Bonnes ID ~ Clément Oudot

Aller au contenu | Aller au menu | Aller à la recherche

mercredi, juillet 21 2010

Nouveaux RPMs pour OpenLDAP 2.4.23 sur LTB-project

ltb-logo.png

Ce mois-ci est sortie la version 2.4.23 d'OpenLDAP, étiquetée comme stable par ses développeurs.

Les RPMs ont été mis en ligne très rapidement sur LTB-project et sont téléchargeables ici.

Il est fortement conseillé de migrer vers cette version car les précédentes ont fait l'objet d'alertes de sécurité.

Les paquets fournis par LTB-Project incluent en plus d'OpenLDAP un script d'initialisation et un module de contrôle de mot de passe pour l'overlay ppolicy.

LTB-Project a également publié récemment une mise à jour des plugins LDAP Nagios et Cacti.

Liens :

vendredi, juin 18 2010

LemonLDAP::NG sur un nuage

Pas de fumée sans feu

Depuis quelques mois, les développements sur LemonLDAP::NG sont consacrés à l'implémentation du standard SAML2. Une première version candidate (1.0rc1) est sortie au mois d'avril, permettant de tester LemonLDAP::NG en tant que fournisseur de service SAML2 (SP).

Aujourd'hui, la fonctionnalité de fournisseur d'identités SAML2 est pratiquement implémentée à 100%, et les premiers tests grandeur nature commencent.

L'implémentation SAML de LemonLDAP::NG repose sur Lasso.

Le village dans les nuages

L'un de ces tests a porté sur Google Apps : la suite d'applications Google a destination des entreprises. Ce sont donc les premiers pas de LemonLDAP::NG dans le fameux cloud dont tout le monde parle .

SAML-Applications.png

Stairway to heaven

Je livre ici la recette pour faire fonctionner Google Apps avec LemonLDAP::NG (version de développement au 18/06/2010). Cela demande quelques manipulations qui seront certainement facilitées dans la version stable qui sortira cette année.

On suppose qu'on a investi chez Google Apps pour acheter des comptes pour le domaine entreprise.com. D'un autre côté, on a installé dans son réseau LemonLDAP::NG, dans le domaine mon-entreprise.net. Ce domaine peut-être accessible d'internet, ou réservé aux utilisateurs internes seulement (on préférera généralement le rendre accessible d'internet, pour accéder à Google Apps depuis l'extérieur de l'entreprise).

Du côté de LemonLDAP::NG

Après une installation standard du produit, il faut activer plusieurs paramètres depuis le Manager (http://manager.mon-entreprise.net) :

  • Portail : auth.mon-entreprise.net
  • Domaine : mon-entreprise.net
  • Authentification/Utilisateurs : LDAP (ou SSL, DB, Apache, ...)
  • Fournisseur : SAML

Toujours dans le Manager, configurer le service SAML, en particulier les clés de signature et de chiffrement, ainsi que tous les points d'accès SAML. Par exemple pour le point d'accès SSO HTTP-REDIRECT : http://auth.mon-entreprise.net/saml/singleSignOn. Un peu d'aide sur cette partie peut se trouver ici : http://wiki.lemonldap.ow2.org/xwiki/bin/view/NG/AuthSAML.

Reste à insérer les metadonnées de Google Apps en tant que fournisseur de service SAML dans le Manager. Google Apps ne fournit pas de metadonnées, il faut donc les générer soit-même. Pour cela, copier le fichier ci-dessous, en modifiant entreprise.com avec votre domaine Google Apps (paragraphe AssertionConsumerService) :

<EntityDescriptor entityID="google.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
                <KeyDescriptor>
                        <ds:KeyInfo>
                                <ds:KeyValue>
MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBANZ2b5wb43eJRYnln2bfo+neq6ZQYksm
Ftn3juDB/UklfwVN0XPi8NBHXFQjfXPeVse6Ztjl+C443jRCkSawVZMCAwEAAQ==
                                </ds:KeyValue>
                        </ds:KeyInfo>
                </KeyDescriptor>
                <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
                <AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
                        Location="https://www.google.com/a/entreprise.com/acs" />
        </SPSSODescriptor>
</EntityDescriptor>

La valeur de la clé publique est factice, mais nécessaire pour que les metadonnées soient reconnues par Lasso (ce ne sera peut-être plus le cas dans la version stable).

