Bonnes ID ~ Clément Oudot

LemonLDAP::NG around the world

Clément OUDOT — Wed, 01 Jul 2009 21:19:00 +0200

On a parlé, on parle et on parlera de LemonLDAP::NG en 2009 !

Voici les différents pointeurs et rendez-vous à ne pas rater :

À très bientôt !

LemonLDAP::NG 0.9.4 en version beta

Clément OUDOT — Wed, 01 Jul 2009 21:08:00 +0200

Depuis quelques jours une version beta de la nouvelle mouture (0.9.4) de LemonLDAP::NG est disponible en téléchargement sur la forge OW2.

Cette version permet de tester dès maintenant les nouvelles fonctionnalités comme :

Gestion de la configuration directement dans l'annuaire
Envoi d'un nouveau mot de passe par mail
Nouvelle gestion SOAP des sessions et de la configuration
Jours et horaires d'accès (avec gestion des fuseaux horaires)

Cette liste n'est pas exhaustive et sera complétée pour la sortie officielle de la 0.9.4. En attendant n'hésitez pas à essayer la version beta !

Liens :

Linagora.org V2 : dites wiki !

Clément OUDOT — Sat, 18 Apr 2009 18:58:00 +0200

En parallèle du site institutionnel de Linagora, la version communautaire a également fait peau neuve et a profité de Solution Linux 2009 pour sortir sur la toile.

Mais qu'est-ce que c'est que ce site ?

Linagora.org est un site de publication créé, maintenu et rédigé par les ingénieurs du Groupe LINAGORA avec le soutien de la direction. Il nous permet de publier des documentations et des scripts réalisés pour nos clients.

Ce site ne peut représenter l'ensemble des efforts de participation au logiciel libre de la part du Groupe LINAGORA, il doit être vu comme un complément :

des développements directement inclus dans les projets libres, soit parce que nous y sommes contributeurs officiels (LemonLDAP::NG, OpenOffice.org, etc.), soit parce que notre code a été accepté par la communauté (OpenLDAP, Gforge, Firefox, Thunderbird, etc.)
des sites communautaires directement dédiés à nos produits Open Source (en particulier OBM),
des nombreuses conférences et présentations données lors d'évènements en France et dans le monde,
de l'aide apportée directement en ligne, par IRC ou sur les listes de diffusion.

Du wiki sous la souris

La grande révolution du site est le choix de passer de SPIP à Dokuwiki, afin de faciliter encore plus la contribution et la relecture des articles. Le droit d'écriture n'est accordé qu'aux personnes travaillant au sein de Linagora, mais toute remarque ou correction est la bienvenue.

Vous pouvez garder un oeil sur l'actualité de ce site en vous abonnant à son flux RSS.

Remerciements

La V2 de Linagora.org n'aurait pu voir le jour sans l'aide de :

Thomas CHEMINEAU, pour le thème Dokuwiki
David CARELLA, pour la favicon et les conseils sur les logos
Guillaume LARDON, pour la gestion de l'infrastructure d'hébergement
Les ingénieurs de LINAGORA pour leurs articles et leurs conseils
La direction de LINAGORA pour son soutien et son implication dans le projet

Merci à eux tous de m'avoir épaulé !

Sortie de LemonLDAP::NG 0.9.3

Clément OUDOT — Mon, 19 Jan 2009 09:15:00 +0100

LemonLDAP::NG est un logiciel de Web-SSO, développé par Xavier Guimard et destiné à protéger des applications Web. Pour les utilisateurs, cela permet de ne s'authentifier qu'une seule fois, et pour les administrateurs du WebSSO cela permet de contrôler de manière centralisée les droits d'accès aux applications.

LemonLDAP::NG est une réécriture de la version initiale LemonLDAP, qui n'est aujourd'hui plus maintenue. Eric German, leader historique de la communauté, est à présent impliqué sur un nouveau projet, LemonID, que nous vous invitons à découvrir.

Cette version est normalement la dernière avant la 1.0 qui se concentrera sur la refonte de la configuration (utilisation de XML, exhaustivité des paramètres de configuration dans la console d'administration Web, etc.). Elle apporte toutefois un lot conséquent de corrections et d'améliorations, telles qu'un menu des applications autorisées, un explorateur de session, et des paquetages pour les systèmes basés sur Debian et RedHat.

Cette version est également importante en terme de sécurité car elle corrige quelques failles de Cross Site Scripting (XSS) et ajoute un contrôle plus fort sur les URL de redirection.

LemonLDAP::NG permet de déployer trois types d'architectures de WebSSO :

Un système de mandataire inverse (reverse-proxy) qui concentre en un point unique le portail d'authentification et les agents de contrôles. L'utilisateur n'accède alors jamais directement aux applications mais utilise toujours le mandataire.
Un système de délégation, où les agents de contrôles sont déployés au plus près des applications. Dans ce cas l'utilisateur accède directement aux applications, dont les agents interagissent avec le portail d'authentification pour valider les sessions.
Un système mixte, mélangeant le mandataire inverse et la délégation.

Voici quelques détails supplémentaires sur les principales fonctionnalités du produit :

Indépendance des mécanismes d'authentification et de recherche des données de l'utilisateur : la phase d'authentification permet de valider la création de la session WebSSO, elle peut être effectuée sur un annuaire LDAP, par certificat SSL, par Liberty Alliance, par CAS, par Kerberos ou tout autre méthode d'authentification disponible dans Apache2. La phase de recherche des données correspond elle à la récupération des informations propres à l'utilisateur (nom, mail, etc.) qui serviront d'une part à valider les règles d'accès, et d'autre part à approvisionner les applications protégées. Cette phase ne peut à l'heure actuelle être opérée que sur un annuaire LDAP (l'ajout d'autres méthodes est prévu dans les futures versions).
Utilisation des Web-Services (SOAP) : il est possible d'activer les Web-Services pour s'authentifier (et donc créer la session SSO correspondante), consulter et modifier les sessions existantes, consulter et modifier la configuration.
Portail d'authentification : il permet de s'authentifier lorsque l'on est redirigé depuis des applications protégées, mais propose également un module de menu dynamique des applications (seules les applications autorisées sont affichées à l'utilisateur) et un module changement de mot de passe. L'affiche de ces modules est également dynamique, et peut permettre par exemple de ne proposer le changement de mot de passe qu'à une certain profil d'utilisateurs.
Interface d'administration graphique : LemonLDAP::NG fournit par défaut un Manager qui permet d'éditer à travers une page Web la configuration générale du WebSSO ainsi que les droits d'accès et les en-têtes spécifiques à chaque application protégée. Cette nouvelle version propose également un explorateur de sessions, offrant une vue hiérarchique des sessions (par identifiant ou adresse IP), et affichant le contenu de chacune d'elles. Cette interface peut être protégée directement par le WebSSO.
Choix des backends de session et de configuration : les sessions peuvent être stockées comme fichiers, dans une base MySQL, par SOAP ou dans memcached. La configuration peut être stockée comme fichier, dans une base MySQL ou par SOAP. Ce choix permet de mettre en place très rapidement des solution de haute-disponibilité. En cas de configuration stockée sur un système distant, un mécanisme de cache permet de limiter le transfert des données sur le réseau.
Agents et applications compatibles : un certain nombre d'applications sont déjà compatibles avec LemonLDAP::NG, en particulier GLPI, Sympa, Dokuwiki, ... Mais des agents sont également disponibles, en particulier une valve pour Tomcat permettant le SSO sur les application J2EE délégant leur sécurité au conteneur de servlets (par exemple le CMS Lutece, probe, etc.). De plus, toutes les applications Web utilisant des protections Apache (par exemple par htaccess) sont nativement compatibles (c'est le cas de Nagios). Enfin, la nouvelle version de LemonLDAP::NG peut à présent mettre le mot de passe de l'utilisateur en session, ce qui permet par exemple le SSO sur des applications protégées par HTTP Basic (en particulier le fameux Outlook Web Access).
Pages de statuts et scripts de supervision : une page de statut est à présent disponible (équivalent au mod-status d'Apache), permettant de réaliser simplement des graphiques avec des outils de supervision (un script pour MRTG est fourni dans les exemples).
Politique des mots de passe : LemonLDAP::NG est compatible avec la politique des mots de passe des annuaires LDAP qui suivent le draft de la RFC. C'est le cas d'OpenLDAP avec l'overlay policy. Cela permet à l'utilisateur de savoir que son compte est bloqué ou expiré, et de changer son mot de passe en respectant les critères fixés dans l'annuaire (taille minimale, présence dans l'historique, etc.)

