Bonnes ID ~ Clément Oudot - . . . . . . _ _ _

Sortie de LemonLDAP::NG 1.2.4

KPTN — Fri, 26 Apr 2013 17:24:00 +0200

Une nouvelle version de LemonLDAP::NG est sortie le 23 avril 2013 : la version 1.2.4.

Cette version sera l'une des dernières de la branche 1.2, l'équipe travaillant désormais sur la version 1.3. Elle ne comporte que quelques correctifs :

Suppression de certains logs de debug dans le backend de configuration LDAP
Meilleure gestion des logs de l'interface du backend de configuration
Correction d'un bug empêchant l'utilisation du backend Multi avec un # dans le nom des modules
Correction des problèmes d'encodage dans les POD des modules Perl

Les notes de publications sont visibles ici, et cette nouvelle version est téléchargeable ici.

Pensez à mettre à jour votre installation !

LemonLDAP::NG version entreprise sera en Java

KPTN — Mon, 01 Apr 2013 14:47:00 +0200

La communauté du logiciel libre LemonLDAP::NG a longtemps hésité avant de prendre cette décision, mais cette dernière semble être la meilleure option pour faciliter l'implantation de LemonLDAP::NG dans le monde des entreprises : LemonLDAP::NG Pro Special Edition sera en Java ou ne sera pas.

Un échange de bons procédés avec Oracle

La version entreprise de LemonLDAP::NG sera développée en partenariat avec Oracle, qui fournira des extensions dédiées dans sa JVM (Je Vous Méprise). Les avantages sont clairs pour le produit :

Formulaire d'enregistrement avant de télécharger le logiciel, permettant d'établir une cartographie réaliste des utilisateurs
Paquets RPM binaires avec validation de la licence avant l'installation
Console d'administration en Java natif (nécessite un serveur X)
Utilisation d'une base de données Oracle pour le stockage de la configuration et des sessions (implémentation de triggers propriétaires à la clé)

Ceci n'est qu'un juste de retour des choses envers la société Oracle qui par sa conduite exemplaire a permis la migration vers le logiciel libre de nombreuses sociétés.

Des contraintes d'exploitation connues des entreprises

Pour déployer la version entreprise, il faudra disposer d'un serveur d'application JEE avec support EJB 3.0. Cela permet aux entreprises ayant investi dans des piles logicielles Java complètes de les rentabiliser au maximum.

On note d'ailleurs que LemonLDAP::NG sera diffusé sous forme d'EAR en plus des RPMs Oracle afin de complexifier le processus d'installation, trop simple avec la version communautaire (apt-get install lemonldap-ng ou yum install lemonldap-ng). Ainsi, les professions de chefs de projet et architectes J2EE seront valorisées.

Afin de faire tourner cette nouvelle version, des actions manuelles sur la base de données et sur les paramètres bas-niveau du système d'exploitation seront nécessaires quotidiennement. Elles nécessiteront le passage par une interface graphique, empêchant ainsi toute automatisation, et donc le maintien d'un certain nombre d'emplois informatiques.

Relance du marché du matériel informatique

La version entreprise de LemonLDAP::NG sera basée sur les fonctionnalités de la version communautaire, avec les améliorations suivantes :

Formulaire d'authentification sous forme d'applet java
Utilisation de frames dans l'interface utilisateur
Support de IE 5.5 et Mozaic

Ces améliorations sont aussi accompagnées de contraintes matérielles supplémentaires. Ainsi pour le support de 100 utilisateurs, il faudra prévoir :

16 Go de RAM
4 cœurs
60 Go d'espace disque

On déconseillera la virtualisation afin de permettre aux entreprises d'investir dans du matériel performant directement fabriqué en Asie par des informaticiens en devenir.

Support de Microsoft Windows et autres

Enfin ! se diront les lecteurs assidus de la presse informatique spécialisée dans les technologies peu novatrices. La version entreprise de LemonLDAP::NG étant en Java, elle sera directement disponible pour les plate-formes professionnelles et sécurisées comme Windows Server, AIX et Solaris.

Fonctionnalité spéciale pour nos amis des plates-formes Windows, une version ASP du Handler LemonLDAP::NG nativement disponible sous IIS. Le cookie ne sera néanmoins compatible que pour Internet Explorer. L'authentification Active Directory sera également améliorée, avec la fourniture d'une sur-couche d'une sur-couche d'une sur-couche de la fenêtre d'authentification des postes de travail Windows, compatible Vista.

Disponibilité en 2014

La première version entreprise sera disponible en 2014, avec une version majeure tous les deux ans. Une version mineure sortira tous les 6 mois, incluant les correctifs de sécurité nécessaires à l'exposition du service sur Internet. Les processus de mises à jour seront industrialisés afin d'occuper prestataires et sous-traitants sur la gestion des régressions fonctionnelles. Les API évolueront également en profondeur afin de laisser la part belle aux développeurs.

Malgré ces innovations de taille, la version communautaire continuera d'être maintenue, en Perl sous GNU/Linux, pour les amateurs et les bricoleurs. Nous espérons toutefois que vous adhérerez rapidement à la version entreprise afin de rentrer dans les rangs de l’homogénéité informatique.

LemonLDAP::NG 1.2.3 : Soleil !

KPTN — Tue, 19 Feb 2013 17:19:00 +0100

Le 8 février dernier est sortie la version 1.2.3 de LemonLDAP::NG. Prévue à l'origine pour n'être qu'une version corrective de la branche 1.2, de nombreux bugs et améliorations ont été inclus dans cette version, ce qui explique sa sortie tardive (6 mois après la version 1.2.2). Panorama de ces changements.

