Bonnes ID ~ Clément Oudot

Le 8 février dernier est sortie la version 1.2.3 de LemonLDAP::NG. Prévue à l'origine pour n'être qu'une version corrective de la branche 1.2, de nombreux bugs et améliorations ont été inclus dans cette version, ce qui explique sa sortie tardive (6 mois après la version 1.2.2). Panorama de ces changements.

Les signatures SAML au cœur du cyclone

En décembre, une alerte de sécurité a été diffusée concernant le traitement des signatures SAML dans LemonLDAP::NG (CVE-2012-6426), problème corrigé dès le 18 décembre sur le SVN du projet.

Concrètement, la vérification des signatures était désactivée par défaut lors de la réception des messages et la fonction chargée de vérifier ensuite la signature n'était pas effective (mauvais appel de fonction de la librairie Lasso).

Si vous travaillez donc avec le protocole SAML dans une version inférieur à 1.2.3, la mise à jour est chaleureusement conseillée pour revenir à une situation au beau fixe.

Cette version apporte de plus certaines améliorations sur SAML, comme le support des NameID transient, un meilleur log des échanges SAML et la compatibilité de l'IDP SAML avec une authentification CAS.

Soleil Orage Averse Pluie

Le support de SOAP a été amélioré :

• Support de DBI pour le web service de suppression des notifications
• Accès en écriture aux sessions SOAP pour les Handler, avec une mise à jour de la documentation associée

Le ciel est tombé sur l'en-tête X-Forwarded-For

Jusqu'ici, la gestion de l'en-tête X-Forwarded-For n'était pas évident. Cette en-tête est gérée par les proxys et permet de connaître l'adresse IP d'origine d'une requête HTTP, donc l'IP du client.

Avant la version 1.2.1, l'activation de la gestion de cette en-tête inscrivait l'IP dans une variable spécifique de la session ($xForwardedForIpAddr), laissant l'IP standard dans la variable $ipAddr. Hors, même s'il est possible d'utiliser la variable $xForwardedForIpAddr dans des règles, dans d'autres endroits du code, $ipAddr est forcément utilisé (par exemple dans les logs, ou dans les modèles HTML des mails envoyés).

Cette gestion a été revue, désormais si l'option X-Forwarded-For est activée dans LemonLDAP::NG, alors la variable de session $ipAddr prendra cette valeur, ce qui s'appliquera donc à toutes les fonctions utilisant cette variable.

De plus, depuis la version 1.2.3, pour éviter que la valeur de cette en-tête soit modifiée manuellement par les utilisateurs, une règle de sécurité est apparue pour n'accepter cette en-tête que depuis certaines IP (en l'occurrence les adresses IP des proxys s'ils existent).

Accalmie sur les rejeux de formulaire

Les rejeux de formulaire sont une fonctionnalité assez marginale, permettant de transformer des requêtes GET en POST, utilisant comme données POST des informations de la session de l'utilisateur. En utilisant la fonction de sauvegarde du mot de passe en session, cela permet donc de faire du SSO sur des applications mal écrites propriétaires.

Plusieurs bugs ont été corrigés pour rendre cette fonction plus opérationnelle :

• Utilisation d'une URL d'interception indépendante de l'URL du formulaire
• Correction des caches pour les requêtes suivant le rejeu de formulaire

Toutefois, cette fonctionnalité reste assez peu avancée, et il est préférable d'utiliser les modes standards de SSO (en-tête HTTP, CAS, SAML, ...).

Séance d'UV pour le portail

Le portail est la partie visible de LemonLDAP::NG, là où les utilisateurs s'authentifient, changent leur mot de passe et voient les applications auxquelles ils sont accès.

Comme le physique c'est important, la version 1.2.3 apporte deux nouveautés dans ce domaine :

• Les utilisateurs peuvent trier les catégories pour placer en haut celles qu'ils utilisent le plus tri catégorie
• Les administrateurs peuvent définir des règles de sélection d'un thème graphique, par rapport à l'URL de l'application protégée ou l'IP de l'utilisateur par exemple
• Le temps avant l'expiration du mot de passe est affiché en jour/heures/minutes/secondes, et plus uniquement en secondes

D'hiver

D'autres améliorations diverses ont été faites :

• Contrôle des applications demandant une authentification Cross Domain
• Fonctionnement même si des sessions fichiers sont corrompues
• Version installée affichée dans le Manager

Après la pluie

À présent que vous êtes convaincus qu'il faut absolument installer cette nouvelle version, courrez la télécharger, ou mettez à jour via vos distributions préférées !

