Bonnes ID ~ Clément Oudot

Aller au contenu | Aller au menu | Aller à la recherche

Un blog sur la gestion d'identité Open Source

Retrouvez ici les actualités des projets libres sur lesquels je travaille.

Mot-clé - saml

Fil des billets

mercredi, décembre 1 2010

Sortie de LemonLDAP::NG 1.0 !

Par KPTN le mercredi, décembre 1 2010, 16:20 - . . . . . . _ _ _

Non, vous ne rêvez pas

logo_lemonldap-ng.png

Le bruit courrait depuis quelque temps déjà, c'est aujourd'hui chose faite : La version 1.0 de LemonLDAP::NG est sortie !

Il ne faut évidemment pas se fier au numéro de version, LemonLDAP::NG est un logiciel qui a vu le jour il y a plusieurs années, au sein du Ministère des Finances et de la Gendarmerie Nationale. La version 1.0 marque la stabilisation d'un certain nombre de fonctionnalités et l'arrivée de modules très importants, comme les fournisseurs d'identité CAS, SAML et OpenID. Une attention toute particulière a été accordée à la gestion de la configuration, qui pouvait être l'un des reproches fait aux précédentes versions, afin que les futures évolutions de versions soient beaucoup plus simple.

L'heure des présentations

Mesdames, messieurs, j'ai le plaisir de vous présenter LemonLDAP::NG, un logiciel libre d'authentification unique (WebSSO) et de contrôle d'accès aux applications Web.

Écrit en Perl et intégré directement au cœur du serveur HTTP Apache (à travers mod_perl), il analyse chaque flux HTTP pour d'une part vérifier les habilitations de l'utilisateur, et d'autre part enrichir la requête d'en-têtes HTTP pour transmettre les informations de session à l'application protégée. La cinématique complète est décrite ici.

Une de ses grandes forces est la simplicité d'intégration des applications. En effet, il suffit de lire une en-tête HTTP ou une variable d'environnement pour utiliser le WebSSO. Et c'est sans compter les applications qui sont nativement compatibles (OBM, Bugzilla, Dokuwiki, Linshare, etc.)

C'est en forgeant des en-têtes qu'on devient forgeron

À ses débuts, LemonLDAP::NG ne savait interagir qu'avec un annuaire LDAP pour authentifier les utilisateurs (d'où son nom). Aujourd'hui, il a bien mûri et peut utiliser les protocoles suivants :

  • LDAP
  • SQL
  • SSL X509
  • Apache built-in modules (Kerberos, NTLM , OTP, …)
  • SAML 2.0 / Shibboleth
  • OpenID
  • Twitter
  • CAS

La grande nouveauté, c'est que LemonLDAP::NG est désormais fournisseur d'identités, c'est-à-dire qu'il peut transmettre l'identité d'un utilisateur à d'autres services en passant par des protocoles standards :

Il SAML de quoi ?

C'est sur SAML que le travail a été le plus important, ce qui explique le laps de temps entre la précédente version (0.9.4.1 en octobre 2009) et celle-ci. Toutefois l'attente n'aura pas été vaine puisque LemonLDAP::NG est désormais :

  • Fournisseur de service (conforme SP Lite)
  • Fournisseur d'identités (conforme IDP Lite)
  • Autorité d'attributs
  • Fournisseur d'identités mandataire (Proxy IDP)

Cela a été rendu possible par l'utilisation de la librairie GPL Lasso (cf. article sur Lasso). L'interaction a été bénéfique aux deux logiciels puisque la dernière version de Lasso (2.3) a bénéficié de nombreux tests et rapports d'anomalies issus du développement de LemonLDAP::NG.

Il y en a un peu plus, je vous le mets quand même ?

L'enrichissement des modules d'authentification et de fournisseur d'identités est certes une avancée majeure pour LemonLDAP::NG, mais la nouvelle version apporte également d'autres améliorations notables :

  • Refonte de l'interface de configuration (Manager) et de l'explorateur de sessions, avec une utilisation intensive de jQuery et jQuery UI.
  • Nouveau thème (dark) pour le portail, ce qui porte à 3 le nombre de thèmes fournis par défaut.
  • Possibilité de configurer les paramètres de redirection (port et HTTPS) pour chaque hôte virtuel, et non plus de manière globale par serveur physique.
  • Configuration graphique du rejeu de formulaire, avec support des hôtes virtuels.
  • Handler Zimbra.
  • Choix d'authentification au niveau du portail.
  • Fusion des fichiers de configuration locaux dans un fichier unique au format INI.
  • Refonte du menu des applications pour une meilleure présentation des catégories et des applications.
  • Dépôts YUM et Debian.
  • Nouveau wiki.
  • ...