Les signatures SAML au cœur du cyclone

En décembre, une alerte de sécurité a été diffusée concernant le traitement des signatures SAML dans LemonLDAP::NG (CVE-2012-6426), problème corrigé dès le 18 décembre sur le SVN du projet.

Concrètement, la vérification des signatures était désactivée par défaut lors de la réception des messages et la fonction chargée de vérifier ensuite la signature n'était pas effective (mauvais appel de fonction de la librairie Lasso).

Si vous travaillez donc avec le protocole SAML dans une version inférieur à 1.2.3, la mise à jour est chaleureusement conseillée pour revenir à une situation au beau fixe.

Cette version apporte de plus certaines améliorations sur SAML, comme le support des NameID transient, un meilleur log des échanges SAML et la compatibilité de l'IDP SAML avec une authentification CAS.

Soleil Orage Averse Pluie

Le support de SOAP a été amélioré :

Le ciel est tombé sur l'en-tête X-Forwarded-For

Jusqu'ici, la gestion de l'en-tête X-Forwarded-For n'était pas évident. Cette en-tête est gérée par les proxys et permet de connaître l'adresse IP d'origine d'une requête HTTP, donc l'IP du client.

Avant la version 1.2.1, l'activation de la gestion de cette en-tête inscrivait l'IP dans une variable spécifique de la session ($xForwardedForIpAddr), laissant l'IP standard dans la variable $ipAddr. Hors, même s'il est possible d'utiliser la variable $xForwardedForIpAddr dans des règles, dans d'autres endroits du code, $ipAddr est forcément utilisé (par exemple dans les logs, ou dans les modèles HTML des mails envoyés).

Cette gestion a été revue, désormais si l'option X-Forwarded-For est activée dans LemonLDAP::NG, alors la variable de session $ipAddr prendra cette valeur, ce qui s'appliquera donc à toutes les fonctions utilisant cette variable.

De plus, depuis la version 1.2.3, pour éviter que la valeur de cette en-tête soit modifiée manuellement par les utilisateurs, une règle de sécurité est apparue pour n'accepter cette en-tête que depuis certaines IP (en l'occurrence les adresses IP des proxys s'ils existent).

Accalmie sur les rejeux de formulaire

Les rejeux de formulaire sont une fonctionnalité assez marginale, permettant de transformer des requêtes GET en POST, utilisant comme données POST des informations de la session de l'utilisateur. En utilisant la fonction de sauvegarde du mot de passe en session, cela permet donc de faire du SSO sur des applications ~~mal écrites~~ propriétaires.

Plusieurs bugs ont été corrigés pour rendre cette fonction plus opérationnelle :

Toutefois, cette fonctionnalité reste assez peu avancée, et il est préférable d'utiliser les modes standards de SSO (en-tête HTTP, CAS, SAML, ...).

Séance d'UV pour le portail

Le portail est la partie visible de LemonLDAP::NG, là où les utilisateurs s'authentifient, changent leur mot de passe et voient les applications auxquelles ils sont accès.

Comme le physique c'est important, la version 1.2.3 apporte deux nouveautés dans ce domaine :

D'hiver

D'autres améliorations diverses ont été faites :

Après la pluie

À présent que vous êtes convaincus qu'il faut absolument installer cette nouvelle version, courrez la télécharger, ou mettez à jour via vos distributions préférées !

L'équipe du projet LemonLDAP::NG travaille déjà sur la version 1.3. N'hésitez pas à venir nous prêter main forte !

Sortie de LemonLDAP::NG 1.2.2

KPTN — Tue, 25 Sep 2012 13:36:00 +0200

Une nouvelle version mineure de LemonLDAP::NG est sortie la semaine dernière, c'est l'occasion pour présenter les évolutions qui on eu lieu depuis la sortie de la version majeure 1.2 en juin dernier.

Une première version mineure (1.2.1) a été publiée en juillet, avec les changements principaux suivants :

Correction d'un bug critique empêchant les groupes LDAP d'être enregistrés en session.
Correction de l'inclusion des modèles HTML pour l'envoi des mails.
Modification de la gestion de l'IP "X-Forwarded-For" : auparavant, la valeur de l'en-tête était stockée dans une clé de session séparée, désormais, si l'option "Utiliser X-Forwarded-For" est activée, la valeur du champ IP de la session est remplacée par la valeur de l'en-tête. Cela permet une meilleure prise en compte de cette option lors de la navigation dans l'explorateur de sessions, et pour l'affichage de l'historique de connexion.
Ajout compatibilité CSS3 dans les modèles graphiques.

La seconde version mineure (1.2.2) sortie il y a quelques jours apporte les changements suivants :

Meilleure gestion du cross domain avec les cookies sécurisés
Plusieurs correctifs sur le backend Multi, permettant son utilisation par SOAP, et le chainage de plusieurs annuaires LDAP utilisant des paramètres de connexion différents
Nouveau web service pour supprimer des notifications

La liste complète des changements est accessible sur la forge du projet :

1.2.1
1.2.2

Il est donc vivement recommandé de mettre à jour votre version de LemonLDAP::NG si ce n'est pas déjà fait.

Sortie de LemonLDAP::NG 1.2

KPTN — Wed, 20 Jun 2012 12:02:00 +0200

Cette semaine est sortie une nouvelle version majeure de LemonLDAP::NG : la version 1.2.0. Annoncée et attendue depuis plusieurs mois (voir la présentation donnée au FOSDEM), elle est enfin disponible et propose de nombreuses améliorations.