L'équipe du projet LemonLDAP::NG travaille déjà sur la version 1.3. N'hésitez pas à venir nous prêter main forte !

Cette semaine est sortie une nouvelle version majeure de LemonLDAP::NG : la version 1.2.0. Annoncée et attendue depuis plusieurs mois (voir la présentation donnée au FOSDEM), elle est enfin disponible et propose de nombreuses améliorations.

LemonLDAP::NG est un logiciel de WebSSO, contrôle d'accès et fédération des identités. Ses principales fonctionnalités sont :

• Portail d'application, affichant dynamiquement les applications autorisées
• Réinitialisation du mot de passe par un challenge par mail
• Interface d'administration Web
• Explorateur de sessions
• Notifications
• Support de nombreux moyens d'authentifications (LDAP, SQL, certificat SSL, Kerberos, etc.)
• Support des protocoles CAS, OpenID et SAML
• Propagation de l'identité par en-têtes HTTP, variables d'environnement ou rejeu de formulaires
• Identification des URLs à protéger par expressions régulières

On met le paquet

Tout d'abord avant d'entrer dans le détail des nouveautés, on peut noter que LemonLDAP::NG est désormais empaqueté pour les distributions suivantes :

• Debian Squeeze
• RHEL/CentOS 5
• RHEL/CentOS 6
• Mageia Caudron

Rien de plus simple donc pour installer ou mettre à jour LemonLDAP::NG que d'utiliser les outils standards des distributions comme apt-get, yum ou urpmi.

Une fonction historique

L'une des évolutions majeures de la 1.2 est l'historique des connexions. Cet historique permet de stocker les dates des dernières authentifications réussies et échouées. La raison de l'échec est également conservée.

Ces informations sont d'abord visibles par les administrateurs dans l'explorateur de sessions, car elles sont chargées lors de l'ouverture de la session SSO depuis la session persistante de l'utilisateur.

Il est ensuite possible de configurer LemonLDAP::NG pour présenter ces informations à l'utilisateur :

• Par un onglet dédié dans le portail des applications
• Par une case à cocher affichant ces informations avant redirection vers l'application protégée

Le nombre d'authentifications conservées dans l'historique est lui aussi paramétrable, pour les authentifications réussies comme pour les authentifications échouées.

Docteur qui ?

La question qui revient le plus souvent de la part des personnes installant pour la première fois LemonLDAP::NG est : "Où sont les utilisateurs ?"

LemonLDAP::NG n'est pas un annuaire LDAP ou un référentiel autre permettant de créer, modifier ou supprimer des comptes utilisateurs. Il s'appuie au contraire sur des référentiels existants dans l'entreprise (LDAP, base de données) ou externes via des protocoles de fédération d'identités (OpenID, SAML, ...)

Seulement il assez facile de comprendre la frustration ressentie lorsque l'on installe LemonLDAP::NG et qu'il faille créer soi-même un référentiel d'identités et le configurer avant de pouvoir tester le WebSSO.

Relaxez-vous, la nouvelle version de LemonLDAP::NG arrive avec un module "Démonstration" configuré par défaut, qui fournit des comptes utilisateurs factices permettant d'ouvrir une session et d'accéder aux applications de test. On peut ainsi installer et démarrer LemonLDAP::NG en quelques minutes.

Les comptes de test sont issus de la série Doctor Who :

• Rose Tyler: rtyler/rtyler
• Mickey Smith : msmith/msmith
• Doctor Who: dwho/dwho

À noter que l'utilisateur "dwho" est le seul à avoir accès à l'interface d'administration et l'explorateur de sessions dans la configuration initiale.

Ne quittez pas, un agent va vous répondre

Des applications en maintenance, ça arrive même aux meilleurs. Si certaines organisations arrivent par des architectures en haute-disponibilité à éviter toute coupure de service lors de la mise à jour d'une application, ce n'est pas le cas pour tout le monde, et surtout parfois impossible pour certaines applications (schéma de base de données à modifier par exemple).

Dans ce cas, au lieu que les utilisateurs accédant à l'application se retrouvent avec des messages d'erreurs exotiques (et même s'ils ont été prévus 10 fois par mail qu'une opération de maintenance allait avoir lieu !), il est préférable de les rediriger vers une page dédiée expliquant que l'application est en maintenance.

Cette opération peut se faire en modifiant les configurations Apache, sur un ou plusieurs serveurs en fonction du déploiement de l'application, mais c'est souvent fastidieux et source d'erreurs.