Depuis le Manager, insérer ces metadonnées dans un nouveau fournisseur de service, et configurer les options suivantes :

  • Format de NameID par défaut : email
  • Vérifier la signature des requêtes SSO : non

Du côté de Google Apps

Depuis l'interface d'administration de votre domaine, aller dans Outils avancés > Configurer l'authentification unique (SSO)

Google_Apps_1276952044490.png

Il suffit de faire pointer Google Apps vers les points d'accès définis dans LemonLDAP::NG :

  • Page de connexion : URL où est transmise la requête d'authentification SAML
  • Page de déconnexion : URL où est redirigé l'utilisateur lors de sa déconnexion depuis Google Apps (ce n'est pas du SLO SAML)
  • Page de changement de mot de passe : URL où l'utilisateur peut changer son mot de passe (ce sera le menu LemonLDAP::NG)

Il faut également charger un certificat qui contient la clé publique de notre fournisseur d'identité. On peut générer ce certificat à partir de la clé privée de signature disponible dans le Manager :

$ openssl req -new -key lemonldap-ng-key.pem -out cert.csr
$ openssl x509 -req -days 3650 -in cert.csr -signkey lemonldap-ng-key.pem -out cert.pem

C'est alors le fichier cert.pem qu'il faut charger dans Google Apps.

On enfonce le cloud

À présent tout est prêt, les utilisateurs peuvent accéder à un service Google Apps de l'entreprise, comme le calendrier : http://www.google.com/calendar/hosted/entreprise.com

Il sont alors redirigés avec un requête d'authentification SAML vers LemonLDAP::NG. Ils peuvent s'authentifier avec les ressources de l'entreprise (Annuaire LDAP, Active Directory, PKI, etc.) et reviennent alors sur Google Apps avec un jeton SAML qui est validé chez Google (en particulier la signature est contrôler à l'aide du certificat chargé précédemment).

L'utilisateur est alors authentifié sur Google Apps !

Des ombres au tableau

Google Apps supporte SAML et c'est une très belle opportunité pour le déploiement de ce standard.

Toutefois, on regrette certaines choses :

  • Les requêtes d'authentification de Google Apps ne sont pas signées, impossible de s'assurer que l'utilisateur n'est pas victime d'hameçonnage
  • Il n'y a pas de support du Single Logout (SLO) : on peut se déconnecter de Google Apps et être dirigé vers la page de déconnexion du fournisseur d'identité, mais pas l'inverse : si l'utilisateur ferme sa session SAML depuis un autre fournisseur d'identité, alors se session Google Apps ne sera pas fermée.

Lucy in the sky with diamonds

J'espère que cet article vous aura donné envie de tester la nouvelle version de LemonLDAP::NG. On se donne rendez-vous aux RMLL pour une démonstration IRL !

lundi, mai 31 2010

Animations de sol à Lyon Part Dieu sous... GNU/Linux !

Le centre commercial de la Part Dieu, à Lyon, s'est agrandi récemment avec l'arrivée de la tour Oxygène.

Une des nouveautés est l'installation d'animation de sol interactives : les images projetées au sol réagissent aux mouvements des personnes marchant dessus, grâce à un système de caméra fixé au plafond. Par exemple les poissons s'écartent lorsque l'on s'en approche. Quelques photos de cette animation sont visibles dans cet article.

20100529_001.jpg

Mais j'en parle surtout parce qu'en y passant ce week-end, un bug d'affichage m'a permis de constater que le système qui faisait tourner tout cela était GNU/Linux ! La fenêtre d'erreur photographiée ci-dessus ne laisse pas trop de doute sur le sujet. Il me manquait le clavier interactif pour solutionner le problème, je laisserai donc les ingénieurs de centre commercial s'occuper de ça.

jeudi, avril 1 2010

Le protocole LDAP sous brevet logiciel

Le protocole LDAP est né dans les années 90 (du siècle dernier) afin de fournir une alternative "légère" à X.500. Depuis, de nombreux éditeurs et communautés ont fourni des serveurs répondant à la norme LDAP, en particulier LDAPv3 publiée en 1998 (avant le bogue de l'an 2000).