LemonLDAP::NG est un logiciel de WebSSO, contrôle d'accès et fédération des identités. Ses principales fonctionnalités sont :

Portail d'application, affichant dynamiquement les applications autorisées
Réinitialisation du mot de passe par un challenge par mail
Interface d'administration Web
Explorateur de sessions
Notifications
Support de nombreux moyens d'authentifications (LDAP, SQL, certificat SSL, Kerberos, etc.)
Support des protocoles CAS, OpenID et SAML
Propagation de l'identité par en-têtes HTTP, variables d'environnement ou rejeu de formulaires
Identification des URLs à protéger par expressions régulières

On met le paquet

Tout d'abord avant d'entrer dans le détail des nouveautés, on peut noter que LemonLDAP::NG est désormais empaqueté pour les distributions suivantes :

Debian Squeeze
RHEL/CentOS 5
RHEL/CentOS 6
Mageia Caudron

Rien de plus simple donc pour installer ou mettre à jour LemonLDAP::NG que d'utiliser les outils standards des distributions comme apt-get, yum ou urpmi.

Une fonction historique

L'une des évolutions majeures de la 1.2 est l'historique des connexions. Cet historique permet de stocker les dates des dernières authentifications réussies et échouées. La raison de l'échec est également conservée.

Ces informations sont d'abord visibles par les administrateurs dans l'explorateur de sessions, car elles sont chargées lors de l'ouverture de la session SSO depuis la session persistante de l'utilisateur.

Il est ensuite possible de configurer LemonLDAP::NG pour présenter ces informations à l'utilisateur :

Par un onglet dédié dans le portail des applications
Par une case à cocher affichant ces informations avant redirection vers l'application protégée

Le nombre d'authentifications conservées dans l'historique est lui aussi paramétrable, pour les authentifications réussies comme pour les authentifications échouées.

Docteur qui ?

La question qui revient le plus souvent de la part des personnes installant pour la première fois LemonLDAP::NG est : "Où sont les utilisateurs ?"

LemonLDAP::NG n'est pas un annuaire LDAP ou un référentiel autre permettant de créer, modifier ou supprimer des comptes utilisateurs. Il s'appuie au contraire sur des référentiels existants dans l'entreprise (LDAP, base de données) ou externes via des protocoles de fédération d'identités (OpenID, SAML, ...)

Seulement il assez facile de comprendre la frustration ressentie lorsque l'on installe LemonLDAP::NG et qu'il faille créer soi-même un référentiel d'identités et le configurer avant de pouvoir tester le WebSSO.

Relaxez-vous, la nouvelle version de LemonLDAP::NG arrive avec un module "Démonstration" configuré par défaut, qui fournit des comptes utilisateurs factices permettant d'ouvrir une session et d'accéder aux applications de test. On peut ainsi installer et démarrer LemonLDAP::NG en quelques minutes.

Les comptes de test sont issus de la série Doctor Who :

Rose Tyler: rtyler/rtyler
Mickey Smith : msmith/msmith
Doctor Who: dwho/dwho

À noter que l'utilisateur "dwho" est le seul à avoir accès à l'interface d'administration et l'explorateur de sessions dans la configuration initiale.

Ne quittez pas, un agent va vous répondre

Des applications en maintenance, ça arrive même aux meilleurs. Si certaines organisations arrivent par des architectures en haute-disponibilité à éviter toute coupure de service lors de la mise à jour d'une application, ce n'est pas le cas pour tout le monde, et surtout parfois impossible pour certaines applications (schéma de base de données à modifier par exemple).

Dans ce cas, au lieu que les utilisateurs accédant à l'application se retrouvent avec des messages d'erreurs exotiques (et même s'ils ont été prévus 10 fois par mail qu'une opération de maintenance allait avoir lieu !), il est préférable de les rediriger vers une page dédiée expliquant que l'application est en maintenance.

Cette opération peut se faire en modifiant les configurations Apache, sur un ou plusieurs serveurs en fonction du déploiement de l'application, mais c'est souvent fastidieux et source d'erreurs.

La nouvelle version de LemonLDAP::NG propose désormais un mode maintenance qui permet de désactiver temporairement l'accès à une application. Il suffit d'activer cette option depuis l'interface d'administration, et automatiquement les utilisateurs sont redirigés vers une page d'erreur spécifique lorsqu'ils tentent de joindre l'application. La configuration de LemonLDAP::NG étant propagée à tous les nœuds des applications, ce mode s'applique directement sur ces nœuds, sans intervention nécessaire sur la configuration Apache.

De la flotte au menu

Petite nouveauté également, la possibilité d'ajouter un menu flottant sur les applications protégées. Ce menu est un module chargé dans la configuration Apache qui ajoute des éléments au DOM de la page à la volée. Il est donc non-intrusif sur les applications.

Ce module est pour l'instant très simple et ne propose que 2 liens : retour à la page du portail ou déconnexion. Il est par contre facile de se créer son propre module en copiant le module d'origine.

Ave Radius

L'authentification Radius vient s'ajouter aux nombreux autres moyens d'authentification proposés par LemonLDAP::NG.

Un des intérêts de Radius est d'être compatible avec Google Authenticator, qui propose une méthode de double authentification : mot de passe et OTP (One Time Password). L'OTP est envoyé sur le téléphone mobile et permet donc de s'assurer que l'utilisateur est celui qui possède le mot de passe et le téléphone mobile associé au compte.

La communauté de l'année

Cette nouvelle version est le fruit d'un travail communautaire important, avec de nombreux bugs et patchs rapportés par les utilisateurs avancés de la solution :

Dominique Fournier
Emmanuel Lesouef
Erwan Le Gall
Gaultier Hubert
Quentin Jaboeuf
Mathieu Parent
Romain Vrignaud
Sébastien Bahloul
ulkesh

L'équipe principale du projet s'est également beaucoup investie, en particulier François-Xavier Deltombe qui a rejoint le projet l'année dernière. Merci donc à lui et aux autres membres de l'équipe : Xavier Guimard et Thomas Chemineau.

