Sortie de LemonLDAP::NG 1.9

Posté par  (site web personnel, Mastodon) . Édité par ZeroHeure et Nÿco. Modéré par Nÿco. Licence CC By‑SA.
26
4
mar.
2016
Sécurité

LemonLDAP::NG est un logiciel libre d'authentification unique (SSO), contrôle d'accès et fédération d'identités. La version 1.9.0 a été publiée le 2 mars 2016.

Logo LemonLDAP::NG

LemonLDAP::NG est écrit en Perl et publié sous licence GPL. Cette nouvelle version majeure apporte de grands changements au logiciel comme le support OpenID Connect, une nouvelle interface d'administration et la compatibilité Nginx.

Présentation des nouveautés

OpenID Connect

OpenID Connect est un nouveau protocole de SSO porté par la fondation OpenID et basé sur le framework OAuth 2.0. Ce standard est adopté par de nombreux acteurs, comme par exemple Google qui l'utilise pour son authentification en remplacement de OpenID 2.0. L'État Français a lui aussi fait le choix de OpenID Connect pour sa nouvelle plate-forme France Connect.

Il est donc désormais possible d'utiliser LemonLDAP::NG pour s'authentifier sur ces services :

En plus du rôle de client (Relying Party), LemonLDAP::NG a aussi le rôle de serveur (OpenID Provider) ce qui lui permet d'authentifier toute application compatible avec ce protocole.

Interface d'administration

L'interface d'administration, appelée aussi Manager, a été réécrite avec AngularJS afin d'améliorer son ergonomie et son utilisation. Pour les habitués des précédentes versions, sachez que désormais vous n'aurez plus à cliquer sur "Appliquer" à chaque changement de valeur, et que vous pourrez éditer tous les en-têtes ou toutes les règles dans un seul écran.

Manager

Cette nouvelle interface permet la navigation entre les différentes versions de la configuration, l'import/export de configuration (au format JSON), la duplication d'hôte virtuels.

L'interface propose aussi toujours un explorateur de sessions, avec comme nouveauté la possibilité de parcourir les sessions persistantes (sessions conservées entre chaque connexion d'un utilisateur). Le gestionnaire de notification est aussi présent, au même niveau fonctionnel que dans les précédentes versions.

Support Nginx

Bonne nouvelle pour les réfractaires à Apache, la réécriture du code du Handler (agent assurant la protection des applications) passant par l'implémentation d'une API a permis d'offir un support FastCGI. Un petit serveur FastCGI est désormais livré avec LemonLDAP::NG (paquet lemonldap-ng-fastcgi-server) et permet de contacter le portail, le Manager et le Handler depuis Nginx.

Attributs CAS

Le serveur CAS de LemonLDAP::NG implémentait jusqu'à présent les versions 1.0 et 2.0. Désormais, une partie du protocole CAS 3.0 est pris en charge avec la possibilité de partager des attributs dans les réponses de validation CAS. Cela permet en particulier d'utiliser l'API PHP-CAS et sa fonction getAttributes().

MongoDB

MongoDB est utilisable pour le stockage des configurations et des sessions. Il s'ajoute à la liste des nombreux backends disponibles : Fichiers (JSON), DBI (MySQL, PgSQL, SQLite, …), LDAP, Redis.

Mettre à jour sa version

L'utilisation de fonctionnalités récentes de Perl contraint à restreindre les systèmes sur lesquels cette nouvelle version peut être installée. En particulier CentOS 5 et CentOS 6 ne sont pas utilisables.

D'autres changements techniques importants ont eu lieu et il est préférable d'avoir bien pris connaissances des notes de mise à jour avant de se lancer.

Enfin, nous espérons que cette nouvelle version apportera bonheur et prospérité à votre système d'information. Si vous êtes un utilisateur satisfait, vous pouvez le dire sur OpenHub et également faire partie de nos références.

Aller plus loin

  • # Liste des applications/cms compatible

    Posté par  . Évalué à 1.

    Y a-t-il une liste des applications et cms compatible?

    Est-ce compatible avec le multi-domaine?

    Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

    • [^] # Re: Liste des applications/cms compatible

      Posté par  . Évalué à 2.

      Compte tenu que le serveur implémente le protocole CAS, tous les outils proposant des modules d'authentification CAS sont normalement compatibles. Plone, Wordpress, Drupal et bien d'autres ont des plugins CAS. De nombreux frameworks de développement Web en propose également (Django, Pyramid, Express, Symfony …).

      • [^] # Re: Liste des applications/cms compatible

        Posté par  . Évalué à 3.

        Et pour le reste, toute application qui peut s'authentifier à partir de variables d'environnement s'en sort aussi sans douleur.

        Il y a un module de "replay" de formulaires pour les cas les plus merdiques (i.e. appli proprio sans sources qui ne s'appuie pas sur un serveur Web courant, etc.), mais ça n'est pas recommandé.

    • [^] # Re: Liste des applications/cms compatible

      Posté par  (site web personnel, Mastodon) . Évalué à 3.

      Nous avons démarré une liste ici : http://lemonldap-ng.org/documentation/latest/applications

      Mais en effet n'importe quelle application compatible avec une authentification Apache (REMOTE_USER) ou CAS est compatible avec LemonLDAP::NG.

      • [^] # Re: Liste des applications/cms compatible

        Posté par  . Évalué à 1. Dernière modification le 08 mars 2016 à 17:18.

        Aucun des CMS que j'utilise ne semble indiqué dans la liste, mais je vais quand même tester pour voir et essayer de comprendre le fonctionnement. (pour le moment ça reste encore assez obscure dans mon esprit)

        Merci pour les infos.

        Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

  • # Tag

    Posté par  . Évalué à 1. Dernière modification le 10 mars 2016 à 13:52.

    Vous avez oublié de placer le tag "lemonldap" afin que cet article soit dans la liste comme les autres : https://linuxfr.org/tags/lemonldap/public

    Édit: ah, je viens de voir que je peux l'ajouter moi-même, je fais donc la correction :)

    Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.