Forum général.cherche-logiciel centraliser l'authentification des utilisateurs et la gestion des profils

Posté par  . Licence CC By‑SA.
Étiquettes :
1
23
mai
2017

Quel(s) logiciel(s) conseillez-vous pour centraliser l'authentification des utilisateurs pour les différents services tout en permettant l'édition de leur profil?
Je suppose qu'il n'y a rien à part le LDAP mais j'hésite sur quel logiciel me tourner. Je prévois de tester FusionDirectory mais je pré-sens qu'il ne permet pas aux utilisateurs de modifier leur account voir d'en créer un (je pensais poser la question dans leur dernière dépêche mais ils vont me laisser un vide à n'en pas douter, alors autant recréer un thread dédié).
Yunohost ne me convient hélas pas (il faut autant de hack pour l'utiliser en multi-machines que de directement tout ré-installer soit-même).

Si possible le truc le plus simple à installer, configurer, appréhender et qui permet aux utilisateurs de modifiers eux-mêmes leur password, nom d'user etc. Se serait bien que le logiciel utilise MySQL/MariaDB comme database.

  • # les contradictions

    Posté par  . Évalué à 3.

    Je suppose qu'il n'y a rien à part le LDAP

    LDAP est fait pour ca, gerer une base de login/mot de passe utilisateur, ainsi que les groupes

    puis ca reste à ton appli de gerer le reste (les reglages du profil, etc)

    l'avantage c'est que c'est "standard" et que beaucoup de soft savent se connecter en LDAP

    Si possible le truc le plus simple à installer, configurer, appréhender et qui permet aux utilisateurs de modifiers eux-mêmes leur password, nom d'user etc. Se serait bien que le logiciel utilise MySQL/MariaDB comme database.

    c'est peut-etre mieux dans l'idée de depart, MAIS
    il faut alors que tous tes logiciels sachent parlait le MySQL/MariaDB et connaissent le schema utilisé dans cette base (en gros adieu la compatibilité, sauf si tu redeveloppes tout toi meme.

    quant à changer le username par l'utilisateur lui meme,
    comme tu penses que l'outil identifie l'utilisateur de maniere unique.

    ou bien alors ca va etre via l'email, mais alors l'utilisateur n'a pas le droit de la changer ? etc ? etc

    • [^] # Re: les contradictions

      Posté par  . Évalué à 1. Dernière modification le 23 mai 2017 à 18:07.

      l'avantage c'est que c'est "standard" et que beaucoup de soft savent se connecter en LDAP

      Oui c'est pour ça que j'essaye cette solution depuis plusieurs jours.

      c'est peut-etre mieux dans l'idée de depart, MAIS
      il faut alors que tous tes logiciels sachent parlait le MySQL/MariaDB et connaissent le schema utilisé dans cette base (en gros adieu la compatibilité, sauf si tu redeveloppes tout toi meme.

      Je n'ai pas compris. Les logiciels de serveur LDAP stockent leur données dans des bases de données type Mysql/MariaDB/PostGreSQL non?
      Mon désire est juste de pouvoir tout migrer vers le Cluster quand il sera fonctionnel, et pouvoir backup régulièrement le LDAP en attendant.

      quant à changer le username par l'utilisateur lui meme,
      comme tu penses que l'outil identifie l'utilisateur de maniere unique.

      Si on interface le LDAP de Yunohost avec un Nextcloud externe, on peut voir que les identifiants sont de type [alphanum]-[alphanum]-[alphanum]-[alphanum].
      Après pour se connecter sur Nextcloud oui les users indiquent leur login et non l'identifiant mais je suppose que, comme tout logiciel de session, LDAP doit pouvoir n'autoriser que des logins unique (c'est le mécanisme dans yunohost je pense).
      En tout cas je souhaite vraiment une page profil où les utilisateurs peuvent changer les infos de bases (ça me semble être la base d'un mécanisme de session : ne pas déranger l'admin pour un rien)

      Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

      • [^] # Re: les contradictions

        Posté par  (site web personnel) . Évalué à 3.

        Openldap Est un annuaire, on stocke des infos dedans.

        C'est pas son rôle d'indentifier les utilisateurs , mais un système d'authentification peut reposer dessus pour y trouver les infos.

        C'est quoi pour toi modifier son "profil" ?

        Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

        • [^] # Re: les contradictions

          Posté par  . Évalué à 1.

          C'est quoi pour toi modifier son "profil" ?

          Comme sur linuxfr, yunohost, phpbb ou n'importe quel CMS/jeux/logiciel, pouvoir modifier son password, son pseudo, les autres trucs facultatifs.
          Mais il va sûrement falloir passer par la page codage.

          Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

          • [^] # Re: les contradictions

            Posté par  . Évalué à 3.

            Bonsoir,

            FusionDirectory fait ca tres bien :) et on aurait repondu su la news sans problemes :) Avec
            FusionDirectory pas besoin de codage tout est deja implemente et tu peut offrir un interface agreable a utiliser.

            Tu peut deleguer les droits au utilisateur a modifier ce que tu decide et il n'auront acces qu'a ca. En ce qui concerne la creation ces comptes automatiques Fusiondirectory possede un webservice qui te permet d'automatiser ce genre de chose comme notre page d'enregistrement sur le projet

            Il y a des mailing list et un canal irc ou tu pourra poser toutes tes questions

            Bonne soirée

            Benoit Mortier - CEO FusionDirectory

            • [^] # Re: les contradictions

              Posté par  . Évalué à 1. Dernière modification le 24 mai 2017 à 22:04.

              Merci pour ton retour.
              J'aimerais essayer Fusion Directory mais pour le moment mon installation est bloquée sur l'étape "LDAP Connexion Setup" où je ne sais pas du tout quoi rentrer.
              Je suis ce tuto et ai formaté un serveur Debian Jessie spécialement pour le test. (si j'y arrive, le prochain tuto sera sur ce sujet :P )

              PS: il me semble t'avoir vu dans une vidéos de conf sur je ne sais plus quel sujet, c'est possible? ^ ^

              Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

              • [^] # Re: les contradictions

                Posté par  (site web personnel) . Évalué à 2.

                Fusiondirectory semble être une surcouche qui a besoin d'un annuaire ldap.

                Donc il faut installer un annuaire ldap avant l'installation de fusiondirectory.

                Je t'invite à lire la doc de Openldap.

                Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités

              • [^] # Re: les contradictions

                Posté par  . Évalué à 2.

                Hello,

                oui tu as du me voir sur de conference traitant du ldap a solution linux, maintenant opensource summit, ou aux rmlls

                Vu que la version que tu essaie est tres vieille je te conseille de passer sur nos depots prendre une version recente.

                Bonne journée

                Benoit Mortier - CEO FusionDirectory

      • [^] # Re: les contradictions

        Posté par  (site web personnel) . Évalué à 2.

        Je n'ai pas compris. Les logiciels de serveur LDAP stockent leur données dans des bases de données type Mysql/MariaDB/PostGreSQL non?

        Non, pas du tout, MySQL/MariaDB/PostgreSQL sont des moteurs de bases de données relationnelles, trop complexe et inadapté au besoin de stockage d'un annuaire LDAP. OpenLDAP à utilisé BerkeleyDB (BDB) comme stockage pour ses datas, puis des moteurs similaires mais plus adaptés type HDB, voir des versions spéciallement conçues pour (MDB/LMDB).

        Mon désire est juste de pouvoir tout migrer vers le Cluster quand il sera fonctionnel, et pouvoir backup régulièrement le LDAP en attendant.

        Je ne sais pas a quoi tu fait référence en parlant de "le Cluster", mais les annuaires LDAP gèrent la réplication en natif, pas besoin d'un Mysql pour ça.

        En tout cas je souhaite vraiment une page profil où les utilisateurs peuvent changer les infos de bases (ça me semble être la base d'un mécanisme de session : ne pas déranger l'admin pour un rien)
        changer son login/identifiant fait rarement parti des "infos de base", c'est souvent une clef d'identification critique, je ne connais pas des masses de systèmes qui laissent tout un chacun changer cela. Même sur une infrastructure Microsoft la seule information qu'un utilisateur AD peut modifier c'est son mot de passe.

        • [^] # Re: les contradictions

          Posté par  . Évalué à 1.

          Je ne sais pas a quoi tu fait référence en parlant de "le Cluster", mais les annuaires LDAP gèrent la réplication en natif, pas besoin d'un Mysql pour ça.

          Intéressant. C'est vrai qu'il me semble avoir lu quelque part qu'on pouvait mettre deux serveur LDAP qui se synchronisent.

          changer son login/identifiant fait rarement parti des "infos de base", c'est souvent une clef d'identification critique, je ne connais pas des masses de systèmes qui laissent tout un chacun changer cela. Même sur une infrastructure Microsoft la seule information qu'un utilisateur AD peut modifier c'est son mot de passe.

          Sur quasi tout les CMS que j’utilise l'admin peut choisir d'autoriser ou non les utilisateurs de changer de pseudo. Comme je fais partie des adeptes des mails poubelle et des pseudos temporaire, je tiens énormément à cette flexibilité.

          Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

          • [^] # Re: les contradictions

            Posté par  (site web personnel) . Évalué à 1.

