Forum Linux.debian/ubuntu Authentification centralisée de services web.

Posté par  . Licence CC By‑SA.
0
6
juil.
2015

Bonjour tout le monde,

J'ai une petite problématique à soumettre à la communauté :

Contexte :
J'ai un serveur qui fait tourner un certain nombre de services :
- Mail (postfix, dovecot, spamassassin, clamav accessible via impa (rouncube))
- Cloud (owncloud)
- Streaming (Madsonic)
- Portail pour accéder à tout ça (Posh)

Pour l'instant, chaque service dispose de son propre service d'identification mais je compte centraliser tout ça avec un LDAP pour simplifier la gestion.

Jusque là, pas de soucis. Par contre, j'aimerai pousser encore plus loin et n'avoir à m'identifier qu'une seule fois pour tous mes services : je me connecte sur posh et j'accède à tout.
Là, je sèche. Comment intégrer la gestion de session et comment faire en sorte que les autres services le prennent en compte ?

Une idée ?

z.

  • # s'inspirer de yunohost

    Posté par  (site web personnel) . Évalué à 1.

    regarde le fonctionnement de yunohost , car cela propose le même service que tu décris.

  • # Fédération d’identité

    Posté par  (site web personnel) . Évalué à 1.

    à voir si toutes tes logiciels sont compatible (sinon il "suffit" de les étendre) mais les protocoles de fédération d'identité permet cela (et même plus) avec des protocoles standard et normalisé

    Pour cela, il te faut mettre en place un IdP (Identity provider) et utiliser SAML V2 ou OAuth/OpenID Connect comme protocole d'authentification.

    Comme IdP tu peux utiliser Shibboleth, la version communautaire de OpenAM,… Ou en le tien en se basant SimpleSAMLPhp (que personnellement j'utilise du coté client (Service Provider ou SP). Il est d’ailleurs utilisé pour gérer ce genre d'authentification sur des CMS du type Drupal, joomla,…)

    une petite recherche m'a donné çà qui peut aider (de 2011, ça à du pas mal bougé depuis) : http://hcpnet.free.fr/pubz/saml.pdf

  • # LemonLDAP

    Posté par  . Évalué à 1.

    Il y a aussi LemonLDAP NG qui permet de faire un portail avec de l'authentification unique

    • [^] # Re: LemonLDAP

      Posté par  . Évalué à 1.

      Intéressant également. A voir comment ça peut être intégrer.

  • # Merci.

    Posté par  . Évalué à 1.

    3 idées très différentes. Je vais étudier tout ça.

    Merci !

  • # Kerberos

    Posté par  (site web personnel) . Évalué à 2.

    C'est fait exactement pour ça.

    Regarde du côté de Samba4, ça simplifie bien la vie.

    • [^] # Re: Kerberos

      Posté par  . Évalué à 2.

      tu as un exemple de configuration d'un site web, avec SSO/Kerberos ?

      parce que j'avais essayé mais ca ne fonctionner pas chez moi (sur un AD windows)

      • [^] # Re: Kerberos

        Posté par  (site web personnel) . Évalué à 2. Dernière modification le 06 juillet 2015 à 23:31.

        Ce n'est pourtant pas très compliqué, il suffit de pouvoir générer un keytab :

        <Location "/">
           AuthName "authent"
           AuthType Kerberos
           Krb5Keytab /etc/apache2/http_$fqdn.keytab
           KrbAuthRealms "REALM.EXAMPLE.COM"
           KrbMethodNegotiate on
           KrbMethodK5Passwd off
           Require valid-user
        </Location>

        Mais je ne sais pas faire avec un AD Windows, j'ai un serveur Heimdal chez moi.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.