L'ensemble des changements est visible sur le projet JIRA.

Merci, merci

LemonLDAP::NG est avant tout le fruit de la collaboration entre la Gendarmerie Nationale et la société LINAGORA.Cette nouvelle version a monopolisé ces deux acteurs sur l'année qui vient de s'écouler.

Le support du SAML a été réalisé avec la collaboration de la société Entr'ouvert (éditrice de Lasso).

Bien évidemment, tous les utilisateurs qui ont pu tester les versions candidates et qui ont fait des retours précieux ont grandement contribué à la sortie de la version 1.0.

Vous pouvez retrouver LemonLDAP::NG à travers l'offre LinID de LINAGORA, par le module LinID Access Manager.

J'espère au nom de toute l'équipe de LemonLDAP::NG que cette nouvelle version comblera vos attentes, et vous donnera l'envie de parler de ce projet autour de vous. En attendant, n'hésitez pas à nous rejoindre !

Quelques liens pour la root

vendredi, juin 18 2010

LemonLDAP::NG sur un nuage

Par KPTN le vendredi, juin 18 2010, 17:21 - . . . . . . _ _ _

Pas de fumée sans feu

Depuis quelques mois, les développements sur LemonLDAP::NG sont consacrés à l'implémentation du standard SAML2. Une première version candidate (1.0rc1) est sortie au mois d'avril, permettant de tester LemonLDAP::NG en tant que fournisseur de service SAML2 (SP).

Aujourd'hui, la fonctionnalité de fournisseur d'identités SAML2 est pratiquement implémentée à 100%, et les premiers tests grandeur nature commencent.

L'implémentation SAML de LemonLDAP::NG repose sur Lasso.

Le village dans les nuages

L'un de ces tests a porté sur Google Apps : la suite d'applications Google a destination des entreprises. Ce sont donc les premiers pas de LemonLDAP::NG dans le fameux cloud dont tout le monde parle .

SAML-Applications.png

Stairway to heaven

Je livre ici la recette pour faire fonctionner Google Apps avec LemonLDAP::NG (version de développement au 18/06/2010). Cela demande quelques manipulations qui seront certainement facilitées dans la version stable qui sortira cette année.

On suppose qu'on a investi chez Google Apps pour acheter des comptes pour le domaine entreprise.com. D'un autre côté, on a installé dans son réseau LemonLDAP::NG, dans le domaine mon-entreprise.net. Ce domaine peut-être accessible d'internet, ou réservé aux utilisateurs internes seulement (on préférera généralement le rendre accessible d'internet, pour accéder à Google Apps depuis l'extérieur de l'entreprise).

Du côté de LemonLDAP::NG

Après une installation standard du produit, il faut activer plusieurs paramètres depuis le Manager (http://manager.mon-entreprise.net) :

  • Portail : auth.mon-entreprise.net
  • Domaine : mon-entreprise.net
  • Authentification/Utilisateurs : LDAP (ou SSL, DB, Apache, ...)
  • Fournisseur : SAML

Toujours dans le Manager, configurer le service SAML, en particulier les clés de signature et de chiffrement, ainsi que tous les points d'accès SAML. Par exemple pour le point d'accès SSO HTTP-REDIRECT : http://auth.mon-entreprise.net/saml/singleSignOn. Un peu d'aide sur cette partie peut se trouver ici : http://wiki.lemonldap.ow2.org/xwiki/bin/view/NG/AuthSAML.

