Nouvelle version de Lemonldap le SSO sous GPL

Posté par  . Modéré par Nÿco.
Étiquettes : aucune
0
21
jan.
2005
Open Source Experience
Lemonldap est un système de SSO (Single Sign On) implémenté à partir d'apache. Une nouvelle version vient d'être livrée sous forme de modules perl sur le CPAN.

Les auteurs du projets Eric German (Chef de projet au MINEFI) et Xavier Guimard (Responsable de l'architecture des systèmes d'information de la gendarmerie) donneront une conférence sur leur projet lors du salon Solutions Linux 2005 .
Quelques points forts de lemonldap :
  • Intégration : lemonldap n'est qu'une intégration de briques connues tel Apache , mod_ssl , mod_perl
  • Modularité : lemonldap est une suite de modules perl du CPAN
    • un module pour l'authentification aupres d'un annuaire LDAP
    • un module pour la prise en compte des certificats clients un bien pour s'authentifier auprès d'un PDC.
  • Intégration au serveur web Apache : Il n'est qu'un handler qui peut fonctionner avec mod_rewrite et mod_proxy
  • Évolutivité : le partage de session par Apache::Session permet de mettre des lemonldap en cluster .

Lemonlap est déjà utilisé par certaines administrations françaises telles le MINEFI, la Défense et la Justice.

Aller plus loin

  • # c quoi un SSO ?

    Posté par  (site web personnel) . Évalué à 1.

    "Le reverse-proxy lemonLDAP est un service réseau qui est un point d'entrée unique de toutes les requêtes HTTP des différentes applications web mises à disposition et qui en relation avec un serveur LDAP met en place un mécanisme unique d'authentification des utilisateurs et de contrôle d'accès à ces applications. "


    En gros et si je comprend bien, c'est une méthode de sécurisation d'un site web.
    On se connecte toujours sur la meme adresse, on est authentifié, ce qui nous donne accès à plus de modules...

    c'est un reverse proxy avec authentification.

    l'intéret c'est de centraliser la BDD des users sur LDAP non ?

    • [^] # Re: c quoi un SSO ?

      Posté par  (site web personnel) . Évalué à 5.

      On peut imaginer un portail ou tu mets Horde (tes emails, ton groupware, tout ça...) , une base documentaire d'accès restreint, un serveur de fichiers via le web, un accès protégé pour mettre à jour le site, des CGI à la pelle, etc.
      Très pratique d'avoir un système unique d'authentification (un SSO), tant pour l'utilisateur que pour l'administration du bazar.
      La documentation (le 2e lien) est beaucoup plus clair que le site.

      "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

  • # cékoidon ?

    Posté par  (site web personnel) . Évalué à 7.

    Oulah, c'est drôlement intéressant leur truc!
    Mais comme c'est difficile de parler de soi, ils n'ont pas été très clairs dans la news. heureusement il y a plus d'infos sur le site.
    Bon.
    Si vous avez la flemme de cliquer et si comme moi vous avez commencé par vous gratter la tête, voila une petite causerie explicative (c'est tout pompé sur le site):
    lemonLDAP permet l'authentification et le contrôle d'accès à différentes applications web avec un serveur LDAP. Clair non? Comment ça fait? Ben oualà: d'abord (1) authentification de l'utilisateur en HTTPS auprès de l'annuaire LDAP, puis (2) lemonLDAP met en cache les attributs LDAP de l'utilisateur et tout ça pour (3 et suivant) contrôler son accès aux différentes applications.

    "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

  • # C'est bien mais...

    Posté par  (site web personnel) . Évalué à 3.

    C'est bien mais moi, quand j'entend parler de SSO, cela concerne aussi le login utilisateur et aussi bien sous windows que sous unix/linux...

