Bonnes ID ~ Clément Oudot

Aller au contenu | Aller au menu | Aller à la recherche

Tag - ldap

Fil des billets

samedi, novembre 14 2009

Le projet LDAP Tool Box

Par KPTN le samedi, novembre 14 2009, 22:25 - LDAP a lu lah

ltb-logo.png

J'ai présenté il y a quelques semaines sur le site LinuxFr le projet LDAP Tool Box : Article LinuxFR

Ce projet est une compilation des différents scripts et programmes que nous utilisons dans les projets de gestion d'identités basés sur des logiciels libres. On retrouve en particulier :

  • Scripts de supervision Nagios et Cacti
  • Script de lancement et d'arrêt d'OpenLDAP
  • Interface de changement de mot de passe
  • Script d'alerte d'expiration des comptes
  • RPMs OpenLDAP pour RHEL5
  • Convertisseur de CSV ou LDIF en LDIF

Depuis cet article, de nombreux messages de soutien sont arrivés, et également des contributions qui ont permis de sortir de nouvelles versions des différents programmes. En particulier ont été publiés les RPMs pour OpenLDAP 2.4.19 et une version 0.2 de l'interface de changement de mot de passe.

Merci donc aux développeurs, aux utilisateurs et contributeurs du projet LTB.

Site du projet LTB

mercredi, juillet 22 2009

Sortie de LemonLDAP::NG 0.9.4

Par KPTN le mercredi, juillet 22 2009, 14:18 - . . . . . . _ _ _

Début juillet est sortie la dernière version de LemonLDAP::NG, un logiciel libre de WebSSO et gestion des accès. Les nouveautés de la version 0.9.4 ont été présentées lors des 10èmes RMLL à Nantes, lors de la journée consacrée à la gestion des identités. Pour ceux qui n'ont pas eu le privilège d'assister à cette conférence, cet article rappelle les principes de fonctionnement du produit et liste les nouvelles fonctionnalités. Les plus intéressés trouveront également dans le Linux Mag de cet été une bonne introduction au logiciel.

logo_lemonldap-ng.png

LemonLDAP::NG fournit des mécanismes d'authentification unique à l'intérieur d'Apache en utilisant les capacités de mod_perl à traiter les requêtes HTTP depuis leur arrivée, leur traitement jusqu'au renvoi de la réponse au client. La gestion de la session repose sur un cookie échangé entre les clients et les agents LemonLDAP::NG (Handlers) ne contenant qu'une clé permettant d'accéder aux données de session qui sont partagées entre les agents.

Ces données de sessions sont collectées lors de la phase d'authentification et permettent d'établir des règles d'accès complexes, avec notamment la possibilité de recourir aux expressions régulières, ou d'appeler des fonctions qui contrôlent par exemple les jours et horaires d'accès.

Le portail d'authentification présente à l'utilisateur connecté la liste des applications qui lui sont autorisées ainsi qu'un formulaire de changement de mot de passe.

Pour les administrateurs, une interface graphique permet de modifier les principaux paramètres de configuration ainsi que de naviguer dans les sessions ouvertes par les utilisateurs.

La version 0.9.4 apporte les nouveautés suivantes :

  • Utilisation de LDAP pour la configuration et les sessions : il était déjà possible d'utiliser un annuaire LDAP pour l'authentification, l'obtention des informations de session et pour le changement de mot de passe. À présent la configuration et les sessions peuvent être stockées dans l'annuaire, ce qui simplifie la configuration en mode réparti ou en cluster. Cela ne nécessite pas d'extension de schéma.
  • Accès SOAP : les fonctions SOAP ont été entièrement réécrites, avec pour conséquence la perte de compatibilité avec les configurations SOAP des versions précédentes. Toutefois l'objectif étant la simplification de l'architecture, c'est le portail qui devient un point d'accès SOAP, rendant obsolète l'écriture de scripts CGI dédiés. La protection du point d'accès SOAP est gérée directement dans l'hôte virtuel du portail au niveau de la configuration Apache.
  • Notifications : des notifications peuvent être envoyées aux utilisateurs qui devront les valider pour poursuivre leur accès au portail. Cela permet en particulier d'avertir un utilisateur de l'ouverture d'un accès à une application.
  • Fonctions dans les règles d'accès : des nouvelles fonctions permettent de configurer des accès sur une période (date de début, date de fin) ou sur des jours et horaires (par exemple du lundi au vendredi de 8h à 19h).
  • Adresse du portail dynamique : cela permet de présenter un portail différent selon l'application protégée d'origine ou la provenance des utilisateurs. Il est alors possible d'héberger plusieurs WebSSO avec une seule instance d'Apache.
  • Séparation claire des modules d'authentification, de données utilisateur et de mots de passe : il est possible alors de choisr par exemple Kerberos pour l'authentification et LDAP pour la lecture des informations utilisateur. Le module Multi permet de chaîner plusieurs méthodes.
  • Politique des mots de passe LDAP : le WebSSO gère à présent l'ensemble de la politique des mots de passe implémentée dans la plupart des annuaires LDAP. En particulier, le portail saura exiger le renouvellement du mot de passe lorsque celui aura été réinitialisé par un administrateur. Lors du changement de mot de passe, des messages d'erreurs explicites sont retournés aux utilisateurs (mot de passe trop court, historique, etc.).
  • Configuration du cross-domain : l'activation du cross-domain est simplifiée par l'ajout d'un paramètre dans le portail et dans l'agent. Le cross-domain permet d'ouvrir une session SSO sur plusieurs domaines DNS différents.
  • Validation de formulaires : cette fonctionnalité est juste apparue dans cette version et doit être utilisée avec précaution. Elle permet de poster des données sur des applications protégées, ce qui étend la compatibilité de LemonLDAP::NG avec n'importe quelle application Web.
  • Double cookie : si activée, cette fonction créée deux cookies, un pour HTTP et l'autre pour HTTPS. Ainsi un cookie dérobé en HTTP ne pourra pas servir à entrer sur des applications HTTPS.

