LemonLDAP-NG/fr
Mainteneur
Daniel B.
Firewall Services
mailto:daniel@firewall-services.com
Description
LemonLDAP::NG offre une protection AAA (Authentification Autorisation Historique - « Accounting ») complète :
- Authentification : les informations d'identification sont nécessaires pour ouvrir la session SSO (cf. ci-dessous) ;
- Autorisation : les règles d'accès sont vérifiées pour chaque requête HTTP ;
- Historique : chaque connexion est enregistrée.
Le principal avantage de l'utilisation de LemonLDAP::NG est que les utilisateurs n'ont besoin de se connecter qu'une seule fois sur le portail LemonLDP::NG. Ensuite, toutes les applications configurées pour être protégées par LemonLDAP::NG reconnaîtront l'utilisateur. Cela s'appelle SSO (Single Sign On). LemonLDAP::NG est très flexible, vous pouvez utiliser différents arrière-plans pour la base de données des informations utilisateur, la vérification des mots de passe, etc.
Cette contribution utilise le serveur LDAP interne pour tout. Par défaut, tout sera pré-configuré, donc tous les utilisateurs pourront avoir un accès, avec leur mot de passe normal. L'appartenance à un groupe est également utilisable pour écrire des règles d'accès.
Cette page décrit uniquement le processus d'installation sur un serveur SME KOOZALI. Pour un guide complet sur la façon d'utiliser et de configurer LemonLDAP::NG, veuillez vous référer à la documentation officielle (en anglais).
Spécifications requises
LemonLDAP-NG a été développé et testé uniquement sur les versions 8 et 9 de KOOZALI SMEServeur, et ne sera pas adapté pour fonctionner sur SME 7.
Vous avez également besoin des dernières mises à jour du dépôt « smeupdates-testing ».
yum --enablerepo=smeupdates-testing update signal-event post-upgrade signal-event reboot
Installation sur les versions 8.x et 9.x
Configurer le dépôt « Firewall-Services » :
db yum_repositories set fws repository \ BaseURL http://repo.firewall-services.com/centos/\$releasever \ EnableGroups no GPGCheck yes \ Name "Firewall Services" \ GPGKey http://repo.firewall-services.com/RPM-GPG-KEY \ Visible yes status disabled signal-event yum-modify
Configurer les dépôts Epel et Dag (choisir le dépôt convenable en fonction de la version de votre serveur SME - 8 ou 9).
- Installer les paquets rpm
yum --enablerepo=fws --enablerepo=epel --enablerepo=dag install smeserver-lemonldap-ng
- Maintenant, appliquer la configuration requise :
signal-event webapps-update db configuration set UnsavedChanges no
Configuration
Cette contribution créera automatiquement deux nouveaux domaines :
- sso-manager.domain.tld : ce domaine est utilisé pour accéder à l'interface de gestion LemonLDAP (configuration et explorateur de session) ;
- auth.domain.tld : ce domaine est le portail d'authentification.
Ces domaines fonctionneront dès le départ à partir du réseau interne si vous utilisez votre serveur SME comme DNS, sinon, vous devrez ajouter ces deux noms d'hôte dans votre serveur DNS. Vous devez également ajouter ces noms d'hôte dans votre serveur DNS externe si vous souhaitez que le portail fonctionne depuis l'extérieur.
La plupart de la configuration de LemonLDAP::NG est disponible sur https://sso-manager.domain.tld/. Vous devrez vous connecter en utilisant les informations d'identification d'administrateur de votre serveur pour accéder à cette page (identifiant : admin). Ne pas s'affoler si sso-manager.domain.tld devient auth.domain.tld à la saisie ; une fois la connexion réussie, le nom de domaine sso-manager.domain.tld revient...