            Bonjour,

            Phplapadmin ne permet pas de faire ça? Sur une démo, j'ai pu changer le login d'un utilisateur. Je ne sais pas si l'utilisateur peut le faire lui même mais il est possible d'ajouter des alias pour le nom d'utilisateur. À creuser.

            Sinon, il doit être possible de faire un semblant de CMS avec les opérations de base mais c'est vrai que c'est dommage.

            Bon courage dans ton exploration.

            • [^] # Re: les contradictions

              Posté par  . Évalué à 1. Dernière modification le 24 mai 2017 à 19:32.

              Phplapadmin ne permet pas de faire ça? Sur une démo, j'ai pu changer le login d'un utilisateur. Je ne sais pas si l'utilisateur peut le faire lui même mais il est possible d'ajouter des alias pour le nom d'utilisateur. À creuser.

              Tu imagines la réactions des gens si demain facebook dit "à partir de maintenant vous passez par phpldapadmin pour changer vos infos"?
              Mes users ne sont pas des geeks ^ ^

              Sinon, il doit être possible de faire un semblant de CMS avec les opérations de base mais c'est vrai que c'est dommage.

              A y réfléchir, peut-être que les pages profils dans les CMS pourraient directement modifier cela dans le LDAP (je sais pas, je suis full débutant pour le moment en matière de LDAP). Mais je ne penses pas que se soit le comportement de Nextcloud par exemple (je sais pas trop)
              Si non il faudra coder une page quelque part qui permet de condenser les infos et de modifier. (à mon avis à long terme je devrais passer par cette solution car j'aimerais intégrer un système de financement)
              Ou au pire ré-installer un Yunohost et le hacker de partout (mais trouver de l'aide en matière de LDAP semble impossible sur leur forum).

              Bon courage dans ton exploration.

              Merci.
              Je voulais faire un article récapitulatif de l'auto hébergement, et ben on en est encore loiiiiiiiiiiiiiiiiiiin :P

              Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

    • [^] # Re: les contradictions

      Posté par  . Évalué à 4.

      l'avantage c'est que c'est "standard" et que beaucoup de soft savent se connecter en LDAP

      Le problème c’est que c’est ultra chiant à mettre en place/configurer/peupler. Et à côté de ça tu as Microsoft avec AD et tu pleurs parce qu’on est pas capable d’avoir ça en libre.

      • [^] # Re: les contradictions

        Posté par  (site web personnel) . Évalué à 0.

        C'est comme tout, tout est histoire d'habitude.

        Si tu fait de la BDD relationnelle depuis 20 ans devoir te plonger dans le fonctionnement d'un ldap va te sembler très "chiant" et difficile. Mais la gestion d'un Mysql/Oracle/whatever est pas particulièrement simple non plus, surtout quand tu cherche à atteindre les performances en lecture et la souplesse d'un annuaire LDAP.

        Personnellement je ne pleure pas en regardant Microsoft avec AD, ce n'est qu'une implementation d'un annuaire LDAP + d'un domaine Kerberos et j'ai ça en place depuis 10 ans avec openldap et des KDC MIT ici, on a meme réussi a faire parler les deux mondes ensembles lors de la migration AD du domaine quelques années après.

        • [^] # Re: les contradictions

          Posté par  . Évalué à 3. Dernière modification le 24 mai 2017 à 16:22.

          Boaf : avec MySQL/MariaDB on n'a pas besoin de connaître le fonctionnement, juste de savoir créer un user et sa base de données et le filer aux CMS qu'on installe. (depuis le temps que je m'auto-héberge, je pense n'avoir jamais touché au fichier de conf de MySQL)
          LDAP rien que pour l'installer on sait pas par où commencer, ni les pré-requis et la page ubuntu-fr traitant du sujet est aussi longue que l'EULA de facebook.
          Le système de schema n'est pas du tout intuitif, ni la configuration.
          Après je suppose qu'il y a a bonnes raisons à cela mais non c'est clairement pas aussi facile que ça devrait l'être (ce truc semble nécessaire pour l'auto-hébergement)

          Donation Bitcoin : 1N8QGrhJGWdZNQNSspm3rSGjtXaXv9Ngat

  • # FreeIPA

    Posté par  . Évalué à 5.

    FreeIPA est une solution, se basant sur LDAP, pour créer une sorte d'AD libre.
    Il permet la gestion des mots de passe en libre service et pas mal de trucs assez intéressant pour ce genre de chose.

    Par contre c'est peut-être un peu trop complexe pour ce que tu veux faire, je te laisse juger.

    https://www.freeipa.org/page/Main_Page

    Si tu ne sais pas demande, si tu sais partage !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.