Go in Manager, <c0>General Parameters</c0> » <c1>Sessions </c1> » <c2>Store user password in session data</c2> and set to <c3>On</c3>.
Aller dans le manager, <c0>paramètres généraux</c0> » <c1>Sessions </c1> » <c2>Stocker le mot-de-passe dans les données de session</c2> et le mettre à <c3>Activer</c3>.
<a0>GLPI</a0> is the Information Resource-Manager with an additional Administration- Interface.
<a0>GLPI</a0> est un gestionnaire d'informations de ressources avec une interface additionnelle d'administration.
Extract and build the module:
Extraire et compiler le module:
This parameter is used by <a0>SAML IDP</a0> to fill the NameID in authentication responses.
Ce paramètre est utilisé par l'<a0>IdP SAML</a0> pour construire le NameID dans les réponses d'authentification.
^/index.php\?.*access=admin
^/index.php\?.*access=admin
coudot
coudot
PerlInitHandler My::Handler
PerlInitHandler My::Handler
Install all build dependencies (see BuildRequires in lemonldap-ng.<a0>spec</a0>)
Installer toutes les dépendances de construction (voir BuildRequires dans lemonldap-ng.<a0>spec</a0>)
Persistent Session backend
Backend des sessions persistantes
<a0>default_sidebar</a0><br1/>
<a0>default_sidebar</a0><br1/>
This requires <a1>Perl OpenID consumer module</a1> with at least version 1.0.
Ceci requiert le <a1>module client OpenID pour Perl</a1>, version au moins supérieure ou égale à 1.0.
Change char(32) by char(64) if you use the now recommended SHA256 hash algorithm.
Changer char(32) en char(64) pour utiliser l'algorithme de hashage SHA256 (recommandé).
Then configure the options like in <a1>LDAP session backend</a1>.
Configurer ensuite les options comme dans le <a1>backend de sessions LDAP</a1>.
<s0>Login field name in user table</s0>: name of user table column hosting login
<s0>Nom du champ login dans la table utilisateur</s0> : nom de la colonne de la table utilisateur contenant le login
<a0>CAS</a0>_proxiedServices
<a0>CAS</a0>_proxiedServices
This requires to configure <a0>LL::NG</a0> as an <a1>SAML Identity Provider</a1>.
Ceci nécessite de configurer <a0>LL::NG</a0> comme <a1>fournisseur d'identité SAML</a1>.
Allow only one session per <a0>IP</a0> address
N'autoriser qu'une session par adresse <a0>IP</a0>
Multi overridden parameters
Paramètres surchargés pour "Multi"
<a0>Bugzilla</a0> is server software designed to help you manage software development.
<a0>Bugzilla</a0> est un logiciel serveur conçu pour assister la gestion de développement logiciel.
Provides identity if asked
Fournit l'identitié si demandée
Sympa virtual host in Manager
Hôte virtuel Sympa dans le manager
<s0>Address</s0>: set one of Google Apps <a1>URL</a1> (all Google Apps product a distinct <a2>URL</a2>), for example <a3>http://www.google.com/calendar/hosted/mydomain.org/render</a3>
<s0>Address</s0> : indiquer une des <a1>URL</a1> de Google Apps (chaque application Google Apps produit une <a2>URL</a2> distincte), par exemple <a3>http://www.google.com/calendar/hosted/mydomain.org/render</a3>
<s0>Session key containing mail address</s0>: name of the session key containing email address.
<s0>Clef de session contenant l'adresse mail</s0> : nom de la clef de session contenant l'adresse de courriel.
<s21>"url_logout"</s21> <s22>=></s22> <s23>"https://OBMURL/logout"</s23><s24>,</s24>
<s21>"url_logout"</s21> <s22>=></s22> <s23>"https://OBMURL/logout"</s23><s24>,</s24>
<a0>fastcgi</a0><br1/>
<a0>fastcgi</a0><br1/>
It is targeted at developer teams, workgroups and small companies.
Il est destiné aux équipes de développeurs, groupes de travail ou petites entreprises.
Regexp::Assemble
Regexp::Assemble
2
2
1
1
0
0
If you disallow this, you should also disallow direct login form IDP, because proxy restriction is set in authentication requests.
En interdisant ceci, on risque d'interdire aussi les authentification directe des IDP car la restriction est indiquée dans la requête d'authentification.
<s0>CA file</s0>: CA certificate used to validate <a1>CAS</a1> server certificate
<s0>Fichier CA</s0> : certificat de la CA utilisée pour valider le certificat du serveur <a1>CAS</a1>
<a6>menu1</a6><br7/>
<a6>menu1</a6><br7/>
openIdSecret
openIdSecret
SAML 2.0 / Shibboleth
SAML 2.0 / Shibboleth
Use rule comments to order your rules
Utiliser les commentaires pour ordonner les règles
Sub elements:
Éléments subordonnés :
D
D
Other modules must be installed only if you planned to use the related feature.
Les autres modules ne doivent être installés que s'il est prévu d'utiliser les fonctionnalités associées.
E
E
<s0>Site Logo</s0>: Logo that will be displayed in the BrowserID login window.
<s0>Logo du site</s0> : Logo qui sera affiché dans la fenêtre d'authentification BrowserID.
F
F
Local macros
Macros locales
RHEL/CentOS 6
RHEL/CentOS 6
G
G
A
A
RHEL/CentOS 5
RHEL/CentOS 5
B
B
<s2>DocumentRoot</s2> /usr/local/lemonldap-ng/htdocs/portal/
<s2>DocumentRoot</s2> /usr/local/lemonldap-ng/htdocs/portal/
<s0>allows</s0> (optional): Define allowed remote <a1>IP</a1> (use “,” separator for multiple <a2>IP</a2>).
<s0>allows</s0> (optionnel) : Definit les adresses <a1>IP</a1> autorisées (ustiliser le séparateur ”,” pour de multiples <a2>IP</a2>).
The <c0>convertConfig</c0> utility reads 2 <a1>LL::NG</a1> configuration files (<c2>lemonldap-ng.ini</c2>):
L'utilitaire <c0>convertConfig</c0> lit 2 fichiers de configuration <a1>LL::NG</a1> (<c2>lemonldap-ng.ini</c2>) :
C
C
L
L
M
M
N
N
O
O
H
H
I
I
<s0>Cookie name</s0> (optional): name of the cookie of internal portal, if different from external portal
<s0>Nom du cookie</s0> (optionnel) : nom du cookie du portail interne s'il est différent de celui du portail externe
J
J
0.9.4_authentication_portal.png
0.9.4_authentication_portal.png
U
U
T
T
/_detail/screenshots/0.9.3/lemonldap-ng-portal-appslist.png?id=screenshots
/_detail/screenshots/0.9.3/lemonldap-ng-portal-appslist.png?id=screenshots
W
W
V
V
By default, the main session module is used to store <a0>SAML</a0> temporary data (like relay-states), but <a1>SAML</a1> sessions need to use a session module compatible with the <a2>sessions restrictions feature</a2>.
Par défautBy, le module de session principal est utilisé pour stocker les données temporaires <a0>SAML</a0> (tel les états de relais), mais les sessions <a1>SAML</a1> doivent disposer d'un module compatible avec les <a2>fonctionnalités de restrictions des sessions</a2>.
<s0>GRANT</s0> <s1>SELECT</s1><s2>,</s2><s3>INSERT</s3><s4>,</s4><s5>UPDATE</s5><s6>,</s6><s7>LOCK</s7> <s8>TABLES</s8> <s9>ON</s9> lmConfig<s10>.*</s10>
<s0>GRANT</s0> <s1>SELECT</s1><s2>,</s2><s3>INSERT</s3><s4>,</s4><s5>UPDATE</s5><s6>,</s6><s7>LOCK</s7> <s8>TABLES</s8> <s9>ON</s9> lmConfig<s10>.*</s10>
Q
Q
Issuer rewrite rules (requires <c0>mod_rewrite</c0>):
Règles de réécriture pour la fourniture d'identité (requiert <c0>mod_rewrite</c0>):
P
P
You just have to create error_zz and msg_zz subroutines <e1>(where zz is your international code, example: “fr” for France)</e1> by copying error_en and msg_en.
Vous avez simplement à créer les fonctions error_zz et msg_zz <e1>(où zz est votre code international, exemple: “fr” pour le français)</e1> en copiant error_en et msg_en.
Unifying authentications (federation)
Unifier les authentifications (fédération)
S
S
R
R
After registration, the OP must give you a client ID and a client secret, that will be used to configure the OP in <a0>LL::NG</a0>.
Après enregistrement, l'OP doit donner un identifiant et un secret clients, qui seront utilisé pour configurer l'OP dans <a0>LL::NG</a0>.
Automatic download of JWKS
Téléchargement automatique de JWKS
Z
Z
_cas_id
_cas_id
Yubikey authentication level
Niveau d'authentification de Yubikey
../../download.html
../../download.html
Access log: the issuer of each request is identified
Journaux d'accès (AccessLog) : l'utilisateur de chaque requête est identifié
http://schedule2012.rmll.info/Le-WebSSO-LemonLDAP-NG-presentation-et-nouveautes-de-la-version-1-2?lang=en
http://schedule2012.rmll.info/Le-WebSSO-LemonLDAP-NG-presentation-et-nouveautes-de-la-version-1-2?lang=en
<s61>'delete_user'</s61> <s62>=></s62> <s63>$_SERVER</s63><s64>[</s64><s65>'HTTP_AUTH_SUPERADMIN'</s65><s66>]</s66><s67>,</s67>
<s61>'delete_user'</s61> <s62>=></s62> <s63>$_SERVER</s63><s64>[</s64><s65>'HTTP_AUTH_SUPERADMIN'</s65><s66>]</s66><s67>,</s67>
Can be overridden by an LDAP <a1>URI</a1> in server host.
Peut être surchargé par une <a3>URI</a3> LDAP dans le nom du serveur.
Options
Options
basic($uid,$_password)
basic($uid,$_password)
Unable to clear local cache
Unable to clear local cache
Installation
Installation
Example: <a2>http://auth.example.com/?logout=1</a2>
Exemple: <a2>http://auth.example.com/?logout=1</a2>
Remote portal
Portail distant
<s0>APACHEUSER</s0>: user running Apache
<s0>APACHEUSER</s0> : utilisateur de fonctionnement d'Apache
If you need it, you can rebuild RPMs:
Si besoin, on peut reconstruire les RPMs :
127.0.0.1:6379
127.0.0.1:6379
Here you can go in <a0>API</a0> Manager and get new credentials (<c1>client_id</c1> and <c2>client_secret</c2>).
Aller ensuite dans « <a0>API</a0> Manager » et récupérer les nouveaux éléments (<c1>client_id</c1> and <c2>client_secret</c2>).
http://lasso.entrouvert.org/download/
http://lasso.entrouvert.org/download/
You can set the default access to:
Il est possible de mettre l'accès par défaut à :
<a0>Zimbra</a0> is open source server software for email and collaboration - email, group calendar, contacts, instant messaging, file storage and web document management.
<a0>Zimbra</a0> est un logiciel serveur collaboratif et de messagerie open-source - messagerie, calendrier de groupe, contacts, messagerie instantanée, stockage de fichiers et gestion de documents web.
If the user has these values inside its entry:
Si l'utilisateur dispose de ces valeurs dans son entrée :
liblemonldap-ng-manager-perl: Manager files
liblemonldap-ng-manager-perl : fichiers du manager
Macros and groups
Macros et groupes
Any OpenID consumer
N'importe quel client OpenID
Wildcard
Carte blanche
http://marcelhaise.com/rmll2009/#LemonLDAP
http://marcelhaise.com/rmll2009/#LemonLDAP
The Active Directory module is based on the <a0>LDAP module</a0>, with these features:
Le module Active Directory est basé sur le <a0>module LDAP</a0>, avec ces caractéristiques :
You can also use yum on local RPMs file:
On peut aussi utiliser yum sur des fichiers RPMs locaux :
grantSessionRule
grantSessionRule
Distinguished Name
Distinguished Name
basic
basic
<s139>//"userobm_mail_server_hostname" => ,</s139>
<s139>//"userobm_mail_server_hostname" => ,</s139>
https://plus.google.com/u/0/101819048603406959766/
https://plus.google.com/u/0/101819048603406959766/
<title>: title to display: will be inserted in <a0>HTML</a0> page enclosed in <h2 class=“notifText”>…</h2>
<title> : titre à afficher : sera inséré dans la page <a0>HTML</a0> encadré dans <h2 class=“notifText”>…</h2>
<s0>Version</s0>: LDAP protocol version.
<s0>Version</s0> : version du protocole LDAP.
A specific persistent session is created with this module, to store attribute values returned by Google.
Une session persistente est créée avec ce module pour stocker les valeurs d'attribut renvoyées par Google.
../../documentation/1.0/ldapconfbackend.html
../../documentation/1.0/ldapconfbackend.html
Example, if you have <c0><a1>DBI</a1>;LDAP</c0> and <a2>DBI</a2> failed for authentication, it will try first to call LDAP as user database.
Exemple, en utilisant “<c0><a1>DBI</a1>;LDAP</c0>”, si <a2>DBI</a2> échoue pour l'authentification, Multi essaie d'utiliser LDAP comme base d'utilisateurs.
See <a0>prerequisites and dependencies</a0> chapter for more.
Voir le chapître <a0>pré-requis et dépendances</a0>.
You have to install <c0> Auth_remoteuser</c0> in the <c1>extensions/</c1> directory of your MediaWiki installation:
Il faut installer <c0> Auth_remoteuser</c0> dans le répertoire des <c1>extensions/</c1> ve votre serveur MediaWiki :
Twitter use <a1>OAuth</a1> protocol to allow applications to reuse its own authentication process (it means, if your are connected to Twitter, other applications can trust Twitter and let you in).
Twitter utilise le protocole <a1>OAuth</a1> pour autoriser les applications à réutiliser son propre processus d'authentification (ce qui signifie que si vous êtes connecté à Twitter, d'autres applications peuvent agréer Twitter et vous laisser entrer).
<c0>unprotect</c0>: all is open, but authenticated users are seen as authenticated
<c0>unprotect</c0> : tout est ouvert, mais les utilisateurs authentifiés sont vus comme tels
As <a1>LL::NG</a1> works like classic WebSSO (like Siteminder™), many other applications are easy to integrate.
Comme <a1>LL::NG</a1> fonctionne comme un WebSSO classique (tel Siteminder™), de nombreuses applications sont faciles à integrer.
country
country
<s0>Cache</s0>: cache for configuration and sessions
<s0>Cache</s0>: cache pour la configuration et les sessions
<s0>ACR values</s0>: Value acr_values parameters (example: loa-1)
<s0>Valeurs ACR</s0> : valeur des paramètres acr_values (exemple : loa-1)
You need to know the technical name of configuration parameter to do this.
Il est nécessaire de connaître le nom technique du paramètre de configuration pour le faire.
<s0>Location</s0>: Access Point for SLO request.
<s0>Location</s0>: Point d'accès pour les requêtes de SLO.
customFunctions
customFunctions
<s0>start</s0>: Start date (GMT)
<s0>start</s0> : date de début (GMT)
Display change password module
Affiche le module de changement de mot-de-passe
protect the manager by <a0>LL::NG</a0>
protéger le manager par <a0>LL::NG</a0>
Portal host must be configured to use SSL and must ask for client certificate.
L'hôte du portail doit être configuré pour utiliser SSL et doit demander un certificat client.
The file <c0>auth.keytab</c0> should then be copied (with a secure media) to the Linux server (for example in <c1>/etc/lemonldap-ng</c1>).
Le fichier <c0>auth.keytab</c0> doit ensuite être copié (par un média sûr) sur le serveur Linux (par exemple dans <c1>/etc/lemonldap-ng</c1>).
Custom XSLT file
Fichier XSLT personnalisé
If enabled, if the user group is a member of another group (group of groups), all parents groups will be stored as user's groups.
Si activé et si le groupe de l'utilisateur est membre d'un autre groupe (groupes de groupes), tous les groupes parents seront considérés comme groupes de l'utilisateur.
Drupal virtual host in Manager
Hôte virtuel Drupal dans le manager
The “<s0>default</s0>” access rule is used if no other access rule match the current <a1>URL</a1>.
La règle d'accès “<s0>default</s0>” est utilisée si aucune règle ne correspond à l'<a1>URL</a1> courante.
/index.php?access=admin&access=other
/index.php?access=admin&access=other
<a0>DBI</a0> Authentication table
Table d'authentification <a0>DBI</a0>
UserName
UserName
<a0>SAML</a0> Session backend
Module de stockage <a0>SAML</a0>
singleSession
singleSession
Crypt::OpenSSL::RSA
Crypt::OpenSSL::RSA
Signature
Signature
<a0>LL::NG</a0> needs a storage system to store its own configuration (managed by the manager).
<a0>LL::NG</a0> a besoin d'un dispositif de stockage de sa propre configuration (gérée par le manager).
Core modules must be installed on the system.
Les modules "core" doivent être installés sur le système.
_saml_id ProxyID _nameID _assert_id _art_id _session_id
_saml_id ProxyID _nameID _assert_id _art_id _session_id
With LDAP, login, mail, first name and last name are required attributes.
Avec LDAP, login, mail, nom et prénom dont des attributs exigés.
Lasso identity dump
Dump de l'identité Lasso
Authentication table
Table d'authentification
Manager
Manager
This value will be used to know to which recipient the has to be sent (default: mail).
Cette valeur peut être utilisée pour savoir à quel destinataire doit être envoyé le courriel (défaut : mail).
<<s0>Files</s0> *.pl>
<<s0>Files</s0> *.pl>
Skin
thème
http://www.w3.org/wiki/WebID
http://www.w3.org/wiki/WebID
<s0>Multiple sessions</s0>, you can restrict the number of open sessions:
<s0>Sessions multiples</s0>, on peut retreindre le nombre de sessions ouvertes :
The good news is that Google is a standard OpenID Provider, and so you can easily delegate the authentication of <a1>LL::NG</a1> to Google: <a2>https://developers.google.com/identity/protocols/OpenIDConnect</a2>
La bonne nouvelle est que Google est un fournisseur OpenID-Connect standard, on peut ainsi aisément déléguer l'authentification de <a1>LL::NG</a1> à Google : <a2>https://developers.google.com/identity/protocols/OpenIDConnect</a2>
logout_app https://auth.example.com/
logout_app https://auth.example.com/
<s137>//"userobm_mail_ext_perms" => ,</s137>
<s137>//"userobm_mail_ext_perms" => ,</s137>
Please always try to find another solution to protect your application with <a0>LL::NG</a0>.
Il est en général préférable de trouver une autre solution pour protéger les applications avec <a0>LL::NG</a0>.
declare secondary portal in <c0>General Parameters</c0> » <c1>Advanced Parameters</c1> » <c2>Security</c2> » <c3>Trusted domains</c3>
declarer le second portail dans <c0>Paramètres généraux</c0> » <c1>Paramètres avancés</c1> » <c2>Sécurité</c2> » <c3>Domaines approuvés</c3>
For each variable, The first field is the name which will be used in rules, macros or headers and the second field is the name of the user database field.