Liens :

lundi, janvier 19 2009

Sortie de LemonLDAP::NG 0.9.3

Par KPTN le lundi, janvier 19 2009, 09:15 - . . . . . . _ _ _

LemonLDAP::NG est un logiciel de Web-SSO, développé par Xavier Guimard et destiné à protéger des applications Web. Pour les utilisateurs, cela permet de ne s'authentifier qu'une seule fois, et pour les administrateurs du WebSSO cela permet de contrôler de manière centralisée les droits d'accès aux applications.

logo_lemonldap-ng.png

LemonLDAP::NG est une réécriture de la version initiale LemonLDAP, qui n'est aujourd'hui plus maintenue. Eric German, leader historique de la communauté, est à présent impliqué sur un nouveau projet, LemonID, que nous vous invitons à découvrir.

Cette version est normalement la dernière avant la 1.0 qui se concentrera sur la refonte de la configuration (utilisation de XML, exhaustivité des paramètres de configuration dans la console d'administration Web, etc.). Elle apporte toutefois un lot conséquent de corrections et d'améliorations, telles qu'un menu des applications autorisées, un explorateur de session, et des paquetages pour les systèmes basés sur Debian et RedHat.

Cette version est également importante en terme de sécurité car elle corrige quelques failles de Cross Site Scripting (XSS) et ajoute un contrôle plus fort sur les URL de redirection.

LemonLDAP::NG permet de déployer trois types d'architectures de WebSSO :

  • Un système de mandataire inverse (reverse-proxy) qui concentre en un point unique le portail d'authentification et les agents de contrôles. L'utilisateur n'accède alors jamais directement aux applications mais utilise toujours le mandataire.
  • Un système de délégation, où les agents de contrôles sont déployés au plus près des applications. Dans ce cas l'utilisateur accède directement aux applications, dont les agents interagissent avec le portail d'authentification pour valider les sessions.
  • Un système mixte, mélangeant le mandataire inverse et la délégation.

Voici quelques détails supplémentaires sur les principales fonctionnalités du produit :

