LemonLDAP::NG Web-SSO

lemonldapng: RT @toolinux Sortie de LemonLDAP ::NG 1.2 http://t.co/bkQouqev

lemonldapng: RT @clementoudot Présentation de LemonLDAP::NG 1.2 à Solutions Linux http://t.co/IqzbwX4w

lemonldapng: RT @clementoudot Sortie de LemonLDAP::NG 1.2 : le détail des nouveautés http://t.co/QXPxasLA #SSO #LemonLDAP

Cette semaine est sortie une nouvelle version majeure de LemonLDAP::NG : la version 1.2.0. Annoncée et attendue depuis plusieurs mois (voir la présentation donnée au FOSDEM), elle est enfin disponible et propose de nombreuses améliorations. ... [More] LemonLDAP::NG est un logiciel de WebSSO, contrôle d'accès et fédération des identités. Ses principales fonctionnalités sont : Portail d'application, affichant dynamiquement les applications autorisées Réinitialisation du mot de passe par un challenge par mail Interface d'administration Web Explorateur de sessions Notifications Support de nombreux moyens d'authentifications (LDAP, SQL, certificat SSL, Kerberos, etc.) Support des protocoles CAS, OpenID et SAML Propagation de l'identité par en-têtes HTTP, variables d'environnement ou rejeu de formulaires Identification des URLs à protéger par expressions régulières On met le paquet Tout d'abord avant d'entrer dans le détail des nouveautés, on peut noter que LemonLDAP::NG est désormais empaqueté pour les distributions suivantes : Debian Squeeze RHEL/CentOS 5 RHEL/CentOS 6 Mageia Caudron Rien de plus simple donc pour installer ou mettre à jour LemonLDAP::NG que d'utiliser les outils standards des distributions comme apt-get, yum ou urpmi. Une fonction historique L'une des évolutions majeures de la 1.2 est l'historique des connexions. Cet historique permet de stocker les dates des dernières authentifications réussies et échouées. La raison de l'échec est également conservée. Ces informations sont d'abord visibles par les administrateurs dans l'explorateur de sessions, car elles sont chargées lors de l'ouverture de la session SSO depuis la session persistante de l'utilisateur. Il est ensuite possible de configurer LemonLDAP::NG pour présenter ces informations à l'utilisateur : Par un onglet dédié dans le portail des applications Par une case à cocher affichant ces informations avant redirection vers l'application protégée Le nombre d'authentifications conservées dans l'historique est lui aussi paramétrable, pour les authentifications réussies comme pour les authentifications échouées. Docteur qui ? La question qui revient le plus souvent de la part des personnes installant pour la première fois LemonLDAP::NG est : "Où sont les utilisateurs ?" LemonLDAP::NG n'est pas un annuaire LDAP ou un référentiel autre permettant de créer, modifier ou supprimer des comptes utilisateurs. Il s'appuie au contraire sur des référentiels existants dans l'entreprise (LDAP, base de données) ou externes via des protocoles de fédération d'identités (OpenID, SAML, ...) Seulement il assez facile de comprendre la frustration ressentie lorsque l'on installe LemonLDAP::NG et qu'il faille créer soi-même un référentiel d'identités et le configurer avant de pouvoir tester le WebSSO. Relaxez-vous, la nouvelle version de LemonLDAP::NG arrive avec un module "Démonstration" configuré par défaut, qui fournit des comptes utilisateurs factices permettant d'ouvrir une session et d'accéder aux applications de test. On peut ainsi installer et démarrer LemonLDAP::NG en quelques minutes. Les comptes de test sont issus de la série Doctor Who : Rose Tyler: rtyler/rtyler Mickey Smith : msmith/msmith Doctor Who: dwho/dwho À noter que l'utilisateur "dwho" est le seul à avoir accès à l'interface d'administration et l'explorateur de sessions dans la configuration initiale. Ne quittez pas, un agent va vous répondre Des applications en maintenance, ça arrive même aux meilleurs. Si certaines organisations arrivent par des architectures en haute-disponibilité à éviter toute coupure de service lors de la mise à jour d'une application, ce n'est pas le cas pour tout le monde, et surtout parfois impossible pour certaines applications (schéma de base de données à modifier par exemple). Dans ce cas, au lieu que les utilisateurs accédant à l'application se retrouvent avec des messages d'erreurs exotiques (et même s'ils ont été prévus 10 fois par mail qu'une opération de maintenance allait avoir lieu !), il est préférable de les rediriger vers une page dédiée expliquant que l'application est en maintenance. Cette opération peut se faire en modifiant les configurations Apache, sur un ou plusieurs serveurs en fonction du déploiement de l'application, mais c'est souvent fastidieux et source d'erreurs. La nouvelle version de LemonLDAP::NG propose désormais un mode maintenance qui permet de désactiver temporairement l'accès à une application. Il suffit d'activer cette option depuis l'interface d'administration, et automatiquement les utilisateurs sont redirigés vers une page d'erreur spécifique lorsqu'ils tentent de joindre l'application. La configuration de LemonLDAP::NG étant propagée à tous les nœuds des applications, ce mode s'applique directement sur ces nœuds, sans intervention nécessaire sur la configuration Apache. De la flotte au menu Petite nouveauté également, la possibilité d'ajouter un menu flottant sur les applications protégées. Ce menu est un module chargé dans la configuration Apache qui ajoute des éléments au DOM de la page à la volée. Il est donc non-intrusif sur les applications. Ce module est pour l'instant très simple et ne propose que 2 liens : retour à la page du portail ou déconnexion. Il est par contre facile de se créer son propre module en copiant le module d'origine. Ave Radius L'authentification Radius vient s'ajouter aux nombreux autres moyens d'authentification proposés par LemonLDAP::NG. Un des intérêts de Radius est d'être compatible avec Google Authenticator, qui propose une méthode de double authentification : mot de passe et OTP (One Time Password). L'OTP est envoyé sur le téléphone mobile et permet donc de s'assurer que l'utilisateur est celui qui possède le mot de passe et le téléphone mobile associé au compte. La communauté de l'année Cette nouvelle version est le fruit d'un travail communautaire important, avec de nombreux bugs et patchs rapportés par les utilisateurs avancés de la solution : Dominique Fournier Emmanuel Lesouef Erwan Le Gall Gaultier Hubert Quentin Jaboeuf Mathieu Parent Romain Vrignaud Sébastien Bahloul ulkesh L'équipe principale du projet s'est également beaucoup investie, en particulier François-Xavier Deltombe qui a rejoint le projet l'année dernière. Merci donc à lui et aux autres membres de l'équipe : Xavier Guimard et Thomas Chemineau. Enfin, petit clin d'œil à Sandro Cazzaniga qui a rejoint Linagora pour la période estivale et qui a empaqueté LemonLDAP::NG pour Mageia. Speed dating Pour venir découvrir en direct cette nouvelle version, rendez-vous aux prochains salons du libre : Solutions Linux à Paris RMLL à Genève Pour les malchanceux qui ne pourront venir, le lot de consolation : Captures d'écran Téléchargement [Less]