Pour chaque variable, le premier champ est le nom qui servira dans les règles, macros ou en-têtes et le second est le nom du champ dans la base de données utilisateurs.
icons:lists.png
icons:lists.png
_url
_url
you've restart all Apache server after having change cookie name or domain
tous les serveurs Apache ont été rechargés après un changement du nom de cookie ou du domaine
For example, to override configured skin for portal:
Par exemple, pour surcharger l'apparence du portail :
<s0>default_access</s0> (optional): what result to return if <s1>start</s1> and <s2>end</s2> are empty
<s0>default_access</s0> (optionnel) : resultat à retourner si <s1>start</s1> et <s2>end</s2> sont vides
See <a0>How to change configuration backend</a0> to known how to change this.
Voir <a0>Comment changer le backend de configuration</a0>.
<a0>rbac</a0><br1/>
<a0>rbac</a0><br1/>
http://www.zimbra.com/
http://www.zimbra.com/
It will use the authentication level registered in user session to match the <a1>SAML</a1> authentication context.
Il utilise le niveau d'authentification enregistré dans la session de l'utilisateur pour établir le contexte d'authentification <a1>SAML</a1>.
Session expiration
Expiration des sessions
Installation on Debian/Ubuntu with packages
Installation sur Debian/Ubuntu avec les paquets
<s0>Captcha module options</s0>: options for above module
<s0>Options du module Captcha</s0> : options pour ce module
<s0>Mandatory</s0>: if set to “On”, then this attribute will be sent in authentication response.
<s0>Obligatoire</s0> : si activé, cet attribut sera envoyé dans les réponses d'authentification.
Wiki
Wiki
To update translations, ask to <a0>lemonldap-ng-dev@ow2.org</a0> to update your files.
Pour télécharger les traductions, demandez à <a0>lemonldap-ng-dev@ow2.org</a0> pour les mettres en ligne.
<s0>proxy</s0>: SOAP sessions end point (see <a1>SOAP session backend</a1> documentation)
<s0>proxy</s0>: point d'accès SOAP (voir la documentation du <a1>backend de session SOAP</a1>)
<s0>Format</s0>: optional, <a1>SAML</a1> attribute format.
<s0>Format</s0> (optionnel) : format de l'attribut <a1>SAML</a1>.
Captchas are available on the following forms:
Les captchas sont disponibles sur les formulaires suivants :
../../../media/icons/lists.png
../../../media/icons/lists.png
http://blog.zimbra.com/blog/archives/2010/06/using-saml-assertions-to-access-zimbra.html
http://blog.zimbra.com/blog/archives/2010/06/using-saml-assertions-to-access-zimbra.html
../documentation/current/writingrulesand_headers.html#headers
../documentation/current/writingrulesand_headers.html#headers
Read/Write functions (index.pl/adminSessions paths):
Fonctions en lecture/écriture (chemin index.pl/adminSessions) :
The reset password link must be activated, see <a0>portal customization</a0>.
Le lien de réinitialisation de mot-de-passe doit être activé, voir <a0>la personnalisation du portail</a0>.
<Perl>
<Perl>
MRTG configuration example:
Exemple de configuration MRTG :
icons:tux.png
icons:tux.png
_issuerDB
_issuerDB
You can use <c0>0</c0> or <c1>1</c1> to disable/enable the module, or use a more complex rule.
On peut utiliser <c0>0</c0> ou <c1>1</c1> pour activer/désactiver chaque module ou utiliser une règle plus complexe.
Leave blank to use Mozilla default verification <a3>URL</a3> (<a4>https://verifier.login.persona.org/verify</a4>)
Laisser vide pour utiliser l'<a3>URL</a3> de vérification par défaut de Mozilla (<a4>https://verifier.login.persona.org/verify</a4>)
LimeSurvey has a webserver authentication mode that allows to integrate it directly into LemonLDAP::NG.
LimeSurvey dispose d'un mode d'authentification par serveur web qui permet de l'integrer directement dans LemonLDAP::NG.
http://mail.ow2.org/wws/subscribe/lemonldap-ng-changes
http://mail.ow2.org/wws/subscribe/lemonldap-ng-changes
../pages/documentation.html
../pages/documentation.html
(o/n) n
(o/n) n
Session history is always visible in session explorer for administrators.
L'historique des sessions est toujours visible dans l'explorateur de sessions pour les administrateurs.
You can then choose any other module for users and password.
Vous pouvez ensuite choisir vos modules d'utilisateurs et de mots-de-passe.
Authorization Code flow
Débit de code d'autorisation
Register LL::NG to an OpenID Connect Provider
Enregistrer LL::NG dans un fournisseur d'identité OpenID-Connect
Dokuwiki plugin
Extension pour Dokuwiki
persistentStorageOptions
persistentStorageOptions
Go to %_topdir
Aller dans %_topdir
Session explorer
Explorateur de sessions
http://coudot.blogs.linagora.com/index.php/post/2010/12/01/Sortie-de-LemonLDAP%3A%3ANG-10
http://coudot.blogs.linagora.com/index.php/post/2010/12/01/Sortie-de-LemonLDAP%3A%3ANG-10
LL::NG repository
Dépôt LL::NG
macros are used to extend (or rewrite) <a0>exported variables</a0>.
les macros sont utilisées pour étendre (ou réécrire) les <a0>variables exportées</a0>.
<a0>LL::NG</a0> can also request proxy tickets for its protected services.
<a0>LL::NG</a0> peut également requérir des tickets de proxy pour les services qu'il protège.
the <a0>portal</a0>
le <a0>portail</a0>
<s0><s1>[</s1>manager<s2>]</s2></s0>
<s3>protection</s3> <s4>=</s4><s5> manager</s5>
<s0><s1>[</s1>manager<s2>]</s2></s0>
<s3>protection</s3> <s4>=</s4><s5> manager</s5>
Portal <a0>URL</a0>
<a0>URL</a0> du portail
<a0>France Connect</a0> is an authentication platform made by French government.
<a0>France Connect</a0> est une plateforme d'authentification créée par le gouvernement français.
~10
~10
$givenName
$givenName
<s0>SSLProtocol</s0> <s1>all</s1> -SSLv2
<s2>SSLCipherSuite</s2> HIGH:MEDIUM
<s3>SSLCertificateFile</s3> /etc/httpd/certs/ow2.cert
<s4>SSLCertificateKeyFile</s4> /etc/httpd/certs/ow2.key
<s5>SSLCACertificateFile</s5> /etc/httpd/certs/ow2-ca.cert
<s0>SSLProtocol</s0> <s1>all</s1> -SSLv2
<s2>SSLCipherSuite</s2> HIGH:MEDIUM
<s3>SSLCertificateFile</s3> /etc/httpd/certs/ow2.cert
<s4>SSLCertificateKeyFile</s4> /etc/httpd/certs/ow2.key
<s5>SSLCACertificateFile</s5> /etc/httpd/certs/ow2-ca.cert
<a0>LL::NG</a0> can grab them automatically if jwks_uri is defined in metadata.
<a0>LL::NG</a0> peut les récupérer autoatiquement si jwks_uri est défini dans la métadonnée.
→ Local cache cannot be cleard, check the localStorage and localStorageOptions or file permissions
→ Le cache local ne peut être effacé, regarder les options localStorage and localStorageOptions ou les droits associés à ces fichiers
dbiChain
dbiChain
../../../media/applications/grr_logo.png
../../../media/applications/grr_logo.png
The portal of the secondary <a0>LL::NG</a0> structure is configured to delegate authentication to a remote portal.
Le portail du système <a0>LL::NG</a0> secondaire est configuré pour déléguer l'authentification à un portail distant.
Go in Manager, <c0>General Parameters</c0> » <c1>Cookies</c1> » <c2>Multiple domains</c2> and set to <c3>On</c3>.
Aller dans le manager, <c1>Paramètres généraux</c1> » <c2>Cookies</c2> » <c3>Domaines multiples</c3> et sélectioonner "activer"
In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose SSL for authentication.
Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir SSL pour l'authentification.
http://www.google.com/apps/intl/en/business/index.html
http://www.google.com/apps/intl/en/business/index.html
../../../../media/documentation/liferay_4.png
../../../../media/documentation/liferay_4.png
Authentication request
Requête d'authentification
Bugzilla virtual host in Manager
Hôte virtuel Bugzilla dans le manager
Apache configuration files are in /etc/lemonldap-ng and linked in /etc/apache2/sites-available
Les fichiers de configuration Apache se trouvent dans /etc/lemonldap-ng et liés dans /etc/apache2/sites-available
Advantages:
Avantages :
../documentation/1.0/portal.html
../documentation/1.0/portal.html
Compilation
Compilation
Note that <a0>SAML</a0> protocol is more secured than OpenID, so when your partners are known, prefer <a1>SAML</a1>.
Noter que le protocole <a0>SAML</a0> est plus securisé que OpenID, ainsi si les partenaires sont connus, preférer <a1>SAML</a1>.
Portal Redirections
Redirections du portail
$_passwordDB
$_passwordDB
<s0>Authentication service</s0> of course
Le <s0>service d'authentification</s0> bien sûr
Set <a0>SAML</a0> end points
Indiquer les points d'entrées <a0>SAML</a0>
Digest::HMAC
Digest::HMAC
../../../media/icons/xeyes.png
../../../media/icons/xeyes.png
openIdAuthnLevel
openIdAuthnLevel
svn checkout svn+ssh://developername@svn.forge.objectweb.org/svnroot/lemonldap
svn checkout svn+ssh://nomDuDeveloppeur@svn.forge.objectweb.org/svnroot/lemonldap
Krb5KeyTab /etc/lemonldap-ng/auth.keytab
Krb5KeyTab /etc/lemonldap-ng/auth.keytab
Go to <c0>My Account</c0>:
Aller dans <c0>My account</c0>:
So you can configure it to authenticate users using a federation protocol and simultaneously to provide identities using other(s) federation protocols.
Ainsi on peut le configurer pour authentifier les utilisateurs en utilisant un protocole de fédération et simultanément pour fournir les identités en en utilisant en autre.
<s31><s32></SPSSODescriptor<s33>></s33></s32></s31>
<s34><s35></md:EntityDescriptor<s36>></s36></s35></s34>
<s31><s32></SPSSODescriptor<s33>></s33></s32></s31>
<s34><s35></md:EntityDescriptor<s36>></s36></s35></s34>
<s0>manager-apache2.conf</s0>: Manager virtual host
<s0>manager-apache2.conf</s0> : hôte virtuel du manager
<s0>Portal messages</s0>: all messages are grouped in lemonldap-ng/lib/Lemonldap/NG/Portal/_i18n.pm.
Les <s0>messages du portail</s0>: tous les messages sont regroupés dans lemonldap-ng/lib/Lemonldap/NG/Portal/_i18n.pm.
See <a2>how to change configuration backend</a2>.
Voir <a2>comment changer de backend de configuration</a2>.
<s0>Undefined</s0>: Default NameID format is used
<s0>Undefined</s0>: le format de NameID par défaut est utilisé
ldapPasswordResetAttribute
ldapPasswordResetAttribute
<s0><a1>Configuration</a1></s0>: where configuration is stored.
<s0><a1>Configuration</a1></s0>: où est stocké la configuration.
createdb -O lemonldap-ng lemonldap-ng
createdb -O lemonldap-ng lemonldap-ng
If you manage different timezones, you have to take the jetlag into account in ssoLogonHours values, or use the $_timezone parameter.
Si plusieurs fuseaux sont utilisés, le jetlag doit être introduit dans le compte dans la valeur ssoLogonHours, ou utiliser le paramètre $_timezone.
SMTP / Reset password by mail
SMTP / réinitialisation de mot-de-passe par courriel
Check <a0>XSS</a0> Attacks
Recherche les attaques <a0>XSS</a0>
Store password in session
Stockage du mot-de-passe en session
Name: <c0>Auth-Name</c0>
Nom: <c0>Auth-Name</c0>
Replace MySQL by Apache::Session::Flex
Remplacer MySQL par Apache::Session::Flex
http://freshmeat.net/projects/lemonldapng
http://freshmeat.net/projects/lemonldapng
At least, check if it is not a <a1>known application</a1>, or <a2>try to adapt its source code</a2>.
Ainsi, vérifier si l'<a1>application est connue</a1> ou <a2>essayer d'adapter le code source</a2>.
Note that if the user is already authenticated on the first portal, all redirections are transparent.
Noter que si l'utilisateur est déjà authentifié sur le premier portail, toutes les redirections sont transparentes.
press.html
press.html
Once this is completed, click to export the Salesforce metadata and import them into LemonLDAP::NG, into the declaration of the Salesforce Service Provider.
Une fois ceci terminé, cliquer pour exporter les métadatas Salesforce et les importer dans LemonLDAP::NG, dans la déclaration du fournisseur de service Salesforce.
OBM
OBM
<s0>Skin</s0>: the name of the skin to use.
<s0>Thème</s0> : le nom du thème à utiliser.
<a0>ldapconfbackend</a0><br1/>
<a0>ldapconfbackend</a0><br1/>
email_http_header HTTP_MAIL
email_http_header HTTP_MAIL
<s0>Address</s0>: <a1>URL</a1> of application
<s0>Adresse</s0> : <a1>URL</a1> de l'application
Redirect policy
La politique de redirection
<s50>"userobm_password"</s50> <s51>=></s51> <s52>"HTTP_OBM_USERPASSWORD"</s52><s53>,</s53>
<s50>"userobm_password"</s50> <s51>=></s51> <s52>"HTTP_OBM_USERPASSWORD"</s52><s53>,</s53>
<s86>//"userobm_status" => ,</s86>
<s86>//"userobm_status" => ,</s86>
http://www.solutionslinux.fr/animation_51_168_1611_p.html?cid=756
http://www.solutionslinux.fr/animation_51_168_1611_p.html?cid=756
You can then add the Manager as <a0>an application in the menu</a0>.
On peut aussi ajouter le manager dans les <a0>applications du menu</a0>.
Then, go in <c0>Choice Parameters</c0>:
Ensuite, aller dans les <c0>paramètres Choice</c0>:
<s12>-></s12><s13>uri</s13><s14>(</s14><s15>'urn:Lemonldap::NG::Common::CGI::SOAPService'</s15><s16>)</s16>
<s12>-></s12><s13>uri</s13><s14>(</s14><s15>'urn:Lemonldap::NG::Common::CGI::SOAPService'</s15><s16>)</s16>
When session is granted, the Handler will then check the authorizations like the standard Handler.
Lorsque la session est validée, l'agent examine les autorisations comme un agent standard.
<s0>Changes</s0>: <a1>lemonldap-ng-changes@ow2.org</a1> ( <a2>Subscribe</a2> | <a3>Archives</a3> )
<s0>Changements</s0>: <a1>lemonldap-ng-changes@ow2.org</a1> ( <a2>Souscrire</a2> | <a3>Archives</a3> )
Main LL::NG structure
Système LL::NG principal
../media/icons/terminal.png
../media/icons/terminal.png
JDLL
JDLL
Set GoogleApps as Service Provider name.
Mettre GoogleApps comme nom de fournisseur de service.
http://www.private.com
http://www.private.com
<s0>APACHEVERSION</s0>: Apache major version (default: 2)
<s0>APACHEVERSION</s0> : version majeure d'Apache (défaut : 2)
<s148>//"userobm_vacation_enable" => ,</s148>
<s148>//"userobm_vacation_enable" => ,</s148>
documentation:liferay_2.png
documentation:liferay_2.png
Artifact Resolution
Résolution des artifacts
<s33>"debug_level"</s33> <s34>=></s34> <s35>"NONE"</s35><s36>,</s36>
<s37>// "debug_header_name" => "HTTP_OBM_UID",</s37>
<s38>// "group_header_name" => "HTTP_OBM_GROUPS",</s38>
<s33>"debug_level"</s33> <s34>=></s34> <s35>"NONE"</s35><s36>,</s36>
<s37>// "debug_header_name" => "HTTP_OBM_UID",</s37>
<s38>// "group_header_name" => "HTTP_OBM_GROUPS",</s38>
Crypt::Rijndael
Crypt::Rijndael
Declare France Connect in your LL::NG server
Déclarer France Connect dans le serveur LL::NG
Verify that:
Verifier que :
<s0>Path</s0>: keep <c1>^/openidserver/</c1> unless you have change <a2>Apache portal configuration</a2> file.
<s0>Chemin</s0> : laisser <c1>^/openidserver/</c1> sauf si le fichier de <a2>configuration Apache du portail</a2> a été modifiée.
The IDP name is asked, enter it and click OK.
Le nom d'IDP est demandé, entrer-le et cliquer sur OK.
Then edit rules and headers.
Éditer ensuite les règles et en-têtes.
A <a0>CAS server</a0> with <a1>SAML authentication</a1>
Un <a0> serveur CAS</a0> avec une <a1>authentification SAML</a1>
<s0>Preauthentication key</s0>: the one you grab from zmprov command
<s0>Clef de pré-authentification key</s0> : celle récupérée de la commande zmprov
~50
~50
in HTTP headers, you need Auth-User ($mail) and Auth-Pw ($_password).
Dans les en-têtes HTTP, ajouter Auth-User ($mail) and Auth-Pw ($_password).
You need to create yourself the directory and set write access to Apache user.
Il faut créer soi-même le répertoire et y donner un accès en écriture pour l'utilisateur Apache.
LockUserName
LockUserName
LemonLDAP::NG can be used as a proxy between those protocols
LemonLDAP::NG peut être utilisé comme proxy entre ces protocoles
You must register SP metadata here.
Il faut enregistrer les métadatas du SP ici.
<s29><s30><user</s30> <s31>username</s31>=<s32>"role1"</s32> <s33>password</s33>=<s34>"tomcat"</s34> <s35>roles</s35>=<s36>"role1"</s36><s37>/></s37></s29>
<s29><s30><user</s30> <s31>username</s31>=<s32>"role1"</s32> <s33>password</s33>=<s34>"tomcat"</s34> <s35>roles</s35>=<s36>"role1"</s36><s37>/></s37></s29>
<a0>activedirectoryminihowto</a0><br1/>
<a0>activedirectoryminihowto</a0><br1/>
Several IDPs are allowed, in this case the user will choose the IDP he wants.
Plusieurs IDPs peuvent être autorisés, dans ce cas l'utilisateur peut choisir l'IDP qu'il souhaite.
Date of session creation
Date et heure (timestamp) de la création de la session
Just set the authentication type to <c0>config</c0> and indicate <a1>DN</a1> and password inside the file <c2>config.php</c2>:
Mettre juste le type d'authentification à <c0>config</c0> et indiquer le <a1>DN</a1> et le mot-de-passe dans le fichier <c2>config.php</c2>:
Groups
Groupes
http://search.cpan.org/perldoc?Apache::Session::Informix
http://search.cpan.org/perldoc?Apache::Session::Informix
The database password
Le mot de passe de la base de données
<s0>(?i)</s0> means case no sensitive.
<s0>(?i)</s0> signifie insensible à la casse.
documentation:1.0:fileconfbackend
documentation:1.0:fileconfbackend
<s0>Server host</s0>: LDAP server hostname or <a1>URI</a1> (by default: localhost).
<s0>Nom de serveur</s0> : nom du serveur LDAP ou <a1>URI</a1> (par défaut : localhost).
<s78>//"userobm_delegation_target" => ,</s78>
<s78>//"userobm_delegation_target" => ,</s78>
Note that you can always access Salesforce by the general login page: <a1>https://login.salesforce.com</a1>
Noter que l'on peut toujours accéder à Salesforce par la page générale de connexion : <a1>https://login.salesforce.com</a1>
<s17># Your nice code here</s17>
<s17># Le joli code ici :</s17>
/_detail/screenshots/1.0/pastel/password.png?id=screenshots
/_detail/screenshots/1.0/pastel/password.png?id=screenshots
As same for groups: a group rule may involve another, previously computed group.
