 écrans,
• un stand de la communauté OpenLDAP (très rare !),
• les stands alignés de OpenBSD, NetBSD et FreeBSD,
• un stand présentant des logiciels pour musiciens, avec notamment un générateur d'effets de guitare tournant sur un OLPC,
• un stand de merchandising avec des nombreux T-shirts et peluches,
• le stand du Linux Verband (l'équivalent de la FNILL en France)
• la présence forte de Suse (distribution allemande de référence)
• un stand de robotique
• de nombreux stands Ubuntu, Kunbuntu, KDE, Amarok, ...

Bref, il y en avait pour tous les goûts, et l'affluence du public (de plus pour une manifestation payante) en est le témoin.

Mais les Linux Tag, c'est également de nombreuses conférences, jusqu'à 6 sessions en parallèle, pour au moins 6 conférences par jour pendant 4 jours ! J'ai eu le plaisir de pouvoir animer l'une de ces conférences (en anglais) en présentant le projet FederID.

Cette session devait faire suite à une présentation OpenID, malheureusement l'intervenant (indien) n'a pu obtenir à temps son visa pour venir à Berlin. J'ai donc repris la parole après un trou dans le déroulement, devant un public clairsemé mais très attentif.

Vous retrouverez le contenu de la présentation sur le site du projet FederID : Page des conférences FederID

Retrouvez également toutes les photos !

Merci encore aux organisateurs, en particulier Nils Magnus, et également à LINAGORA sans qui tout cela ne pourrait être possible.