Cette semaine est sortie une nouvelle version majeure de LemonLDAP::NG : la version 1.2.0. Annoncée et attendue depuis plusieurs mois (voir la présentation donnée au FOSDEM), elle est enfin disponible et propose de nombreuses améliorations. ... [More] LemonLDAP::NG est un logiciel de WebSSO, contrôle d'accès et fédération des identités. Ses principales fonctionnalités sont : Portail d'application, affichant dynamiquement les applications autorisées Réinitialisation du mot de passe par un challenge par mail Interface d'administration Web Explorateur de sessions Notifications Support de nombreux moyens d'authentifications (LDAP, SQL, certificat SSL, Kerberos, etc.) Support des protocoles CAS, OpenID et SAML Propagation de l'identité par en-têtes HTTP, variables d'environnement ou rejeu de formulaires Identification des URLs à protéger par expressions régulières On met le paquet Tout d'abord avant d'entrer dans le détail des nouveautés, on peut noter que LemonLDAP::NG est désormais empaqueté pour les distributions suivantes : Debian Squeeze RHEL/CentOS 5 RHEL/CentOS 6 Mageia Caudron Rien de plus simple donc pour installer ou mettre à jour LemonLDAP::NG que d'utiliser les outils standards des distributions comme apt-get, yum ou urpmi. Une fonction historique L'une des évolutions majeures de la 1.2 est l'historique des connexions. Cet historique permet de stocker les dates des dernières authentifications réussies et échouées. La raison de l'échec est également conservée. Ces informations sont d'abord visibles par les administrateurs dans l'explorateur de sessions, car elles sont chargées lors de l'ouverture de la session SSO depuis la session persistante de l'utilisateur. Il est ensuite possible de configurer LemonLDAP::NG pour présenter ces informations à l'utilisateur : Par un onglet dédié dans le portail des applications Par une case à cocher affichant ces informations avant redirection vers l'application protégée Le nombre d'authentifications conservées dans l'historique est lui aussi paramétrable, pour les authentifications réussies comme pour les authentifications échouées. Docteur qui ? La question qui revient le plus souvent de la part des personnes installant pour la première fois LemonLDAP::NG est : "Où sont les utilisateurs ?" LemonLDAP::NG n'est pas un annuaire LDAP ou un référentiel autre permettant de créer, modifier ou supprimer des comptes utilisateurs. Il s'appuie au contraire sur des référentiels existants dans l'entreprise (LDAP, base de données) ou externes via des protocoles de fédération d'identités (OpenID, SAML, ...) Seulement il assez facile de comprendre la frustration ressentie lorsque l'on installe LemonLDAP::NG et qu'il faille créer soi-même un référentiel d'identités et le configurer avant de pouvoir tester le WebSSO. Relaxez-vous, la nouvelle version de LemonLDAP::NG arrive avec un module "Démonstration" configuré par défaut, qui fournit des comptes utilisateurs factices permettant d'ouvrir une session et d'accéder aux applications de test. On peut ainsi installer et démarrer LemonLDAP::NG en quelques minutes. Les comptes de test sont issus de la série Doctor Who : Rose Tyler: rtyler/rtyler Mickey Smith : msmith/msmith Doctor Who: dwho/dwho À noter que l'utilisateur "dwho" est le seul à avoir accès à l'interface d'administration et l'explorateur de sessions dans la configuration initiale. Ne quittez pas, un agent va vous répondre Des applications en maintenance, ça arrive même aux meilleurs. Si certaines organisations arrivent par des architectures en haute-disponibilité à éviter toute coupure de service lors de la mise à jour d'une application, ce n'est pas le cas pour tout le monde, et surtout parfois impossible