De même pour les groupes : une règle de groupe peut en utiliser une autre calculée précédemment.
Download them here and <a0>install pre-required packages</a0>.
Les télécharger ici et <a0>installer les paquets pre-requis</a0>.
<s7>AuthLDAPBindDN</s7> <s8>"ou=websso,ou=applications,dc=example,dc=com"</s8>
<s7>AuthLDAPBindDN</s7> <s8>"ou=websso,ou=applications,dc=example,dc=com"</s8>
<s1>Can be used to secure another backend</s1> for remote servers.
<s1>Peut être utilisé pour sécuriser un autre backend</s1> pour des serveurs distants.
/_detail/logos/logo_ucanss.png?id=references
/_detail/logos/logo_ucanss.png?id=references
<s0>Portal <a1>URL</a1></s0>: <a2>URL</a2> of internal portal
<s0><a1>URL</a1> du portail</s0> : <a2>URL</a2> du portail interne
logos:logo_rbn.png
logos:logo_rbn.png
A Zimbra Handler is called
Un handler Zimbra est appelé
Mandatory fields are:
Les champs obligatoires sont :
With YUM
Avec YUM
<s13>SetHandler</s13> perl-<s14>script</s14>
<s13>SetHandler</s13> perl-<s14>script</s14>
<s0>ERASECONFIG</s0>: set to 0 if you want to keep your configuration files (default: 1)
<s0>ERASECONFIG</s0> : mettre à 0 pour conserver les fichiers de configuration (défaut : 1)
In the Manager, select node <c0>OpenID Connect Providers</c0> and click on <c1>Add OpenID Connect Provider</c1>.
Dans le manager, choisir <c0>Fournisseurs OpenID-Connect</c0> et cliquer sur <c1>Ajouter un fournisseur OpenID-Connect</c1>.
See <a0>OpenIDConnect service</a0> configuration chapter.
Voir le chapître de configuration du <a0>service OpenID-Connect</a0>.
<a0>exported variables</a0> collected from UserDB backend
les <a0>variables exportées</a0> collectées depuis le backend utilisateur
<s0>One <a1>IP</a1> only by user</s0>: a user can not open 2 sessions with different <a2>IP</a2>.
<s0>Une <a1>IP</a1> par utilisateur</s0> : un utilisateur ne peut ouvrir 2 sessions avec différentes adresses <a2>IP</a2>.
But you can make your own, see Skin customization below.
On peut faire le sien, voir comment personnaliser le thème ci-dessous.
<s27>'failedLoginNumber'</s27> <s28>=></s28> <s29>'5'</s29><s30>,</s30>
<s27>'failedLoginNumber'</s27> <s28>=></s28> <s29>'5'</s29><s30>,</s30>
Drupal module activation
Activation du module Drupal
pastel
pastel
Then, the “maximum password age” can have different values.
Alors, la « durée de vie maximum du mot-de-passe » peut avoir des valeurs différentes.
<a0>MediaWiki</a0> is a wiki software, used by the well known <a1>Wikipedia</a1>.
<a0>MediaWiki</a0> est un logiciel wiki utilisé par le très connu <a1>Wikipedia</a1>.
Those macros are calculated only at the first usage and stored in the local session cache (only for this server) and only if the user access to the related applications.
Ces macros sont calculées seulement à leur premier usage et stockées dans le cache local des sessions (uniquement pour ce serveur) et seulement si l'utilisateur accède à l'application relative.
Yubikey
Yubikey
$description eq "LDAP administrator"
$description eq "LDAP administrator"
This can be used to protect applications relying on <c0>REMOTE_USER</c0> environment variable in reverse proxy mode.
Ceci permet de protéger des applications nécessitant la variable d'environnement <c0>REMOTE_USER</c0> en mode reverse-proxy.
<s0>require</s0> Lemonldap::NG::Portal::SharedConf;
<s0>require</s0> Lemonldap::NG::Portal::SharedConf;
Here, the mail has been chosen as the user Name ID.
Ici, le mail a été choisi comme identifiant utilisateur.
^/index.php\?logout
^/index.php\?logout
User clicks on the logout link in Portal
L'utilisateur clique sur le bouton déconnexion du portail
Access rule in virtual host
Règle d'accès à un hôte virtuel
<s12>ErrorDocument</s12> 401 /login.pl
<s12>ErrorDocument</s12> 401 /login.pl
If you want to access to other datas, you have to use Google in <c2>General Parameters</c2> > <c3>Authentication modules > User module</c3>.
Pour accéder aux autres données, utiliser Google in <c2>Paramètres generaux</c2> > <c3>Modules d'authentification > Modules d'utilisateurs</c3>.
Then <a2>CAS</a2> service has to show a correct error when service ticket validation will fail.
Ainsi le service <a2>CAS</a2> doit afficher une erreur lorsque la validation du ticket échoue.
If you specify port in virtual host, then declare SSL port:
SI le port est spécifié, déclarer le port SSL :
apacheAuthnLevel
apacheAuthnLevel
Attribute storing session ID
Attribut où stocker l'idetifiant de session
For example, a <a0>LL::NG</a0> server can be:
Par exemple, un serveur <a0>LL::NG</a0> peut être :
apt-get install libapache2-mod-auth-kerb
apt-get install libapache2-mod-auth-kerb
You can not start with an empty configuration, so read <a0>how to change configuration backend</a0> to convert your existing configuration into another one.
On ne peut démarrer avec une configuration vide, il faut donc lire <a0>comment changer de backend de configuration</a0> pour convertir une configuration existante en une autre.
~1000
~1000
<s0>Encryption key</s0>: key used to crypt some data, should not be known by other applications
<s0>Clef de chiffrement</s0> : clef utilisée pour chiffrer certaines données, ne doit être connue d'aucune autre application
You can change the default skin in Manager: <c0>General Parameters</c0> > <c1>Portal</c1> > <c2>Customization</c2> > <c3>Default skin</c3>.
On peut changer le thème par défaut dans le manager : <c0>paramètres généraux</c0> > <c1>Portail</c1> > <c2>Personnalisation</c2> > <c3>Skin</c3>.
You can use '*' character.
On peut utiliser le caractère '*'.
That is why it is important to set APACHEUSER variable when you launch “make install”
C'est pourquoi il est important de renseigner la variable APACHEUSER lorsqu'on lance “make install”
<s80>"userobm_description"</s80> <s81>=></s81> <s82>"HTTP_OBM_DESCRIPTION"</s82><s83>,</s83>
<s80>"userobm_description"</s80> <s81>=></s81> <s82>"HTTP_OBM_DESCRIPTION"</s82><s83>,</s83>
Logout user from Lemonldap::NG and redirect it to http://intranet/
Déconnecte l'utilisateur de Lemonldap::NG le redirige vers http://intranet/
Sympa shared secret
Secret partagé de Sympa
If you use WebID as user database, declare values in <s0>exported variables</s0> :
Si on utilise WebID comme base de données utilisateurs, déclarer les valeurs dans les <s0>variables exportées</s0> :
You will also need to load some Apache modules:
Il faut également charger quelques modules Apache :
Then, go in <c0><a1>CAS</a1> parameters</c0>:
Aller ensuite dans <c0>Paramètres <a1>CAS</a1></c0> :
User rejected because VirtualHost XXXX has no configuration
User rejected because VirtualHost XXXX has no configuration
<s0>Server <a1>URL</a1></s0>: <a2>CAS</a2> server <a3>URL</a3> (must use https://)
<s0><a1>URL</a1> du serveur</s0> : <a3>URL</a3> du serveur <a2>CAS</a2> (doit utiliser https://)
Port
Port
By default, <a0>SSO</a0> cookie is hidden, so protected applications cannot get <a1>SSO</a1> session key.
Par défaut, le cookie <a0>SSO</a0> est masqué, ainsi les applications protégées ne peuvent accéder à la clef de session <a1>SSO</a1>.
Leave blank to deactivate the feature.
Laissez vide pour désactiver cette fonctionnalité.
You can also load the JWKS data from the <a0>URL</a0> <a1>https://www.googleapis.com/oauth2/v3/certs</a1>.
On peut aussi charger les données JWKS depuis l'<a0>URL</a0> <a1>https://www.googleapis.com/oauth2/v3/certs</a1>.
Go to the Manager and <a0>create a new virtual host</a0> for Drupal.
Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour Drupal.
lemonldap-ng-portal: contains authentication portal and menu
lemonldap-ng-portal : contient le portail d'authentification et le menu
You will find here screenshots of the new features.
On trouve ici les captures d'écran des nouvelles fonctionnalités.
LemonLDAP::NG implements partially the policy:
LemonLDAP::NG implémente partiellement cette politique :
OBM_MAIL
OBM_MAIL
<a0>LL::NG</a0> portal is a modular component.
Le portail <a0>LL::NG</a0> est un composant modulaire.
Connection password
Mot-de-passe de connexion
Null
Null
<s13># OpenID Issuer</s13>
<s13># Fournisseur d'identité OpenID</s13>
We will explain how to use <a0>Automatic REMOTE_USER</a0> extension.
Nous expliquons ici comment utiliser l'extension <a0>REMOTE_USER automatique</a0>.
press
press
Installation and configuration
Installation et configuration
http://search.cpan.org/perldoc?Apache::Session::File
http://search.cpan.org/perldoc?Apache::Session::File
../../css/print.css
../../css/print.css
Apache
Apache
<s4>require</s4> Lemonldap::NG::Portal::Menu;
<s4>require</s4> Lemonldap::NG::Portal::Menu;
Oracle
Oracle
This will use email as login name (for accounting, session explorer,…).
L'adresse email est utilisée comme nom de compte (pour la traçabilité, l'explorateur de session,…).
You can also edit the metadata directly in the textarea
On peut aussi éditer la métadonnée directement dans le champ textarea
<s134>//"userobm_web_list" => ,</s134>
<s134>//"userobm_web_list" => ,</s134>
Display reset password form
Affiche le module de réinitialisation de mot-de-passe
Authen::SASL
Authen::SASL
This requires at least Net::LDAP 0.38.
Nécessite une version de Net::LDAP égale ou supérieure à 0.38.
/_detail/screenshots/1.0/impact/portal.png?id=screenshots
/_detail/screenshots/1.0/impact/portal.png?id=screenshots
We advice to deactivate other options, cause users will use <a0>LL::NG</a0> portal to modify or reset their password.
Il est conseillé de désactiver les autres options, car les utilisateurs utiliseront le portail <a0>LL::NG</a0> pour modifier ou réinitialiser leur mot-de-passe.
OpenID server
Serveur OpenID
…
…
So for Handler on different physical servers than the Portal, a user with an expired session can still be authorized still the cache expires.
Ainsi pour les agents installés sur des serveurs physiquement différent de celui hébergeant le portail, un utilisateur dont la session a expiré peut toujours être autorisé jusqu'à expiration du cache.
OpenID allowed domains
Domaines autorisés pour OpenID
Automatic REMOTE_USER
Automatic REMOTE_USER
<s0>absolute <a1>URL</a1></s0> if it is run by handler (e.g. /admin/index.php?param=foo).
<s0>l'<a1>URL</a1> absolue</s0> si elle est appelée par un agent (e.g. /admin/index.php?param=foo).
To switch to another authentication backend, use the <a3>Multi</a3> module, for example: <c4>Multi SSL;LDAP</c4>
Pour basculer vers un autre backend d'authentification, utiliser le module <a3>Multi</a3>, par exemple : <c4>Multi SSL;LDAP</c4>
documentation:status_standard.png
documentation:status_standard.png
Check configStorage and configStorageOptionsor file permissions.
Vérifier les options configStorage and configStorageOptions ou les droits associés à ces fichiers.
Sessions
Sessions
<s0>Trusted domains</s0>: domains on which the user can be redirected after login on portal.
<s0>Domaines approuvés</s0> : domaines vers lesquels l'utilisateur peut être redirigé après authentification sur le portail.
Developer access
Accès développeurs
cd portal/skins
mkdir myskin
mkdir myskin/css
mkdir myskin/images
cd portal/skins
mkdir myskin
mkdir myskin/css
mkdir myskin/images
password.png
password.png
<s15>RewriteEngine</s15> <s16>On</s16>
<s15>RewriteEngine</s15> <s16>On</s16>
<s0>One session only by user</s0>: a user can not open 2 sessions with the same account.
<s0>Une session seulement par utilisateur</s0> : on ne peut ouvrir 2 sessions avec le même compte.
Handlers have a session cache, with a default lifetime of 10 minutes.
Les agents disposent d'un cache de session d'une durée de vie par défaut de 10 minutes.
In Manager, click on <a0>SAML</a0> service providers and the button <c1>New service provider</c1>.
Dans le manager, cliquer sur fournisseurs de service <a0>SAML</a0> puis sur le bouton <c1>Nouveau fournisseur de service</c1>.
http://httpd.apache.org/docs/current/mod/mod_rewrite.html
http://httpd.apache.org/docs/current/mod/mod_rewrite.html
<s2>RewriteEngine</s2> <s3>On</s3>
<s2>RewriteEngine</s2> <s3>On</s3>
vi /etc/yum.repos.d/lemonldap-ng.repo
vi /etc/yum.repos.d/lemonldap-ng.repo
The Zimbra email and calendar server is available for Linux, Mac <a1>OS</a1> X and virtualization platforms.
Le serveur de messagerie et calendrier Zimbra est disponible pour Linux, Mac OS X et les plateformes de virtualisation.
http://packages.debian.org/search?keywords=lemonldap-ng
http://packages.debian.org/search?keywords=lemonldap-ng
http://openid.net/specs/openid-authentication-2_0.html
http://openid.net/specs/openid-authentication-2_0.html
perl-Lemonldap-NG-Handler: CPAN - Handler modules
perl-Lemonldap-NG-Handler : CPAN - modules agent
List of attributes to query to fill user session.
Liste d'attributs à interroger pour trouver la session utilisateur.
Password found from login process (only if <a0>password store in session</a0> is configured)
Mot-de-passe fournit lors du processus d'authentification (seulement si le <a0>stockage du mot-de-passe dans la sessions</a0> est configuré)
../media/logos/logo_gn.png
../media/logos/logo_gn.png
It is possible to store any additional session data.
Il est possible de stocker d'autres données de session.
<s0>Check conditions</s0>: set to Off to disable conditions checking on authentication responses.
<s0>Vérifier les conditions</s0> : active ou désactive, l'examen des conditions dans les réponses d'authentification.
<a0>LL::NG</a0> Null backend is a transparent backend:
Le backend Null de <a0>LL::NG</a0> est un backend transparent :
It can be seen in system processes, for example:
Il peut être vu dans les processus du système, par exemple :
</<s23>Location</s23>>
</<s23>Location</s23>>
Edit <c0>lemonldap-ng.ini</c0>, and activate status in the <c1>handler</c1> section:
Éditer <c0>lemonldap-ng.ini</c0>, et activer le statut dans la section <c1>handler</c1> :
liblemonldap-ng-handler-perl: Handler files
liblemonldap-ng-handler-perl : fichiers des agents
Error messages
Messages d'erreur
In 1.3, <a0>LL::NG</a0> have a captcha feature which is used in this case.
Dans la version 1.3, <a0>LL::NG</a0> dispose d'une fonctionnalité "captcha" qui est utilisée dans ce cas.
icons:colors.png
icons:colors.png
If you are protecting Dokuwiki with <a0>LL::NG</a0> as reverse proxy, <a1>convert header into REMOTE_USER environment variable</a1>.
Si Dokuwiki est protégé par un reverse-proxy <a0>LL::NG</a0>, <a1>convertir l'en-tête en variable d'environnement REMOTE_USER</a1>.
User owns <a0>SSO cookies</a0> on the main domain (see <s1><a2>Login kinematics</a2></s1>)
L'utilisateur dispose d'un <a0>cookie SSO</a0> dans le domaine principal (voir la <s1><a2>cinématique de connexion</a2></s1>)
To allow this, use <a1>SOAP</a1> for configuration access, or use a network service like <a2>SQL database</a2> or <a3>LDAP directory</a3>.
Pour contourner ce problème, utiliser <a1>SOAP</a1> pour l'accès à la configuration ou un service réseau tel une <a2>base de donnée SQL</a2> ou un <a3>annuaire LDAP</a3>.
See <a0>Writing rules and headers</a0> chapter.
Voir le chapître <a0>Écrire les règles et en-têtes</a0>.
msmith
msmith
<s0><Valve</s0> <s1>className</s1>=<s2>"org.lemonLDAPNG.SSOValve"</s2> <s3>userKey</s3>=<s4>"AUTH-USER"</s4> <s5>roleKey</s5>=<s6>"AUTH-ROLE"</s6> <s7>roleSeparator</s7>=<s8>","</s8> <s9>allows</s9>=<s10>"127.0.0.1"</s10><s11>/></s11>
<s0><Valve</s0> <s1>className</s1>=<s2>"org.lemonLDAPNG.SSOValve"</s2> <s3>userKey</s3>=<s4>"AUTH-USER"</s4> <s5>roleKey</s5>=<s6>"AUTH-ROLE"</s6> <s7>roleSeparator</s7>=<s8>","</s8> <s9>allows</s9>=<s10>"127.0.0.1"</s10><s11>/></s11>
Patch it to replace PHP_AUTH_* by HTTP_AUTH_*
Le modifier pour remplacer PHP_AUTH_* par HTTP_AUTH_*
upgrade
upgrade
Sébastien BAHLOUL
Sébastien BAHLOUL
^/c/portal/logout => logout_sso
^/c/portal/logout => logout_sso
Returns cookie(s) name and values
Retourne nom(s) et valeur(s) du(des) cookie(s)
soapSessionService
soapSessionService
$_authChoice
$_authChoice
<c0>accept</c0>: all authenticated users can pass
<c0>accept</c0>: tout utilisateur authentifié est autorisé
http://lasso.entrouvert.org/
http://lasso.entrouvert.org/
http://facebook.com
http://facebook.com
When using this module, <a0>LL::NG</a0> portal will be called only if Apache does not return “401 Authentication required”, but this is not the Apache behaviour: if the auth module fails, Apache returns 401.
En utilisant ce module, le portail <a0>LL::NG</a0> est appelé uniquement si Apache ne retourne pas “401 Authentication required”, aucune bascule n'est donc possible.
install_bin (/usr/local/lemonldap-ng/bin)
install_bin (/usr/local/lemonldap-ng/bin)
For example to store authentication mode, you can set in <c1>Session data to store</c1> a new key <c2>$_auth</c2> with value <c3>Authentication mode</c3>.
Par exemple pour stocker le mode d'authentification, on peut créer une nouvelle clef dans <c1>données de session à stocker</c1> nommée <c2>$_auth</c2> avec comme valeur <c3>mode d'authentification</c3>.
documentation/current/start.html
documentation/current/start.html
<<s14>IfModule</s14> mod_rewrite.c>
<<s14>IfModule</s14> mod_rewrite.c>
Value: <c0>$uid</c0>
Valeur : <c0>$uid</c0>
<a0>SlideShare</a0><br1/>
<a0>SlideShare</a0><br1/>
See <s0><a1>Form replay</a1></s0> to learn how to configure form replay to POST data on protected applications.
Voir <s0><a1>Rejeu des formulaires</a1></s0> pour savoir comment configurer le rejeu des formulaires pour poster des données à une applications protégée.