Options additionelles
Certains paramètres sont disponibles dans la base de données :
- ManagerAuth : si vous souhaitez que l'interface du gestionnaire (https://sso-manager.domain.tld) soit auto-protégée (LemonLDAP protège sa propre interface de gestion), vous pouvez configurer la propriété sur self. Vous devez d'abord vous assurer que l'authentification au portail fonctionne.
- Reload : une liste de gestionnaires supplémentaires pour appeler les rechargements de configuration. Ce paramètre n'est utile que si vous connectez un autre gestionnaire sur différentes machines physiques (en utilisant l'arrière-plan Soap, par exemple, pour accéder à la base de données de configuration et de session). Cela doit se présenter sous la forme d'une liste séparée par des virgules :
db configuration setprop lemonldap Reload server1=https://server1.domain.tld/reload,server2=https://reload.domain.tld
- SoapAllowFrom : une liste séparée par des virgules des adresses IP et/ou réseaux qui auront accès aux ressources SOAP (/sessions, /config, etc.). Cela n'est nécessaire que si vous configurez le gestionnaire distant pour utiliser l'arrière-plan Soap pour accéder aux sessions et aux bases de données de configuration.
- SoapPassword : toutes les ressources de Soap sont protégées par une restriction IP (voir SoapAllowFrom), et un nom d'utilisateur/mot de passe (authentification de base). Le nom d'utilisateur est lemonsaop, et le mot de passe est la valeur de cet propriété (le mot de passe par défaut est généré aléatoirement).
Exemple :
db configuration setprop lemonldap Reload lamp.firewall-services.com=https://lamp.firewall-services.com/lm-reload SoapAllowFrom 10.11.12.13 signal-event webapps-update
Changement du nom de domaine
Lorsque vous installez cette contribution pour la première fois, le nom de domaine principal est utilisé dans la configuration par défaut de LemonLDAP. Si vous modifiez ultérieurement le nom de domaine principal, vous devrez adapter la configuration de LemonLDAP manuellement (à l'aide de https://sso-manager.domain.tld/).
How-to protect applications
Here's quick guide on how to protect an web application with LemonLDAP::NG on SME Server:
- First, you can install your application (for example in /opt/myapp)
- Now, you need to create a custom template to make this application available from the web. LemonLDAP::NG uses VirtualHosts to protect different applications, so it's recommended to not create alias on the primary domain in your custom-template. A dedicated virtualhost will be created later to access the application. Here's a example of custom-template:
# MyApp configuration
<Directory /opt/myapp> AllowOverride None SSLRequireSSL on AddType application/x-httpd-php .php php_admin_value open_basedir /opt/myapp:/tmp order deny,allow deny from all allow from {"$localAccess $externalSSLAccess";} Satisfy all </Directory>
Ok, now the application is ready to be served, but is not accessible yet (because there's no alias to make this application accessible).
- Create a domain for this application
db domains set myapp.domain.tld domain Content Primary \ Description 'My App' DocumentRoot /opt/myapp Authentication LemonLDAP \ Nameservers internet TemplatePath WebAppVirtualHost signal-event domain-create myapp.domain.tld
It's important to set TemplatePath to WebAppVirtualHost. Those templates are provided by smeserver-webapps-common package (automatically installed, as it's need by LemonLDAP). Those templates make it easy to protect any virtualhost by LemonLDAP::NG
- Ok, now your application is available from this addresse https://myapp.domain.tld/ but you'll get a access denied if you try to access it now. The last step is to declare myapp.domain.tld in LemonLDAP::NG. This is done using the configuration manager (https://sso-manager.domain.tld). You can then set the access rules you want. You can read the project documentation for this part, especially this page [1]
Troubleshoot
LemonLDAP logs are sent in apache error logs (/var/log/httpd/error_log)
Backup and Restore
You should backup the directory /var/lib/lemonldap/conf and /var/lib/lemonldap-ng/notifications/ which is where configuration and notifications are stored
Uninstall
If you want to remove the contrib, just run:
yum remove lemonldap-ng
Source
The source for this contrib can be found in Firewall-Services's repository.