pour certaines applications (schéma de base de données à modifier par exemple). Dans ce cas, au lieu que les utilisateurs accédant à l'application se retrouvent avec des messages d'erreurs exotiques (et même s'ils ont été prévus 10 fois par mail qu'une opération de maintenance allait avoir lieu !), il est préférable de les rediriger vers une page dédiée expliquant que l'application est en maintenance. Cette opération peut se faire en modifiant les configurations Apache, sur un ou plusieurs serveurs en fonction du déploiement de l'application, mais c'est souvent fastidieux et source d'erreurs. La nouvelle version de LemonLDAP::NG propose désormais un mode maintenance qui permet de désactiver temporairement l'accès à une application. Il suffit d'activer cette option depuis l'interface d'administration, et automatiquement les utilisateurs sont redirigés vers une page d'erreur spécifique lorsqu'ils tentent de joindre l'application. La configuration de LemonLDAP::NG étant propagée à tous les nœuds des applications, ce mode s'applique directement sur ces nœuds, sans intervention nécessaire sur la configuration Apache. De la flotte au menu Petite nouveauté également, la possibilité d'ajouter un menu flottant sur les applications protégées. Ce menu est un module chargé dans la configuration Apache qui ajoute des éléments au DOM de la page à la volée. Il est donc non-intrusif sur les applications. Ce module est pour l'instant très simple et ne propose que 2 liens : retour à la page du portail ou déconnexion. Il est par contre facile de se créer son propre module en copiant le module d'origine. Ave Radius L'authentification Radius vient s'ajouter aux nombreux autres moyens d'authentification proposés par LemonLDAP::NG. Un des intérêts de Radius est d'être compatible avec Google Authenticator, qui propose une méthode de double authentification : mot de passe et OTP (One Time Password). L'OTP est envoyé sur le téléphone mobile et permet donc de s'assurer que l'utilisateur est celui qui possède le mot de passe et le téléphone mobile associé au compte. La communauté de l'année Cette nouvelle version est le fruit d'un travail communautaire important, avec de nombreux bugs et patchs rapportés par les utilisateurs avancés de la solution : Dominique Fournier Emmanuel Lesouef Erwan Le Gall Gaultier Hubert Quentin Jaboeuf Mathieu Parent Romain Vrignaud Sébastien Bahloul ulkesh L'équipe principale du projet s'est également beaucoup investie, en particulier François-Xavier Deltombe qui a rejoint le projet l'année dernière. Merci donc à lui et aux autres membres de l'équipe : Xavier Guimard et Thomas Chemineau. Enfin, petit clin d'œil à Sandro Cazzaniga qui a rejoint Linagora pour la période estivale et qui a empaqueté LemonLDAP::NG pour Mageia. Speed dating Pour venir découvrir en direct cette nouvelle version, rendez-vous aux prochains salons du libre : Solutions Linux à Paris RMLL à Genève Pour les malchanceux qui ne pourront venir, le lot de consolation : Captures d'écran Téléchargement [Less]

lemonldapng: RT @clementoudot #LemonLDAP::NG 1.2.0 released! http://t.co/tcK8ZJfz #WebSSO #OW2 #planetlibre #Perl

lemonldapng: @Kharec, Mageia LemonLDAP::NG packager, will join #LinID team in @linagora this summer, to share his Perl skills!

lemonldapng: RT @Kharec Je fais des paquets #mageia pour #LemonLdapNG pour mieux tester et peut-être les intégrer à la distro :-) (cc @clementoudot)

lemonldapng: RT @cbrocas @clementoudot will come to 2012 #rmll to present #lemonldapng 1.2 & a framework to build LDAP mgmt app http://t.co/3xKXLYmo

lemonldapng: RT @clementoudot Conférence sur la sortie de LemonLDAP::NG 1.2 au salon Solution Linux 2012 http://t.co/GenUReoT