<s0>Allow proxied authentication</s0>: allow an authentication response to be issued from another IDP that the one we register (proxy IDP).
<s0>Authentification proxy autorisée</s0> : autorise qu'une réponse d'authentification soit issue d'un autre IDP que celui enregistré (proxy IDP).
<s0>Timeout</s0>: server idle timeout.
<s0>Timeout</s0> : délai maximum de connexion.
Description
Description
Required attributes:
Attibuts requis :
Configuration key of IDP used for authentication
Clef de configuration de l'IDP utilisé pour l'authentification
http://deb.entrouvert.org/
http://deb.entrouvert.org/
Authentication table and user table can be the same.
Les tables d'authentification et utilisateurs peuvent être confondues.
<a0>DBI</a0> Connection user
Nom de connexion <a0>DBI</a0>
You can also pass parameters to the make install command, with this syntax:
On peut aussi passer des paramètres à la commande make install, avec cette syntaxe :
Then go in <c2>Multiple parameters</c2> to define the modules to chain for authentication and users.
Aller ensuite dans les <c2>paramètres Multiple</c2> pour définir les modules à chaîner pour l'authentification et les utilisateurs.
<a10>loginhistory</a10><br11/>
<a10>loginhistory</a10><br11/>
<s15>AuthType</s15> Kerberos
<s15>AuthType</s15> Kerberos
http://zimbra.example.com/zimbrasso
http://zimbra.example.com/zimbrasso
../pages/wiki/dokuwiki.html
../pages/wiki/dokuwiki.html
Configure Single Sign On cookie and portal URL
Configurer le cookie SSO (Single Sign On) et l'URL du portail
<a4>highavailability</a4><br5/>
<a4>highavailability</a4><br5/>
Configuration objects use standard object class: <c0>applicationProcess</c0>.
Les objets de configuration utilisent une classe d'objet standard : <c0>applicationProcess</c0>.
In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Google for authentication module.
Dans le manager, allez dans <c0>Paramètres generaux</c0> > <c1>Modules d'authentification</c1> et choisissez Google comme module d'authentication.
Portal provides also many other features (see <a5>portal</a5> for more)
Le portail fournit également de nombreux autres services (voir <a5>portail</a5> pour plus d'informations)
In Manager, set syslog facility in <c0>General Parameters</c0> > <c1>Logging</c1> > <c2>Syslog facility</c2>.
Dans le manager, choisir la facilité syslog dans <c0>Paramètres généraux</c0> > <c1>Journalisation</c1> > <c2>Facilité syslog</c2>.
The choosen backends will be registered in session:
Les backends choisits enregistrent dans la session :
Directory
Directory
<a0>Using Apache::Session::MySQL</a0> <e1>(if you choose this option, then read <a2>how to increase MySQL performances</a2>)</e1>
<a0>Utiliser Apache::Session::MySQL</a0> <e1>(il est alors conseillé de lire <a2>comment améliorer les performances de MySQL</a2>)</e1>
But you will rather prefer to use an Apache authentication module, like for example <a0>LDAP authentication module</a0>:
Il est souvent souhaitable d'utiliser un module d'authentification Apache, tel par exemple le <a0>module d'authentification LDAP</a0> :
<a0>managerprotection</a0><br1/>
<a0>managerprotection</a0><br1/>
Create Salesforce domain
Créer le domaine Salesforce
Configuration overview
Vue d'ensemble de la configuration
You need a Google developer account to access to <a0>https://console.developers.google.com/</a0>
Il faut un compte développer Google pour accéder à <a0>https://console.developers.google.com/</a0>
Login policy
La politique de connexion
mysqladmin create lemonldapng
mysqladmin create lemonldapng
Import custom functions in LemonLDAP::NG
Importer les fonctions personnalisées dans LemonLDAP::NG
customfooter.tpm : <a0>HTML</a0> code in the footer div
customfooter.tpm : code <a0>HTML</a0> inséré dans le div de pied-de-page
<a4>extendedfunctions</a4><br5/>
<a4>extendedfunctions</a4><br5/>
Since LemonLDAP::NG 1.2, the <a0>demonstration backend</a0> is configured by default.
Depuis la version 1.2 de LemonLDAP::NG, le <a0>backend de démonstration</a0> est sélectionné par défaut.
<s155>//"userobm_samba_logon_script" => ,</s155>
<s155>//"userobm_samba_logon_script" => ,</s155>
<a6>liferay</a6><br7/>
<a6>liferay</a6><br7/>
If a user does not comply with any condition, he is prompted a customized message.
Si un utilisateur ne remplit pas une condition, il est averti par un message personnalisé.
/index.php?Access=admin
/index.php?Access=admin
This mode must not be used for other purpose than test and demonstration!
Ces mode ne doit pas être utilisé pour autre chose que des tests et démonstrations !
Spring Security (ACEGI)
Sécurité Spring (ACEGI)
Some characters are encoded in URLs by the browser (such as space,…).
Certains caractères sont encodés dans les URLs par le navigateur (tels les espaces,…).
jsonfileconfbackend
jsonfileconfbackend
<s0>Protected URLs</s0>: Regexp of URLs for which the secure token will be sent, separated by spaces
<s0>URLs protégées</s0> : expressions régulières correspondant aux URLs pour lesquels un jeton sécurisé doit être envoyé, separées par des espaces
The official documentation can be found here: <a0>http://docs.alfresco.com/4.0/tasks/auth-alfrescoexternal-sso.html</a0>
La documentation officielle se trouve ici : <a0>http://docs.alfresco.com/4.0/tasks/auth-alfrescoexternal-sso.html</a0>
Fast CGI support
Support FastCGI
cp lemonldap.class.php inc/auth/
cp lemonldapuserdatabackend.class.php inc/auth/
cp lemonldap.class.php inc/auth/
cp lemonldapuserdatabackend.class.php inc/auth/
Auth-Admin
Auth-Admin
Use MySQL for Lemonldap::NG sessions
Utiliser MySQL pour les sessions de Lemonldap::NG
<a0>HTML</a0>::Template
<a0>HTML</a0>::Template
An error occurs on server side: SERVER_ERROR (500)
Une erreur est survenue côté serveur : SERVER_ERROR (500)
<<s3>Directory</s3> /var/lib/lemonldap-ng/portal/>
<<s3>Directory</s3> /var/lib/lemonldap-ng/portal/>
<s0>on</s0>: always display
<s0>on</s0> : toujours afficher
icons:neotux.png
icons:neotux.png
It is described here: <a0>http://openid.net/connect/</a0>.
Il est décrit ici : <a0>http://openid.net/connect/</a0>.
#compilation
#compilation
#presentation
#presentation
<a0>LL::NG</a0> can be configured to provides <a1>2 cookies</a1>:
<a0>LL::NG</a0> peut être configuré pour fournir <a1>2 cookies</a1>:
Then fill the two fields;
Renseigner ensuite les deux champs ;
LinShare
LinShare
Parameter list
Liste des paramètres
You can use the same Facebook access token in your applications.
On peut réutiliser le même ticket d'accès Facebook dans les applications.
This mechanism can only work with authentication backends using a login/password form (<a0>LDAP</a0>, <a1>DBI</a1>, …)
Ce mécanisme peut seulement fonctionner avec un backend d'authentification utilisant un formulaire login/mot-de-passe (<a0>LDAP</a0>, <a1>DBI</a1>, …)
So if the http cookie is stolen, sensitive applications stay secured.
Ainsi, si le cookie http cookie est volé, les applications sensibles restent protégées.
<s0>Value</s0> Service <a1>URL</a1> (<a2>CAS</a2> service identifier)
<s0>Value</s0> Service <a1>URL</a1> (identifiant de service <a2>CAS</a2>)
Optional parameters
Paramètres optionnels
<s13>"auto_update_force_user"</s13> <s14>=></s14> <s15>true</s15><s16>,</s16>
<s13>"auto_update_force_user"</s13> <s14>=></s14> <s15>true</s15><s16>,</s16>
https://github.com/9h37/django-lemonldap
https://github.com/9h37/django-lemonldap
Register on France Connect
S'enregistrer dans France Connect
<s0>Value</s0>: application logout <a1>URL</a1>
<s0>Valeur</s0> : <a1>URL</a1> de déconnexion de l'application
../../../media/documentation/status_standard.png
../../../media/documentation/status_standard.png
documentation:latest:ssocookie
documentation:latest:ssocookie
Of course, integration will be full if you use the LDAP directory as users backend for <a0>LL::NG</a0> and Liferay.
Bien sûr, l'integration est complète si le serveur LDAP est utilisé comme base de données des utilisateurs dans <a0>LL::NG</a0> et Liferay.
If you close your session on <a0>LL::NG</a0> side, your Google session will still be open.
Si on ferme la session <a0>LL::NG</a0>, celle de Google reste ouverte.
Zimbra can also be connected to <a0>LL::NG</a0> via <a1>SAML protocol</a1> (see <a2>Zimbra blog</a2>).
Zimbra peut aussi être connecté à <a0>LL::NG</a0> via le <a1>protocole SAML</a1> (voir le <a2>blog de Zimbra</a2>).
AuthLDAPFilter
AuthLDAPFilter
../../../../media/applications/phpldapadmin_logo.png
../../../../media/applications/phpldapadmin_logo.png
http://simplesamlphp.org/docs/1.6/simplesamlphp-googleapps
http://simplesamlphp.org/docs/1.6/simplesamlphp-googleapps
Translations
Traductions
<a0>CAS</a0> force authentication renewal
Forcer le renouvellement d'authentification <a0>CAS</a0>
../../media/icons/flags/fr.png
../../media/icons/flags/fr.png
They are available at the EntityID <a0>URL</a0>, by default: <a1>http://auth.example.com/saml/metadata</a1>.
Elles sont disponibles à l'<a0>URL</a0> EntityID, par défaut : <a1>http://auth.example.com/saml/metadata</a1>.
http://test1.example.com/status
http://test1.example.com/status
dbiAuthUser
dbiAuthUser
ipAddr <e0>WHATTOTRACE</e0>
ipAddr <e0>WHATTOTRACE</e0>
JWKS data
Donnée JWKS
Only current application is concerned by logout_app* targets.
Seule l'application est concernée par les cibles logout_app*.
Maintenance mode
Mode maintenance
../documentation/current/sessions.html
../documentation/current/sessions.html
applications:dokuwiki_logo.png
applications:dokuwiki_logo.png
You will then get a <c0>client_id</c0> and a <c1>client_secret</c1>.
On obtient ainsi les <c0>client_id</c0> et <c1>client_secret</c1>.
Facebook uses <a1>OAuth2</a1> protocol to allow applications to reuse its own authentication process (it means, if your are connected to Facebook, other applications can trust Facebook and let you in).
Facebook utilise le protocole <a1>OAuth2</a1> pour autoriser les applications à réutiliser son propre prcessus d'authentification (ce qui signifie que si on est connecté à Facebook, d'autres applications peuvent agréer Facebook et accepter l'utilisateur).
Fill this field accordingly.
Remplir ce champ en conséquence.
Once <a0>SAML</a0> cinematics are working, you can then put your domain, and delete the login form, and you'll have an automatic redirection to your Identity Provider (no need for the user to click).
Une fois que la cinématique <a0>SAML</a0> fonctionne, mettre le domaine, et supprimer le formulaire de connexion, la redirection se fera alors automatiquement vers le fournisseur d'identité (plus besoin de cliquer pour l'utilisateur).
Template parameters
Paramètres des modèles
You can use it to build up a database with an inventory for your company (computer, software, printers…).
On peut construire une base de données contenant un inventaire de l'entreprise (ordinateurs, logiciels, imprimantes,…).
If you use Facebook as user database, declare values in exported variables :
Si on utilise Facebook comme base de données utilisateurs, déclarer les valeurs dans les « variables exportées » :
Bugtracker, Service Management
Bugtracker, gestion de services
<s0><s1>[</s1>portal<s2>]</s2></s0>
<s3>globalStorage</s3> <s4>=</s4><s5> Apache::Session::File</s5>
<s6>globalStorageOptions</s6> <s7>=</s7><s8> <s9>{</s9> 'Directory' <s10>=</s10>> '/var/lib/lemonldap-ng/sessions/', 'LockDirectory' <s11>=</s11>> '/var/lib/lemonldap-ng/sessions/lock/', <s12>}</s12></s8>
<s0><s1>[</s1>portal<s2>]</s2></s0>
<s3>globalStorage</s3> <s4>=</s4><s5> Apache::Session::File</s5>
<s6>globalStorageOptions</s6> <s7>=</s7><s8> <s9>{</s9> 'Directory' <s10>=</s10>> '/var/lib/lemonldap-ng/sessions/', 'LockDirectory' <s11>=</s11>> '/var/lib/lemonldap-ng/sessions/lock/', <s12>}</s12></s8>
MediaWiki virtual host in Apache
Hôte virtuel Mediawiki dans le manager
For example, to proxy <a0>https://www.public.com</a0> to <a1>http://www.private.com</a1>:
Par exemple, pour relayer <a0>https://www.public.com</a0> en <a1>http://www.private.com</a1>:
LemonLDAP::NG does not manage Apache configuration
LemonLDAP::NG ne gère pas la configuration d'Apache
→ Your browser loops between portal and handler, it is probably a cookie problem.
→ le navigateur boucle entre le portail et l'agent, il s'agit probablement d'un problème.
Config::IniFiles
Config::IniFiles
mailConfirmBody
mailConfirmBody
You should change the <c0>Allow</c0> directive to match administration <a1>IP</a1>, or use another Apache protection mean.
On peut changer la directive <c0>Allow</c0> pour réserver l'adresse <a1>IP</a1> d'administration, ou utiliser une autre protection.
To be able to forward password to RoundCube, see <a0>how to store password in session</a0>
Pour savoir comment transmettre les mots de passe à RoundCube, voir <a0>comment stocker le mot de passe dans la session</a0>
<s0>Cookie expiration time</s0>: by default, <a1>SSO</a1> cookie is a session cookie, which mean it will be destroyed when the browser is closed.
<s0>Durée de vie du cookie</s0> : par défaut, le cookie <a1>SSO</a1> est un cookie de session, ce qui signifie qu'il n'est pas conservé lorsque le navigateur est clos.
Web sites install :
Installer les sites web :
<s113>//"userobm_address2" => ,</s113>
<s113>//"userobm_address2" => ,</s113>
This does not include Apache configuration which is not managed by LemonLDAP::NG
Ceci n'inclue pas la configuration propre d'Apache qui n'est pas gérée par LemonLDAP::NG
caPath
caPath
<s0>Default NameID format</s0>: if no NameID format is requested, or the NameID format undefined, this NameID format will be used.
<s0>Format de NameID par défaut</s0> : si aucun fiormat de NameID n'est demandé, ou si le format n'est pas défini, ce format de NameID sera utilisé.
Proxy
Proxy
/_detail/screenshots/1.1/mailreset/mailreset_step4.png?id=screenshots
/_detail/screenshots/1.1/mailreset/mailreset_step4.png?id=screenshots
PerlSetVar LmCookieDomainToReplace private.com,public.com
</<s4>VirtualHost</s4>>
PerlSetVar LmCookieDomainToReplace private.com,public.com
</<s4>VirtualHost</s4>>
http://coudot.blogs.linagora.com/index.php/post/2011/07/21/Sortie-de-LemonLDAP%3A%3ANG-11
http://coudot.blogs.linagora.com/index.php/post/2011/07/21/Sortie-de-LemonLDAP%3A%3ANG-11
Source RPM
RPM sources
<s0>Encryption mode</s0>: set the encryption mode for this IDP (None, NameID or Assertion).
<s0>Mode de chiffrement</s0> : fixe le mode de chiffrement pour cet IDP (None, NameID ou Assertion).
Just call this <a1>URL</a1>:
Lancer simplement cette <a1>URL</a1>:
SAML Identity Provider
Fournisseur d'identité SAML
<s0>Authentication module</s0>: OpenID Connect
<s0>Module d'authentication</s0> : OpenID-Connect
This valve will check an HTTP header to set the authenticated user on the J2EE container.
Cette valve examine les en-têtes HTTP pour désigner l'utilisateur authentifié au conteneur J2EE.
/_detail/screenshots/1.0/manager/tree_light.png?id=screenshots
/_detail/screenshots/1.0/manager/tree_light.png?id=screenshots
_lassoIdentityDump
_lassoIdentityDump
Zimbra virtual host
Hôte virtuel Zimbra
The first rule that matches is applied.
La première règle qui correspond est appliquée.
Headers sent
En-têtes envoyés
dwho@badwolf.org
dwho@badwolf.org
See also <a0>Debian/Ubuntu installation documentation</a0>.
Voir aussi la <a0>documentation d'installation Debian/Ubuntu</a0>.
../../media/documentation/lemonldap-ng-architecture.png
../../media/documentation/lemonldap-ng-architecture.png
Memcached session backend
Backend de session Memcached
Prepare your new lemonldap-ng.ini file
Preparer le nouveau lemonldap-ng.ini file
You may use the <a2>securedCookie</a2> options to avoid session hijacking.
Vous devriez utilisez les options <a2>securedCookie</a2> pour éviter le vol de session.
Restart Apache and try to log on Manager.
Redémarrer Apache et tenter de se connecter au manager.
This user will not be available anymore if you configure a new authentication backend!
Cet utilisateur n'est plus disponible si on change de backend d'authentification !
ldapVersion
ldapVersion
^/forum/
^/forum/
Restrict access to the directories only to the Apache server.
Restreindre l'accès à ces répertoires au seul utilisateur Apache.
http://en.wikipedia.org/wiki/Model%E2%80%93View%E2%80%93Controller
http://fr.wikipedia.org/wiki/Mod%C3%A8le-Vue-Contr%C3%B4leur
<s0>Passive authentication</s0>: set IsPassive flag in authentication request
<s0>Authentification passive</s0> : positionne le drapeau IsPassive dans la requête d'authentification
Core
Core
→ LemonLDAP::NG uses a key to crypt/decrypt some datas.
→ LemonLDAP::NG utilise une clef pour chiffrer/déchiffrer certaines données.
In particular, it use Apache2 threads capabilities so to optimize performances, prefer using <a0>mpm-worker</a0>.
En particulier, il utilise les capacités multi-threads d'Apache-2, donc pour optimiser les performances, utilisez de préférence <a0>mpm-worker</a0>.
documentation:1.0:sqlconfbackend
documentation:1.0:sqlconfbackend
<s37><s38><security:custom-authentication-provider</s38> <s39>/></s39></s37>
<s37><s38><security:custom-authentication-provider</s38> <s39>/></s39></s37>
Authentication Authorization Accounting
Authentification Autorisation Traçabilité
<s0><a1>URL</a1></s0>: optional, can be used to redirect on another <a2>URL</a2> (for example <a3>https://authssl.example.com</a3>).
<s0><a1>URL</a1></s0> : optionnel, peut être utilisée pour rediriger l'utilisateur vers une autre <a2>URL</a2> (par exemple <a3>https://authssl.example.com</a3>).
FPW
FPW
Authentication: select row in authentication table matching user and password
Authentification : selectionne la ligne de la table d'authentification contenant l'utilisateur et le mot-de-passe
portalDisplayResetPassword
portalDisplayResetPassword
Crypt::OpenSSL::Bignum
Crypt::OpenSSL::Bignum
http://httpd.apache.org/docs/current/mod/mod_authnz_ldap.html
http://httpd.apache.org/docs/current/mod/mod_authnz_ldap.html
Install packages
Installer les paquets
ldapAuthnLevel
ldapAuthnLevel
http://www.linux-ha.org/wiki/Heartbeat
http://www.linux-ha.org/wiki/Heartbeat
You can define keys for <a0>SAML</a0> message signature and encryption.