L'un de ces éditeurs s'appelle Microsoft, et son produit Active Directory implémente, entre autres, le protocole LDAP.

En réaction au rachat de SUN par Oracle, qui détient l'un des produits LDAP concurrents les plus solides, Microsoft vient de décider d'engager des poursuites judiciaires en faisant jouer ses brevets sur le protocole LDAP.

L'idée derrière tout ça est bien entendu de s'imposer sur le marché des annuaires, mais surtout mettre en avant les innovations techniques d'Active Directory :

  • Encodage du mot de passe avec un format propriétaire, pour plus de sécurité, dans un attribut non standard (on laisse le champ userPassword en tant que "pot de miel" pour détecter les attaques par dictionnaire)
  • Protocole de réplication propriétaire et fermé, là aussi pour effrayer les éventuels pirates
  • Modification du schéma standard, en particulier suppression de la classe d'objet person qui ne sert vraiment à rien (on la remplace par account)
  • Gestion de la politique des mots de passe par Group Policy, sous format propriétaire, pour que l'on abandonne enfin le draft ppolicy (toujours pas passé en RFC !)
  • Fin de support pour un certain nombre d'extensions, en particulier les filtres étendus, afin de ne pas alourdir le protocole

En définitive, les idées de Microsoft sont bonnes et devraient permettre au protocole LDAP de mieux se diffuser dans les SI, pour offrir alors une alternative crédible aux bases de données.

mercredi, mars 24 2010

Sortie de Perl-LDAP 0.40

Perl

Graham Barr a annoncé récemment la disponibilité de la version 0.40 de Perl-LDAP, l'une des bibliothèque les plus abouties pour interagir avec un annuaire LDAP (en particulier pour son support de nombreux contrôles et opérations étendus).

Il l'annonce dans un message paru sur la liste le 11 mars: lire le message.

En particulier, les changements intéressants sont :

  • Correction de bugs sur le protocole Syncrepl
  • Correction de bugs sur les filtres
  • Ajout du contrôle Refresh

Cette nouvelle version est disponible sur le CPAN et devrait bientôt être mise en ligne sur le site officiel.

mardi, février 2 2010

À l'assaut de Lasso

Ça y est, le développement du support SAML2 dans LemonLDAP::NG a commencé, comme peuvent en témoigner les récents mouvement sur le SVN du projet.

Nous utilisons pour cela la bibliothèque Lasso, GPL, éditée par Entr'ouvert. Le binding Perl a été réécrit avec PerlXS, en remplacement de SWIG utilisé jusqu'alors.

Ce n'est que le début de l'aventure, mais ce développement promet d'être intense et captivant. Un première version stable du code devrait sortir à la fin du premier semestre 2010.

samedi, janvier 16 2010

Richard Stallman était à Lyon !

Le public a été à la hauteur du rendez-vous mercredi dernier, avec plus de 350 personnes venues écouter RMS dans le grand amphi de Lyon II, en surpopulation pour l'occasion (de quoi rendre jaloux une génération entière de maître de conférences). Merci à l'ALDIL et à Colibre pour l'organisation de cet évènement.

SP_A0081.jpg

C'était un grand plaisir de voir et d'écouter celui qui symbolise aujourd'hui la philosophie du libre, bien au delà des frontières de la simple informatique. Son discours n'a pas bougé, il défend de manière extrême la notion de liberté et sa vision assez manichéenne de la chose : si vous n'est pas complètement libre, à 100%, alors vous êtes esclave. Utopiste, libertaire, fou ? Oui certainement, et merci à lui de l'être et d'équilibrer un peu ainsi la tendance qui pousse nombre de nos congénères à oublier tout risque au profit de ce qui brille, ceux qui ne comprennent pas pourquoi certains se permettent de remettre en question MSN, facebook, Google, Apple ou Microsoft. Il ne s'agit pas d'une bataille pécuniaire, ni même technique, il s'agit bien de laisser chacun rester maître de ce qu'il fait et des informations qu'il manipule.