La nouvelle version de LemonLDAP::NG propose désormais un mode maintenance qui permet de désactiver temporairement l'accès à une application. Il suffit d'activer cette option depuis l'interface d'administration, et automatiquement les utilisateurs sont redirigés vers une page d'erreur spécifique lorsqu'ils tentent de joindre l'application. La configuration de LemonLDAP::NG étant propagée à tous les nœuds des applications, ce mode s'applique directement sur ces nœuds, sans intervention nécessaire sur la configuration Apache.

De la flotte au menu

Petite nouveauté également, la possibilité d'ajouter un menu flottant sur les applications protégées. Ce menu est un module chargé dans la configuration Apache qui ajoute des éléments au DOM de la page à la volée. Il est donc non-intrusif sur les applications.

Ce module est pour l'instant très simple et ne propose que 2 liens : retour à la page du portail ou déconnexion. Il est par contre facile de se créer son propre module en copiant le module d'origine.

Ave Radius

L'authentification Radius vient s'ajouter aux nombreux autres moyens d'authentification proposés par LemonLDAP::NG.

Un des intérêts de Radius est d'être compatible avec Google Authenticator, qui propose une méthode de double authentification : mot de passe et OTP (One Time Password). L'OTP est envoyé sur le téléphone mobile et permet donc de s'assurer que l'utilisateur est celui qui possède le mot de passe et le téléphone mobile associé au compte.

La communauté de l'année

Cette nouvelle version est le fruit d'un travail communautaire important, avec de nombreux bugs et patchs rapportés par les utilisateurs avancés de la solution :

• Dominique Fournier
• Emmanuel Lesouef
• Erwan Le Gall
• Gaultier Hubert
• Quentin Jaboeuf
• Mathieu Parent
• Romain Vrignaud
• Sébastien Bahloul
• ulkesh

L'équipe principale du projet s'est également beaucoup investie, en particulier François-Xavier Deltombe qui a rejoint le projet l'année dernière. Merci donc à lui et aux autres membres de l'équipe : Xavier Guimard et Thomas Chemineau.

Enfin, petit clin d'œil à Sandro Cazzaniga qui a rejoint Linagora pour la période estivale et qui a empaqueté LemonLDAP::NG pour Mageia.

Speed dating

Pour venir découvrir en direct cette nouvelle version, rendez-vous aux prochains salons du libre :

• Solutions Linux à Paris
• RMLL à Genève

Pour les malchanceux qui ne pourront venir, le lot de consolation :

• Captures d'écran
• Téléchargement

Sortie d'une nouvelle version de LemonLDAP::NG en ce début d'automne, corrigeant quelques problèmes de la version 1.1.1, et apportant une amélioration du module fournisseur CAS.

Un problème ? Quel problème ? Mais y'a pas de problème

Parmi les petits soucis corrigés, on notera:

• Meilleure gestion des dépendances Debian (Lasso et javascript-common)
• Importation des fonctions étendues dans le Handler si la cage Safe est désactivée
• Amélioration de la gestion des erreurs du Handler SecureToken
• Modification du comportement de la fonction d'autorisation du portail : si l'application à afficher n'est pas connue du portail, elle est ignorée. On peut forcer l'affichage d'une application dans le portail avec le paramètre Display qu'il suffit de mettre à On.

CAS / Lemon, un cocktail d'enfer

LemonLDAP::NG est fournisseur CAS depuis la version 1.0. Cela permet de remplacer facilement son serveur CAS par LemonLDAP::NG. Il manquait toutefois une petite fonctionnalité : la gestion des autorisations pour les services CAS.

Avant cette version, le fournisseur CAS de LemonLDAP::NG renvoyait des tickets CAS aux services sans contrôler que l'utilisateur était bien autorisé à accéder à ce service. L'autorisation devait se faire soit en interne à l'application, soit en positionnant un Handler LL::NG devant.

Désormais, le fournisseur CAS peut vérifier l'autorisation d'accès à l'émission du ticket. Deux solutions alors si l'utilisateur n'est pas autorisé:

• L'utilisateur reste sur le portail avec un message d'erreur adéquat
• L'utilisateur repart sur le service avec un faux ticket, et l'erreur est alors gérée au niveau de l'application

À ma connaissance, cela fait de LemonLDAP::NG le seul serveur CAS sachant gérer les autorisations d'accès aux services !

On s'est pas déjà vu quelque part ?