Enfin, petit clin d'œil à Sandro Cazzaniga qui a rejoint Linagora pour la période estivale et qui a empaqueté LemonLDAP::NG pour Mageia.

Speed dating

Pour venir découvrir en direct cette nouvelle version, rendez-vous aux prochains salons du libre :

Pour les malchanceux qui ne pourront venir, le lot de consolation :

Conférence LemonLDAP::NG au FOSDEM 2012

KPTN — Tue, 07 Feb 2012 23:05:00 +0100

Comme chaque année, le FOSDEM a lieu à Bruxelles et rassemble de nombreux développeurs de logiciels libres venant de différents pays.

Cette année, pour la première fois, j'ai eu le plaisir de pouvoir présenter LemonLDAP::NG dans la devroom Perl :

Cette présentation a été l'occasion d'annoncer quelques nouveautés qui apparaîtront dans la prochaine version (1.2.0) sur laquelle nous travaillons activement :

Historique des connexions : les connexions réussies ou échouées sont conservées et peuvent être affichée dans le menu du portail. Cela permettra en particulier de vérifier quand son compte a été utilisé.
Module d'authentification Radius : contribué par des utilisateurs avancés du logiciel, ce module est utile entre autres pour l'utilisation de l'authentification multi-facteurs de Google (voir le blog de Romain Vrignaud)
Règles d'ouverture de session personnalisées : on pourra paramétrer des règles refusant l'ouverture d'une session avec l'affichage d'un message contextuel

Cette nouvelle version apportera bien entendu son lot de correctifs et d'autres évolutions, elle devrait sortir d'ici le mois de mars. En attendant, vous pouvez retrouver les diapositives de la conférence du FOSDEM.

Sortie de LemonLDAP::NG 1.1.2

KPTN — Fri, 07 Oct 2011 16:57:00 +0200

Sortie d'une nouvelle version de LemonLDAP::NG en ce début d'automne, corrigeant quelques problèmes de la version 1.1.1, et apportant une amélioration du module fournisseur CAS.

Un problème ? Quel problème ? Mais y'a pas de problème

Parmi les petits soucis corrigés, on notera:

Meilleure gestion des dépendances Debian (Lasso et javascript-common)
Importation des fonctions étendues dans le Handler si la cage Safe est désactivée
Amélioration de la gestion des erreurs du Handler SecureToken
Modification du comportement de la fonction d'autorisation du portail : si l'application à afficher n'est pas connue du portail, elle est ignorée. On peut forcer l'affichage d'une application dans le portail avec le paramètre Display qu'il suffit de mettre à On.

CAS / Lemon, un cocktail d'enfer

LemonLDAP::NG est fournisseur CAS depuis la version 1.0. Cela permet de remplacer facilement son serveur CAS par LemonLDAP::NG. Il manquait toutefois une petite fonctionnalité : la gestion des autorisations pour les services CAS.

Avant cette version, le fournisseur CAS de LemonLDAP::NG renvoyait des tickets CAS aux services sans contrôler que l'utilisateur était bien autorisé à accéder à ce service. L'autorisation devait se faire soit en interne à l'application, soit en positionnant un Handler LL::NG devant.

Désormais, le fournisseur CAS peut vérifier l'autorisation d'accès à l'émission du ticket. Deux solutions alors si l'utilisateur n'est pas autorisé:

L'utilisateur reste sur le portail avec un message d'erreur adéquat
L'utilisateur repart sur le service avec un faux ticket, et l'erreur est alors gérée au niveau de l'application

À ma connaissance, cela fait de LemonLDAP::NG le seul serveur CAS sachant gérer les autorisations d'accès aux services !

On s'est pas déjà vu quelque part ?

C'est possible. Mais si vous voulez être certain de me croiser, ne ratez pas les prochaines occasions :

Sortie de LemonLDAP::NG 1.1.1

KPTN — Fri, 29 Jul 2011 16:16:00 +0200

En cette fin de juillet ensoleillée est sortie une nouvelle version mineure de LemonLDAP::NG, la 1.1.1

Cette version corrige les problèmes suivants :

Les fonctions SOAP n'étaient plus disponibles lorsque les notifications étaient activées
Les notifications devaient être acceptées deux fois par les utilisateurs déjà authentifiés
Le séparateur dans les nom de fichier des notifications n'était pas configurable
La recherche des groupes LDAP ne fonctionnait pas si le DN de l'utilisateur contenait des caractères spéciaux (comme l'anitslash)

La nouvelle version est téléchargeable ici : http://lemonldap-ng.org/download

Sortie de LemonLDAP::NG 1.1

KPTN — Thu, 21 Jul 2011 10:31:00 +0200

Ceci est la reprise de l'article rédigé pour LinuxFR, disponible ici : http://linuxfr.org/news/sortie-de-lemonldapng-11

Le 8 juillet dernier, à la veille de l'ouverture des RMLL, est sortie une nouvelle version majeure de LemonLDAP::NG.

LemonLDAP::NG est un logiciel de Web-SSO destiné à protéger des applications Web. Pour les utilisateurs, cela permet de ne s'authentifier qu'une seule fois (Single Sign-On) et pour les administrateurs du WebSSO cela permet de contrôler de manière centralisée les droits d'accès aux applications. LemonLDAP::NG supporte désormais de nombreux protocoles d'authentification et de fédération d'identités comme CAS, OpenID ou SAML 2.0.

La version 1.1 apporte un certain nombre de nouveautés présentées ci-dessous.