Cette version fait donc état de la grande maturité du produit et des nombreuses fonctionnalités offertes. Toute la communauté reste à l'écoute des utilisateurs pour répondre aux questions et enrichir le logiciel selon leurs besoins. Toutes les contributions sont également les bienvenues.

Liens :

Supports de formation libres : tout le monde en parle

Clément OUDOT — Sun, 16 Nov 2008 12:31:00 +0100

Et à Linagora, nous le faisons !

Nos supports de formation sont sous licence Creative Commons et disponibles sur notre site communautaire.

Par exemple nous avons publié tous les supports sur les annuaires LDAP et le WebSSO.

Même nos amis de GCU en parlent !

Première présentation de Lin ID à Paris Capitale du Libre 2008

Clément OUDOT — Sun, 28 Sep 2008 18:18:00 +0200

Les 24 et 25 septembre a eu lieu la troisième édition de Paris Capitale du Libre. Cela a été pour moi l'occasion de présenter pour la première fois notre nouvelle offre Lin ID.

Le logo est provisoire et le site est encore en construction, mais Lin ID est déjà une offre bien concrète, puisque son objectif est de fournir une solution intégrée de différentes briques Open Source existantes de gestion et de fédération des identités.

Cette offre couvre l'ensemble de besoins d'une entreprise dans le domaine de l'identité, en particulier :

Approvisionnement des référentiels sources et destinations
Workflows
Publication et édition des données
Single-Sign On
Gestion centralisée des habilitations
Traçabilité
Accès aux cercles de confiance des partenaires

La présentation est attachée à ce billet.

Sortie de Perl-LDAP 0.38

Clément OUDOT — Fri, 26 Sep 2008 11:30:00 +0200

Une nouvelle version de la librairie Perl-LDAP est sortie fin septembre, essentiellement liée à des correctifs sur l'utilisation de la politique des mots de passe :

Utilisation d'un mauvais champ pour stocker l'erreur
Bug dans le décodage du contrôle
Possibilité d'utiliser le contrôle dans l'opération étendue modifypassword (nommée setPassword dans la librairie Perl)

Une des conséquences les plus importantes est l'utilisation de pp_error() au lieu de error() pour récupérer le message d'erreur du contrôle. Cela impose de modifier vos codes sources pour prendre en compte le renommage de la fonction. Le code de LemonLDAP::NG est bien entendu déjà corrigé sur le dépôt subversion.

Je recommande donc d'exiger au minimum la version 0.38 de Perl-LDAP si vous utilisez la politique des mots de passe.

Une nouvelle valve Tomcat et un plugin Dokuwiki pour LemonLDAP::NG

Clément OUDOT — Fri, 15 Aug 2008 16:45:00 +0200

Début juillet ont été publiées deux contributions pour le produit de WebSSO LemonLDAP::NG : une nouvelle version de la valve Tomcat (par Pascal Pejac) et un plugin Dokuwiki (par Erwan Legall).