Malheureusement, comme souvent, ce message a été très mal restranscrit dans les différents articles qui y ont été consacrés, en faisant une caricature qui au lieu de propager les convictions du logiciel libre les stigmatisent :

Rien n'est gagné donc, mais cela ne peut que renforcer la motivation de ceux, toujours plus nombreux, qui ont compris le véritable intérêt du logiciel libre, et qui y contribuent.

mardi, janvier 12 2010

Nouvelle année, nouveaux appels à conférences

Tout d'abord je vous souhaite une excellente année 2010, remplie de projets d'authentification unique, de politique des mots de passe, de synchronisation et d'annuaires LDAP.

En ce début d'année, deux appels à conférences ont été publiés pour des évènements majeurs :

Alors à vos claviers pour présenter vos projets !

jeudi, décembre 17 2009

Des nouvelles du développement de LemonLDAP::NG

Cela fait quelques temps que la dernière version stable est sortie (v0.9.4 en juillet 2009), avec une mise à jour mineure (v0.9.4.1 en octobre 2009).

Le projet est toutefois très actif, avec en prévision la sortie d'une nouvelle version stable en 2010, probablement en début de second semestre. En particulier, les chantiers importants suivants sont actuellement menés :

  • Refonte du Manager avec intégration de l'ensemble des paramètres de configuration
  • Support SAML2 en tant que fournisseur d'identités et fournisseur de service
  • Support OpenID
  • Support DBI (bases de données via un connecteur DBI, comme MySQL, PostGreSQL, Oracle, ...)

Ci-dessous une vue du travail sur le nouveau Manager :

manager-preview.png

Les développements sont publiés régulièrement sur le dépôt du projet, permettant à chacun de venir tester les dernières fonctionnalités en avant-première.

samedi, novembre 14 2009

Le projet LDAP Tool Box

ltb-logo.png

J'ai présenté il y a quelques semaines sur le site LinuxFr le projet LDAP Tool Box : Article LinuxFR

Ce projet est une compilation des différents scripts et programmes que nous utilisons dans les projets de gestion d'identités basés sur des logiciels libres. On retrouve en particulier :

  • Scripts de supervision Nagios et Cacti
  • Script de lancement et d'arrêt d'OpenLDAP
  • Interface de changement de mot de passe
  • Script d'alerte d'expiration des comptes
  • RPMs OpenLDAP pour RHEL5
  • Convertisseur de CSV ou LDIF en LDIF

Depuis cet article, de nombreux messages de soutien sont arrivés, et également des contributions qui ont permis de sortir de nouvelles versions des différents programmes. En particulier ont été publiés les RPMs pour OpenLDAP 2.4.19 et une version 0.2 de l'interface de changement de mot de passe.

Merci donc aux développeurs, aux utilisateurs et contributeurs du projet LTB.

Site du projet LTB

vendredi, octobre 16 2009

LemonLDAP::NG en version 0.9.4.1

Il y a quelques jours, une nouvelle version mineure de LemonLDAP::NG est sortie, il s'agit de la version 0.9.4.1.

LemonLDAP::NG est une solution libre de WebSSO et de gestion des accès, couplée à Apache, et permettant de protéger des applications soit par mandataire inverse (reverse-proxy), soit par délégation (installation d'un agent au niveau de l'application).

Les principaux changements de la version 0.9.4.1 sont :

  • Mise à jour de la cage de sécurité (Safe jail)
  • Corrections de bogues mineurs sur Handler/CGI.pm
  • Possibilité d'utiliser l'explorateur de sessions avec les sessions stockées dans le LDAP
  • Prise en compte de la facilité syslog dans Common/CGI.pm
  • Correction d'un bogue dans le module _Multi.pm
  • Mise à jour de la documentation
  • Traduction debconf
  • Pas de remplacement des fichiers de conf lors de la mise à jour par RPM (%config(noreplace))

Pour plus d'informations :

mercredi, octobre 7 2009

Les JDLL à Lyon, du 15 au 17 octobre

L'ALDIL organise les 15, 16 et 17 octobre la 11ème édition des Journées Du Logiciel Libre sur le Campus de la Doua (Villeurbanne) dans les locaux de CPE Lyon (école supérieure de chimie, physique et électronique).

