Les auteurs du projets Eric German (Chef de projet au MINEFI) et Xavier Guimard (Responsable de l'architecture des systèmes d'information de la gendarmerie) donneront une conférence sur leur projet lors du salon Solutions Linux 2005 .
Quelques points forts de lemonldap :
- Intégration : lemonldap n'est qu'une intégration de briques connues tel Apache , mod_ssl , mod_perl
- Modularité : lemonldap est une suite de modules perl du CPAN
- un module pour l'authentification aupres d'un annuaire LDAP
- un module pour la prise en compte des certificats clients un bien pour s'authentifier auprès d'un PDC.
- Intégration au serveur web Apache : Il n'est qu'un handler qui peut fonctionner avec mod_rewrite et mod_proxy
- Évolutivité : le partage de session par Apache::Session permet de mettre des lemonldap en cluster .
Lemonlap est déjà utilisé par certaines administrations françaises telles le MINEFI, la Défense et la Justice.
Aller plus loin
- lemonldap (175 clics)
- Documentation (76 clics)
- Le projet sur SourceForge (13 clics)
- Le projet sur le CPAN (7 clics)
# c quoi un SSO ?
Posté par Erwann Robin (site web personnel) . Évalué à 1.
En gros et si je comprend bien, c'est une méthode de sécurisation d'un site web.
On se connecte toujours sur la meme adresse, on est authentifié, ce qui nous donne accès à plus de modules...
c'est un reverse proxy avec authentification.
l'intéret c'est de centraliser la BDD des users sur LDAP non ?
[^] # Re: c quoi un SSO ?
Posté par ZeroHeure . Évalué à 5.
Très pratique d'avoir un système unique d'authentification (un SSO), tant pour l'utilisateur que pour l'administration du bazar.
La documentation (le 2e lien) est beaucoup plus clair que le site.
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
# cékoidon ?
Posté par ZeroHeure . Évalué à 7.
Mais comme c'est difficile de parler de soi, ils n'ont pas été très clairs dans la news. heureusement il y a plus d'infos sur le site.
Bon.
Si vous avez la flemme de cliquer et si comme moi vous avez commencé par vous gratter la tête, voila une petite causerie explicative (c'est tout pompé sur le site):
lemonLDAP permet l'authentification et le contrôle d'accès à différentes applications web avec un serveur LDAP. Clair non? Comment ça fait? Ben oualà: d'abord (1) authentification de l'utilisateur en HTTPS auprès de l'annuaire LDAP, puis (2) lemonLDAP met en cache les attributs LDAP de l'utilisateur et tout ça pour (3 et suivant) contrôler son accès aux différentes applications.
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
# C'est bien mais...
Posté par yoho (site web personnel) . Évalué à 3.
En gros, ce qui est recherché dans un SSO ultime, c'est : on rentre son mot de passe à la connexion sur sa session (login), voire même n'importe quel type de moyen d'authentification (cartes à puces, etc...) puis on arrive sur son espace de travail où l'on peut tout faire sans rentrer un seul mot de passe : tout a été mis en cache au moment du login par le client SSO (et oui, il y a une partie client et une partie serveur dans un SSO)...
Voilà, il est tard donc j'ai pas de noms de logiciels en tête à vous donner qui font cela mais sachez que cela coûte hyper cher et que IBM doit certainement proposer sa solution. C'est assez complexe car cela nécessite un/des serveurs et des logiciels clients à dispatcher sur tous les ordis. Je vous raconte pas le déploiement et les mises à jour d'un tel système pour les entreprises > 1000 employés...
En ce qui concerne lemonldap, ce n'est pas encore ce que j'appellerais un SSO "complet", mais c'est déjà pas mal.
[^] # Re: C'est bien mais...
Posté par Frédéric Péters (site web personnel) . Évalué à 4.
Mais c'est tout ce qu'il faut, l'intégration avec le login sur le poste de
travail est triviale. Quand tu t'identifies, Windows conserve les infos de login et Internet Explorer (et Mozilla et Firefox depuis pas mal de tems) peut les envoyer au site web qui les demanderait. C'est "NTLM".
De l'autre côté du câble, le serveur IIS saura décoder ça. Et le serveur Apache aussi, grâce à mod_ntlm, qui propose un module d'authentification NTLM. http://sourceforge.net/projects/modntlm/(...)
Et voilà, un site web où l'utilisateur web est identifié via ses infos de login de poste de travail, n'y manque plus que le SSO web, c'est qui est dispo ici, et le « SSO ultime » est disponible. Sans rien à déployer. Chouette, non ?
Restent les postes de travail sous GNU/Linux, je ne sais pas si un pam_ntlm est possible, mais un pam_quelquechose, une extension Firefox, et ça roule aussi. (là, il y a un peu plus à déployer).
Après IBM peut vendre ça hyper cher :)
[^] # Re: C'est bien mais...
Posté par Erwann Robin (site web personnel) . Évalué à 2.
ce serait compliqué de faire ca pour le grand public ?
c'est à dire qu'on pourrait se connecter de n'importe quel poste sur internet qui serait compatible, il récupererait nos préférences, notre bureau, quelques fichiers (ou l'arborescence et à chaque ouverture d'un fichier il le téléchargerait).
comme ca :
1 - on aurait un compte partout sur internet
2 - pas besoin de remettre ses préférences partout ou on irait
3 - plus besoin de clé USB
4 - ce serait génial
je sais qu'on peut déja faire ca sur un lan, avec yp / NIS, mais est ce que c'est décentralisé ?
voyageant pas mal et changeant de poste assez souvent, c'est un sujet qui m'intéresse beaucoup !
[^] # Re: C'est bien mais...
Posté par ptitatou . Évalué à 1.
Pour balader des préférences de quelques programmes ou du WM, c'est possible facilement (etendre un yp a travers le net - au besoin en faisant du VPN - je sais pas si c'est fait mais ca doit pas etre bcp de boulot)
Aujourd'hui, vu la diversité des plates-formes que je rencontre, j'utilise toujours VNC mais si un jour quelqu'un propose une solution mieux (en terme de débit entre autre) et portable partout, je regarderais d'un oeil intéréssé.
[^] # Re: C'est bien mais...
Posté par Nap . Évalué à 2.
http://www.nomachine.com/(...)
# Compatibilité avec Liberty
Posté par Benoît Bailleux (Mastodon) . Évalué à 0.
Voir http://lasso.entrouvert.org/(...)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.