Le plugin Dokuwiki permet de configurer un nouveau mode d'authentification, nommé "lemonldap". Il ne fonctionne qui si l'agent (Handler) est sur le même serveur Apache que Dokuwiki (pas de reverse proxy, utilisation de la variable système REMOTE_USER). Une fois en place, l'authentification à votre wiki sera gérée par LemonLDAP::NG.

La valve Tomcat s'adresse à toutes les applications J2EE utilisant le conteneur de servlets pour leur gestion d'authentification et d'autorisation (identifiant et rôles des utilisateurs). Ainsi, vous pouvez gérer l'ensemble de vos rôles dans un annuaire LDAP central, et ces rôles seront fournis aux applications par LemonLDAP::NG. Vos applications n'ont pas à être modifiées, car c'est la valve qui sera chargée de communiquer avec le WebSSO. Cela garantit donc une intégration sans modification de code.

Liens :

Plugin Dokuwiki : Fichier | Documentation
Valve Tomcat : Fichier | Documentation

Sortie de LemonLDAP::NG 0.9.2 et RMLL

Clément OUDOT — Mon, 30 Jun 2008 13:22:00 +0200

Une nouvelle version de LemonLDAP::NG est sortie fin juin, apportant les changements suivants :

Nouvelle CSS dans le Manager (voir l'article dédié)
Création de "skins" pour le portail
Module de statut pour le handler et le portail
Différentes traductions
Refonte des modules d'authentification : chaque méthode a désormais son propre module Auth (AuthLDAP, AuthSSL, AuthLA, etc.)
Corrections des différents bugs

LemonLDAP::NG sera également présenté aux RMLL à travers le projet FederID : http://2008.rmll.info/FederID.html

Téléchargement :

Archive tar.gz : http://forge.objectweb.org/project/download.php?group_id=274&file_id=10842
Paquets Debian : http://packages.debian.org/lemonldap-ng

Retrouvez ce projet sur Ohloh : http://www.ohloh.net/projects/lemonldap-ng/

Linux Tag 2008 à Berlin : Everyone can have an impact

Clément OUDOT — Sun, 08 Jun 2008 15:10:00 +0200

Au pays où les téléphones publics sont roses, où les voitures de police sont vertes, et où on ne traverse pas (enfin presque jamais) au rouge, la sentence ci-dessus annonçait clairement la couleur des Linux Tag 2008. Elle a été prononcée par Jono Bacon (Canonical) lors de sa conférence Standing On The Shoulders Of Giants: The Coming Of The Linux Desktop.

Les Linux Tag se sont donc tenus au Messezentrum, grand complexe d'exposition situé au pied de la Funkturm, à l'ouest de la capitale allemande. J'ai eu le privilège de participer aux deux derniers jours de cette manifestation qui s'est déroulée du 28 au 31 mai 2008.

Dès l'entrée, on note immédiatement la différence avec des évènements tels que les Linux Days de Genève ou Solution Linux à Paris : ici, ce sont les stands des communautés qui s'imposent (par leur nombre et leur qualité), laissant ça et là des espaces aux sociétés exposantes (dont SUN, IBM, ...). En fait, la mixité de tous ces acteurs (communautés, particuliers et professionnels) est le point fort de ce salon, et certainement l'une des meilleures leçon à retenir : chacun a un rôle à jouer, chacun peut avoir un impact...

Citons pour illustrer ces propos :

un stand LPI proposant ses certifications,
un stand sur les jeux libres avec une démonstration de simulateur de vol gérant l'affichage simultané sur 3 écrans,
un stand de la communauté OpenLDAP (très rare !),
les stands alignés de OpenBSD, NetBSD et FreeBSD,
un stand présentant des logiciels pour musiciens, avec notamment un générateur d'effets de guitare tournant sur un OLPC,
un stand de merchandising avec des nombreux T-shirts et peluches,
le stand du Linux Verband (l'équivalent de la FNILL en France)
la présence forte de Suse (distribution allemande de référence)
un stand de robotique
de nombreux stands Ubuntu, Kunbuntu, KDE, Amarok, ...

