Bonjour tout le monde,
J'ai une petite problématique à soumettre à la communauté :
Contexte :
J'ai un serveur qui fait tourner un certain nombre de services :
- Mail (postfix, dovecot, spamassassin, clamav accessible via impa (rouncube))
- Cloud (owncloud)
- Streaming (Madsonic)
- Portail pour accéder à tout ça (Posh)
Pour l'instant, chaque service dispose de son propre service d'identification mais je compte centraliser tout ça avec un LDAP pour simplifier la gestion.
Jusque là, pas de soucis. Par contre, j'aimerai pousser encore plus loin et n'avoir à m'identifier qu'une seule fois pour tous mes services : je me connecte sur posh et j'accède à tout.
Là, je sèche. Comment intégrer la gestion de session et comment faire en sorte que les autres services le prennent en compte ?
Une idée ?
z.
# s'inspirer de yunohost
Posté par arkos (site web personnel) . Évalué à 1.
regarde le fonctionnement de yunohost , car cela propose le même service que tu décris.
[^] # Re: s'inspirer de yunohost
Posté par zerpex . Évalué à 1.
Humm, intéressant ce projet, je ne connaissais pas. Merci du lien.
# Fédération d’identité
Posté par Mathieu CLAUDEL (site web personnel) . Évalué à 1.
à voir si toutes tes logiciels sont compatible (sinon il "suffit" de les étendre) mais les protocoles de fédération d'identité permet cela (et même plus) avec des protocoles standard et normalisé
Pour cela, il te faut mettre en place un IdP (Identity provider) et utiliser SAML V2 ou OAuth/OpenID Connect comme protocole d'authentification.
Comme IdP tu peux utiliser Shibboleth, la version communautaire de OpenAM,… Ou en le tien en se basant SimpleSAMLPhp (que personnellement j'utilise du coté client (Service Provider ou SP). Il est d’ailleurs utilisé pour gérer ce genre d'authentification sur des CMS du type Drupal, joomla,…)
une petite recherche m'a donné çà qui peut aider (de 2011, ça à du pas mal bougé depuis) : http://hcpnet.free.fr/pubz/saml.pdf
[^] # Re: Fédération d’identité
Posté par zerpex . Évalué à 1.
La méthode "mains dans le cambouis" :)
Je vais étudier aussi. Merci.
[^] # Re: Fédération d’identité
Posté par Mathieu CLAUDEL (site web personnel) . Évalué à 1.
"mains dans le cambouis" si les applications ne sont pas compatible de base, mais avec protocole standard !
J'ai regardé LemonNG, visiblement il sait aussi faire du SAML V2 ( http://lemonldap-ng.org/documentation/1.0/samlservice ), OpenID Connect,…
# LemonLDAP
Posté par Hodj . Évalué à 1.
Il y a aussi LemonLDAP NG qui permet de faire un portail avec de l'authentification unique
[^] # Re: LemonLDAP
Posté par zerpex . Évalué à 1.
Intéressant également. A voir comment ça peut être intégrer.
# Merci.
Posté par zerpex . Évalué à 1.
3 idées très différentes. Je vais étudier tout ça.
Merci !
# Kerberos
Posté par flan (site web personnel) . Évalué à 2.
C'est fait exactement pour ça.
Regarde du côté de Samba4, ça simplifie bien la vie.
[^] # Re: Kerberos
Posté par NeoX . Évalué à 2.
tu as un exemple de configuration d'un site web, avec SSO/Kerberos ?
parce que j'avais essayé mais ca ne fonctionner pas chez moi (sur un AD windows)
[^] # Re: Kerberos
Posté par flan (site web personnel) . Évalué à 2. Dernière modification le 06 juillet 2015 à 23:31.
Ce n'est pourtant pas très compliqué, il suffit de pouvoir générer un keytab :
Mais je ne sais pas faire avec un AD Windows, j'ai un serveur Heimdal chez moi.
[^] # Re: Kerberos
Posté par Sacha Trémoureux (site web personnel) . Évalué à 1.
Ca se fait relativement "bien". C'est un peu la galère en fonction des versions de l'AD pour générer le keytab.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.