Reste à insérer les metadonnées de Google Apps en tant que fournisseur de service SAML dans le Manager. Google Apps ne fournit pas de metadonnées, il faut donc les générer soit-même. Pour cela, copier le fichier ci-dessous, en modifiant entreprise.com avec votre domaine Google Apps (paragraphe AssertionConsumerService) :

<EntityDescriptor entityID="google.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
                <KeyDescriptor>
                        <ds:KeyInfo>
                                <ds:KeyValue>
MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBANZ2b5wb43eJRYnln2bfo+neq6ZQYksm
Ftn3juDB/UklfwVN0XPi8NBHXFQjfXPeVse6Ztjl+C443jRCkSawVZMCAwEAAQ==
                                </ds:KeyValue>
                        </ds:KeyInfo>
                </KeyDescriptor>
                <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
                <AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
                        Location="https://www.google.com/a/entreprise.com/acs" />
        </SPSSODescriptor>
</EntityDescriptor>

La valeur de la clé publique est factice, mais nécessaire pour que les metadonnées soient reconnues par Lasso (ce ne sera peut-être plus le cas dans la version stable).

Depuis le Manager, insérer ces metadonnées dans un nouveau fournisseur de service, et configurer les options suivantes :

  • Format de NameID par défaut : email
  • Vérifier la signature des requêtes SSO : non

Du côté de Google Apps

Depuis l'interface d'administration de votre domaine, aller dans Outils avancés > Configurer l'authentification unique (SSO)

Google_Apps_1276952044490.png

Il suffit de faire pointer Google Apps vers les points d'accès définis dans LemonLDAP::NG :

  • Page de connexion : URL où est transmise la requête d'authentification SAML
  • Page de déconnexion : URL où est redirigé l'utilisateur lors de sa déconnexion depuis Google Apps (ce n'est pas du SLO SAML)
  • Page de changement de mot de passe : URL où l'utilisateur peut changer son mot de passe (ce sera le menu LemonLDAP::NG)

Il faut également charger un certificat qui contient la clé publique de notre fournisseur d'identité. On peut générer ce certificat à partir de la clé privée de signature disponible dans le Manager :

$ openssl req -new -key lemonldap-ng-key.pem -out cert.csr
$ openssl x509 -req -days 3650 -in cert.csr -signkey lemonldap-ng-key.pem -out cert.pem

C'est alors le fichier cert.pem qu'il faut charger dans Google Apps.

On enfonce le cloud

À présent tout est prêt, les utilisateurs peuvent accéder à un service Google Apps de l'entreprise, comme le calendrier : http://www.google.com/calendar/hosted/entreprise.com

Il sont alors redirigés avec un requête d'authentification SAML vers LemonLDAP::NG. Ils peuvent s'authentifier avec les ressources de l'entreprise (Annuaire LDAP, Active Directory, PKI, etc.) et reviennent alors sur Google Apps avec un jeton SAML qui est validé chez Google (en particulier la signature est contrôler à l'aide du certificat chargé précédemment).

L'utilisateur est alors authentifié sur Google Apps !

Des ombres au tableau

Google Apps supporte SAML et c'est une très belle opportunité pour le déploiement de ce standard.

Toutefois, on regrette certaines choses :

  • Les requêtes d'authentification de Google Apps ne sont pas signées, impossible de s'assurer que l'utilisateur n'est pas victime d'hameçonnage
  • Il n'y a pas de support du Single Logout (SLO) : on peut se déconnecter de Google Apps et être dirigé vers la page de déconnexion du fournisseur d'identité, mais pas l'inverse : si l'utilisateur ferme sa session SAML depuis un autre fournisseur d'identité, alors se session Google Apps ne sera pas fermée.

Lucy in the sky with diamonds

J'espère que cet article vous aura donné envie de tester la nouvelle version de LemonLDAP::NG. On se donne rendez-vous aux RMLL pour une démonstration IRL !

mardi, février 2 2010

À l'assaut de Lasso

Par KPTN le mardi, février 2 2010, 21:42 - . . . . . . _ _ _

Ça y est, le développement du support SAML2 dans LemonLDAP::NG a commencé, comme peuvent en témoigner les récents mouvement sur le SVN du projet.

Nous utilisons pour cela la bibliothèque Lasso, GPL, éditée par Entr'ouvert. Le binding Perl a été réécrit avec PerlXS, en remplacement de SWIG utilisé jusqu'alors.

Ce n'est que le début de l'aventure, mais ce développement promet d'être intense et captivant. Un première version stable du code devrait sortir à la fin du premier semestre 2010.