  • Indépendance des mécanismes d'authentification et de recherche des données de l'utilisateur : la phase d'authentification permet de valider la création de la session WebSSO, elle peut être effectuée sur un annuaire LDAP, par certificat SSL, par Liberty Alliance, par CAS, par Kerberos ou tout autre méthode d'authentification disponible dans Apache2. La phase de recherche des données correspond elle à la récupération des informations propres à l'utilisateur (nom, mail, etc.) qui serviront d'une part à valider les règles d'accès, et d'autre part à approvisionner les applications protégées. Cette phase ne peut à l'heure actuelle être opérée que sur un annuaire LDAP (l'ajout d'autres méthodes est prévu dans les futures versions).
  • Utilisation des Web-Services (SOAP) : il est possible d'activer les Web-Services pour s'authentifier (et donc créer la session SSO correspondante), consulter et modifier les sessions existantes, consulter et modifier la configuration.
  • Portail d'authentification : il permet de s'authentifier lorsque l'on est redirigé depuis des applications protégées, mais propose également un module de menu dynamique des applications (seules les applications autorisées sont affichées à l'utilisateur) et un module changement de mot de passe. L'affiche de ces modules est également dynamique, et peut permettre par exemple de ne proposer le changement de mot de passe qu'à une certain profil d'utilisateurs.
  • Interface d'administration graphique : LemonLDAP::NG fournit par défaut un Manager qui permet d'éditer à travers une page Web la configuration générale du WebSSO ainsi que les droits d'accès et les en-têtes spécifiques à chaque application protégée. Cette nouvelle version propose également un explorateur de sessions, offrant une vue hiérarchique des sessions (par identifiant ou adresse IP), et affichant le contenu de chacune d'elles. Cette interface peut être protégée directement par le WebSSO.
  • Choix des backends de session et de configuration : les sessions peuvent être stockées comme fichiers, dans une base MySQL, par SOAP ou dans memcached. La configuration peut être stockée comme fichier, dans une base MySQL ou par SOAP. Ce choix permet de mettre en place très rapidement des solution de haute-disponibilité. En cas de configuration stockée sur un système distant, un mécanisme de cache permet de limiter le transfert des données sur le réseau.
  • Agents et applications compatibles : un certain nombre d'applications sont déjà compatibles avec LemonLDAP::NG, en particulier GLPI, Sympa, Dokuwiki, ... Mais des agents sont également disponibles, en particulier une valve pour Tomcat permettant le SSO sur les application J2EE délégant leur sécurité au conteneur de servlets (par exemple le CMS Lutece, probe, etc.). De plus, toutes les applications Web utilisant des protections Apache (par exemple par htaccess) sont nativement compatibles (c'est le cas de Nagios). Enfin, la nouvelle version de LemonLDAP::NG peut à présent mettre le mot de passe de l'utilisateur en session, ce qui permet par exemple le SSO sur des applications protégées par HTTP Basic (en particulier le fameux Outlook Web Access).
  • Pages de statuts et scripts de supervision : une page de statut est à présent disponible (équivalent au mod-status d'Apache), permettant de réaliser simplement des graphiques avec des outils de supervision (un script pour MRTG est fourni dans les exemples).
  • Politique des mots de passe : LemonLDAP::NG est compatible avec la politique des mots de passe des annuaires LDAP qui suivent le draft de la RFC. C'est le cas d'OpenLDAP avec l'overlay policy. Cela permet à l'utilisateur de savoir que son compte est bloqué ou expiré, et de changer son mot de passe en respectant les critères fixés dans l'annuaire (taille minimale, présence dans l'historique, etc.)

Cette version fait donc état de la grande maturité du produit et des nombreuses fonctionnalités offertes. Toute la communauté reste à l'écoute des utilisateurs pour répondre aux questions et enrichir le logiciel selon leurs besoins. Toutes les contributions sont également les bienvenues.

Liens :

dimanche, novembre 16 2008

Supports de formation libres : tout le monde en parle

Par KPTN le dimanche, novembre 16 2008, 12:31 - À l'aire libre

LDAP.png

Et à Linagora, nous le faisons !

Nos supports de formation sont sous licence Creative Commons et disponibles sur notre site communautaire.

Par exemple nous avons publié tous les supports sur les annuaires LDAP et le WebSSO.

Même nos amis de GCU en parlent !

dimanche, septembre 28 2008

Première présentation de Lin ID à Paris Capitale du Libre 2008

Par KPTN le dimanche, septembre 28 2008, 18:18 - Lin ID

tux-pcl.pngLes 24 et 25 septembre a eu lieu la troisième édition de Paris Capitale du Libre. Cela a été pour moi l'occasion de présenter pour la première fois notre nouvelle offre Lin ID.

Le logo est provisoire et le site est encore en construction, mais Lin ID est déjà une offre bien concrète, puisque son objectif est de fournir une solution intégrée de différentes briques Open Source existantes de gestion et de fédération des identités.

logo_linid_200px.pngCette offre couvre l'ensemble de besoins d'une entreprise dans le domaine de l'identité, en particulier :

  • Approvisionnement des référentiels sources et destinations
  • Workflows
  • Publication et édition des données
  • Single-Sign On
  • Gestion centralisée des habilitations
  • Traçabilité
  • Accès aux cercles de confiance des partenaires

La présentation est attachée à ce billet.

une annexe

vendredi, septembre 26 2008

Sortie de Perl-LDAP 0.38

Par KPTN le vendredi, septembre 26 2008, 11:30 - LDAP a lu lah

Une nouvelle version de la librairie Perl-LDAP est sortie fin septembre, essentiellement liée à des correctifs sur l'utilisation de la politique des mots de passe :

  • Utilisation d'un mauvais champ pour stocker l'erreur
  • Bug dans le décodage du contrôle
  • Possibilité d'utiliser le contrôle dans l'opération étendue modifypassword (nommée setPassword dans la librairie Perl)

Une des conséquences les plus importantes est l'utilisation de pp_error() au lieu de error() pour récupérer le message d'erreur du contrôle. Cela impose de modifier vos codes sources pour prendre en compte le renommage de la fonction. Le code de LemonLDAP::NG est bien entendu déjà corrigé sur le dépôt subversion.