Bref, il y en avait pour tous les goûts, et l'affluence du public (de plus pour une manifestation payante) en est le témoin.

Mais les Linux Tag, c'est également de nombreuses conférences, jusqu'à 6 sessions en parallèle, pour au moins 6 conférences par jour pendant 4 jours ! J'ai eu le plaisir de pouvoir animer l'une de ces conférences (en anglais) en présentant le projet FederID.

Cette session devait faire suite à une présentation OpenID, malheureusement l'intervenant (indien) n'a pu obtenir à temps son visa pour venir à Berlin. J'ai donc repris la parole après un trou dans le déroulement, devant un public clairsemé mais très attentif.

Vous retrouverez le contenu de la présentation sur le site du projet FederID : Page des conférences FederID

Retrouvez également toutes les photos !

Merci encore aux organisateurs, en particulier Nils Magnus, et également à LINAGORA sans qui tout cela ne pourrait être possible.

Du CERN sous les yeux

Clément OUDOT — Sat, 24 May 2008 18:16:00 +0200

Lors des Linux Days, j'ai pu sortir de la ville et faire la visite du CERN en compagnie d'Alexandre et Céline, guidé par Nils Buss, ancien ingénieur IT du CERN et actuel conseiller aux nouvelles technologies à l'état de Genève.

Nous pénétrons tout d'abord dans un mini-musée de l'informatique où est décrite l'histoire du CERN. Une petite vitrine recèle quelques trésors, comme un disque dur géant de 10 Mo ou encore le serveur d'orgine de Tim Berners-Lee, l'inventeur du World Wide Web. Noter le papier autocollant où est marqué "This machine is a server, do not power down !".

Nous avons ensuite la chance de pouvoir pénétrer dans la salle serveur, la plus grande d'europe (dans le monde, c'est la NASA qui détient le record). Outre des serveurs dédiés aux calculs, cette salle héberge un des principaux points d'accès Internet (et le premier dans l'histoire a avoir relié l'Europe aux États-Unis), mais également des serveurs Linux (qui malheureusement ne sont là que pour héberger Oracle).

Linux Days 2008 à Genève, les 21 et 22 mai : grille et lessive

Clément OUDOT — Thu, 22 May 2008 16:03:00 +0200

J'ai eu le plaisir d'assister aux Linux Days à Genève cette semaine, un des évènements majeurs autour du libre en Suisse. Toutefois la fréquentation n'a pas forcément été à la hauteur, les contacts ont donc plutôt été dirigés vers les exposants que réellement vers le public. Parmi ceux-ci nous retrouvions quelques associations et LUGs locaux et plusieurs stands professionnels, dont SUN, HP et même Microsoft, venu convaincre de se volonté de collaborer avec le libre.

Notons également la présence toujours appréciée de OW2 (avec les stands Bull et Thales) qui venait assurer un cycle de conférences. Bull a pu présenter son projet NovaForge (une plate-forme de développement collaboratif, qui n'a rien a voir avec le portail novaforge.org), qui deviendra prochainement un projet totalement libre hébergé chez OW2.

Ces journées ont été l'occasion de rencontres intéressantes, comme avec Nils Buss, conseiller en technologies à l'état de Genève, qui a largement contribué à l'entrée de l'Open Source dans cette administration. Nils nous permis de faire une petite visite au CERN, que je présenterai dans un prochain billet. J'ai également pu discuter avec Miika Tuiski, travaillant au CERN sur un projet d'utilisation des standards de fédération des identités avec les technologies de grille (grid computing). Ce projet est rattaché à EGEE (Enabling Grid for E-sciencE) et au consortium Globus Alliance. L'idée est d'avoir un "portail grille" capable d'interagir avec un cercle de confiance. L'identité du cercle peut alors servir à accéder à des ressources de la grille, comme indiqué dans le schéma suivant :

Notons également une bonne initiative du stand Microsoft, laver son linge sale en famille :

