<h1class="sectionedit1"id="writing_rules_and_headers">Écrire les règles et en-têtes</h1>
<divclass="level1">
<p>
Lemonldap::NG gère les applications par leurs noms d'hôtes(hôtes virtuels d'Apache). Rules are used to protect applications, headers are HTTP headers added to the request to give datas to the application (for logs, profiles,…).
<divclass="noteimportant">Note that variables designed by $xx correspond to the name of the <ahref="exportedvars.html"class="wikilink1"title="documentation:2.0:exportedvars">exported variables</a> or <ahref="performances.html#macros_and_groups"class="wikilink1"title="documentation:2.0:performances">macro names</a> except for <code>$ENV{<cgi-header>}</code> which correspond to CGI header <em>(<code>$ENV{REMOTE_ADDR}</code> for example)</em>.
<liclass="level1"><divclass="li"> all headers in CGI format <em>(<code>User-Agent</code> becomes <code>HTTP_USER_AGENT</code>)</em></div>
</li>
<liclass="level1"><divclass="li"> some CGI variables depending on the context:</div>
<ul>
<liclass="level2"><divclass="li"> For portal: all CGI standard variables <em>(you can add custom headers using <code>fastcgi_param</code> with Nginx)</em>,</div>
A rule associates a <ahref="http://en.wikipedia.org/wiki/Perl_Compatible_Regular_Expressions"class="urlextern"title="http://en.wikipedia.org/wiki/Perl_Compatible_Regular_Expressions"rel="nofollow">regular expression</a> to a Perl boolean expression or a keyword.
<tdclass="col0 leftalign"> Ne pas restreindre /public/ </td><tdclass="col1 centeralign"> ^/public/ </td><tdclass="col2 centeralign"> skip </td>
</tr>
<trclass="row5 rowodd">
<tdclass="col0 leftalign"> Makes authentication optional, but authenticated users are seen as such (that is, user data are sent to the app through HTTP headers) </td><tdclass="col1 centeralign"> ^/forum/ </td><tdclass="col2 centeralign"> unprotect </td>
</tr>
<trclass="row6 roweven">
<tdclass="col0 leftalign"> Restrict access to the whole site to users that have the LDAP description field set to “LDAP administrator” (must be set in exported variables) </td><tdclass="col1 centeralign"> default </td><tdclass="col2 centeralign"> $description eq "LDAP administrator" </td>
La règle d'accès “<strong>default</strong>” est utilisée si aucune règle ne correspond à l'<abbrtitle="Uniform Resource Locator">URL</abbr> courante.
</p>
<divclass="notetip"><ul>
<liclass="level1"><divclass="li"> Les commentaires peuvent être utilisés pour ordonner les règles : elles sont appliquées dans l'ordre alphabétique des commentaires (ou des expressions régulières à défaut de commentaire). Voir le <strong><ahref="security.html#write_good_rules"class="wikilink1"title="documentation:2.0:security">chapître sécurité</a></strong> pour apprendre comment écrire de bonnes règles.</div>
</li>
<liclass="level1"><divclass="li"> Voir <ahref="performances.html#handler_performance"class="wikilink1"title="documentation:2.0:performances">performances</a> pour comprendre l'intérêt des macros et groupes dans les règles.</div>
</li>
</ul>
</div>
<p>
Les règles peuvent également être utilisées pour intercepter les <abbrtitle="Uniform Resource Locator">URL</abbr> de déconnexion :
<tdclass="col0 leftalign"> Logout user from current application and redirect it to the menu <strong><em>(Apache only)</em></strong></td><tdclass="col1 centeralign"> ^/index.php\?logout </td><tdclass="col2 centeralign"> logout_app https://auth.example.com/ </td>
<tdclass="col0"> Logout user from current application and from Lemonldap::NG and redirect it to http://intranet/ <strong><em>(Apache only)</em></strong></td><tdclass="col1 centeralign"> ^/index.php\?logout </td><tdclass="col2 centeralign"> logout_app_sso http://intranet/ </td>
Par défaut, l'utilisateur est redirigé vers le portail si aucune <abbrtitle="Uniform Resource Locator">URL</abbr> n'est définie ou vers l'<abbrtitle="Uniform Resource Locator">URL</abbr> indiquée sinon.
</p>
<divclass="noteimportant">Seule l'application est concernée par les cibles logout_app*. Faire attention avec certaines applications qui ne vérifient pas les en-têtes Lemonldap::NG après avoir créé leurs propres cookies. Dans ce cas, il faut rediriger les utilisateurs vers une page <abbrtitle="HyperText Markup Language">HTML</abbr> qui explique qu'il est préférable de clore son navigateur après déconnexion.