C'est l'occasion de venir rencontrer les acteurs du libre lyonnais et d'assister à des conférences variées et de très bonne qualité.

Pour ma part, j'aurai le plaisir de présenter LemonLDAP::NG le vendredi 16 octobre à 14h.

Voir aussi :

mercredi, juillet 22 2009

Sortie de LemonLDAP::NG 0.9.4

Début juillet est sortie la dernière version de LemonLDAP::NG, un logiciel libre de WebSSO et gestion des accès. Les nouveautés de la version 0.9.4 ont été présentées lors des 10èmes RMLL à Nantes, lors de la journée consacrée à la gestion des identités. Pour ceux qui n'ont pas eu le privilège d'assister à cette conférence, cet article rappelle les principes de fonctionnement du produit et liste les nouvelles fonctionnalités. Les plus intéressés trouveront également dans le Linux Mag de cet été une bonne introduction au logiciel.

logo_lemonldap-ng.png

LemonLDAP::NG fournit des mécanismes d'authentification unique à l'intérieur d'Apache en utilisant les capacités de mod_perl à traiter les requêtes HTTP depuis leur arrivée, leur traitement jusqu'au renvoi de la réponse au client. La gestion de la session repose sur un cookie échangé entre les clients et les agents LemonLDAP::NG (Handlers) ne contenant qu'une clé permettant d'accéder aux données de session qui sont partagées entre les agents.

Ces données de sessions sont collectées lors de la phase d'authentification et permettent d'établir des règles d'accès complexes, avec notamment la possibilité de recourir aux expressions régulières, ou d'appeler des fonctions qui contrôlent par exemple les jours et horaires d'accès.

Le portail d'authentification présente à l'utilisateur connecté la liste des applications qui lui sont autorisées ainsi qu'un formulaire de changement de mot de passe.

Pour les administrateurs, une interface graphique permet de modifier les principaux paramètres de configuration ainsi que de naviguer dans les sessions ouvertes par les utilisateurs.

La version 0.9.4 apporte les nouveautés suivantes :

  • Utilisation de LDAP pour la configuration et les sessions : il était déjà possible d'utiliser un annuaire LDAP pour l'authentification, l'obtention des informations de session et pour le changement de mot de passe. À présent la configuration et les sessions peuvent être stockées dans l'annuaire, ce qui simplifie la configuration en mode réparti ou en cluster. Cela ne nécessite pas d'extension de schéma.
  • Accès SOAP : les fonctions SOAP ont été entièrement réécrites, avec pour conséquence la perte de compatibilité avec les configurations SOAP des versions précédentes. Toutefois l'objectif étant la simplification de l'architecture, c'est le portail qui devient un point d'accès SOAP, rendant obsolète l'écriture de scripts CGI dédiés. La protection du point d'accès SOAP est gérée directement dans l'hôte virtuel du portail au niveau de la configuration Apache.
  • Notifications : des notifications peuvent être envoyées aux utilisateurs qui devront les valider pour poursuivre leur accès au portail. Cela permet en particulier d'avertir un utilisateur de l'ouverture d'un accès à une application.
  • Fonctions dans les règles d'accès : des nouvelles fonctions permettent de configurer des accès sur une période (date de début, date de fin) ou sur des jours et horaires (par exemple du lundi au vendredi de 8h à 19h).
  • Adresse du portail dynamique : cela permet de présenter un portail différent selon l'application protégée d'origine ou la provenance des utilisateurs. Il est alors possible d'héberger plusieurs WebSSO avec une seule instance d'Apache.
  • Séparation claire des modules d'authentification, de données utilisateur et de mots de passe : il est possible alors de choisr par exemple Kerberos pour l'authentification et LDAP pour la lecture des informations utilisateur. Le module Multi permet de chaîner plusieurs méthodes.
  • Politique des mots de passe LDAP : le WebSSO gère à présent l'ensemble de la politique des mots de passe implémentée dans la plupart des annuaires LDAP. En particulier, le portail saura exiger le renouvellement du mot de passe lorsque celui aura été réinitialisé par un administrateur. Lors du changement de mot de passe, des messages d'erreurs explicites sont retournés aux utilisateurs (mot de passe trop court, historique, etc.).
  • Configuration du cross-domain : l'activation du cross-domain est simplifiée par l'ajout d'un paramètre dans le portail et dans l'agent. Le cross-domain permet d'ouvrir une session SSO sur plusieurs domaines DNS différents.
  • Validation de formulaires : cette fonctionnalité est juste apparue dans cette version et doit être utilisée avec précaution. Elle permet de poster des données sur des applications protégées, ce qui étend la compatibilité de LemonLDAP::NG avec n'importe quelle application Web.
  • Double cookie : si activée, cette fonction créée deux cookies, un pour HTTP et l'autre pour HTTPS. Ainsi un cookie dérobé en HTTP ne pourra pas servir à entrer sur des applications HTTPS.