Vous pouver définir des clefs pour la signature et le chiffrement des messages <a0>SAML</a0>.
../pages/wiki/syntax.html
../pages/wiki/syntax.html
It is recommended to use ModPerl::Registry instead of using cgi-script as described in Apache configuration file example (portal-apache2.conf):
Il est recommendé d'utiliser ModPerl::Registry au lieu d'utiliser le dispositif "cgi-script" tel qu'indiqué dans les fichiers de configuration d'Apache proposés en exemple (portal-apache2.conf):
Protect the Manager by Apache
Protéger le Manager par Apache
<a0>DBI</a0> Password hash
Hachage de mot-de-passe <a0>DBI</a0>
Notification uid for all users
Nom de compte de notification pour tous les utilisateurs
Documentation for latest stable version
Documentation for latest stable version
action=logout$
action=logout$
<s0># SOAP functions for sessions management (disabled by default)</s0>
<<s1>Location</s1> /index.pl/adminSessions>
<s0># SOAP functions for sessions management (disabled by default)</s0>
<<s1>Location</s1> /index.pl/adminSessions>
For example, for a full access, excepted week-end:
Par exemple, pour un accès total excepté le week-end:
Then, go in <c0>Twitter parameters</c0>:
Allez ensuite dans <c0>Paramètres Twitter</c0> :
enable http_authentication plugin in main.inc.php :
activer le plugin http_authentication dans main.inc.php :
<a0>URI</a0> of the server
<a0>URI</a0> du serveur
Declare custom functions
Declarer les fonctions personnalisées
It is set in LemonLDAP::NG utilities directory (<c0>convertConfig</c0>).
Il se traouve dans le répertoire des utilitaires LemonLDAP::NG (<c0>convertConfig</c0>).
If you have run the Debian/Ubuntu install command, just use:
Pour la commande d'installation Debian/Ubuntu, utiliser simplement :
Restrict network access to the database.
Restreindre l'accès réseau à la base de données.
<s0><a1>SSO</a1> logout</s0>: the request is not forwarded to application, only the <a2>SSO</a2> session is closed
<s0>Déconnexion <a1>SSO</a1></s0>: la requête n'est pas transmise à l'application, seule la session <a2>SSO</a2> est fermée
Launch that:
Lancer ceci :
Then creating a notification for <c0>alluserscustom</c0> will display the notification for all users.
Ainsi, créer une notification pour <c0>alluserscustom</c0> affichera la notification à tous les utilisateurs.
Documentation is available for configuration backends :
Cette documentation est valable pour les backends de configuration :
Then a user that try to access to one of the following <e0>will be granted</e0> !
Alors l'utilisateur qui tente d'accéder à l'une des URL suivantes <e0>sera autorisé</e0> !
authorize: check if user is authorizated to access to this <a0>URL</a0>
authorize : vérifie si l'utilisateur est autorisé à accèder à cette <a0>URL</a0>
You can also use the binary value from the logonHours attribute of Active Directory
La valeur binaire de l'attribut logonHours d'Active Directory peut également être utilisée
../../css/all.css
../../css/all.css
http://drupal.org/project/Webserver_auth
http://drupal.org/project/Webserver_auth
Custom functions allow to extend <a0>LL::NG</a0>, they can be used in <a1>headers</a1>, <a2>rules</a2> or <a3>form replay data</a3>.
Les fonctions personnalisées permettent d'étendre <a0>LL::NG</a0>, elles peuvent être utilisées dans les <a2>règles</a2>, les <a1>en-têtes</a1> et les <a3>données à rejouer dans les formulaires</a3>.
It means that if the IDP propose to close session earlier than the default LemonLDAP::NG timeout, the session _utime will be modified so that session is erased at the date indicated by the IDP.
Celà signifie que si l'IDP propose de clore la session au-delà de la durée de vie par défaut dans LemonLDAP::NG, la valeur de _utime sera modifiée afin que la session ne soit effacée qu'au moment indiqué par l'IDP.
<<s1>Location</s1> /index.pl/adminSessions>
<<s1>Location</s1> /index.pl/adminSessions>
This requires <a2>Perl CAS module</a2>.
Ceci nécessite un <a2>module Perl CAS</a2>.
<s0>unprotect</s0>: no authentication will be asked to access surveys
<s0>unprotect</s0> : aucune authentification n'est nécessaire pour accéder aux surveillances
../index.html
../index.html
The Django connector is available on GitHub: <a0>https://github.com/9h37/django-lemonldap</a0>
Le connecteur Django est disponible sur GitHub : <a0>https://github.com/9h37/django-lemonldap</a0>
<s0>Portal <a1>URL</a1></s0>: remote portal <a2>URL</a2>
<s0>Portail <a1>URL</a1></s0>: <a2>URL</a2> du portail distant
User has no access authorization: FORBIDDEN (403)
L'utilisateur ne dispose pas de droits d'accès : FORBIDDEN (403)
../../documentation/1.0/fileconfbackend.html
../../documentation/1.0/fileconfbackend.html
Headers
En-têtes
Since MySQL performances are very bad using this, if you want to store sessions in a MySQL database, prefer one of the following
Ceci dégrade fortement les performances de MySQL, si vous voulez stocker les sessions dans une base de données MySQL, utilisez l'une des solutions suivantes
http://www.mediawiki.org/wiki/Extension:AutomaticREMOTE_USER
http://www.mediawiki.org/wiki/Extension:AutomaticREMOTE_USER
lastname
lastname
Command Line Interface (CLI)
Interface en ligne de commande (CLI)
<s0>Password</s0>: password to used to connect to LDAP server.
<s0>Mot-de-passe</s0> : mot-de-passe à utiliser pour se connecter au serveur LDAP.
-I/etc/apache2 -e &Lemonldap::NG::Handler::Status::run(Cache::FileCache,{?
-I/etc/apache2 -e &Lemonldap::NG::Handler::Status::run(Cache::FileCache,{?
<s3><s4><OrganizationName</s4> <s5>xml:lang</s5>=<s6>"en"</s6><s7>></s7></s3>Example<s8><s9></OrganizationName<s10>></s10></s9></s8>
<s3><s4><OrganizationName</s4> <s5>xml:lang</s5>=<s6>"en"</s6><s7>></s7></s3>Exemple<s8><s9></OrganizationName<s10>></s10></s9></s8>
Choose one of the following:
Choisir l'une des options suivantes :
To use custom files, delete links and copy them into your skin folder:
Pour utiliser des fichiers personnalisés, effacer les liens et copier les fichiers dans le répertoire du thème :
/_detail/screenshots/1.0/sessionsexplorer/accordeon_dark.png?id=screenshots
/_detail/screenshots/1.0/sessionsexplorer/accordeon_dark.png?id=screenshots
https://verifier.login.persona.org/verify
https://verifier.login.persona.org/verify
portalUserAttr
portalUserAttr
casAttr
casAttr
You can set them the same way:
On peut les renseigner par la même voie :
<s0>Documentation</s0>: use <a1>OmegaT</a1> to translate offline documentation and configure it:
<s0>Documentation</s0>: utilisez <a1>OmegaT</a1> pour traduire la dcumentation hors-ligne et configurez le :
../../../media/applications/bugzilla_logo.png
../../../media/applications/bugzilla_logo.png
On CentOS/RHEL:
Sur CentOS/RHEL :
In this case, you can choose a different module to manage <a1>SAML</a1> sessions.
Dans ce cas, vous devez utiliser un module différent pour gérer les sessions <a1>SAML</a1>.
You can manage roles with the <a0>RBAC model</a0> or by using groups.
On peut gérer les rôles avec le <a0>modèle RBAC</a0> ou en utilisant les groupes.
Null authentication level
Niveau d'authentification de Null
icons:knewsticker.png
icons:knewsticker.png
^/pub/
^/pub/
<s0>Password change</s0>: form to change the password
<s0>Changement de mot-de-passe</s0> : formulaire de changement de mot-de-passe
<a6>phpldapadmin</a6><br7/>
<a6>phpldapadmin</a6><br7/>
(&(mail=$mail)(objectClass=person))
(&(mail=$mail)(objectClass=person))
/_detail/logos/logo_ministere_justice.jpg?id=references
/_detail/logos/logo_ministere_justice.jpg?id=references
Multiple will try to use the same module for authentication and users.
Multiple essaiera d'utiliser le même module pour l'authentification et les utilisateurs.
PHP
PHP
http://www.slideshare.net/coudot/lemonldapng-et-le-support-saml2
http://www.slideshare.net/coudot/lemonldapng-et-le-support-saml2
service_name Centralized auth service
service_name Centralized auth service
User tries to access to an application in the secondary <a0>LL::NG</a0> structure without having a session in this area
Un utilisateur essaie d'accéder à une application du système <a0>LL::NG</a0> secondaire sans avoir de session dans cette aire
<s0>Redirect on error</s0>: use 302 instead 500 or 503
<s0>Redirection pour les erreurs</s0> : utilise 302 au lieu de 500 ou 503
<s0>Name</s0>: <a1>SAML</a1> attribute name.
<s0>Nom</s0>: Nom de l'attribut <a1>SAML</a1>.
portal/skins/common/mail_confirm.tpl
portal/skins/common/mail_confirm.tpl
<a0>LL::NG</a0> can propose a password reset form, for users who loose their password (this kind of application is also called a self service password interface).
<a0>LL::NG</a0> peut proposer un formulaire de réinitialisation de mot-de-passe pour les utilisateurs qui ont perdu leur mot-de-passe (ce type d'application est également appelée interface de mot-de-passe self-service).
Handler use the default Apache error code for the following cases:
Les agents utilisent le code d'erreur d'Apache dans les cas suivants :
Security parameters
Paramètres de sécurité
authentication service
le service d'authentification
logos:logo_linagora.png
logos:logo_linagora.png
<s0>Master's <a1>IP</a1> address</s0>: the <a2>IP</a2> addresses of servers which are accredited to authenticate user.
<s0>Adresse <a1>IP</a1> du maître</s0> : les adresses <a2>IP</a2> des serveurs autorisés à authentifier les utilisateurs.
You cannot use the <c0>unprotect</c0> rule because Drupal navigation is based on query strings (?q=admin, ?q=user, etc.), and unprotect rule only works on <a1>URL</a1> patterns.
Vous ne pouvez pas utiliser la règle <c0>unprotect</c0> car la navigation Drupal est basée sur des requêtes basées sur des attributs (?q=admin, ?q=user, etc.), et la règle unprotect ne fonctionne que sur des correspondances d'<a1>URL</a1>.
The portal <a0>URL</a0> <s1>must</s1> be inside <a2>SSO</a2> domain.
L'<a0>URL</a0> du portail <s1>doit</s1> être dans le domaine <a2>SSO</a2>.
tar zxvf lemonldap-ng-*.tar.gz
cd lemonldap-ng-*
tar zxvf lemonldap-ng-*.tar.gz
cd lemonldap-ng-*
<s0>Portal</s0>: the portal redirect on itself in many cases (credentials POST, <a1>SAML</a1>, etc.)
le <s0>portail</s0> : le portail redirige vers lui-même dans plusieurs cas (POST d'authentification, <a1>SAML</a1>, etc...)
You have then to declare HTTP headers exported by the main <a0>SSO</a0> (in <s1>Exported Variables</s1>).
Déclarer ensuite les en-têtes HTTP exportés par le <a0>SSO</a0> principal dans “Variables » Variables exportées”.
LemonLDAP::NG provides a script to change configuration backend easily keeping history.
LemonLDAP::NG fournit un script pour changer aisément de backend de configuration en conservant l'historique.
So you can have a full <a0>AAA</a0> protection for your web space as described below.
Vous vouvez ainsi avoir une protection <a0>AAA</a0> complète pour votre espace web tel qu'indiqué ci-dessus.
zimbra
zimbra
nullAuthnLevel
nullAuthnLevel
install_site (all sites including install_doc_site)
install_site (all sites including install_doc_site)
SQL configuration
Configuration SQL
Service configuration
Configuration du service
Attribute Service
Service d'attribut
netid_http_header HTTP_AUTH_USER
netid_http_header HTTP_AUTH_USER
Twitter application secret
Secret d'application Twitter
Since version 1.90 of Apache::Session, you can use Apache::Session::MySQL::NoLock instead
Depuis la version 1.90 d'Apache::Session, on peut utiliser Apache::Session::MySQL::NoLock à la place
For security reasons, the password is not shown in sessions explorer.
Pour des raisons de sécurité, le mot-de-passe n'est pas affiché dans l'explorateur de sessions.
Portal creates <a0>SSO cookies</a0> with session key as value
Le portail crée le <a0>cookie SSO</a0> avec la clef de la session comme valeur
<<s1>IfModule</s1> mod_rewrite.c>
<<s1>IfModule</s1> mod_rewrite.c>
It can be upgraded using buildPortalWSDL script.
Il peut être mis à jour en utilisant le script buildPortalWSDL.
uidR
uidR
Can't locate /usr/share/lemonldap-ng/configStorage.pl
Can't locate /usr/share/lemonldap-ng/configStorage.pl
LemonLDAP::NG Portal
Portail LemonLDAP::NG
Notifications trough SOAP
Notifications via SOAP
<s8><s9><security:custom-filter</s9> <s10>position</s10>=<s11>"PRE_AUTH_FILTER"</s11> <s12>/></s12></s8>
<s8><s9><security:custom-filter</s9> <s10>position</s10>=<s11>"PRE_AUTH_FILTER"</s11> <s12>/></s12></s8>
Documentation below explains how set index on ipAddr and _whatToTrace.
La documentation ci-dessous explique comment fixer les index à ipAddr et _whatToTrace.
Reporting a bug
Rapporter un bogue
Install Authen::Radius
Installer Authen::Radius
This function will check the day and the hour of current request, and compare it to allowed days and hours.
Cette fonction examine le jour et l'heure de la requête courante et la compare aux jours et heures autorisés.
With Debian/Ubuntu:
Avec Debian/Ubuntu:
checkXSS
checkXSS
authChoiceParam
authChoiceParam
<s0>$uid</s0> <s1>eq</s1> <s2>"dwho"</s2>
<s0>$uid</s0> <s1>eq</s1> <s2>"dwho"</s2>
Self service reset (send a mail to the user with a to change the password)
Self-service de réinitialisation (envoie un mail à l'utilisateur pour changer son mot-de-passe)
In <c0>Protocol</c0>, adapt the <c1>scope</c1> to the exported attributes you want.
Dans <c0>Protocole</c0>, adapter le <c1>scope</c1> à l'attribut exporté voulu.
sudo ln -s /usr/local/lemonldap-ng/etc/cron.d/* /etc/cron.d/
sudo ln -s /usr/local/lemonldap-ng/etc/cron.d/* /etc/cron.d/
http://www.linuxpicnic.org/
http://www.linuxpicnic.org/
../media/logos/logo_linagora.png
../media/logos/logo_linagora.png
<a0>DBI</a0> Connection password
Mot-de-passe de connexion <a0>DBI</a0>
#a
#a
#b
#b
#f
#f
#e
#e
#d
#d
The file name default separator is <c0>_</c0>, this can be a problem if you register notifications for users having <c1>_</c1> in their login.
Le séparateur par défaut des noms de fichiers est <c0>_</c0>, ce qui peut poser problème si on enregistre des notifications pour des utilsateur ayant un caractère <c1>_</c1> dans leur nom de connexion.
<s0>Target attribute</s0>: name of the attribute in the groups storing the link to the user (default: member).
<s0>Attribut cible</s0> : nom de l'attribut du groupe stockant le lien vers l'utilisateur (défaut: member).
#c
#c
#j
#j
#i
#i
#h
#h
#g
#g
#n
#n
#m
#m
#l
#l
#r
#r
#q
#q
<s0><s1><md:EntityDescriptor</s1> <s2>entityID</s2>=<s3>"google.com"</s3> <s4>xmlns</s4>=<s5>"urn:oasis:names:tc:SAML:2.0:metadata"</s5> <s6>xmlns:ds</s6>=<s7>"http://www.w3.org/2000/09/xmldsig#"</s7> <s8>xmlns:md</s8>=<s9>"urn:oasis:names:tc:SAML:2.0:metadata"</s9><s10>></s10></s0>
<s0><s1><md:EntityDescriptor</s1> <s2>entityID</s2>=<s3>"google.com"</s3> <s4>xmlns</s4>=<s5>"urn:oasis:names:tc:SAML:2.0:metadata"</s5> <s6>xmlns:ds</s6>=<s7>"http://www.w3.org/2000/09/xmldsig#"</s7> <s8>xmlns:md</s8>=<s9>"urn:oasis:names:tc:SAML:2.0:metadata"</s9><s10>></s10></s0>
#p
#p
#o
#o
#u
#u
notifyOther
notifyOther
#v
#v
#s
#s
<s0><s1>[</s1>portal<s2>]</s2></s0>
<s3>portalSkin</s3> <s4>=</s4><s5> dark</s5>
<s0><s1>[</s1>portal<s2>]</s2></s0>
<s3>portalSkin</s3> <s4>=</s4><s5> dark</s5>
Even if LL:NG can catch logout <a0>URL</a0> trough <a1>virtual host rules</a1>, you can have the need to forward a logout to other applications, to close their local sessions.
Même si LL:NG peut intercepter les <a0>URL</a0> de déconnexion via les <a1>règles de d'hôte virtuel</a1>, on peut avoir besoin de propager la déconnexion à d'autres applications, pour clore leurs sessions locales.
#t
#t
#z
#z
<s16><s17><AssertionConsumerService</s17> <s18>Binding</s18>=<s19>"urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"</s19> <s20>Location</s20>=<s21>"https://www.google.com/a/mydomain.org/acs"</s21> <s22>index</s22>=<s23>"1"</s23> <s24>/></s24></s16>
<s16><s17><AssertionConsumerService</s17> <s18>Binding</s18>=<s19>"urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"</s19> <s20>Location</s20>=<s21>"https://www.google.com/a/mydomain.org/acs"</s21> <s22>index</s22>=<s23>"1"</s23> <s24>/></s24></s16>
#w
#w
LINAGORA
LINAGORA
The new password is sent to user
Le nouveau mot-de-passe est envoyé à l'utilisateur
Go in the Manager and set the session module (for example <a0>Apache::Session::Postgres</a0> for PostgreSQL) in <c1>General parameters</c1> » <c2>Sessions</c2> » <c3>Session storage</c3> » <c4>Apache::Session module</c4> and add the following parameters (case sensitive):
Aller dans le Manager et choisir le module de session (par exemple <a0>Apache::Session::Browseable::Postgres</a0> pour PostgreSQL) dans <c1>Paramètres généraux</c1> » <c2>Sessions</c2> » <c3>Stockage des sessions</c3> » <c4>Module Apache::Session</c4> et ajouter les paramètres suivants (sensible à la casse):
<s0>handler-apache2.conf</s0> : Handler declaration, reload and sample virtual hosts
<s0>handler-apache2.conf</s0> : déclaration du handler, rechargement et exemple d'hôte virtuel
There are packages available here: <a0>http://deb.entrouvert.org/</a0>.
Les paquets sont disponibles ici : <a0>http://deb.entrouvert.org/</a0>.
insert a label <s0>“LMAUTH”</s0> ahead of the loop
insérer le label <s0>“LMAUTH”</s0> en tête de la boucle
<a0>CAS</a0>_gateway
<a0>CAS</a0>_gateway
http://wiki.zimbra.com/index.php?title=Preauth#Preparing_a_domain_for_preauth
http://wiki.zimbra.com/index.php?title=Preauth#Preparing_a_domain_for_preauth
OBM Apache configuration must be loaded <s0>after</s0> <a1>LL::NG</a1> <a2>Apache configuration</a2>.
La configuration du serveur Apache d'OBM doit être chargée <s0>après</s0> <a2>celle</a2> de <a1>LL::NG</a1>.
applications:http_logo.png
applications:http_logo.png
<s0>handler</s0>: parameters only for Handler
<s0>manager</s0> : paramètres réservés aux agents
JCOS
JCOS
<s2>SetHandler</s2> perl-<s3>script</s3>
<s2>SetHandler</s2> perl-<s3>script</s3>
<s6>AuthBasicProvider</s6> ldap
<s6>AuthBasicProvider</s6> ldap
if you use “CDBI” or “RDBI” system, the notifications will be stored in the same database as configuration and in a table called “notifications”.
si “CDBI” ou “RDBI” est utilisé, les notifications sont stockées dans la même base de données que la configuration et la table est nommée “notifications”.
Value (HTTP header name)
Valeur (nom d'en-tête HTTP)
Files
Fichiers
Install
Installation
<s163>//"userobm_nomade_dateend" => ,</s163>
<s163>//"userobm_nomade_dateend" => ,</s163>
Logout rule (for example logout_app_sso)
Règle de déconnexion (par exemple logout_app_sso)
applications:limesurvey_logo.png
applications:limesurvey_logo.png
../../documentation/current/ssocookie.html#sso_cookie
../../documentation/current/ssocookie.html#sso_cookie
Then, go in <c0>Null parameters</c0>:
Aller ensuite dans les <c0>paramètres Null</c0>:
Force HTTPS in redirection
Indicateur HTTPS pour les redirections
http://wiki.sbay.org/
http://wiki.sbay.org/
Indeed, a virtual host can contain several applications (<a1>http://vhost.example.com/appli1</a1>, <a2>http://vhost.example.com/appli2</a2>).
En effet, un hôte virtuel peut contenir plusieurs applications (<a1>http://vhost.example.com/appli1</a1>, <a2>http://vhost.example.com/appli2</a2>).
Search user: select row in user table matching user
Recherche de l'utilisateur : selectionne la ligne de la table utilisateurs correspondant à l'utilisateur
../../../media/icons/warehause.png
../../../media/icons/warehause.png
ldapGroupAttributeNameSearch
ldapGroupAttributeNameSearch
Proxy tickets will be collected at authentication phase and stored in user session under the form:
Les tickets de proxy seront collectés lors de la phase d'authentification et stockés dans la session utilisateur sous la forme :
✔
✔
<a0>SAML</a0> authentication and issuer
Authentification ou fourniture d'identité <a0>SAML</a0>
http://auth.ucanss.fr/
http://auth.ucanss.fr/
<s54>//"userobm_password_type" => ,</s54>
<s54>//"userobm_password_type" => ,</s54>
~500
~500
logout_url http://sympa.example.com/wws/logout
logout_url http://sympa.example.com/wws/logout
Portal menu
Menu du portail
The portal is the main component of <a0>LL::NG</a0>.
Le portail est le principal composant de <a0>LL::NG</a0>.
Database must be prepared exactly like in <a0>SQL session backend</a0> except that a field must be added for each data to index.
La base de donnée doit être préparée exactement comme celle du <a0>backend de session SQL</a0> si ce n'est qu'un champ doit être ajouté pour chaque donnée à indexer.
the portal is in the declared domain
le portail est dans le domaine déclaré
/var/lib/lemonldap-ng/sessions/lock
/var/lib/lemonldap-ng/sessions/lock
documentation:ha-apache.png
documentation:ha-apache.png
<a0>User database</a0>: where collect user information
<a0>Base de données utilisateurs</a0> : où collecter les informations utilisateurs
MediaWiki
MediaWiki
ldapGroupAttributeNameUser
ldapGroupAttributeNameUser
To protect the manager by <a0>LL::NG</a0>, you just have to set this in <c1>lemonldap-ng.ini</c1> configuration file (section [manager]):
Pour protéger le manager par <a0>LL::NG</a0>, il suffit de mettre ceci dans le fichier de configuration <c1>lemonldap-ng.ini</c1> (section [manager]) :
Be sure that mod_rewrite is installed and that SAML2 rewrite rules are activated in <a0>Apache portal configuration</a0>:
Assurez-vous que mod_rewrite est installé et que les règles de réécriture SAML2 sont activées dans la <a0>configuration Apache du portail</a0>:
<s0><a1>SAML</a1> identity providers</s0>: Registered IDP
<s0>Fournisseurs d'identité <a1>SAML</a1></s0> : IDP enregistrés
<s9>"auto_update"</s9> <s10>=></s10> <s11>true</s11><s12>,</s12>
<s9>"auto_update"</s9> <s10>=></s10> <s11>true</s11><s12>,</s12>
Local macros is a special feature of handler that permit to have macros useable localy only.
Les macros locales sont une fonctionnalité spéciale des agents qui permettent d'avoir des macros utilisables localement seulement.
Perl-CAS module installation
Installation du module Perl-CAS
yum localinstall lemonldap-ng-* perl-Lemonldap-NG-*
yum localinstall lemonldap-ng-* perl-Lemonldap-NG-*
<s0>Key</s0>: Service ID
<s0>Clef</s0> : Service ID
If the packages are stored in a yum repository:
Si les paquets sont stockés dans un dépôt yum :
../documentation/presentation.html#login
../documentation/presentation.html#login
user; admin
user; admin
<a0>DBI</a0> UserDB connection user
Compte de connexion UserDB <a0>DBI</a0>
The default value of this wilcard is <c0>allusers</c0>, but you can change it if <c1>allusers</c1> is a known identifier in your system.
La valeur par défaut de cette carte blanche est <c0>allusers</c0>, mais on peut la changer si <c1>allusers</c1> est un nom d'utilisateur.
<s0>Site Name</s0>: Name that will be displayed in the BrowserID login window
<s0>Nom du site</s0> : Nom qui sera affiché dans la fenêtre d'authentification BrowserID
<s99>//"userobm_fax2" => ,</s99>
<s99>//"userobm_fax2" => ,</s99>
'default_expires_in' => 600,?
'default_expires_in' => 600,?
using external identity provider (<a0>SAML</a0>, <a1>OpenID</a1>, <a2>CAS</a2>, <a3>Twitter</a3>, other <a4>LL::NG</a4> system, …)
utilisant un fournisseur d'identité externe (<a0>SAML</a0>, <a1>OpenID</a1>, <a2>CAS</a2>, <a3>Twitter</a3>, autres systèmes <a4>LL::NG</a4>, …)
<a0>phpLDAPadmin</a0> is an LDAP administration tool written in PHP.
<a0>phpLDAPadmin</a0> est un outil d'administration LDAP écrit en PHP.
In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Radius for authentication.
Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir Radius pour l'authentification.
<s0>UI locales</s0>: Value of ui_locales parameter (example: en-<a1>GB</a1> en fr-FR fr)
<s0>UI locales</s0> : valeur du paramètre ui_locales (exemple : en-<a1>GB</a1> en fr-FR fr)
First name
Prénom
lemonldap_ng_manager_1340022440100.png
lemonldap_ng_manager_1340022440100.png
If you plan to forward user's password to OBM, then you have to <a0>keep the password in session</a0>.
S'il est prévu de transmettre le mot-de-passe utilisateur à OBM, <a0>conserver le mot-de-passe dans la session</a0>.
Auth-SuperAdmin
Auth-SuperAdmin
Bordeaux
Bordeaux
0.9.4_logout_menu.png
0.9.4_logout_menu.png
<s0>passThrough</s0> (optional): Allow anonymous access or not.
<s0>passThrough</s0> (optionnel) : Autorise ou non l'accès anonyme.
With index, <a1>LL::NG</a1> wil be able to get only wanted sessions from the backend.
Avec index, <a1>LL::NG</a1> ne récupère que les sessions demandées.
<s0>dirName</s0>: directory where notifications are stored.
<s0>dirName</s0> : répertoire dans lequel sont stockées les notifications.
Change rights on keytab file:
Changer les droits sur le fichier keytab :
The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values: TEXT
#
failregex = Lemonldap\:\:NG \: .* was not found in LDAP directory \(<HOST>\)
The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values: TEXT
#
failregex = Lemonldap\:\:NG \: .* was not found in LDAP directory \(<HOST>\)
<s0>my</s0> <s1>$cgi</s1> <s2>=</s2> <s3>new</s3> CGI<s4>;</s4>
<s5>...</s5>
<s0>my</s0> <s1>$cgi</s1> <s2>=</s2> <s3>new</s3> CGI<s4>;</s4>
<s5>...</s5>
/_detail/screenshots/1.0/manager/tree_dark.png?id=screenshots
/_detail/screenshots/1.0/manager/tree_dark.png?id=screenshots
Some applications need the <c0>REMOTE_USER</c0> environment variable to get the connected user, which is not set in reverse-proxy mode.
Certaines applications ont besoin de la variable d'environnement <c0>REMOTE_USER</c0> pour connaître le nom d'utilisateur connecté, qui n'est pas renseignée en mode reverse-proxy.
KrbMethodK5Passwd <s17>Off</s17>
KrbMethodK5Passwd <s17>Off</s17>
<s5># Uncomment this line if you use Lemonldap::NG menu</s5>
<s5># Décommenter cette ligne si le menu Lemonldap::NG est utilisé</s5>
First configuration steps
Premiers pas de configuration
In <c0>General Parameters</c0> > <c1>Authentication modules</c1>, set:
Dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1>, choisir :
Issuer databases use rules
les règles d'utilisation des bases de données des fournisseur d'identité
Note that you have to use UTF-8 characters
Notez que vous devez utiliser des caractères UTF-8
Choose for example <a0>http://zimbra.example.com/zimbrasso</a0> as <a1>SSO</a1> <a2>URL</a2> and <a3>set it in application menu</a3>.
Choisir par exemple <a0>http://zimbra.example.com/zimbrasso</a0> comme <a2>URL</a2> <a1>SSO</a1> et <a3>insérer la dans le menu application</a3>.
ldapServer
ldapServer
<s0>Transient</s0>: NameID is generated
<s0>Transient</s0>: le NameID est généré
So write your rules using normal characters.
Il faut donc écrire les règles en utilisant les caractères normaux.
You can simply checkout sources with the following command:
Utilisez simplement la commande suivante pour télécharger les sources :
../../../media/applications/django_logo.png
../../../media/applications/django_logo.png
Portal translation
Traduction du portail
http://perldoc.perl.org/functions/print.html
http://perldoc.perl.org/functions/print.html
Real session backend
Backend de session réel
<s95>"userobm_fax"</s95> <s96>=></s96> <s97>"HTTP_OBM_FACSIMILETELEPHONENUMBER"</s97><s98>,</s98>
<s95>"userobm_fax"</s95> <s96>=></s96> <s97>"HTTP_OBM_FACSIMILETELEPHONENUMBER"</s97><s98>,</s98>
Identity provider
Fournisseur d'identité
remoteGlobalStorageOptions
remoteGlobalStorageOptions
As administrator, go in Google Apps control panel and click on Advanced tools:
Comme administrateur, aller dans le panneau de contrôle Google Apps et cliquer sur les outils avancés click (Advanced tools) :
Allow only one session per user
N'autoriser qu'une session par utilisateur
The portal must be configured to accept SOAP authentication requests.
Ce portail doit être configuré pour accepter les requêtes d'authentification SOAP.
<s0>SSLCertificateKeyFile</s0>: Server private key
<s0>SSLCertificateKeyFile</s0> : clef privée du serveur
Lasso
Lasso
An access rule
Une règle d'accès
Then, go in <c0>Slave parameters</c0>:
Ensuite, aller dans les <c0>paramètres Slave</c0>:
Forbidden and Server error
Accès interdits et erreurs du serveur
Other
Autres
phpLDAPadmin local configuration
Configuration locale phpLDAPadmin
The PasswordDBDemo will allow you to change the password with some basic checks, but as the data are hard coded, the password will never be really changed.
PasswordDBDemo permet de changer de mot-de-passe avec quelques tests de base, mais comme les données sont codées en dur, le mot-de-passe ne sera jamais réellement changé.
Applications protection
Protection des applications
mailreset_step5.png
mailreset_step5.png
notificationWildcard
notificationWildcard
download.html
download.html
The configuration can be changed in <c0>etc/manager-apache2.conf</c0>, for example to restrict the <a1>IP</a1> allowed to access the Manager:
Cette configuration peut être changée dans <c0>etc/manager-apache2.conf</c0>, par exemple pour restreindre les adresses <a1>IP</a1> autorisées à accéder au manager :
Admin Magazin
Admin Magazin
You can modify the default behavior for people without value in ssoLogonHours.
Il est possible de modifier le comportement par défaut pour les utilisateurs ne disposant pas d'une valeur ssoLogonHours.
<a0>Password database</a0>: where change password
<a0>Base de données des mots-de-passe</a0> : où changer le mot-de-passe
<s127>"userobm_town"</s127> <s128>=></s128> <s129>"HTTP_OBM_L"</s129><s130>,</s130>
<s127>"userobm_town"</s127> <s128>=></s128> <s129>"HTTP_OBM_L"</s129><s130>,</s130>
Daniel RIVIERE
Daniel RIVIERE
http://httpd.apache.org/docs/current/howto/auth.html
http://httpd.apache.org/docs/current/howto/auth.html
Then:
Ensuite :
<a0>URL</a0> pattern: <c1>default</c1>
Expression sur l'<a0>URL</a0> : <c1>default</c1>
See also <a0>exported variables configuration</a0>.
Voir aussi la <a0>configuration des variables exportées</a0>.
Example for macros:
Exemples de macros:
Apache configuration file on <a0>LL::NG</a0> reverse proxy (hosting <a1>LL::NG</a1> Handler):
le fichier de configuration d'Apache sur le reverse-proxy <a0>LL::NG</a0> (celui qui héberge l'agent <a1>LL::NG</a1>):
$ENV{REMOTE_ADDR} =~ /^192\.168/
$ENV{REMOTE_ADDR} =~ /^192\.168/
Build:
Build:
Access control possible by creating one user for Manager (write) and another for portal and handlers (read)
Contrôle d'accès possible en créant un compte pour le manager (écriture) et un autre pour le portail et les agents (lecture)
Sessions are stored as files in a single directory.
Les sessions sont stockées dans des fichiers dans un unique répertoire.
portalDisplayLogout
portalDisplayLogout
ldapGroupRecursive
ldapGroupRecursive
encode_base64($givenName." ".$surName)
encode_base64($givenName." ".$surName)
To add these attributes, go in Manager, <c0>Variables</c0> » <c1>Exported Variables</c1>.
Pour ajouter ces attributs, aller dans le manager, <c0>Variables</c0> » <c1>Variables exportées</c1>.
We can distinguish several kind of variables:
On peut distinguer plusieurs types de variables :
Lemonldap-ng.ini parameters
Paramètres lemonldap-ng.ini
You must register IDP metadata here.
Il faut enregistrer les métadatas de l'IDP ici.
For example, we will use 3 roles:
Par exemple, en utilisant 3 rôles :
https://developer.mozilla.org/en-US/docs/Mozilla/Persona
https://developer.mozilla.org/en-US/docs/Mozilla/Persona
<a0>CAS</a0>_renew
<a0>CAS</a0>_renew
lemonldap-ng-portal-auth.png
lemonldap-ng-portal-auth.png
Give the uid (for accounting)
Donne l'uid (pour la traçabilité)
../../../media/applications/tomcat_logo.png
../../../media/applications/tomcat_logo.png
Name of IDP used for authentication
Nom de l'IDP utilisé pour l'authentification
</<s7>Directory</s7>>
</<s7>Directory</s7>>
<s0>Common domain</s0>: Name of the common domain (where common cookie is available).
<s0>Domaine commun</s0> : Nom du domaine commun (où le cookie commun est disponible).
http://code.google.com/googleapps/domain/sso/saml_reference_implementation.html
http://code.google.com/googleapps/domain/sso/saml_reference_implementation.html
Real name
Real name
proxyOptions
proxyOptions
Define here:
Definir ici :
Activation
Activation
Lemonldap::NG::Handler
Lemonldap::NG::Handler
You can define more than one form replay <a0>URL</a0> per virtual host.
Il est possible de définir plusieurs <a0>URL</a0> de rejeu de formulaires par hôte virtuel.
Convert existing configuration
Convertir la configuration existante
Lanyrd
Lanyrd
Apache configuration file on application server (hosting the application):
le fichier de configuration d'Apache sur le serveur d'application (celui qui héberge l'application):
Set to 0 to disable it.
Mettre à 0 pour désactiver.
Activate auto accept timer
Activer le compte-à-rebours d'acceptation automatique
→ Some <a0>URL</a0> parameters contain forbidden characters.
→ Certains paramètres de l'<a0>URL</a0> contiennent des caractères interdits.
Dedicated to administrators
Dédié aux administrateurs
documentation/current/installrpm.html#yum_repository
documentation/current/installrpm.html#yum_repository
<s11>TO</s11> lemonldap<s12>-</s12>ng@manager<s13>.</s13>host <s14>IDENTIFIED</s14> <s15>BY</s15> <s16>'mypassword'</s16>;
<s17>GRANT</s17> <s18>SELECT</s18> <s19>ON</s19> lmConfig<s20>.*</s20>
<s11>TO</s11> lemonldap<s12>-</s12>ng@manager<s13>.</s13>host <s14>IDENTIFIED</s14> <s15>BY</s15> <s16>'mypassword'</s16>;
<s17>GRANT</s17> <s18>SELECT</s18> <s19>ON</s19> lmConfig<s20>.*</s20>
General performances
Performances générales
<s0>Authorizated domain</s0>:
<s0>Domaines autorisés</s0> :
<s54>my</s54> <s55>$res</s55> <s56>=</s56> <s57>$r</s57><s58>-></s58><s59>result</s59><s60>(</s60><s61>)</s61><s62>;</s62>
<s54>my</s54> <s55>$res</s55> <s56>=</s56> <s57>$r</s57><s58>-></s58><s59>result</s59><s60>(</s60><s61>)</s61><s62>;</s62>
Binding
Méthode
Date of session last modification
Date de la dernière modification de la session
Old sessions are deleted by a cron script.
Les anciennes sessions sont effacées par un script cron.
Creation can take up to 1 hour.
Cette création prend jusqu'à 1 heure.
Commit
Commit
<a0>LL::NG</a0> can be configured to restrict OpenID exchange using a white or a black list of domains.
<a0>LL::NG</a0> peut être configuré pour restreindre les échanges OpenID en utilisant les listes blanches ou noires de domaines.
22
22
#local_file
#local_file
<s0>Password field name</s0>: name of authentication table column hosting password
<s0>Nom du champ mot-de-passe</s0> : nom de la colonne de la table d'authentification contenant le mot-de-passe
<s0>Clément “KPTN” OUDOT</s0>: project leader, lead developer, graphics, documentation, community management
<s0>Clément “KPTN” OUDOT</s0> : Leader du projet, développeur principal, graphisme, documentation, gestion de la communauté
You can skip JWKS data, they are not provided by France Connect.