<h3class="sectionedit6"id="rules_on_authentication_level">Rules on authentication level</h3>
<divclass="level3">
<p>
LLNG set an “authentication level” during authentication process. This level is the value of the authentication backend used for this user. Default values are:
</p>
<ul>
<liclass="level1"><divclass="li"> 0 for <ahref="authnull.html"class="wikilink1"title="documentation:2.0:authnull">Null</a></div>
</li>
<liclass="level1"><divclass="li"> 1 for <ahref="authcas.html"class="wikilink1"title="documentation:2.0:authcas">CAS</a>, <ahref="authopenid.html"class="wikilink1"title="documentation:2.0:authopenid">old OpenID-2</a>, <ahref="authfacebook.html"class="wikilink1"title="documentation:2.0:authfacebook">Facebook</a>,…</div>
</li>
<liclass="level1"><divclass="li"> 2 for web-form based authentication <em>(<ahref="authldap.html"class="wikilink1"title="documentation:2.0:authldap">LDAP</a>, <ahref="authdbi.html"class="wikilink1"title="documentation:2.0:authdbi">DBI</a>,…)</em></div>
</li>
<liclass="level1"><divclass="li"> 3 for <ahref="authyubikey.html"class="wikilink1"title="documentation:2.0:authyubikey">Yubikey</a></div>
</li>
<liclass="level1"><divclass="li"> 4 for <ahref="authapache.html"class="wikilink1"title="documentation:2.0:authapache">Kerberos</a></div>
</li>
<liclass="level1"><divclass="li"> 5 for <ahref="authssl.html"class="wikilink1"title="documentation:2.0:authssl">SSL</a></div>
</li>
</ul>
<p>
There are two way to impose users to have a high authentication level:
</p>
<ul>
<liclass="level1"><divclass="li"> writing a rule based en authentication level: <code>$authenticationLevel > 3</code></div>
</li>
<liclass="level1"><divclass="li"> since 2.0, set a minimum level in virtual host options</div>
</li>
</ul>
<divclass="notetip">Instead of returning a 403 code, “minimum level” returns user to a form that explain that a higher level is required and propose to user to reauthenticate itself.
Les en-têtes sont des associations entre un nom d'en-tête et une expression perl qui retourne une chaîne. Les en-têtes sont utilisés pour donner aux applications les données utilisateurs.
<thclass="col0 centeralign"> But </th><thclass="col1 centeralign"> Nom d'en-tête </th><thclass="col2 centeralign"> Valeur d'en-tête </th>
</tr>
</thead>
<trclass="row1 rowodd">
<tdclass="col0 leftalign"> Donne l'uid (pour la traçabilité) </td><tdclass="col1 centeralign"> Auth-User </td><tdclass="col2 centeralign"> $uid </td>
</tr>
<trclass="row2 roweven">
<tdclass="col0 leftalign"> Donne une valeur statique </td><tdclass="col1 centeralign"> Some-Thing </td><tdclass="col2 centeralign"> “static-value” </td>
</tr>
<trclass="row3 rowodd">
<tdclass="col0 leftalign"> Donne le nom à afficher </td><tdclass="col1 centeralign"> Display-Name </td><tdclass="col2 centeralign"> $givenName.“ ”.$surName </td>
Comme indiqué au <ahref="performances.html#handler_performance"class="wikilink1"title="documentation:2.0:performances">chapître performances</a>, on peut utiliser des macros, macros locales,…
</p>
<divclass="noteimportant"><ul>
<liclass="level1"><divclass="li"> Since many HTTP servers refuse non ascii headers, it is recommended to use encode_base64() function to transmit those headers</div>
</li>
<liclass="level1"><divclass="li"> Header names must contain only letters and “-” character</div>
</li>
</ul>
</div><divclass="notetip">Par défaut, le cookie <abbrtitle="Authentification unique (Single Sign On)">SSO</abbr> est masqué, ainsi les applications protégées ne peuvent accéder à la clef de session <abbrtitle="Authentification unique (Single Sign On)">SSO</abbr>. Mais on peut le transmettre tout de même si nécessaire :
<h2class="sectionedit10"id="wildcards_in_hostnames">Wildcards in hostnames</h2>
<divclass="level2">
<p>
<ahref="new.png"class="media"title="documentation:2.0:new.png"><imgsrc="new.edf565b3f89a0ad56df9a5e7a31a6de8.png"class="media"alt=""width="35"/></a> Since 2.0, a wildcard can be used in virtualhost name (not in aliases !): <code>*.example.com</code> matches all hostnames that belong to <code>example.com</code> domain.
</p>
<p>
Even if a wildcard exists, if a virtualhost is explicitly declared, this rule is applied. Example with precedence order: