<h1class="sectionedit1"id="manager_protection">Protection du manager</h1>
<divclass="level1">
<p>
Lorsqu'on installe <abbrtitle="LemonLDAP::NG">LL::NG</abbr>, le manager n'est accessible que via le compte de démonstration <code>dwho</code>. Ce document explique comment changer ce comportement par défaut pour protéger le manager avec d'autres règles.
<divclass="notetip">Apache based protection allow one to be independent from WebSSO, so Manager will always be reachable even if WebSSO configuration is corrupted.
Cette configuration peut être changée dans <code>etc/manager-apache2.conf</code>, par exemple pour restreindre les adresses <abbrtitle="Internet Protocol">IP</abbr> autorisées à accéder au manager :
<spanclass="kw1">Deny</span> from <spanclass="kw2">all</span>
<spanclass="kw1">Allow</span> from 127.0.0.0/<spanclass="nu0">8</span> 192.168.100.0/<spanclass="nu0">32</span>
<spanclass="kw1">Options</span> +ExecCGI
</<spanclass="kw3">Directory</span>></pre>
<p>
Il est souvent souhaitable d'utiliser un module d'authentification Apache, tel par exemple le <ahref="http://httpd.apache.org/docs/current/mod/mod_authnz_ldap.html"class="urlextern"title="http://httpd.apache.org/docs/current/mod/mod_authnz_ldap.html"rel="nofollow">module d'authentification LDAP</a> :
<h2class="sectionedit3"id="llng_based_protection">Protection basée sur LL::NG</h2>
<divclass="level2">
<divclass="notewarning">Avant d'activer la protection du manager par <abbrtitle="LemonLDAP::NG">LL::NG</abbr>, il faut avoir configuré la méthode d'authentification sur le portail et véifier qu'on peut s'y connecter sans difficultés. Sinon, on risque de verrouiller l'accès au manager et ne plus pouvoir y accéder.
</div>
<p>
Par défaut, il existe un hôte virtuel défini dans la configuration. Si non, aller dans le manager et déclarer le manager comme un nouvel <ahref="configvhost.html#lemonldapng_configuration"class="wikilink1"title="documentation:2.0:configvhost">hôte virtuel</a>, par exemple <code>manager.example.com</code>. Définir ensuite les règles d'accès. Aucun en-tête n'est nécessaire.
Il faut la changer pour correspondre au nouvel administrateur (ou utiliser une autre conditions telle l'appartenance aux groupes ou tout autre règle basée sur des variables de session).
</p>
<p>
Sauver la configuration et quitter le manager.
</p>
<divclass="notetip">En retournant vers le manager, ce sera via <abbrtitle="LemonLDAP::NG">LL::NG</abbr>.
</div>
<p>
Activer la protection du manager, en éditant <code>lemonldap-ng.ini</code>:
<spanclass="kw1">Allow</span> from <spanclass="kw2">all</span>
<spanclass="kw1">Options</span> +ExecCGI
</<spanclass="kw3">Directory</span>></pre>
<p>
Redémarrer Apache et tenter de se connecter au manager. On doit être redirigé vers le portail <abbrtitle="LemonLDAP::NG">LL::NG</abbr>.
</p>
<p>
On peut aussi ajouter le manager dans les <ahref="portalmenu.html#categories_and_applications"class="wikilink1"title="documentation:2.0:portalmenu">applications du menu</a>.
</p>
<divclass="notetip">Si pour une quelconque raison le WebSSO ne fonctionne pas, pour accéder au manager, supprimer la protection dans <code>lemonldap-ng.ini</code>. Ajouter un contrôle d'accès Apache pour éviter les autres accès.