Liens :

mardi, juillet 7 2009

Petite mise à jour de la valve Tomcat pour LemonLDAP::NG

En attendant un article plus complet sur la sortie officielle de la version 0.9.4 de LemonLDAP::NG, voici quelques nouvelles de la valve Tomcat.

Un version 2.1 a été publiée il y a quelques jours apportant un nouveau paramètre : passTrough. Ce paramètre permet de refuser toute connexion ne possédant pas les en-têtes attendues.

Par défaut toutes les connexions arrivent jusqu'à l'application. Avec le paramètre passTrough à "false", les en-têtes sont requises. Le paramètre allows permet toujours de filtrer les connexions autorisées par adresse IP.

Plus d'informations sur la page dédiée du wiki LemonLDAP::NG.

Merci à Thomas Chemineau pour la contribution, et Pascal Pejac pour la création de la valve.

mercredi, juillet 1 2009

LemonLDAP::NG around the world

On a parlé, on parle et on parlera de LemonLDAP::NG en 2009 !

Voici les différents pointeurs et rendez-vous à ne pas rater :

À très bientôt !

LemonLDAP::NG 0.9.4 en version beta

Depuis quelques jours une version beta de la nouvelle mouture (0.9.4) de LemonLDAP::NG est disponible en téléchargement sur la forge OW2.

Cette version permet de tester dès maintenant les nouvelles fonctionnalités comme :

  • Gestion de la configuration directement dans l'annuaire
  • Envoi d'un nouveau mot de passe par mail
  • Nouvelle gestion SOAP des sessions et de la configuration
  • Jours et horaires d'accès (avec gestion des fuseaux horaires)

Cette liste n'est pas exhaustive et sera complétée pour la sortie officielle de la 0.9.4. En attendant n'hésitez pas à essayer la version beta !

Liens :

samedi, avril 18 2009

Linagora.org V2 : dites wiki !

En parallèle du site institutionnel de Linagora, la version communautaire a également fait peau neuve et a profité de Solution Linux 2009 pour sortir sur la toile.

logo_linagora_org_340.png

Mais qu'est-ce que c'est que ce site ?

Linagora.org est un site de publication créé, maintenu et rédigé par les ingénieurs du Groupe LINAGORA avec le soutien de la direction. Il nous permet de publier des documentations et des scripts réalisés pour nos clients.

Ce site ne peut représenter l'ensemble des efforts de participation au logiciel libre de la part du Groupe LINAGORA, il doit être vu comme un complément :

  • des développements directement inclus dans les projets libres, soit parce que nous y sommes contributeurs officiels (LemonLDAP::NG, OpenOffice.org, etc.), soit parce que notre code a été accepté par la communauté (OpenLDAP, Gforge, Firefox, Thunderbird, etc.)
  • des sites communautaires directement dédiés à nos produits Open Source (en particulier OBM),
  • des nombreuses conférences et présentations données lors d'évènements en France et dans le monde,
  • de l'aide apportée directement en ligne, par IRC ou sur les listes de diffusion.

