Sortie de LemonLDAP::NG 1.4.6

Posté par  (site web personnel, Mastodon) . Édité par bubar🦥, ZeroHeure et palm123. Modéré par ZeroHeure. Licence CC By‑SA.
21
13
oct.
2015
Sécurité

LemonLDAP::NG est un logiciel libre d'authentification unique (SSO), contrôle d'accès et fédération d'identités. La version 1.4.6 a été publiée le 9 octobre dernier, et vient consolider la branche 1.4 du logiciel en attendant la sortie de la version 2.0 prévue pour le début de l'année 2016.

Logo LL::NG

LemonLDAP::NG est écrit en Perl et publié sous licence GPL. Cette version contient des correctifs importants et quelques nouvelles fonctionnalités.

Gestion du temps d'inactivité

Le code du Handler, l'agent Apache effectuant le contrôle d'accès aux applications Web, a été réécrit pour la version 1.4. Une des fonctions de ce Handler est la mise à jour d'un attribut de la session afin de mesurer l'activité d'un utilisateur. Si l'utilisateur est inactif trop longtemps, sa session peut être fermée et ainsi l'obliger à se réauthentifier. Ce mécanisme était malheureusement défaillant dans la version 1.4, il est désormais de nouveau opérationnel.

Chaînage des modules d'authentification

LemonLDAP::NG propose de nombreux modules d'authentification (LDAP, SQL, Apache, SSL, Radius, OpenID, SAML, CAS, …) qui peuvent être chaînés entre eux : si l'un échoue, le suivant est testé. Il est possible de chaîner plusieurs modules du même type (plusieurs annuaires LDAP par exemple), dans ce cas un label est ajouté au nom du module choisi ( LDAP#labelA ; LDAP#labelB ). Le nom des modules contenant le label est désormais conservé dans des attributs de sessions différents de ceux utilisés pour connaître le module d'authentification utilisé pour se connecter, afin que le label ne provoque pas d'erreur lors de l'appel à certaines fonctions.

Stockage des groupes en session

Depuis longtemps, LemonLDAP::NG permet de rechercher dans un annuaire LDAP les groupes auxquels appartient un utilisateur, et ce de manière récursive (gestion des groupes de groupes). Il est même possible de stocker en session plusieurs attributs du groupe (son identifiant, son nom, sa description, etc.). Cependant, si l'un de ces attributs était multivalué, une seule valeur seulement était conservée en session.

Ce comportement a été corrigé en version 1.4.6, introduisant une nouvelle représentation des groupes dans la session, sous forme de hash. La nouvelle variable de session se nomme $hGroups, et coexiste avec la variable historique $groups qui conserve une syntaxe de chaîne de caractère.

La nouvelle syntaxe permet une écriture plus élégante des règles d'accès, par exemple pour autoriser uniquement les utilisateurs du groupe « admin » :

defined $hGroups{'admin'}

Pour rechercher une valeur particulière d'un attribut du groupe, la fonction « groupMatch » a été écrite

Politique des mots de passe avec Active Directory

LemonLDAP::NG utilise Active Directory comme un annuaire LDAP pour authentifier les utilisateurs. L'intégration avec Active Directory s'améliore avec la possibilité de notifier les utilisateurs en cas d'expiration proche de leur mot de passe. Cela s'ajoute à la gestion déjà existante de la réinitialisation du mot de passe à la prochaine connexion. Ainsi le portail LemonLDAP::NG peut tout à fait permettre aux utilisateurs de gérer leur mot de passe Active Directory depuis leur navigateur web, sans être raccordés au domaine.

Image Docker

Il est désormais possible de tester le logiciel dans une image Docker, la procédure est décrite ici : http://lemonldap-ng.org/documentation/latest/docker.

Une version 2.0 en préparation

Il reste encore du travail à l'équipe de développement de LemonLDAP::NG pour sortir la version 2.0. Celle-ci contiendra le support du protocole OpenID Connect, permettant entre autres de s'authentifier sur Google (Google ayant abandonné le support de OpenID 2.0 en début d'année), mais aussi sur France Connect. De nombreuses parties du logiciel ont été réécrites, en particulier le Manager qui passe en AngularJS, et le Handler, plus modulaire, dans l'objectif de s'intégrer à d'autres serveurs que Apache.

Aller plus loin

  • # image Docker de LemonLDAP

    Posté par  . Évalué à 1. Dernière modification le 13 octobre 2015 à 11:15.

    Bonjour,
    Pour l'instant il n"est pas possible de récupérer l'image docker de LemonLDAP. Domage.

    docker pull coudot/lemonldap-ng
    Using default tag: latest
    Pulling repository docker.io/coudot/lemonldap-ng
    Could not reach any registry endpoint

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.