Gestion des notifications

Une notification est un message affiché à l'utilisateur lors de son accès au portail d'authentification (accès obligatoire pour la création de sa session SSO). Une notification peut contenir des cases à cocher, qui devront alors être activées par l'utilisateur pour poursuivre.

Ce système permet par exemple d'avertir un utilisateur sur la modification de ses habilitations, ou sur l'ajout ou la suppression d'une application dans le portail.

Les notifications existent dans LemonLDAP::NG depuis la version 0.9.4, mais le paramétrage de cette fonctionnalité était complexe. Depuis la version 1.1, le Manager (interface d'administration de la solution) possède désormais un explorateur qui permet de créer et parcourir les notifications.

De plus, les notifications peuvent désormais :

S'adresser à tous les utilisateurs (auparavant, une notification était enregistrée pour un utilisateur précis)
Posséder une condition d'affichage (ce qui permet par exemple d'afficher une notification pour des utilisateurs provenant d'un certain réseau, ou possédant certains attributs)

Pour plus d'informations, vous pouvez consulter la documentation en ligne.

Réinitialisation du mot de passe par mail

Lorsqu'un utilisateur a perdu son mot de passe, LemonLDAP::NG propose une page où il peut réinitialiser son mot de passe par mail. Il n'est bien entendu pas question de lui transmettre son mot de passe actuel, mais bien de lui permettre d'en changer via un challenge par mail. Cette méthode est inefficace si le mot de passe du WebSSO est le même que le mot de passe de sa messagerie, mais dans les autres cas, elle permet d'alléger considérablement les appels au support.

La cinématique est la suivante :

L'utilisateur fait une demande de réinitialisation en entrant son identifiant (ou tout attribut permettant de l'identifier de manière unique, comme son mail)
Un mail est envoyée avec un lien, dont la validité est configurable (par défaut 24 heures)
Le lien mène à une page permettant de saisir un nouveau mot de passe, ou de demander sa génération automatique
Le nouveau mot de passe est envoyé par mail

Pour plus d'informations, vous pouvez consulter la documentation en ligne.

Authentification par Yubikey

La Yubikey est un périphérique physique permettant de faire de l'authentification avec mot de passe à usage unique (One Time Password, OTP).

LemonLDAP::NG permet désormais d'utiliser ce périphérique pour ouvrir une session SSO. Les attributs de l'utilisateur peuvent être ensuite récupéré en associant l'identifiant de la clé à l'identifiant de l'utilisateur dans la base des comptes (LDAP ou SQL).

Pour plus d'informations, vous pouvez consulter la documentation en ligne.

Personnalisation

La personnalisation du produit est facilitée dans la dernière version, en particulier :

Les messages d'erreurs peuvent être surchargés dans le fichier INI
Les thèmes possèdent désormais des modèles HTML "custom" inclus dans les modèles par défaut

Pour plus d'informations, vous pouvez consulter la documentation en ligne.

Sortie de LemonLDAP::NG 1.0.6 et autres actualités

KPTN — Wed, 01 Jun 2011 15:47:00 +0200

La version 1.0.6 de LemonLDAP::NG est sortie le 30 mai, apportant quelques corrections :

La recherche LDAP de l'utilisateur requête à présent explicitement la liste des attributs (et non la totalité des attributs)
La syntaxe de configuration de l'authentification multiple (backend Multi) est désormais acceptée dans le Manager
Les valeurs base64 sont correctement échappées dans le javascript du Manager pour être compatibles avec les sélecteurs jQuery

Cette version peut être téléchargée ici : http://lemonldap-ng.org/download

La prochaine version sera une version majeure, la 1.1.0, incluant quelques nouvelles fonctionnalités sympa :

Authentification par Yubikey
Authentification "esclave", c'est-à-dire liée à un produit de SSO frontal qui transmet les données dans les en-têtes HTTP (LemonLDAP::NG, SiteMinder, OpenAM, etc.)
Simplification de la personnalisation du thème graphique (pour les pages du portail et les mails HTML envoyés)
Amélioration de la fonctionnalité de réinitialisation du mot de passe par mail, avec renvoi possible du mail de confirmation, et saisie du nouveau mot de passe sur le portail, en plus de la possibilité de le générer
Gestion d'une notification globale, c'est-à-dire applicable à tous les utilisateurs (les notifications en 1.0 doivent être attribuées nominativement)

Cette nouvelle version devrait sortir fin juin/début juillet, on pourra en entendre alors parler lors de deux événements :

Sinon, vous pourrez trouver quelques informations sur LemonLDAP::NG dans le GNU/Linux Magazine de ce mois-ci (n°139 / juin 2011) dans le reportage sur ConFoo.

Sortie de LemonLDAP::NG 1.0.5

KPTN — Fri, 15 Apr 2011 17:58:00 +0200

Une nouvelle version de LemonLDAP::NG vient de sortir. Celle-ci apporte les changement suivants :

Correction d'un bug sur le menu des applications, qui masquait des applications autorisées à certains utilisateurs parce qu'elles étaient interdites à d'autres
Possibilité de définir une sous-routine dans lemonldap-ng.ini : cela permet de surcharger des méthodes à la volée, sans toucher au script index.pl
Gestion de l'authentification SMTP, pour la fonctionnalité de réinitialisation du mot de passe par mail

Cette version implique l'installation d'une nouvelle dépendance Perl: Clone. Si vous utilisez les paquets RPM ou DEB, cette dépendance sera installée automatiquement (il faudra toutefois un apt-get dist-upgrade au lieu d'un simple apt-get upgrade sous Debian).