Du wiki sous la souris

La grande révolution du site est le choix de passer de SPIP à Dokuwiki, afin de faciliter encore plus la contribution et la relecture des articles. Le droit d'écriture n'est accordé qu'aux personnes travaillant au sein de Linagora, mais toute remarque ou correction est la bienvenue.

Vous pouvez garder un oeil sur l'actualité de ce site en vous abonnant à son flux RSS.

Remerciements

La V2 de Linagora.org n'aurait pu voir le jour sans l'aide de :

  • Thomas CHEMINEAU, pour le thème Dokuwiki
  • David CARELLA, pour la favicon et les conseils sur les logos
  • Guillaume LARDON, pour la gestion de l'infrastructure d'hébergement
  • Les ingénieurs de LINAGORA pour leurs articles et leurs conseils
  • La direction de LINAGORA pour son soutien et son implication dans le projet

Merci à eux tous de m'avoir épaulé !

lundi, janvier 19 2009

Sortie de LemonLDAP::NG 0.9.3

LemonLDAP::NG est un logiciel de Web-SSO, développé par Xavier Guimard et destiné à protéger des applications Web. Pour les utilisateurs, cela permet de ne s'authentifier qu'une seule fois, et pour les administrateurs du WebSSO cela permet de contrôler de manière centralisée les droits d'accès aux applications.

logo_lemonldap-ng.png

LemonLDAP::NG est une réécriture de la version initiale LemonLDAP, qui n'est aujourd'hui plus maintenue. Eric German, leader historique de la communauté, est à présent impliqué sur un nouveau projet, LemonID, que nous vous invitons à découvrir.

Cette version est normalement la dernière avant la 1.0 qui se concentrera sur la refonte de la configuration (utilisation de XML, exhaustivité des paramètres de configuration dans la console d'administration Web, etc.). Elle apporte toutefois un lot conséquent de corrections et d'améliorations, telles qu'un menu des applications autorisées, un explorateur de session, et des paquetages pour les systèmes basés sur Debian et RedHat.

Cette version est également importante en terme de sécurité car elle corrige quelques failles de Cross Site Scripting (XSS) et ajoute un contrôle plus fort sur les URL de redirection.

LemonLDAP::NG permet de déployer trois types d'architectures de WebSSO :

  • Un système de mandataire inverse (reverse-proxy) qui concentre en un point unique le portail d'authentification et les agents de contrôles. L'utilisateur n'accède alors jamais directement aux applications mais utilise toujours le mandataire.
  • Un système de délégation, où les agents de contrôles sont déployés au plus près des applications. Dans ce cas l'utilisateur accède directement aux applications, dont les agents interagissent avec le portail d'authentification pour valider les sessions.
  • Un système mixte, mélangeant le mandataire inverse et la délégation.

Voici quelques détails supplémentaires sur les principales fonctionnalités du produit :

