Your SlideShare is downloading. ×

RMLL 2009 - Présentation du WebSSO LemonLDAP::NG

959

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
959
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Rencontres Mondiales du Logiciel Libre 2009 Présentation du WebSSO LemonLDAP::NG Clément OUDOT
  • 2. Menu du jour Concepts du WebSSO Le logiciel LemonLDAP::NG Nouveautés de la version 0.9.4 Démonstration 10 juillet 2009 2 http://lemonldap.ow2.org
  • 3. Définition du WebSSO SSO signifie « Single Sign On », qui peut se traduire en français par « authentification unique » Le SSO est souvent accompagné de certaines fonctionnalités : Politique de mot de passe centralisée Transmission transparente des informations de session aux applications Gestion des profils applicatifs, c'est-à-dire qui accède à quoi 10 juillet 2009 3 http://lemonldap.ow2.org
  • 4. SSO par agent 10 juillet 2009 4 http://lemonldap.ow2.org
  • 5. SSO par délégation 10 juillet 2009 5 http://lemonldap.ow2.org
  • 6. SSO par mandataire inverse 10 juillet 2009 6 http://lemonldap.ow2.org
  • 7. Le protocole HTTP GET http://lemonldap.ow2.org HTTP/1.1 Accept: text/html User-Agent: Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.7.6) HTTP/1.1 200 OK Date: Thu, 13 Mar 2008 15:05:29 GMT Server: Apache Content-Length: 264 Content-Type: text/html; charset=iso-8859-1 <?xml version="1.0" encoding="iso-8859-1" ?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr" dir="ltr"> <head> <title>LemonLDAP::NG Homepage</title> .... </html> 10 juillet 2009 7 http://lemonldap.ow2.org
  • 8. Présentation de LemonLDAP::NG LemonLDAP::NG est un logiciel libre (licence GPL) hébergé chez OW2 : http://lemonldap.ow2.org Développé à l'origine par Xavier GUIMARD pour les besoins de la Gendarmerie Nationale Produit basé sur Apache et mod_perl, entièrement écrit en Perl (moteur et interfaces) Fournit un portail d'accès dynamique et une interface d'administration 10 juillet 2009 8 http://lemonldap.ow2.org
  • 9. Architecture 10 juillet 2009 9 http://lemonldap.ow2.org
  • 10. Principe L'implémentation par défaut utilise un annuaire LDAP pour : authentifier l'utilisateur (vérification du mot de passe) effectuer un contrôle d'accès (selon les attributs LDAP de l'utilisateur) approvisionner les applications (par transmission des attributs LDAP dans les en-têtes HTTP) permettre à l'utilisateur de changer son mot de passe 10 juillet 2009 10 http://lemonldap.ow2.org
  • 11. Fonctionnement général 10 juillet 2009 11 http://lemonldap.ow2.org
  • 12. Gestion des sessions Utilisation de n'importe quel module Apache::Session pour le stockage (File, DBI, LDAP, Memcached, ...) Inscription du numéro de session dans un cookie temporaire (non écrit sur disque) avec le choix : Cookie non-sécurisé Cookie sécurisé (HTTPS uniquement) Double cookie Durée de vie des sessions configurable 10 juillet 2009 12 http://lemonldap.ow2.org
  • 13. Règles d'accès Les règles d'accès sont des expressions Perl Elles peuvent être appliquées sur tout ou partie d'une application protégée (utilisation d'expressions régulières sur les URL) Tous les attributs exportés lors de l'authentification sont disponibles dans les règles Un système de macros permet de stocker des valeurs calculées en session 10 juillet 2009 13 http://lemonldap.ow2.org
  • 14. Règles d'accès Accès pour tous les utilisateurs authentifiés : Default => accept Accès pour le groupe « admin » : Default => $groups =~ /admin/ Accès aux mp3 pour l'utilisateur HADOPI : ^/*.mp3 => $uid eq "HADOPI" Interception du logout de l'application ^/logout.php => logout_sso 10 juillet 2009 14 http://lemonldap.ow2.org
  • 15. Hôtes virtuels La distinction des applications est basée sur la notion d'hôtes virtuels Les hôtes virtuels peuvent être répartis sur plusieurs serveurs Apache Chaque hôte virtuel possède : Des règles d'accès Des en-têtes HTTP Les en-têtes HTTP contiennent également des expressions Perl 10 juillet 2009 15 http://lemonldap.ow2.org
  • 16. Applications nativement compatibles 10 juillet 2009 16 http://lemonldap.ow2.org
  • 17. Autres applications compatibles Applications reposant sur la sécurité Apache (.htaccess) : Nagios, ... Applications reposant sur la sécurité Tomcat (users.xml) : Lutece, Probe, ... Applications utilisant HTTP Basic : Domino Web Access, Outlook Web Access, ... Applications compatibles SiteMinder 10 juillet 2009 17 http://lemonldap.ow2.org
  • 18. Nouveautés de la version 0.9.4 Utilisation de LDAP possible pour le stockage de la configuration et des sessions Réécriture complète des fonctions SOAP : le portail est directement un point d'accès SOAP Système de notifications Nouvelles fonctions disponibles dans les règles d'accès pour vérifier les dates, les jours et les heures de connexion autorisés L'adresse du portail peut être dynamique 10 juillet 2009 18 http://lemonldap.ow2.org
  • 19. Nouveautés de la 0.9.4 Séparation des modules d'authentification, de données utilisateur et de mots de passe Gestion complète de la politique des mots de passe LDAP Configuration simplifiée du cross-domain 10 juillet 2009 19 http://lemonldap.ow2.org
  • 20. Feuille de route Refonte de l'interface d'administration Validation du formulaire d'authentification pour les applications fermées Portefeuille de comptes pour les applications fermées Support SAML2 complet (fournisseur d'identités et fournisseur de service) 10 juillet 2009 20 http://lemonldap.ow2.org
  • 21. Démonstration 10 juillet 2009 21 http://lemonldap.ow2.org

×