Téléchargement: http://lemonldap-ng.org/download

Le SSO, cause principale de la maladie d'Alzheimer

KPTN — Fri, 01 Apr 2011 13:57:00 +0200

Une étude de l'institut NAZ (Neuroscience AlZheimer) vient de prouver le lien entre le déploiement du SSO en entreprise et la maladie d'Alzheimer, désormais classée dans les accidents du travail.

De la paresse mémorielle à la maladie

Le SSO, Single Sign On, est un système informatique permettant aux utilisateurs de n'avoir qu'un seul mot de passe pour accéder à toutes leurs applications. La généralisation de ce système change radicalement les habitudes des usagers, qui sollicitent de moins en moins leur mémoire dans leur travail quotidien.

Certains systèmes SSO peuvent même déclencher l'authentification de l'utilisateur à partir d'une carte à puce, ou de son empreinte digitale : plus aucun accès mémoire n'est requis !

Le cerveau doit être sans cesse sollicité pour fonctionner. Avec le SSO, le voici devenu presque inutile, avec les conséquences que l'on connaît maintenant.

Le téléphone portable, une première alerte ignorée

L'arrivée des téléphones portable avait déjà créé du remous dans la communauté médicale, accusant le répertoire téléphonique d'affaiblir les capacités cognitives de ses utilisateurs : aujourd'hui, personne ne connaît plus que 3 ou 4 numéros de téléphone, contre plusieurs dizaines auparavant.

La riposte est en cours

Pour palier à ce problème, plusieurs entreprises ont décidé d'abandonner le SSO. Elles exigent désormais au moins deux mots de passe pour se connecter aux applications, dont un doit être une date d'anniversaire, ou le prénom d'un proche. Elles espèrent ainsi faire reculer la maladie, au moins jusqu'à la retraite de leurs salariés.

À votre échelle, vous pouvez également agir : jetez tous les papiers que vous trouverez sur lesquels des mots de passe sont écrits. Vous contribuerez ainsi à l'amélioration de la santé mentale de vos collègues.

Mise à jour de sécurité sur LemonLDAP::NG (sortie de la version 1.0.4)

KPTN — Thu, 24 Mar 2011 10:08:00 +0100

Une nouvelle version de LemonLDAP::NG est sortie cette semaine, numérotée 1.0.4.

Cette version corrige entre autres un problème important, lié à la refactorisation du code de la cage d'exécution (Safe) : les macros et les groupes étaient conservés en mémoire, et pouvaient donc être copiés d'une session d'utilisateur à une autre. Conséquence : si les règles d'accès utilisent les macros ou les groupes, cela pouvait permettre l'accès à des personnes non autorisées aux applications.

Il est donc vivement conseillé de migrer vers la nouvelle version.

Page de téléchargement de LemonLDAP::NG.

Sortie de LemonLDAP::NG 1.0.3

KPTN — Tue, 15 Mar 2011 17:30:00 +0100

Une nouvelle version mineure de LemonLDAP::NG, la version 1.0.3, est sortie le 7 mars dernier, très rapidement après la 1.0.2.

Cette sortie se justifie par la correction d'un bug apparu dans la 1.0.2 et qui empêchait les applications en mode automatique (c'est à dire dont les droits d'accès sont calculés à la volée) d'apparaître dans le menu des applications. Ce bug a été introduit pour une modification de la gestion de la cage d'exécution (Safe.pm), il est à présent corrigé.

Page de téléchargement de LemonLDAP::NG.

Sortie de LemonLDAP::NG 1.0.2

KPTN — Tue, 01 Mar 2011 18:02:00 +0100

Une nouvelle version mineure de LemonLDAP::NG vient de sortir, corrigeant quelques problèmes sur la 1.0, publiée en fin d'année dernière.

La version 1.0.2 apporte les améliorations principales suivantes :

Correction sur la prise en compte des niveaux d'authentification LDAP et DBI
L'option portalOpenLinkInNewWindow n'est pas prise en compte
Réinitialisation du mot de passe avec AuthChoice
Meilleure gestion du cache de configuration dans le portail
Protection de l'explorateur de sessions semblable à celle du Manager
Masquage des catégories vides dans le menu des applications
Correctifs sur le packaging Debian
Nouvelle option useSafeJail pour désactiver l'utilisation de Safe.pm

Quelques liens :

LemonLDAP::NG se présente à Montréal le 10 mars prochain

KPTN — Mon, 28 Feb 2011 09:57:00 +0100

Pour la première fois, LemonLDAP::NG traverse l'atlantique et va se présenter lors de l'événement ConFoo à Montréal.

ConFoo propose 3 journées de conférences sur les technologies Web, avec des pointures du domaines. On retrouvera en particulier parmi nos compatriotes Damien Seguy (Alterway) et Fabien Potencier (Sensio Labs), deux des acteurs les plus influents de la communauté PHP en France. ConFoo donne aussi la parole à des intervenants du domaine de la sécurité, comme Allan Foster de ForgeRock qui viendra parler d'OpenAM, le fork d'OpenSSO suite au rachat de SUN par Oracle.

Pour ma part, j'aurai le plaisir de représenter LINAGORA, et de faire découvrir LemonLDAP::NG au public québecois, et parler un peu de Perl au milieu des conférences Java, Python et PHP ;)

Installer LemonLDAP::NG 1.0 sur Debian Lenny

KPTN — Thu, 10 Feb 2011 11:37:00 +0100

Même si Debian Squeeze vient de remplacer Lenny comme version stable ce mois-ci, il reste que cette dernière reste une version serveur encore très déployée, en attendant les migrations vers Squeeze.

La version 1.0 de LemonLDAP::NG a été empaquetée pour de nombreuses distributions, y compris Debian. Cependant, pour des questions de dépendances, les paquets Debian de LemonLDAP::NG sont compatibles avec Squeeze, et ne s'installent pas directement sous Lenny. Cela vous chagrine ? Moi aussi.