  • Indépendance des mécanismes d'authentification et de recherche des données de l'utilisateur : la phase d'authentification permet de valider la création de la session WebSSO, elle peut être effectuée sur un annuaire LDAP, par certificat SSL, par Liberty Alliance, par CAS, par Kerberos ou tout autre méthode d'authentification disponible dans Apache2. La phase de recherche des données correspond elle à la récupération des informations propres à l'utilisateur (nom, mail, etc.) qui serviront d'une part à valider les règles d'accès, et d'autre part à approvisionner les applications protégées. Cette phase ne peut à l'heure actuelle être opérée que sur un annuaire LDAP (l'ajout d'autres méthodes est prévu dans les futures versions).
  • Utilisation des Web-Services (SOAP) : il est possible d'activer les Web-Services pour s'authentifier (et donc créer la session SSO correspondante), consulter et modifier les sessions existantes, consulter et modifier la configuration.
  • Portail d'authentification : il permet de s'authentifier lorsque l'on est redirigé depuis des applications protégées, mais propose également un module de menu dynamique des applications (seules les applications autorisées sont affichées à l'utilisateur) et un module changement de mot de passe. L'affiche de ces modules est également dynamique, et peut permettre par exemple de ne proposer le changement de mot de passe qu'à une certain profil d'utilisateurs.
  • Interface d'administration graphique : LemonLDAP::NG fournit par défaut un Manager qui permet d'éditer à travers une page Web la configuration générale du WebSSO ainsi que les droits d'accès et les en-têtes spécifiques à chaque application protégée. Cette nouvelle version propose également un explorateur de sessions, offrant une vue hiérarchique des sessions (par identifiant ou adresse IP), et affichant le contenu de chacune d'elles. Cette interface peut être protégée directement par le WebSSO.
  • Choix des backends de session et de configuration : les sessions peuvent être stockées comme fichiers, dans une base MySQL, par SOAP ou dans memcached. La configuration peut être stockée comme fichier, dans une base MySQL ou par SOAP. Ce choix permet de mettre en place très rapidement des solution de haute-disponibilité. En cas de configuration stockée sur un système distant, un mécanisme de cache permet de limiter le transfert des données sur le réseau.
  • Agents et applications compatibles : un certain nombre d'applications sont déjà compatibles avec LemonLDAP::NG, en particulier GLPI, Sympa, Dokuwiki, ... Mais des agents sont également disponibles, en particulier une valve pour Tomcat permettant le SSO sur les application J2EE délégant leur sécurité au conteneur de servlets (par exemple le CMS Lutece, probe, etc.). De plus, toutes les applications Web utilisant des protections Apache (par exemple par htaccess) sont nativement compatibles (c'est le cas de Nagios). Enfin, la nouvelle version de LemonLDAP::NG peut à présent mettre le mot de passe de l'utilisateur en session, ce qui permet par exemple le SSO sur des applications protégées par HTTP Basic (en particulier le fameux Outlook Web Access).
  • Pages de statuts et scripts de supervision : une page de statut est à présent disponible (équivalent au mod-status d'Apache), permettant de réaliser simplement des graphiques avec des outils de supervision (un script pour MRTG est fourni dans les exemples).
  • Politique des mots de passe : LemonLDAP::NG est compatible avec la politique des mots de passe des annuaires LDAP qui suivent le draft de la RFC. C'est le cas d'OpenLDAP avec l'overlay policy. Cela permet à l'utilisateur de savoir que son compte est bloqué ou expiré, et de changer son mot de passe en respectant les critères fixés dans l'annuaire (taille minimale, présence dans l'historique, etc.)

Cette version fait donc état de la grande maturité du produit et des nombreuses fonctionnalités offertes. Toute la communauté reste à l'écoute des utilisateurs pour répondre aux questions et enrichir le logiciel selon leurs besoins. Toutes les contributions sont également les bienvenues.

Liens :

dimanche, novembre 16 2008

Supports de formation libres : tout le monde en parle

LDAP.png

Et à Linagora, nous le faisons !

Nos supports de formation sont sous licence Creative Commons et disponibles sur notre site communautaire.

Par exemple nous avons publié tous les supports sur les annuaires LDAP et le WebSSO.

Même nos amis de GCU en parlent !

dimanche, septembre 28 2008

Première présentation de Lin ID à Paris Capitale du Libre 2008

tux-pcl.pngLes 24 et 25 septembre a eu lieu la troisième édition de Paris Capitale du Libre. Cela a été pour moi l'occasion de présenter pour la première fois notre nouvelle offre Lin ID.

Le logo est provisoire et le site est encore en construction, mais Lin ID est déjà une offre bien concrète, puisque son objectif est de fournir une solution intégrée de différentes briques Open Source existantes de gestion et de fédération des identités.

logo_linid_200px.pngCette offre couvre l'ensemble de besoins d'une entreprise dans le domaine de l'identité, en particulier :

  • Approvisionnement des référentiels sources et destinations
  • Workflows
  • Publication et édition des données
  • Single-Sign On
  • Gestion centralisée des habilitations
  • Traçabilité
  • Accès aux cercles de confiance des partenaires

La présentation est attachée à ce billet.

- page 3 de 4 -