    En gros, ce qui est recherché dans un SSO ultime, c'est : on rentre son mot de passe à la connexion sur sa session (login), voire même n'importe quel type de moyen d'authentification (cartes à puces, etc...) puis on arrive sur son espace de travail où l'on peut tout faire sans rentrer un seul mot de passe : tout a été mis en cache au moment du login par le client SSO (et oui, il y a une partie client et une partie serveur dans un SSO)...

    Voilà, il est tard donc j'ai pas de noms de logiciels en tête à vous donner qui font cela mais sachez que cela coûte hyper cher et que IBM doit certainement proposer sa solution. C'est assez complexe car cela nécessite un/des serveurs et des logiciels clients à dispatcher sur tous les ordis. Je vous raconte pas le déploiement et les mises à jour d'un tel système pour les entreprises > 1000 employés...

    En ce qui concerne lemonldap, ce n'est pas encore ce que j'appellerais un SSO "complet", mais c'est déjà pas mal.

    • [^] # Re: C'est bien mais...

      Posté par  (site web personnel) . Évalué à 4.

      Yep, il ne s'agit ici "que" d'un SSO entre applications web, comme l'était Passport, comme le propose les specs Liberty Alliance, comme le propose quantités d'applications.

      Mais c'est tout ce qu'il faut, l'intégration avec le login sur le poste de
      travail est triviale. Quand tu t'identifies, Windows conserve les infos de login et Internet Explorer (et Mozilla et Firefox depuis pas mal de tems) peut les envoyer au site web qui les demanderait. C'est "NTLM".

      De l'autre côté du câble, le serveur IIS saura décoder ça. Et le serveur Apache aussi, grâce à mod_ntlm, qui propose un module d'authentification NTLM. http://sourceforge.net/projects/modntlm/(...)

      Et voilà, un site web où l'utilisateur web est identifié via ses infos de login de poste de travail, n'y manque plus que le SSO web, c'est qui est dispo ici, et le « SSO ultime » est disponible. Sans rien à déployer. Chouette, non ?

      Restent les postes de travail sous GNU/Linux, je ne sais pas si un pam_ntlm est possible, mais un pam_quelquechose, une extension Firefox, et ça roule aussi. (là, il y a un peu plus à déployer).

      Après IBM peut vendre ça hyper cher :)

      • [^] # Re: C'est bien mais...

        Posté par  (site web personnel) . Évalué à 2.

        ok c plus clair maitnenant.

        ce serait compliqué de faire ca pour le grand public ?

        c'est à dire qu'on pourrait se connecter de n'importe quel poste sur internet qui serait compatible, il récupererait nos préférences, notre bureau, quelques fichiers (ou l'arborescence et à chaque ouverture d'un fichier il le téléchargerait).
        comme ca :
        1 - on aurait un compte partout sur internet
        2 - pas besoin de remettre ses préférences partout ou on irait
        3 - plus besoin de clé USB
        4 - ce serait génial

        je sais qu'on peut déja faire ca sur un lan, avec yp / NIS, mais est ce que c'est décentralisé ?

        voyageant pas mal et changeant de poste assez souvent, c'est un sujet qui m'intéresse beaucoup !

        • [^] # Re: C'est bien mais...

          Posté par  . Évalué à 1.

          Tout dépend ce que tu recherche,

          Pour balader des préférences de quelques programmes ou du WM, c'est possible facilement (etendre un yp a travers le net - au besoin en faisant du VPN - je sais pas si c'est fait mais ca doit pas etre bcp de boulot)

          Aujourd'hui, vu la diversité des plates-formes que je rencontre, j'utilise toujours VNC mais si un jour quelqu'un propose une solution mieux (en terme de débit entre autre) et portable partout, je regarderais d'un oeil intéréssé.

  • # Compatibilité avec Liberty

    Posté par  (Mastodon) . Évalué à 0.

    Est-il envisagé une compatibilité avec Liberty, à l'aide, par exemple, de kits comme celui proposé par entrouvert.org, et appelé LASSO ?
    Voir http://lasso.entrouvert.org/(...)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.