C'est possible. Mais si vous voulez être certain de me croiser, ne ratez pas les prochaines occasions :

• LDAPCon à Heidelberg les 10 et 11 octobre
• Application Security Forum à Yverdon-les-Bains les 26 et 27 octobre

Ceci est la reprise de l'article rédigé pour LinuxFR, disponible ici : http://linuxfr.org/news/sortie-de-lemonldapng-11

Le 8 juillet dernier, à la veille de l'ouverture des RMLL, est sortie une nouvelle version majeure de LemonLDAP::NG.

LemonLDAP::NG est un logiciel de Web-SSO destiné à protéger des applications Web. Pour les utilisateurs, cela permet de ne s'authentifier qu'une seule fois (Single Sign-On) et pour les administrateurs du WebSSO cela permet de contrôler de manière centralisée les droits d'accès aux applications. LemonLDAP::NG supporte désormais de nombreux protocoles d'authentification et de fédération d'identités comme CAS, OpenID ou SAML 2.0.

La version 1.1 apporte un certain nombre de nouveautés présentées ci-dessous.

Gestion des notifications

Une notification est un message affiché à l'utilisateur lors de son accès au portail d'authentification (accès obligatoire pour la création de sa session SSO). Une notification peut contenir des cases à cocher, qui devront alors être activées par l'utilisateur pour poursuivre.

Ce système permet par exemple d'avertir un utilisateur sur la modification de ses habilitations, ou sur l'ajout ou la suppression d'une application dans le portail.

Les notifications existent dans LemonLDAP::NG depuis la version 0.9.4, mais le paramétrage de cette fonctionnalité était complexe. Depuis la version 1.1, le Manager (interface d'administration de la solution) possède désormais un explorateur qui permet de créer et parcourir les notifications.

De plus, les notifications peuvent désormais :

• S'adresser à tous les utilisateurs (auparavant, une notification était enregistrée pour un utilisateur précis)
• Posséder une condition d'affichage (ce qui permet par exemple d'afficher une notification pour des utilisateurs provenant d'un certain réseau, ou possédant certains attributs)

Pour plus d'informations, vous pouvez consulter la documentation en ligne.

Réinitialisation du mot de passe par mail

Lorsqu'un utilisateur a perdu son mot de passe, LemonLDAP::NG propose une page où il peut réinitialiser son mot de passe par mail. Il n'est bien entendu pas question de lui transmettre son mot de passe actuel, mais bien de lui permettre d'en changer via un challenge par mail. Cette méthode est inefficace si le mot de passe du WebSSO est le même que le mot de passe de sa messagerie, mais dans les autres cas, elle permet d'alléger considérablement les appels au support.

La cinématique est la suivante :

• L'utilisateur fait une demande de réinitialisation en entrant son identifiant (ou tout attribut permettant de l'identifier de manière unique, comme son mail)
• Un mail est envoyée avec un lien, dont la validité est configurable (par défaut 24 heures)
• Le lien mène à une page permettant de saisir un nouveau mot de passe, ou de demander sa génération automatique
• Le nouveau mot de passe est envoyé par mail

Pour plus d'informations, vous pouvez consulter la documentation en ligne.

Authentification par Yubikey

La Yubikey est un périphérique physique permettant de faire de l'authentification avec mot de passe à usage unique (One Time Password, OTP).

LemonLDAP::NG permet désormais d'utiliser ce périphérique pour ouvrir une session SSO. Les attributs de l'utilisateur peuvent être ensuite récupéré en associant l'identifiant de la clé à l'identifiant de l'utilisateur dans la base des comptes (LDAP ou SQL).

Pour plus d'informations, vous pouvez consulter la documentation en ligne.

Personnalisation

La personnalisation du produit est facilitée dans la dernière version, en particulier :

• Les messages d'erreurs peuvent être surchargés dans le fichier INI
• Les thèmes possèdent désormais des modèles HTML "custom" inclus dans les modèles par défaut

Pour plus d'informations, vous pouvez consulter la documentation en ligne.

Une nouvelle version de LemonLDAP::NG est sortie cette semaine, numérotée 1.0.4.

Cette version corrige entre autres un problème important, lié à la refactorisation du code de la cage d'exécution (Safe) : les macros et les groupes étaient conservés en mémoire, et pouvaient donc être copiés d'une session d'utilisateur à une autre. Conséquence : si les règles d'accès utilisent les macros ou les groupes, cela pouvait permettre l'accès à des personnes non autorisées aux applications.

Il est donc vivement conseillé de migrer vers la nouvelle version.

Page de téléchargement de LemonLDAP::NG.

Une nouvelle version mineure de LemonLDAP::NG vient de sortir, corrigeant quelques problèmes sur la 1.0, publiée en fin d'année dernière.