Pour finir, un petit clin d'oeil aux ldapistes, car la manifestation se tenait juste à côté de l'immeuble de l'ITU, créateur de X500 :

Lien vers toutes les photos

Nouveau thème pour le Manager de LemonLDAP::NG

Clément OUDOT — Thu, 08 May 2008 12:49:00 +0200

C'est bien connu, le graphisme n'est pas le fort des projets Open Source, ce qui leur est souvent dommageable car, bien que techniquement excellents (et souvent meilleurs que leurs concurrents propriétaires), leur apparence "bricolée" détourne souvent les utilisateurs potentiels.

LemonLDAP::NG est un produit de SSO entièrement personnalisable, mais ne vient par défaut qu'avec un graphisme très limité. Une des parties visibles est le Manager, interface Web d'administration du produit. Un nouveau thème vient d'être créé pour ce module, qui sera installé par défaut dans les prochaines versions de LemonLDAP::NG.

Un petit aperçu avant/après :

D'autres captures d'écrans sont disponibles ici.

Sortie de LemonLDAP::NG 0.9.1

Clément OUDOT — Mon, 14 Apr 2008 10:15:00 +0200

Une nouvelle version mineure de LemonLDAP::NG est parue récemment, apportant quelques correctifs et amélioration sur la version 0.9 sortie en début d'année 2008, en particulier :

Correction du bug "logout_sso" : il est possible d'intercepter l'adresse de logout et de déclencher la déconnexion du SSO sans passer par l'application
Mise à jour du javascript du Manager qui n'était pas compatible avec IE7
Respect des règles lintian pour Debian
Utilisation du contrôle Password Policy pour afficher "compte bloqué" ou "mot de passe expiré" sur le portail (nécessite perl-ldap >= 0.35)
Utilisation du système de stockage de session standard pour les clés de fédération Liberty Alliance

Téléchargement :

Archive tar.gz : http://forge.objectweb.org/project/download.php?group_id=274&file_id=10403
Paquets Debian : http://packages.debian.org/lemonldap-ng

Retrouvez ce projet sur Ohloh : http://www.ohloh.net/projects/lemonldap-ng/

Sortie de Perl-LDAP 0.35 et politique des mots de passe

Clément OUDOT — Mon, 31 Mar 2008 18:48:00 +0200

Ce week-end une nouvelle version des bibliothèques Perl Net::LDAP est sortie en version 0.35, apportant un certain nombre d'améliorations (listées ici), dont un nouveau module dédié au contrôle LDAP Password Policy.

Rappelons que ce contrôle permet par exemple de bloquer des comptes suites à plusieurs authentifications ratées, de conserver un historique des mots de passe, d'avoir une taille minimale, de chiffrer à la volée, etc. Si vous souhaitez plus d'informations sur ce standard (qui n'en n'est pas vraiment un puisque la RFC n'est encore qu'un brouillon), vous trouverez une documentation ici.

L'installation se fait de manière très classique :

# perl Makefile.PL
# make
# make test
# make install

Ainsi, vous pouvez à présent dans vos programmes Perl récupérer les messages spécifiques de ce contrôle :

        use Net::LDAP;
        use Net::LDAP::Control::PasswordPolicy;
        use Net::LDAP::Constant qw( LDAP_CONTROL_PASSWORDPOLICY );

        $ldap = Net::LDAP->new( "ldap.example.com" );

        $pp = Net::LDAP::Control::PasswordPolicy->new;

        $mesg = $ldap->bind( "cn=Bob Smith,dc=example,dc=com",
                             password => "secret",
                             control => [ $pp ] );

        # Get password policy reponse
        my($resp)  = $mesg->control( LDAP_CONTROL_PASSWORDPOLICY );

        if (defined($resp)) {
          my $v = $resp->error;
          print "Password policy error $v\n" if defined $v;
          $v = $resp->time_before_expiration;
          print "Password expires in $v second(s)\n" if defined $v;
        }