Sortie de LemonLDAP::NG 1.1

Posté par  (site web personnel, Mastodon) . Modéré par rootix. Licence CC By‑SA.
24
20
juil.
2011
Sécurité

Le 8 juillet dernier, à la veille de l'ouverture des RMLL, est sortie une nouvelle version majeure de LemonLDAP::NG.

LemonLDAP::NG est un logiciel de Web-SSO destiné à protéger des applications Web. Pour les utilisateurs, cela permet de ne s'authentifier qu'une seule fois (Single Sign-On) et pour les administrateurs du WebSSO cela permet de contrôler de manière centralisée les droits d'accès aux applications. LemonLDAP::NG supporte désormais de nombreux protocoles d'authentification et de fédération d'identités comme CAS, OpenID ou SAML 2.0.

La version 1.1 apporte un certain nombre de nouveautés présentées ci-dessous.

Gestion des notifications

Une notification est un message affiché à l'utilisateur lors de son accès au portail d'authentification (accès obligatoire pour la création de sa session SSO). Une notification peut contenir des cases à cocher, qui devront alors être activées par l'utilisateur pour poursuivre.

Ce système permet par exemple d'avertir un utilisateur sur la modification de ses habilitations, ou sur l'ajout ou la suppression d'une application dans le portail.

Les notifications existent dans LemonLDAP::NG depuis la version 0.9.4, mais le paramétrage de cette fonctionnalité était complexe. Depuis la version 1.1, le Manager (interface d'administration de la solution) possède désormais un explorateur qui permet de créer et parcourir les notifications.

De plus, les notifications peuvent désormais :

  • S'adresser à tous les utilisateurs (auparavant, une notification était enregistrée pour un utilisateur précis)
  • Posséder une condition d'affichage (ce qui permet par exemple d'afficher une notification pour des utilisateurs provenant d'un certain réseau, ou possédant certains attributs)

Pour plus d'informations, vous pouvez consulter la documentation en ligne.

Réinitialisation du mot de passe par mail

Lorsqu'un utilisateur a perdu son mot de passe, LemonLDAP::NG propose une page où il peut réinitialiser son mot de passe par mail. Il n'est bien entendu pas question de lui transmettre son mot de passe actuel, mais bien de lui permettre d'en changer via un challenge par mail. Cette méthode est inefficace si le mot de passe du WebSSO est le même que le mot de passe de sa messagerie, mais dans les autres cas, elle permet d'alléger considérablement les appels au support.

La cinématique est la suivante :

  1. L'utilisateur fait une demande de réinitialisation en entrant son identifiant (ou tout attribut permettant de l'identifier de manière unique, comme son mail)
  2. Un mail est envoyée avec un lien, dont la validité est configurable (par défaut 24 heures)
  3. Le lien mène à une page permettant de saisir un nouveau mot de passe, ou de demander sa génération automatique
  4. Le nouveau mot de passe est envoyé par mail

Pour plus d'informations, vous pouvez consulter la documentation en ligne.

Authentification par Yubikey

La Yubikey est un périphérique physique permettant de faire de l'authentification avec mot de passe à usage unique (One Time Password, OTP).

LemonLDAP::NG permet désormais d'utiliser ce périphérique pour ouvrir une session SSO. Les attributs de l'utilisateur peuvent être ensuite récupéré en associant l'identifiant de la clé à l'identifiant de l'utilisateur dans la base des comptes (LDAP ou SQL).

Pour plus d'informations, vous pouvez consulter la documentation en ligne.

Personnalisation

La personnalisation du produit est facilitée dans la dernière version, en particulier :

  • Les messages d'erreurs peuvent être surchargés dans le fichier INI
  • Les thèmes possèdent désormais des modèles HTML "custom" inclus dans les modèles par défaut

Pour plus d'informations, vous pouvez consulter la documentation en ligne.

Aller plus loin

  • # Kerberos

    Posté par  . Évalué à 2.

    Bonjour Clément,

    il est prévu de supporter Kerberos un jour ?

    • [^] # Re: Kerberos

      Posté par  . Évalué à 2.

      en tant qu'Identity Provider :)

      Et pire : en tant qu'Identity Provider pour les solutions MS ;)

      • [^] # Re: Kerberos

        Posté par  (site web personnel, Mastodon) . Évalué à 3.

        Salut Julien,

        le support Kerberos est pour l'instant assez léger : LemonLDAP::NG se repose sur le mod_auth_kerb d'Apache pour authentifier de manière transparente les utilisateurs : http://lemonldap-ng.org/documentation/latest/authapache

        Faire fournisseur Kerberos est une très bonne idée, ce n'est pas officiellement dans la feuille de route, mais en se basant sur les modules CAS, OpenID ou SAML, il est relativement simple de créer un nouveau module fournisseur. Bien entendu il faut y consacrer un peu de temps, toute aide est la bienvenue :)

  • # Simple, rapide à mettre en place et efficace

    Posté par  (site web personnel) . Évalué à 6. Dernière modification le 21 juillet 2011 à 07:51.

    Un peu de prosélytisme pour ce soft que j'apprécie beaucoup...
    J'ai été amené à utiliser LemonLDAP::NG dans de nombreux projets et différentes situations. La simplicité d'implémentation est très clairement géniale et c'est ce que j'apprécie le plus.

    • Une documentation en ligne claire et pleine d'exemple pour les cas simple comme pour les complexes,
    • Une WebUI qui ne me donne pas de boutons,
    • Une palanquée de protocoles d'authentification,
    • La simplicité pour développer un "connecteur" pour une application qui n'aurait pas encore de protocole supporté...

    En bref un condensé de tout ce qui est bon dans le logiciel libre.

    Je teste depuis peu la partie IDP (SAML 2.0). Pour un fonctionnement simple, je réalise en 1h de configuration ce qui va m'en prendre 5 avec Shibboleth (que je connais à peu près aussi mal mais dont la documentation et la configuration sont tout sauf sexy).

    Son seul défaut : il n'a pas encore la notoriété qu'il mérite :)

    Merci aux développeurs pour cette "perle" !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.