samedi 26 juillet
April | Agenda du libre | Framasoft | Léa-Linux | Lolix | JeSuisLibre | Eyrolles | LinuxMag | Veni, Vidi, Libri | InLibroVeritas | LinuxGraphic
Faire un don ! | | style | statistiques | contactez-nous | plan | lettre d'information
Accueil :: Dépêches :: Archives :: Proposer une dépêche :: Journaux :: Forums :: Entretiens :: Suivi :: RDF

: Publication du reverse-proxy LemonLDAP

Posté par Aliocha (). Modéré le 25 octobre 2003.
Dans le cadre de la refonte de son architecture d'annuaires LDAP, la Direction Générale de la Comptabilité Publique (Ministère des Finances) a récemment publié ses travaux concernant l'adaptation d'Apache en reverse proxy. Cet équipement permettra de réaliser le Single-Sign On pour de nombreuses applications métier du Trésor Public. Ce projet se situe dans un environnement technique exclusivement composé de Logiciels Libre (Linux, OpenLDAP, MySQL, Perl ...) et est actuellement utilisé en production après avoir subi une série de tests de performances très concluants.

> Lire la dépêche (37 commentaires, moyenne: 2,4).  

Vous avez demandé le commentaire #290220.

Sur LemonLDAP : modification des applis

Posté par Dreammm () le 27/10/2003 à 10:58. (lien). Évalué à 1.

Si j'ai bien tout compris, le reverse proxy fait passer aux applications les infos
d'authentification sous la forme d'un header HTTP.

La modif a faire au niveau des applis est donc de remplacer la phase d'authentification eventuellement existante par une phase exploitant ce header.

J'ai bon ?

Si oui, est-ce qu-il est prevu dans le projet de fournir des bibliotheques regroupant des fonctions par defaut s'occupant de faire tout le boulot, ce qui permettrait l'utilisation facile de la chose ?
Si c'est le cas, je veux bien aider pour faire la chose en J2EE :-)

  • [^]Re: Sur LemonLDAP : modification des applis

    Posté par vavince () le 27/10/2003 à 12:07. (lien). Évalué à 2.

    Si j'ai bien tout compris, le reverse proxy fait passer aux applications les infos d'authentification sous la forme d'un header HTTP.
    Pour être plus précis on peut parler de droit d'accès, au lieu d'infos d'authentification. Cela permet aux anciennes applications qui ne parle pas LDAP de se servir quand même de leur annuaire d'entreprise chèrement acquis.

    La modif a faire au niveau des applis est donc de remplacer la phase d'authentification éventuellement existante par une phase exploitant ce header.
    Il faut simplement enlever la partie gérant l'authentification, car si la personne ne s'authentifie pas sur le reverse proxy, elle n'a pas accès aux applications.
    Cela suppose que les applications n'acceptent pas de requête directement des clients (c'est pour cela que les serveurs web et le reverse proxy sont souvant dans deux DMZ séparées.
    Par contre la partie qui gère les droits d'accès elle reste de rigeur dans l'application.

    J'ai bon ?
    Je pense que tu as bien compris, juste une petite confusion entre authentification et gestion des droits d'accès à mon avis.

    Un autre gros avantage de ce type d'architecture est que les serveurs web n'ont pas à gérer de flux ssl, puisque les reserves proxy s'en occupe pour eux, la charge et donc diminuée d'autant. Et bien sur, les petites sondes placées entre les deux parties disent aussi merci de pouvoir voir ce qui se "trame" dans la communication entre le client et le serveur.

    Bien sur, les fautes comme toujours sont Copyright vavince

    [^]Re: Sur LemonLDAP : modification des applis

    Posté par eric german () le 27/10/2003 à 12:32. (lien). Évalué à 2.

    nous disposons de librairies ,ou d'exemple de code pour les langages suivants:
    -perl
    -php
    -java

    et bientot python .

    Je peux vous envoyer les composants a ceux qui le souhaitent .
    j attends de nettoyer le code pour les mettre sur le site .

    concernant authentification d 'une maniere générale , on distingue 3 phases :
    - IDENTIFICATION
    -Authentification
    -authorisation

    identification : je dis qui je suis .
    authentification : je prouve qui je suis
    authorisation : j ai le droit ou non de faire qque chose.


    le reverse-proxy lemonldap : réalise les 2 premiers points par une connexion au LDAP .
    le point 3 est réalisé par la consultation de l'entree ldap de la personne . La presence ou l'absence d'un attribut renseigne le proxy sur le droit de la personne d'aller sur l'applicatif . De plus le contenu d'un attribut peut etre transmis à l'applicatif .
    Le contenu peut détailler le profil (le niveau de droit) de l'utilisateur pour cet applicatif .

    merci à tous les cas pour l'interet que vous manifestez pour ces problemes .

    $a+
    eric german

    [^]Re: Sur LemonLDAP : modification des applis

    Posté par eric german () le 27/10/2003 à 13:11. (lien). Évalué à 0.

    nous disposons de librairies ,ou d'exemple de code pour les langages suivants:
    -perl
    -php
    -java

    et bientot python .

    Je peux vous envoyer les composants a ceux qui le souhaitent .
    j attends de nettoyer le code pour les mettre sur le site .

    concernant authentification d 'une maniere générale , on distingue 3 phases :
    - IDENTIFICATION
    -Authentification
    -authorisation

    identification : je dis qui je suis .
    authentification : je prouve qui je suis
    authorisation : j ai le droit ou non de faire qque chose.


    le reverse-proxy lemonldap : réalise les 2 premiers points par une connexion au LDAP .
    le point 3 est réalisé par la consultation de l'entree ldap de la personne . La presence ou l'absence d'un attribut renseigne le proxy sur le droit de la personne d'aller sur l'applicatif . De plus le contenu d'un attribut peut etre transmis à l'applicatif .
    Le contenu peut détailler le profil (le niveau de droit) de l'utilisateur pour cet applicatif .

    merci à tous les cas pour l'interet que vous manifestez pour ces problemes .

    $a+
    eric german

Run by Team LinuxFr.org

Cette page a été générée par Templeet en 0.0483s (dont 0.005 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.