LemonLDAP::NG est un logiciel libre d'authentification unique (SSO), contrôle d'accès et fédération d'identités. La version 1.4.6 a été publiée le 9 octobre dernier, et vient consolider la branche 1.4 du logiciel en attendant la sortie de la version 2.0 prévue pour le début de l'année 2016.
LemonLDAP::NG est écrit en Perl et publié sous licence GPL. Cette version contient des correctifs importants et quelques nouvelles fonctionnalités.
Gestion du temps d'inactivité
Le code du Handler, l'agent Apache effectuant le contrôle d'accès aux applications Web, a été réécrit pour la version 1.4. Une des fonctions de ce Handler est la mise à jour d'un attribut de la session afin de mesurer l'activité d'un utilisateur. Si l'utilisateur est inactif trop longtemps, sa session peut être fermée et ainsi l'obliger à se réauthentifier. Ce mécanisme était malheureusement défaillant dans la version 1.4, il est désormais de nouveau opérationnel.
Chaînage des modules d'authentification
LemonLDAP::NG propose de nombreux modules d'authentification (LDAP, SQL, Apache, SSL, Radius, OpenID, SAML, CAS, …) qui peuvent être chaînés entre eux : si l'un échoue, le suivant est testé. Il est possible de chaîner plusieurs modules du même type (plusieurs annuaires LDAP par exemple), dans ce cas un label est ajouté au nom du module choisi ( LDAP#labelA
; LDAP#labelB
). Le nom des modules contenant le label est désormais conservé dans des attributs de sessions différents de ceux utilisés pour connaître le module d'authentification utilisé pour se connecter, afin que le label ne provoque pas d'erreur lors de l'appel à certaines fonctions.
Stockage des groupes en session
Depuis longtemps, LemonLDAP::NG permet de rechercher dans un annuaire LDAP les groupes auxquels appartient un utilisateur, et ce de manière récursive (gestion des groupes de groupes). Il est même possible de stocker en session plusieurs attributs du groupe (son identifiant, son nom, sa description, etc.). Cependant, si l'un de ces attributs était multivalué, une seule valeur seulement était conservée en session.
Ce comportement a été corrigé en version 1.4.6, introduisant une nouvelle représentation des groupes dans la session, sous forme de hash. La nouvelle variable de session se nomme $hGroups
, et coexiste avec la variable historique $groups
qui conserve une syntaxe de chaîne de caractère.
La nouvelle syntaxe permet une écriture plus élégante des règles d'accès, par exemple pour autoriser uniquement les utilisateurs du groupe « admin » :
defined $hGroups{'admin'}
Pour rechercher une valeur particulière d'un attribut du groupe, la fonction « groupMatch » a été écrite
Politique des mots de passe avec Active Directory
LemonLDAP::NG utilise Active Directory comme un annuaire LDAP pour authentifier les utilisateurs. L'intégration avec Active Directory s'améliore avec la possibilité de notifier les utilisateurs en cas d'expiration proche de leur mot de passe. Cela s'ajoute à la gestion déjà existante de la réinitialisation du mot de passe à la prochaine connexion. Ainsi le portail LemonLDAP::NG peut tout à fait permettre aux utilisateurs de gérer leur mot de passe Active Directory depuis leur navigateur web, sans être raccordés au domaine.
Image Docker
Il est désormais possible de tester le logiciel dans une image Docker, la procédure est décrite ici : http://lemonldap-ng.org/documentation/latest/docker.
Une version 2.0 en préparation
Il reste encore du travail à l'équipe de développement de LemonLDAP::NG pour sortir la version 2.0. Celle-ci contiendra le support du protocole OpenID Connect, permettant entre autres de s'authentifier sur Google (Google ayant abandonné le support de OpenID 2.0 en début d'année), mais aussi sur France Connect. De nombreuses parties du logiciel ont été réécrites, en particulier le Manager qui passe en AngularJS, et le Handler, plus modulaire, dans l'objectif de s'intégrer à d'autres serveurs que Apache.
Aller plus loin
- Annonce de la sortie sur la forge OW2 (170 clics)
- Téléchargement (111 clics)
- Captures d'écran (322 clics)
- Précédente dépêche sur LinuxFR (123 clics)
- LemonLDAP::NG sur DockerHub (113 clics)
# image Docker de LemonLDAP
Posté par ibutton . Évalué à 1. Dernière modification le 13 octobre 2015 à 11:15.
Bonjour,
Pour l'instant il n"est pas possible de récupérer l'image docker de LemonLDAP. Domage.
[^] # Re: image Docker de LemonLDAP
Posté par KPTN (site web personnel, Mastodon) . Évalué à 2.
En effet, je ne comprends pas bien ce qu'il se passe. Les images ont bien été chargées sur le hub docker.
Il reste la possibilité de construire l'image depuis le Dokerfile : https://github.com/coudot/lemonldap-ng-docker
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.