Je recommande donc d'exiger au minimum la version 0.38 de Perl-LDAP si vous utilisez la politique des mots de passe.

jeudi, mai 22 2008

Linux Days 2008 à Genève, les 21 et 22 mai : grille et lessive

Par KPTN le jeudi, mai 22 2008, 16:03 - À l'aire libre

J'ai eu le plaisir d'assister aux Linux Days à Genève cette semaine, un des évènements majeurs autour du libre en Suisse. Toutefois la fréquentation n'a pas forcément été à la hauteur, les contacts ont donc plutôt été dirigés vers les exposants que réellement vers le public. Parmi ceux-ci nous retrouvions quelques associations et LUGs locaux et plusieurs stands professionnels, dont SUN, HP et même Microsoft, venu convaincre de se volonté de collaborer avec le libre.

stand.jpg hall_expostants.jpg

Notons également la présence toujours appréciée de OW2 (avec les stands Bull et Thales) qui venait assurer un cycle de conférences. Bull a pu présenter son projet NovaForge (une plate-forme de développement collaboratif, qui n'a rien a voir avec le portail novaforge.org), qui deviendra prochainement un projet totalement libre hébergé chez OW2.

Ces journées ont été l'occasion de rencontres intéressantes, comme avec Nils Buss, conseiller en technologies à l'état de Genève, qui a largement contribué à l'entrée de l'Open Source dans cette administration. Nils nous permis de faire une petite visite au CERN, que je présenterai dans un prochain billet. J'ai également pu discuter avec Miika Tuiski, travaillant au CERN sur un projet d'utilisation des standards de fédération des identités avec les technologies de grille (grid computing). Ce projet est rattaché à EGEE (Enabling Grid for E-sciencE) et au consortium Globus Alliance. L'idée est d'avoir un "portail grille" capable d'interagir avec un cercle de confiance. L'identité du cercle peut alors servir à accéder à des ressources de la grille, comme indiqué dans le schéma suivant :

GridLibOverviewWeb.png

Notons également une bonne initiative du stand Microsoft, laver son linge sale en famille :

lessives.jpg

Pour finir, un petit clin d'oeil aux ldapistes, car la manifestation se tenait juste à côté de l'immeuble de l'ITU, créateur de X500 :

itu.jpg

Lien vers toutes les photos

lundi, mars 31 2008

Sortie de Perl-LDAP 0.35 et politique des mots de passe

Par KPTN le lundi, mars 31 2008, 18:48 - LDAP a lu lah

Perl

Ce week-end une nouvelle version des bibliothèques Perl Net::LDAP est sortie en version 0.35, apportant un certain nombre d'améliorations (listées ici), dont un nouveau module dédié au contrôle LDAP Password Policy.

Rappelons que ce contrôle permet par exemple de bloquer des comptes suites à plusieurs authentifications ratées, de conserver un historique des mots de passe, d'avoir une taille minimale, de chiffrer à la volée, etc. Si vous souhaitez plus d'informations sur ce standard (qui n'en n'est pas vraiment un puisque la RFC n'est encore qu'un brouillon), vous trouverez une documentation ici.

L'installation se fait de manière très classique :

# perl Makefile.PL
# make
# make test
# make install

Ainsi, vous pouvez à présent dans vos programmes Perl récupérer les messages spécifiques de ce contrôle :

        use Net::LDAP;
        use Net::LDAP::Control::PasswordPolicy;
        use Net::LDAP::Constant qw( LDAP_CONTROL_PASSWORDPOLICY );

        $ldap = Net::LDAP->new( "ldap.example.com" );

        $pp = Net::LDAP::Control::PasswordPolicy->new;

        $mesg = $ldap->bind( "cn=Bob Smith,dc=example,dc=com",
                             password => "secret",
                             control => [ $pp ] );

        # Get password policy reponse
        my($resp)  = $mesg->control( LDAP_CONTROL_PASSWORDPOLICY );

        if (defined($resp)) {
          my $v = $resp->error;
          print "Password policy error $v\n" if defined $v;
          $v = $resp->time_before_expiration;
          print "Password expires in $v second(s)\n" if defined $v;
        }