Heureusement, il y a toujours des solutions. Celle que je vous propose consiste à télécharger directement les dépendances problématiques depuis le site http://packages.debian.org et de les installer manuellement. Les paquets à télécharger depuis leur version Sid sont :

libjs-jquery
libjs-jquery-ui
libnet-ldap-perl

Par exemple :

wget http://ftp.de.debian.org/debian/pool/main/j/jquery/libjs-jquery_1.5-2_all.deb
dpkg -i libjs-jquery_1.5-2_all.deb 
wget http://ftp.de.debian.org/debian/pool/main/j/jqueryui/libjs-jquery-ui_1.8.dfsg-3_all.deb
dpkg -i libjs-jquery-ui_1.8.dfsg-3_all.deb 
wget http://ftp.de.debian.org/debian/pool/main/libn/libnet-ldap-perl/libnet-ldap-perl_0.4001-2_all.deb
dpkg -i libnet-ldap-perl_0.4001-2_all.deb

Voilà, ensuite il ne reste plus qu'à installer LemonLDAP::NG en suivant la procédure officielle.

Sortie de LemonLDAP::NG 1.0 !

KPTN — Wed, 01 Dec 2010 16:20:00 +0100

Non, vous ne rêvez pas

Le bruit courrait depuis quelque temps déjà, c'est aujourd'hui chose faite : La version 1.0 de LemonLDAP::NG est sortie !

Il ne faut évidemment pas se fier au numéro de version, LemonLDAP::NG est un logiciel qui a vu le jour il y a plusieurs années, au sein du Ministère des Finances et de la Gendarmerie Nationale. La version 1.0 marque la stabilisation d'un certain nombre de fonctionnalités et l'arrivée de modules très importants, comme les fournisseurs d'identité CAS, SAML et OpenID. Une attention toute particulière a été accordée à la gestion de la configuration, qui pouvait être l'un des reproches fait aux précédentes versions, afin que les futures évolutions de versions soient beaucoup plus simple.

L'heure des présentations

Mesdames, messieurs, j'ai le plaisir de vous présenter LemonLDAP::NG, un logiciel libre d'authentification unique (WebSSO) et de contrôle d'accès aux applications Web.

Écrit en Perl et intégré directement au cœur du serveur HTTP Apache (à travers mod_perl), il analyse chaque flux HTTP pour d'une part vérifier les habilitations de l'utilisateur, et d'autre part enrichir la requête d'en-têtes HTTP pour transmettre les informations de session à l'application protégée. La cinématique complète est décrite ici.

Une de ses grandes forces est la simplicité d'intégration des applications. En effet, il suffit de lire une en-tête HTTP ou une variable d'environnement pour utiliser le WebSSO. Et c'est sans compter les applications qui sont nativement compatibles (OBM, Bugzilla, Dokuwiki, Linshare, etc.)

C'est en forgeant des en-têtes qu'on devient forgeron

À ses débuts, LemonLDAP::NG ne savait interagir qu'avec un annuaire LDAP pour authentifier les utilisateurs (d'où son nom). Aujourd'hui, il a bien mûri et peut utiliser les protocoles suivants :

LDAP
SQL
SSL X509
Apache built-in modules (Kerberos, NTLM , OTP, …)
SAML 2.0 / Shibboleth
OpenID
Twitter
CAS

La grande nouveauté, c'est que LemonLDAP::NG est désormais fournisseur d'identités, c'est-à-dire qu'il peut transmettre l'identité d'un utilisateur à d'autres services en passant par des protocoles standards :

CAS (cf. article sur CAS)
SAML 2.0 / Shibboleth (cf. article sur SAML)
OpenID

Il SAML de quoi ?

C'est sur SAML que le travail a été le plus important, ce qui explique le laps de temps entre la précédente version (0.9.4.1 en octobre 2009) et celle-ci. Toutefois l'attente n'aura pas été vaine puisque LemonLDAP::NG est désormais :

Fournisseur de service (conforme SP Lite)
Fournisseur d'identités (conforme IDP Lite)
Autorité d'attributs
Fournisseur d'identités mandataire (Proxy IDP)

Cela a été rendu possible par l'utilisation de la librairie GPL Lasso (cf. article sur Lasso). L'interaction a été bénéfique aux deux logiciels puisque la dernière version de Lasso (2.3) a bénéficié de nombreux tests et rapports d'anomalies issus du développement de LemonLDAP::NG.

Il y en a un peu plus, je vous le mets quand même ?

L'enrichissement des modules d'authentification et de fournisseur d'identités est certes une avancée majeure pour LemonLDAP::NG, mais la nouvelle version apporte également d'autres améliorations notables :

Refonte de l'interface de configuration (Manager) et de l'explorateur de sessions, avec une utilisation intensive de jQuery et jQuery UI.
Nouveau thème (dark) pour le portail, ce qui porte à 3 le nombre de thèmes fournis par défaut.
Possibilité de configurer les paramètres de redirection (port et HTTPS) pour chaque hôte virtuel, et non plus de manière globale par serveur physique.
Configuration graphique du rejeu de formulaire, avec support des hôtes virtuels.
Handler Zimbra.
Choix d'authentification au niveau du portail.
Fusion des fichiers de configuration locaux dans un fichier unique au format INI.
Refonte du menu des applications pour une meilleure présentation des catégories et des applications.
Dépôts YUM et Debian.
Nouveau wiki.
...

L'ensemble des changements est visible sur le projet JIRA.

Merci, merci

LemonLDAP::NG est avant tout le fruit de la collaboration entre la Gendarmerie Nationale et la société LINAGORA.Cette nouvelle version a monopolisé ces deux acteurs sur l'année qui vient de s'écouler.