La version 1.0.2 apporte les améliorations principales suivantes :

• Correction sur la prise en compte des niveaux d'authentification LDAP et DBI
• L'option portalOpenLinkInNewWindow n'est pas prise en compte
• Réinitialisation du mot de passe avec AuthChoice
• Meilleure gestion du cache de configuration dans le portail
• Protection de l'explorateur de sessions semblable à celle du Manager
• Masquage des catégories vides dans le menu des applications
• Correctifs sur le packaging Debian
• Nouvelle option useSafeJail pour désactiver l'utilisation de Safe.pm

Quelques liens :

• Téléchargement
• Liste complète des changements

Même si Debian Squeeze vient de remplacer Lenny comme version stable ce mois-ci, il reste que cette dernière reste une version serveur encore très déployée, en attendant les migrations vers Squeeze.

La version 1.0 de LemonLDAP::NG a été empaquetée pour de nombreuses distributions, y compris Debian. Cependant, pour des questions de dépendances, les paquets Debian de LemonLDAP::NG sont compatibles avec Squeeze, et ne s'installent pas directement sous Lenny. Cela vous chagrine ? Moi aussi.

Heureusement, il y a toujours des solutions. Celle que je vous propose consiste à télécharger directement les dépendances problématiques depuis le site http://packages.debian.org et de les installer manuellement. Les paquets à télécharger depuis leur version Sid sont :

• libjs-jquery
• libjs-jquery-ui
• libnet-ldap-perl

Par exemple :

wget http://ftp.de.debian.org/debian/pool/main/j/jquery/libjs-jquery_1.5-2_all.deb
dpkg -i libjs-jquery_1.5-2_all.deb 
wget http://ftp.de.debian.org/debian/pool/main/j/jqueryui/libjs-jquery-ui_1.8.dfsg-3_all.deb
dpkg -i libjs-jquery-ui_1.8.dfsg-3_all.deb 
wget http://ftp.de.debian.org/debian/pool/main/libn/libnet-ldap-perl/libnet-ldap-perl_0.4001-2_all.deb
dpkg -i libnet-ldap-perl_0.4001-2_all.deb 

Voilà, ensuite il ne reste plus qu'à installer LemonLDAP::NG en suivant la procédure officielle.

Cette semaine devrait sortir sur vos écrans retro-éclairés la nouvelle version de LemonLDAP::NG, et pas n'importe quelle version puisqu'il s'agira de la 1.0.

En effet, le logiciel a désormais acquis de la stabilité et s'est enrichi depuis la dernière version (0.9.4.1) de nombreuses fonctionnalités, en particulier le support de CAS, SAML et OpenID. J'aurai l'occasion de revenir en détail sur tous ces éléments lors de la sortie officielle.

En attendant, je vous laisse découvrir le nouveau site du projet ainsi que les captures d'écran de la 1.0 : http://lemonldap-ng.org/screenshots

Graham Barr a annoncé récemment la disponibilité de la version 0.40 de Perl-LDAP, l'une des bibliothèque les plus abouties pour interagir avec un annuaire LDAP (en particulier pour son support de nombreux contrôles et opérations étendus).

Il l'annonce dans un message paru sur la liste le 11 mars: lire le message.

En particulier, les changements intéressants sont :

• Correction de bugs sur le protocole Syncrepl
• Correction de bugs sur les filtres
• Ajout du contrôle Refresh

Cette nouvelle version est disponible sur le CPAN et devrait bientôt être mise en ligne sur le site officiel.

J'ai présenté il y a quelques semaines sur le site LinuxFr le projet LDAP Tool Box : Article LinuxFR

Ce projet est une compilation des différents scripts et programmes que nous utilisons dans les projets de gestion d'identités basés sur des logiciels libres. On retrouve en particulier :

• Scripts de supervision Nagios et Cacti
• Script de lancement et d'arrêt d'OpenLDAP
• Interface de changement de mot de passe
• Script d'alerte d'expiration des comptes
• RPMs OpenLDAP pour RHEL5
• Convertisseur de CSV ou LDIF en LDIF

Depuis cet article, de nombreux messages de soutien sont arrivés, et également des contributions qui ont permis de sortir de nouvelles versions des différents programmes. En particulier ont été publiés les RPMs pour OpenLDAP 2.4.19 et une version 0.2 de l'interface de changement de mot de passe.

Merci donc aux développeurs, aux utilisateurs et contributeurs du projet LTB.

Site du projet LTB