Le support du SAML a été réalisé avec la collaboration de la société Entr'ouvert (éditrice de Lasso).

Bien évidemment, tous les utilisateurs qui ont pu tester les versions candidates et qui ont fait des retours précieux ont grandement contribué à la sortie de la version 1.0.

Vous pouvez retrouver LemonLDAP::NG à travers l'offre LinID de LINAGORA, par le module LinID Access Manager.

J'espère au nom de toute l'équipe de LemonLDAP::NG que cette nouvelle version comblera vos attentes, et vous donnera l'envie de parler de ce projet autour de vous. En attendant, n'hésitez pas à nous rejoindre !

Quelques liens pour la root

Les captures d'écran de LemonLDAP::NG 1.0, en avant première !

KPTN — Sun, 28 Nov 2010 16:23:00 +0100

Cette semaine devrait sortir sur vos écrans retro-éclairés la nouvelle version de LemonLDAP::NG, et pas n'importe quelle version puisqu'il s'agira de la 1.0.

En effet, le logiciel a désormais acquis de la stabilité et s'est enrichi depuis la dernière version (0.9.4.1) de nombreuses fonctionnalités, en particulier le support de CAS, SAML et OpenID. J'aurai l'occasion de revenir en détail sur tous ces éléments lors de la sortie officielle.

En attendant, je vous laisse découvrir le nouveau site du projet ainsi que les captures d'écran de la 1.0 : http://lemonldap-ng.org/screenshots

LemonLDAP::NG CAS la baraque

KPTN — Tue, 07 Sep 2010 12:19:00 +0200

CAS que c'est ?

CAS (Central Authentication Service) est un système de SSO alternatif à LemonLDAP::NG, basé sur le principe de la délégation : chaque service fait appel au serveur central SSO pour obtenir l'identité de l'utilisateur. Le protocole CAS utilise des tickets transmis via des redirections HTTP, puis validés par l'application elle-même en interrogeant directement le serveur central (ce qui est appelé lien dorsal, ou backlink en anglais).

L'avantage de CAS est donc de cloisonner les services, c'est-à-dire qu'un ticket de service ne permettra pas d'accéder à un autre service. Reste que le cookie SSO principal (celui du portail d'authentification) permet lui d'obtenir tous les tickets pour tous les services.

CAS est un protocole, passé successivement aux versions 1.0 et 2.0. Par amalgame CAS désigne aussi souvent l'implémentation serveur de référence fournie par JASIG. Toutefois il est possible d'utiliser d'autres produits en tant que serveur CAS, comme c'est le cas désormais de LemonLDAP::NG.

Fidèle CAS trop

En effet, comme mentionné dans des billets précédents, les développements sur LemonLDAP::NG sont très actifs ces derniers temps. La plupart des efforts ont été concentrés sur l'implémentation de SAML 2.0, mais la nouvelle mouture de LemonLDAP::NG proposera également le support d'OpenID et de CAS (à la fois en tant que client -consumer- et serveur -provider-).

CAS a mia

Intéressons-nous tout d'abord à la partie cliente. Elle existe depuis quelques années dans LemonLDAP::NG, permettant de "CASsifier" le portail d'authentification. Concrètement, cela permet d'utiliser un serveur CAS externe comme authentification primaire sur LemonLDAP::NG.

La nouvelle version de ce module apporte une nouveauté : le mode mandataire (proxy).

Ce mode permet de déclarer des applications protégées par LemonLDAP::NG comme mandatées. Dans ce cas des tickets proxy CAS sont obtenus pour chacune des applications et ensuite disponibles dans la session de l'utilisateur. Ils peuvent donc être ensuite transmis à l'application qui pourra les valider directement avec le serveur CAS. Cela est très utile par exemple pour protéger un webmail CASsifié, qui utilise en sous-main pam_cas pour valider l'identité de l'utilisateur.

Mare à CAS

La partie serveur elle est toute neuve. Basé sur l'interface de fournisseur d'identité créée pour l'intégration SAML, le fournisseur CAS implémente tout le protocole CAS 1.0 et CAS 2.0.

LemonLDAP::NG devient donc le premier serveur CAS écrit en Perl !

Vodka Lemon ou Gin CAS ?

Désormais, CAS n'est plus une alternative à LemonLDAP::NG, mais l'un de ces protocoles d'authentification. Il est donc possible de passer à LemonLDAP::NG en conservant les applications CASsifiées. Avantage supplémentaire : en protégeant l'application CASsifiées, l'authentification est laissée en protocole CAS, mais LemonLDAP::NG peut désormais gérer les autorisations d'accès à l'application, et cela toujours de manière non-intrusive.

Toutefois, l'implémentation de référence de CAS poursuit sa route, et implémente certaines fonctionnalités qui n'apparaissent pas dans la description du protocole. C'est le cas de certains services web utilisés pour obtenir des informations sur l'utilisateur, ou la gestion de la déconnexion des applications.

Et bien entendu, reste le choix technologique de Java par rapport à Perl, matière à beaucoup de discussions qui ne font pas l'objet de cet article !

CAS qu'on attend ?

Ces nouvelles fonctionnalités peuvent être testées en utilisant la version de développement. Une archive est construite toutes les nuits et disponible ici.

Il faudra attendre encore un peu avant la sortie de la version 1.0, qui contiendra des nombreuses autres fonctionnalités, dont certaines feront peut-être l'objet de nouveaux articles sur ce blog.

N'hésitez pas à contacter la communauté (sur la liste lemonldap-ng-user AT ow2.org ou sur IRC #lemonldap-ng@freenode) pour obtenir de nouvelles informations !