Inutile de renseigner les données JWKS, elles ne sont pas fournies par France Connect.
Facebook
Facebook
Rules
Règles
https://metacpan.org/module/Apache::Session::Flex
https://metacpan.org/module/Apache::Session::Flex
You need to give access to status path in the Handler Apache configuration:
Il faut autoriser l'accès au chemin du statut dans le configuration Apache de l'agent :
remotePortal
remotePortal
<s0><a1>URL</a1> parameter</s0>: parameter name used to set choice value (default: <c2>lmAuth</c2>)
Paramètres d'<s0><a1>URL</a1></s0> : nom du paramètre utilisé pour stocker la valeur du choix (défaut: <c2>lmAuth</c2>)
<s0>#!/usr/bin/perl</s0>
<b1>use Lemonldap::NG::Common::CGI qw(fastcgi);</b1>
<s2>use Lemonldap::NG::Portal::SharedConf;</s2>
<s3># ...</s3>
<b4><s5>LMAUTH:</s5> while ( my $portal = Lemonldap::NG::Portal::SharedConf->new({}) ) </b4>{
<s0>#!/usr/bin/perl</s0>
<b1>use Lemonldap::NG::Common::CGI qw(fastcgi);</b1>
<s2>use Lemonldap::NG::Portal::SharedConf;</s2>
<s3># ...</s3>
<b4><s5>LMAUTH:</s5> while ( my $portal = Lemonldap::NG::Portal::SharedConf->new({}) ) </b4>{
Be careful with URL parameters
Attention aux paramètres des URL
31
31
Linux Tag
Linux Tag
<s0>if</s0><s1>(</s1><s2>$cgi</s2><s3>-></s3><s4>testUri</s4><s5>(</s5><s6>'http://test3.example.com/'</s6><s7>)</s7> <s8>{</s8>
<s0>if</s0><s1>(</s1><s2>$cgi</s2><s3>-></s3><s4>testUri</s4><s5>(</s5><s6>'http://test3.example.com/'</s6><s7>)</s7> <s8>{</s8>
Go to <c0>Portal</c0> » <c1>Settings</c1>:
Aller dans <c0>Portal</c0> » <c1>Settings</c1>:
<s0>Sign-in page <a1>URL</a1></s0>: <a2>SSO</a2> access point (HTTP-Redirect binding).
<s0>Sign-in page <a1>URL</a1></s0>: point d'accès <a2>SSO</a2> (HTTP-Redirect binding).
<s21>Deny</s21> from <s22>all</s22>
<s21>Deny</s21> from <s22>all</s22>
Registered users on Google Apps with the same email than those used by <a0>LL::NG</a0> (email will be the NameID exchanged between Google Apps and <a1>LL::NG</a1>)
Enregistrer les utilisateurs dans Google Apps avec la même adresse mail que celle utilisée dans <a0>LL::NG</a0> (l'adresse mail sera le NameID échangé entre Google Apps et <a1>LL::NG</a1>)
Headers are associations between an header name and a perl expression that returns a string.
Les en-têtes sont des associations entre un nom d'en-tête et une expression perl qui retourne une chaîne.
As passwords will not be managed by <a0>LL::NG</a0>, you can disable <a1>menu password module</a1>.
Comme les mots-de-passe ne sernt pas gérés par <a0>LL::NG</a0>, il est possile de désactiver le <a1>module mots-de-passe du menu</a1>.
When portal is installed, a file named portal.wsdl is created.
Lorsque le portail est installé, un fichier nommé portal.wsdl est créé.
You might want to display different skin depending on the <a0>URL</a0> that was called before being redirected to the portal, or the <a1>IP</a1> address of the user.
On peut vouloir utiliser différents thèmes en fonction de l'<a0>URL</a0> demandée avant la redirection au portail ou en fonction de l'adresse <a1>IP</a1> de l'utilisateur.
For Active Directory, the default authentication filter is:
Pour Active Directory, le filtre d'authentification par défaut est :
Zimbra preauthentication <a0>URL</a0>
<a0>URL</a0> de pré-authentification Zimbra
<a0>LL::NG</a0> can be used to prompt users with a message.
<a0>LL::NG</a0> peut être utilisé pour présenter des messages aux utilisateurs.
You can show them using <a0>Facebook Graph API explorer</a0>
On peut les voir en utilisant l'<a0>explorateur de l'API Graph de Facebook</a0>
20
20
#google_apps_control_panel
#google_apps_control_panel
^/minig
^/minig
<a2>ldapminihowto</a2><br3/>
<a2>ldapminihowto</a2><br3/>
<s38>'templatelist'</s38> <s39>=></s39> <s40>'default,basic,MyOrgTemplate'</s40><s41>,</s41>
<s38>'templatelist'</s38> <s39>=></s39> <s40>'default,basic,MyOrgTemplate'</s40><s41>,</s41>
<s0><s1>[</s1>portal<s2>]</s2></s0>
# Custom template parameters
<s3>tpl_myparam</s3> <s4>=</s4><s5> world</s5>
<s0><s1>[</s1>portal<s2>]</s2></s0>
# Custom template parameters
<s3>tpl_myparam</s3> <s4>=</s4><s5> world</s5>
http://lemonldap.ow2.org/NG/devel-doc/
http://lemonldap.ow2.org/NG/devel-doc/
<s0>accept</s0>: all authenticated users will access surveys
<s0>accept</s0> : tous les utilisateurs authentifiés peuvent accéder aux surveillances
Configure Federation ID
Configurer l'identifiant de fédération
<a0>The status page</a0> can be read by <a1>MRTG</a1> using the script <s2>lmng-mrtg</s2> that can be found in manager example directory.
<a0>La page de statut</a0> peut être lue par <a1>MRTG</a1> en utilisant le script <s2>lmng-mrtg</s2> qui peut être trouvé dans le répertoire "example" du manager.
../../../media/documentation/configuration-ldap.png
../../../media/documentation/configuration-ldap.png
API documentation
Documentation de l'interface de programmation (API)
You also need to register to Google the redirect <a0>URI</a0>.
Il faut également enregistrer chez Google l'<a0>URI</a0> de redirection.
Select the key, and export it (button <c0>Download this file</c0>):
Selectionner la clef, et l'exporter (bouton <c0>Download this file</c0>):
As J2EE servlet container, Tomcat provides standard security feature, like authentication: the application deployed in Tomcat can delegate its authentication to Tomcat.
Comme conteneur de servlet J2EE, Tomcat fournit les fonctionnalités de sécurité standards, telles l'authentification : une application déployée dans Tomcat peut déléguer son authentification à Tomcat.
The choice will concern three backends:
Ce choix concerne 3 backends:
<a0>LL::NG</a0> can act as an <a1>SAML</a1> 2.0 Identity Provider, that can allow to federate <a2>LL::NG</a2> with:
<a0>LL::NG</a0> peut agir en fournisseur d'identité <a1>SAML</a1> 2.0, ce qui permet de fédérer <a2>LL::NG</a2> avec :
Example with the portal:
Exemple avec le portail :
Language
Langue
https://authssl.example.com
https://authssl.example.com
In this case, the Apache authentication module should not require a valid user and not be authoritative, else Apache server will return an error and not let <a0>LL::NG</a0> Portal manage the failback authentication.
Dans ce cas, la module d'authentification Apache ne doit pas exiger un utilisateur valide et ne dois pas être impératif, sinon le serveur Apache va retourner une erreur sans passer la main au portail <a0>LL::NG</a0>.
Restart Apache to purge it.
Redémarrer Apache pour le purger.
DEB bundle
Paquets DEB
<a0>IP</a0> of the user (can be the X Forwarded For <a1>IP</a1> if trusted proxies are configured)
<a0>IP</a0> de l'utilisateur (peut être celle de l'en-tête X-Forwarded-For si des proxies agréés ont été configurés)
http://www.mediawiki.org/wiki/Extension:Siteminder_Authentication
http://www.mediawiki.org/wiki/Extension:Siteminder_Authentication
Example template:
Modèle exemple :
You can add this YUM repository to get recent packages:
Ajouter ces dépôts YUM pour obtenir les paquets récents :
LemonLDAP::NG Handler
Agent LemonLDAP::NG (handler)
The fields are defined in <a1>OpenID Connect standard</a1>, and depends on the scope requested by <a2>LL::NG</a2> (see options in next chapter).
Les champs sont définis dans le <a1>standard OpenID-Connect</a1>, et dépendent de la portée requise par <a2>LL::NG</a2> (voir les options dans le prochain chapitre).
<s17>"auto_update_force_group"</s17> <s18>=></s18> <s19>false</s19><s20>,</s20>
<s17>"auto_update_force_group"</s17> <s18>=></s18> <s19>false</s19><s20>,</s20>
<a2>translations</a2><br3/>
<a2>traductions</a2><br3/>
Main differences with mod_proxy:
Principales différences avec mod_proxy :
authentication_portal_1340022238188.png
authentication_portal_1340022238188.png
By default, a user can open several <a0>sessions</a0>.
Par défaut, un utilisateur peut ouvrir plusieurs <a0>sessions</a0>.
$authenticationLevel > 2
$authenticationLevel > 2
Try <a0>http://test1.example.com</a0> or <a1>http://test2.example.com</a1>
Essayez <a0>http://test1.example.com</a0> ou <a1>http://test2.example.com</a1>
Your database must have a specific table to host sessions.
Il faut dédier une table pour héberger les sessions.
<s0>Memcached servers</s0>: addresses of Memcached servers, separated with spaces.
<s0>Serveurs Memcached</s0> : adresses des serveurs Memcached, separés par des espaces.
Handler build the preauth request and redirect user on Zimbra preauth <a0>URL</a0>
Le handler construit la requête de pré-authentification et redirige l'utilisateur sur l'<a0>URL</a0> de pré-authentification de Zimbra
Here are some examples for main databases servers.
Quelques exemples pour les serveurs principaux.
You can now the upload the certificate (<c0>cert.pem</c0>) on Google Apps.
Télécharger ensuite le certificat (<c0>cert.pem</c0>) dans Google Apps.
You can call it <c0>france-connect</c0> for example.
On peut l'appeler <c0>france-connect</c0> par exemple.
/_detail/screenshots/1.1/mailreset/mailreset_step5.png?id=screenshots
/_detail/screenshots/1.1/mailreset/mailreset_step5.png?id=screenshots
By hand in Liferay administration screens
À la main dans les écrans d'administration de Liferay
<a0>Drupal</a0> is a <a1>CMS</a1> written in PHP.
<a0>Drupal</a0> est un <a1>CMS</a1> écrit en PHP.
Also adapt your entityID to match the Assertion issuer: google.com/a/mydomain.org
Adapter également l' "entityID" pour qu'elle corresponde à l'émetteur de l'assertion : google.com/a/mydomain.org
http://en.wikipedia.org/wiki/Perl_Compatible_Regular_Expressions
http://en.wikipedia.org/wiki/Perl_Compatible_Regular_Expressions
<s0><a1>SAML</a1> 2 Service</s0>: <a2>SAML</a2> metadata administration
<s0>Service <a1>SAML</a1></s0> : administration des métadonnées <a2>SAML</a2>
<a0>CAS</a0>_pgtFile
<a0>CAS</a0>_pgtFile
../../../../media/documentation/googleapps-export-priv-key.png
../../../../media/documentation/googleapps-export-priv-key.png
Body for password mail
Corps du message de changement de mot-de-passe
An authorization is defined by:
Une autorisation est définie pas :
IssuerDB
IssuerDB
Modify Manager protection
Modifier la protection du manager
SVN access
Accès au dépôt SVN
twitterKey
twitterKey
So, to keep user password in session, you cannot just export the password variable in session.
Donc pour conserver le mot-de-passe utilisateur dans la session, on ne peut seulement exporter la variable mot-de-passe dans la session.
<s0>Success mail content</s0> (optional): Content of mail sent when password is changed
<s0>Contenu du message</s0> (optionnel) : contenu du courriel envoyé lorsque le mot-de-passe est changé
jre > 1.4
jre > 1.4
OBM_UID
OBM_UID
_password
_password
menu.png
menu.png
<s0>Use rule</s0>: a rule to allow user to use this module, set to 1 to always allow.
<s0>Règle d'utilisation</s0> : une règle pour autoriser l'usage de ce module, mettre 1 pour toujours l'autoriser.
This works with every LDAP v2 or v3 server, including <a0>Active Directory</a0>.
Ceci fonctionne avec tout serveur LDAP v2 ou v3, dont <a0>Active Directory</a0>.
../documentation/current/writingrulesand_headers.html
../documentation/current/writingrulesand_headers.html
You should have configured <a0>LL::NG</a0> as a <a1>SAML Identity Provider</a1>.
Il est nécessaire d'avoir configuré <a0>LL::NG</a0> comme <a1>fournisseur d'identité SAML</a1>,
<s0>Server hostname</s0>: this is the hostname or <a1>IP</a1> address of the Radius server
<s0>Nom d'hôte du serveur</s0> : le nom d'hôte ou l'adresse <a1>IP</a1> du serveur Radius
You can do it either by uploading the file, or get it from SP metadata <a0>URL</a0> (this require a network link between your server and the SP).
Ceci peut être fait soit en téléchargeant le fichier, soit en l'obtenant par l'<a0>URL</a0> de métadatas du SP (à condition d'avoir un lien réseau entre le serveur et le SP):
$uid
$uid
EntityId: Salesforce (the SP) Entity ID.
EntityId : identifiant d'entité Salesforce (le SP).
http://www.mediawiki.org
http://www.mediawiki.org
Configuration database
Base de données de la configuration
update-alternatives --config editor
update-alternatives --config editor
<s0><s1>[</s1>manager<s2>]</s2></s0>
# Manager protection: by default, the manager is protected by a demo account.
<s0><s1>[</s1>manager<s2>]</s2></s0>
# Manager protection: by default, the manager is protected by a demo account.
portal.png
portal.png
You can also use a FastCGI server using index.fcgi given in portal examples.
On peut utiliser un serveur FastCGI en utilisant le fichier index.fcgi disponible dans les exemples du portail.
This should be set as Default.
Peut être défini par défaut.
../download.html
../download.html
If you need to add a template parameter for your customization, then add to <c0>lemonldap-ng.ini</c0>:
Pour ajouter un paramètre de modèle, l'ajouter dans <c0>lemonldap-ng.ini</c0>:
http://search.cpan.org/search?query=DBD%3A%3A&mode=module
http://search.cpan.org/search?query=DBD%3A%3A&mode=module
../../documentation/presentation.html#login
../../documentation/presentation.html#login
You can then choose any other module for users and password but if you want to totally delegate authentication to BrowserID, choose <a0>None</a0> for users and password.
On peut ensuite choisir n'importe quel autre module de gestion des utilisateurs et des mots-de-passe mais pour déléguer totalement l'authentification à BrowserID, choisir <a0>None</a0> pour la gestion des utilisateurs et des mots de passe.
Access rule: <c0>$groups =~ /\badministrators\b/</c0>
Règle d'accès : <c0>$groups =~ /\badministrators\b/</c0>
Nick name
Nick name
Oliver BOIREAU
Oliver BOIREAU
Multi values separator
Séparateur des multiples valeurs
authentication_portal_1340022292201.png
authentication_portal_1340022292201.png
<s0>Control header name</s0>: header that contains a value to control.
<s0>Nom de l'en-tête de contrôle</s0> : en-tête qui contient la valeur à contrôler.
Content Management System
Système de gestion de contenu
<s0>Optimized</s0> for <a1>session explorer</a1> and <a2>single session</a2> features.
<s0>Optimisé</s0> pour l'<a1>explorateur de sessions</a1> et les fonctionnalités de <a2>session unique</a2>.
<s38><s39><user</s39> <s40>username</s40>=<s41>"both"</s41> <s42>password</s42>=<s43>"tomcat"</s43> <s44>roles</s44>=<s45>"tomcat,role1"</s45><s46>/></s46></s38>
<s47><s48></tomcat-users<s49>></s49></s48></s47>
<s38><s39><user</s39> <s40>username</s40>=<s41>"both"</s41> <s42>password</s42>=<s43>"tomcat"</s43> <s44>roles</s44>=<s45>"tomcat,role1"</s45><s46>/></s46></s38>
<s47><s48></tomcat-users<s49>></s49></s48></s47>
First parameter passed to the custom function is the requested <a0>URL</a0>, that is
Le premier paramètre passé à la fonction personnalisée est l'<a0>URL</a0> demandée, c'est à dire
Nb users
Nb d'utilisateurs
Databases (DBI)
Bases de données (DBI)
<s25>"server_ip_address"</s25> <s26>=></s26> <s27>"localhost"</s27><s28>,</s28>
<s25>"server_ip_address"</s25> <s26>=></s26> <s27>"localhost"</s27><s28>,</s28>
Quick start tutorial
Tutoriel rapide
mailto:lemonldap-ng-dev@ow2.org
mailto:lemonldap-ng-dev@ow2.org
An <a0>URL</a0> pattern (or <c1>default</c1> to match other URLs)
Une expression sur l'<a0>URL</a0> (ou <c1>default</c1> pour les URLs ne correspondant pas aux règles)
In this case you will have two Apache configuration files:
Dans ce cas 2 fichiers de configuration Apache doivent être renseignés :
logout_sso http://intranet/
logout_sso http://intranet/
documentation:latest:logs
documentation:latest:logs
See <a0>Register partner Service Provider on LemonLDAP::NG</a0> configuration chapter.
Voir <a0>Enregistrer un fournisseur de service dans LemonLDAP::NG</a0>.
FOSDEM
FOSDEM
Warning: key is not defined, set it in the manager !
Warning: key is not defined, set it in the manager !
To summarize, to get the user connected trough the <c0>Auth-User</c0> HTTP Header, use this Sping Security configuration:
En résumé, pour connecter les utilisateurs vie l'entête HTTP <c0>Auth-User</c0>, utiliser cette configuration de Spring Security :
Give a non ascii data
Done une valeur non-ascii
Password reset
Réinitialisation de mots-de-passe
accept
accept
IssuerDB use
Utilisation de IssuerDB
<s2>Order</s2> <s3>deny</s3>,<s4>allow</s4>
<s2>Order</s2> <s3>deny</s3>,<s4>allow</s4>
Install the package <c0>lemonldap-ng-conf</c0> on all server which contains one of those packages.
Installer le paquet <c0>lemonldap-ng-conf</c0> sur tous les serveurs qui contiennent un de ces paquets.
portalRequireOldPassword
portalRequireOldPassword
Shared attributes (SREG)
Attributs partagés (SREG)
<s9>Options</s9> +ExecCGI +<s10>FollowSymLinks</s10>
<s9>Options</s9> +ExecCGI +<s10>FollowSymLinks</s10>
Allow only one <a0>IP</a0> address per user
N'autoriser qu'une adresse <a0>IP</a0> par utilisateur
When using IDP modules (like <a0>CAS</a0> or <a1>SAML</a1>), the activation of Apache authentication can alter the operation.
Lorsqu'on utilise des modules IDP (tels <a0>CAS</a0> ou <a1>SAML</a1>), l'activation de 'authentification Apache peut altérer l'operation.
<a0>SAML</a0> can use different NameID formats.
<a0>SAML</a0> peut utiliser plusieurs formats de NameID.
install http_authentication plugin
installer le plugin http_authentication
In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose OpenID for authentication and/or users.
Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir <a2>OpenID</a2> pour les modules authentification, utilisateurs et/ou mots-de-passe.
iso2unicode($name)
iso2unicode($name)
Default
Défaut
Restart all your Apache servers
Redémarrer tous vos serveurs Apache
See <a0>Writing rules and headers</a0> for more.
Voir <a0>Écrire les règles et en-têtes</a0> pour plus d'informations.
<a0>CAS</a0> force gateway authentication
Forcer l'authentification de passerelle <a0>CAS</a0>
Deny access to /config/ directory
Interdire l'accès au répertoire /config/
c:/my hardisk/tomcat/
c:/my hardisk/tomcat/
######################################################################
# Multi Router Traffic Grapher -- Sample Configuration File
######################################################################
# This file is for use with mrtg-2.5.4c
# Global configuration
WorkDir: /var/www/mrtg
WriteExpires: Yes
Title[^]: Traffic Analysis for
# 128K leased line
# ----------------
#Title[leased]: a 128K leased line
#PageTop[leased]: <H1>Our 128K link to the outside world</H1>
#Target[leased]: 1:public@router.localnet
#MaxBytes[leased]: 16000
Target[test.example.com]: `/etc/mrtg/lmng-mrtg 172.16.1.2 https://test.example.com/status OK OK`
Options[test.example.com]: nopercent, growright, nobanner, perminute
PageTop[test.example.com]: <h1>Requests OK from test.example.com</h1>
MaxBytes[test.example.com]: 1000000
YLegend[test.example.com]: hits/minute
ShortLegend[test.example.com]: hits/mn
LegendO[test.example.com]: Hits:
LegendI[test.example.com]: Hits:
Legend2[test.example.com]: Hits per minute
Legend4[test.example.com]: Hits max per minute
Title[test.example.com]: Hits per minute
WithPeak[test.example.com]: wmy
######################################################################
# Multi Router Traffic Grapher -- Sample Configuration File
######################################################################
# This file is for use with mrtg-2.5.4c
# Global configuration
WorkDir: /var/www/mrtg
WriteExpires: Yes
Title[^]: Traffic Analysis for
# 128K leased line
# ----------------
#Title[leased]: a 128K leased line
#PageTop[leased]: <H1>Our 128K link to the outside world</H1>
#Target[leased]: 1:public@router.localnet
#MaxBytes[leased]: 16000
Target[test.example.com]: `/etc/mrtg/lmng-mrtg 172.16.1.2 https://test.example.com/status OK OK`
Options[test.example.com]: nopercent, growright, nobanner, perminute
PageTop[test.example.com]: <h1>Requests OK from test.example.com</h1>
MaxBytes[test.example.com]: 1000000
YLegend[test.example.com]: hits/minute
ShortLegend[test.example.com]: hits/mn
LegendO[test.example.com]: Hits:
LegendI[test.example.com]: Hits:
Legend2[test.example.com]: Hits per minute
Legend4[test.example.com]: Hits max per minute
Title[test.example.com]: Hits per minute
WithPeak[test.example.com]: wmy
<s0>How do users authenticate?</s0>: by login
<s0>How do users authenticate?</s0>: by login
Gigabyte
Gigaoctet
<s0>configuration</s0>: where configuration is stored
<s0>configuration</s0> : où la configuration est stockée
<s0><a1>Notifications</a1></s0>: prompt users with a message if found in the notification database
<s0><a1>Notifications</a1></s0> : interrompt les utilisateurs avec un message s'il est trouvé dans la base de données des notifications
<s0>Cookie name</s0>: name of the cookie, can be changed to avoid conflicts with other LemonLDAP::NG installations
<s0>Nom de cookie</s0> : nom du cookie, peut être changé pour éviter les conflits avec d'autres installations LemonLDAP::NG
It allows to use <a0>SAML</a0> to authenticate users.
SalesForce permet l'emploi de <a0>SAML</a0> pour authentifier les utilisateurs.
<a0>LL::NG</a0> can use a lot of databases as authentication, users and password backend:
<a0>LL::NG</a0> peut utiliser de nombreuses bases de données comme backend d'authentification, d'utilisateurs et de mots de passe :
<s0>Check <a1>XSS</a1> Attacks</s0>: Set to 'Off' to disable <a2>XSS</a2> checks.
<s0>Contrôler les attaques <a1>XSS</a1></s0> : mettre à 'désactivé' pour désactiver la détection des attaques <a2>XSS</a2>.
<a41><s42>print</s42></a41> <s43>STDERR</s43> <s44>"SOAP Error: "</s44> <s45>.</s45> <s46>$r</s46><s47>-></s47><s48>fault</s48><s49>-></s49><s50>{</s50>faultstring<s51>}</s51><s52>;</s52>
<s53>}</s53>
<s54>else</s54> <s55>{</s55>
<a41><s42>print</s42></a41> <s43>STDERR</s43> <s44>"SOAP Error: "</s44> <s45>.</s45> <s46>$r</s46><s47>-></s47><s48>fault</s48><s49>-></s49><s50>{</s50>faultstring<s51>}</s51><s52>;</s52>
<s53>}</s53>
<s54>else</s54> <s55>{</s55>
https://upgrade.yubico.com/getapikey/
https://upgrade.yubico.com/getapikey/
<s157>"userobm_ext_id"</s157> <s158>=></s158> <s159>"HTTP_OBM_SERIALNUMBER"</s159><s160>,</s160>
<s157>"userobm_ext_id"</s157> <s158>=></s158> <s159>"HTTP_OBM_SERIALNUMBER"</s159><s160>,</s160>
applications:googleapps_logo.png
applications:googleapps_logo.png
The portal is the visible part of LemonLDAP::NG, all user interactions are displayed on it.
Le portail est la partie visible de LemonLDAP::NG, toutes les interactions utilisateurs y sont affichées.
language
language
../media/screenshots/1.1/mailreset/mailreset_step5.png
../media/screenshots/1.1/mailreset/mailreset_step5.png
Metadata
Métadonnée
Disable all signature flags in <c0>Options</c0> » <c1>Signature</c1>, except <c2>Sign <a3>SSO</a3> message</c2> which should be to <c4>On</c4>
Désactiver toutes les cases dans <c0>Options</c0> » <c1>Signature</c1>, excepté <c2>Signer les messages <a3>SSO</a3></c2> qui doit être activée
Code snippet
Exemple de code
MediWiki local configuration
Configuration locale MediaWiki
documentation:latest:portalcustom
documentation:latest:portalcustom
Order your rules
Ordonner les règles
<s88>//"userobm_photo_id" => ,</s88>
<s88>//"userobm_photo_id" => ,</s88>
Local groups
Groupes locaux
This concerns all parameters for the Organization metadata section:
Ceci concerne tous les paramètres de la section "organization" des métadatas :
<s0>Reset value</s0>: value to set in reset attribute to activate password reset (default: TRUE).
<s0>Valeur de reset</s0> : valeur à mettre dans l'attribut reset pour activer la réinitialisation du mot-de-passe (défaut : TRUE).
One of this module can be used to delegate authentication server to the web server: <a2>Webserver Auth</a2>.
L'un de ses modules peut être utilisé pour déléger l'authentification serveur au serveur web : <a2>Webserver Auth</a2>.
Check if <a0>URL</a0> asked is valid
Vérifie que l'<a0>URL</a0> demandée est validée
<s0>DNSDOMAIN</s0>: Main <a1>DNS</a1> domain (default: example.com)
<s0>DNSDOMAIN</s0> : domaine <a1>DNS</a1> proncipal (défaut : example.com)
Available bindings are:
Les déclarations disponibles sont :
<s146>//"userobm_nomade_local_copy" => ,</s146>
<s146>//"userobm_nomade_local_copy" => ,</s146>
You can for example set up a fail-over cluster with <a0>Heartbeat</a0> and <a1>HAproxy</a1>, like this:
Par exemple on peut créer un cluster avec <a0>Heartbeat</a0> et <a1>HAproxy</a1> :
<s56>my</s56> <s57>$res</s57> <s58>=</s58> <s59>$r</s59><s60>-></s60><s61>result</s61><s62>(</s62><s63>)</s63><s64>;</s64>
<s56>my</s56> <s57>$res</s57> <s58>=</s58> <s59>$r</s59><s60>-></s60><s61>result</s61><s62>(</s62><s63>)</s63><s64>;</s64>
→ Check grantSessionRule parameter.
→ Vérifier le paramètre grantSessionRule.
<a0>LL::NG</a0> uses <a1>Apache SSL module</a1>, like any other <a2>Apache authentication module</a2>, with extra features:
<a0>LL::NG</a0> utilise le <a1>module SSL d'Apache</a1>, comme n'importe quel <a2>module d'authentification d'Apache</a2> avec quelques fonctionnalités supplémentaires :
http://www.switch.ch/aai/support/tools/wayf.html
http://www.switch.ch/aai/support/tools/wayf.html
GLib
GLib
<s153>//"userobm_samba_home" => ,</s153>
<s153>//"userobm_samba_home" => ,</s153>
Trusted domains
Domaines agréés
../media/icons/flags/ua.png
../media/icons/flags/ua.png
If OpenID is used as users database, attributes will be requested to the server with SREG extention.
Si OpenID est utilisé comme base d'utilisateurs, les attributs sont demandés en utilisant l'extension SREG d'OpenID.
http://phpldapadmin.sourceforge.net
http://phpldapadmin.sourceforge.net
Import or generate security keys
Importer ou generer les clefs de securité
You need to register a new application on Twitter to get <a0>API</a0> key and <a1>API</a1> secret.
Vous devez enregistrer votre nouvelle application dans Twitter pour obtenir la clef de l'<a0>API</a0> et son secret<a1></a1>.
Parameters for <a0>DBI</a0> backend are the same as <a1>DBI configuration backend</a1>.
Les paramètres pour le backend <a0>DBI</a0> sont les mêmes que ceux du <a1>backend de configuration DBI</a1>.
syslog
syslog
→ The host is not known by LemonLDAP::NG.
→ L'hôte n'est pas connu de LemonLDAP::NG.
<s0>IDP resolution cookie name</s0>: by default, it's the <a1>LL::NG</a1> cookie name suffixed by <c2>idp</c2>, for example: <c3>lemonldapidp</c3>.
<s0>Nom du cookie de résolution de l'IDP</s0>: par défaut, c'est le nom du cookie <a1>LL::NG</a1> auquel est adjoint <c2>idp</c2>, par exemple: <c3>lemonldapidp</c3>.
Backends
Backends
RBAC model
Modèle RBAC
screenshots:1.1:mailreset:mailreset_step2.png
screenshots:1.1:mailreset:mailreset_step2.png
By default, configuration is stored in <a0>files</a0>, so access trough network is not possible.
Par défaut, la configuration est stockée dans des <a0>fichiers</a0>, donc l'accès par le réseau n'est en général pas possible.
<s0>default_access</s0> (optional): what result to return if <s1>logon_hours</s1> is empty
<s0>default_access</s0> (optionnel) : resultat à retourner si <s1>logon_hours</s1> est vide
<s0>Port</s0>: port of the application (by default, 80 for http, 443 for https)
<s0>Port</s0> : port de l'application (par défaut, 80 pour http, 443 pour https)
<a0>LL::NG</a0> can use SAML2 to get user identity and grab some attributes defined in user profile on its Identity Provider (IDP).
<a0>LL::NG</a0> peut utiliser SAML2 pour obtenir l'identité et d'autres attributs definis dans le profil utilisateur défini chez son fournisseur d'identité (IDP).
Google does not support logout trough OpenID Connect.
Google ne supporte pas la déconnexion via OpenID-Connect.
In the context of an HTTP transaction, the basic access authentication is a method designed to allow a web browser, or other client program, to provide credentials – in the form of a user name and password – when making a request.
Dans le contexte d'une transaction HTTP, l'authentification basique est une méthode qui permet au navigateur ou un autre programme client de fournir des éléments d'authentification – sous la forme d'un nom et d'un mot de passe – à chaque requête.
documentation:liferay_1.png
documentation:liferay_1.png
<a0>LL::NG</a0> use cron jobs to:
<a0>LL::NG</a0> utilise des tâches planifiées pour :
decreased (-1) if the portal autocompletion is allowed (see <a0>portal customization</a0>)
diminué (-1) si l'autocompletion est autorisée sur le portail (voir <a0>Personnalisation du portail</a0>)
../../../../css/all.css
../../../../css/all.css
<a0>DBI</a0> user
Utilisateur <a0>DBI</a0>
This means that if several Handlers are deployed, each will manage its own statistics.
Donc si plusieurs agents sont déployés, chacun gère ses propres statistiques.
../../../../media/documentation/googleapps-ssoconfig.png
../../../../media/documentation/googleapps-ssoconfig.png
<a0>LL::NG</a0> can also act as <a1>OpenID server</a1>, that allows to interconnect two <a2>LL::NG</a2> systems.
<a0>LL::NG</a0> peut également agir en <a1>serveur OpenID</a1>, ce qui permet également d'interconnecter deux systèmes <a2>LL::NG</a2>.
Sessions are deleted by a scheduled task.
Les sessions sont effacées par des tâches planifiées.
A request to the main session database is done (trough <a1>SOAP session backend</a1>) to be sure that the session exists.
Une requête à la base de données des sessions principale est effectuée (via le <a1>backend de session SOAP</a1>) pour être sûr que la session existe.
<s42>'create_survey'</s42> <s43>=></s43> <s44>$_SERVER</s44><s45>[</s45><s46>'HTTP_AUTH_ADMIN'</s46><s47>]</s47> <s48>||</s48> <s49>$_SERVER</s49><s50>[</s50><s51>'HTTP_AUTH_SUPERADMIN'</s51><s52>]</s52><s53>,</s53>
<s42>'create_survey'</s42> <s43>=></s43> <s44>$_SERVER</s44><s45>[</s45><s46>'HTTP_AUTH_ADMIN'</s46><s47>]</s47> <s48>||</s48> <s49>$_SERVER</s49><s50>[</s50><s51>'HTTP_AUTH_SUPERADMIN'</s51><s52>]</s52><s53>,</s53>
(adapt the domain if necessary)
(adapter le domaine si nécessaire)
Jean-Thomas CHECCO
Jean-Thomas CHECCO
cat /usr/local/lemonldap-ng/etc/lemonldap-ng/for_etc_hosts >> /etc/hosts
cat /usr/local/lemonldap-ng/etc/lemonldap-ng/for_etc_hosts >> /etc/hosts
A login is considered as successful if user get authenticated and is granted a session; as failed, if he fails to authenticate or if he is not allowed to open a session.
Une connexion est considérée comme réussie si l'utilisateur est authentifié et autorisé à ouvrir une session ; comme échouée, sinon.
Authentication process main steps are:
Les étapes du processus d'authentication sont :
portal
portail
Portal creates a session to store user data
Le portail crée une session et y stocke les données
If you choose to use MySQL, read <a0>how to increase MySQL performances</a0>.
Si MySQL est choisi, lire <a0>comment augmenter les performances de MySQL</a0>.
_openid_<e0>id</e0>
_openid_<e0>id</e0>
icons:jabber_protocol.png
icons:jabber_protocol.png
The main portal is configured to use <a0>CDA</a0>.
Le portail principal est configuré pour utiliser le <a0>CDA</a0>.
GRR
GRR
Translators that want to help us are welcome !
Les traducteurs qui veulent nous aider sont les bienvenus !
Display other sessions
Affiche les autres sessions
lemonldap-ng-portal-password.png
<lemonldap-ng-portal-password.png
Remote cookie name
Nom du cookie distant
<a4>memcachedsessionbackend</a4><br5/>
<a4>memcachedsessionbackend</a4><br5/>
LDAP server
Serveur LDAP
applications:spring_logo.png
applications:spring_logo.png
Advanced configuration
Configuration avancée
</<s10>Directory</s10>>
</<s10>Directory</s10>>
LemonLDAP::NG is a modular WebSSO (Single Sign On) based on Apache::Session modules.
LemonLDAP::NG est en WebSSO (Single Sign On) modulaire basé sur les modules Apache::Session.
Portal gets the session key
Le portail récupère la clef de session
Get the tarball
Récupérer l'archive
SOAP configuration backend
Backend de configuration SOAP
SOAP configuration backend proxy
le proxy de backend de configuration SOAP
Code to replace:
Code à remplacer :
<s15>'key'</s15> <s16>=></s16> <s17>'q`e)kJE%<&wm>uaA'</s17><s18>,</s18>
<s15>'key'</s15> <s16>=></s16> <s17>'q`e)kJE%<&wm>uaA'</s17><s18>,</s18>
checkDate($ssoStartDate, $ssoEndDate)
checkDate($ssoStartDate, $ssoEndDate)
<s0>François-Xavier DELTOMBE</s0>: developer, tester
<s0>François-Xavier DELTOMBE</s0> : developeur, testeur
<a0>Configure the Apache server</a0> that host the portal to use the Apache Kerberos authentication module
<a0>Configurer le serveur Apache</a0> qui héberge le portail utilisant le module d'authentification Kerberos d'Apache
internal_email_by_netid 1
internal_email_by_netid 1
<s0>OpenID login</s0>: the session key used to match OpenID login.
<s0>Identificant OpenID</s0> : la clef de session utilisée pour correspondre au login OpenID.
If the user is not created, or can not be created via LDAP import, the connection to Liferay will be refused.
Si le compte n'est pas créé ou ne peut être créé par un import LDAP, la connexion à Liferay sera refusée.
Convert HTTP header into environment variable
Convertir les en-têtes HTTP en variables d'environnement
All SSL options are documented in <a0>Apache mod_ssl page</a0>.
Toutes les options SSL sont documentées dans la <a0>page mod_ssl d'Apache</a0>.
logos:logo_abuledu.png
logos:logo_abuledu.png
Thomas CHEMINEAU
Thomas CHEMINEAU
<<s9>Location</s9> /index.pl/sessions>
<<s9>Location</s9> /index.pl/sessions>
lemonldap-ng-handler: contains Apache Handler implementation (agent)
lemonldap-ng-handler : contient l'implémentation de l'agent pour Apache (handler)
notification
notification
<s0>SLO binding</s0>: force binding to use for SLO (http-redirect, http-post, etc.)
<s0>Méthode SLO</s0> : force la méthode à utiliser pour le SLO (http-redirect, http-post, etc.)
ou=sessions,dc=example,dc=com
ou=sessions,dc=example,dc=com
<s0>Authorized domains</s0>: white list or black list of OpenID client domains (<s1><a2>see below</a2></s1>).
<s0>Domaines autorisés</s0> : liste blanche ou noire des domaines clients OpenID (<s1><a2>voir ci-dessous</a2></s1>).
With tarball installation, Apache configuration files will be installed in <c0>/usr/local/lemonldap-ng/etc/</c0>, else they are in <c1>/etc/lemonldap-ng</c1>.
Depuis une installation par les sources, les fichiers de configuration d'Apache se trouvent dans <c0>/usr/local/lemonldap-ng/etc/</c0>, sinon, ils sont dans <c1>/etc/lemonldap-ng</c1>.
applications:zimbra_logo.png
applications:zimbra_logo.png
To manage the other way (<a0>LL::NG</a0> → Google Apps), you can add a dedicated <a1>logout forward rule</a1>:
Pour gérer l'autre voie (<a0>LL::NG</a0> → Google Apps), ajouter une <a1>règle de redirection après déconnexion</a1>:
<s0>deleteSession</s0>: delete a session
<s0>deleteSession</s0> : efface une session
<s75>'configurator'</s75> <s76>=></s76> <s77>$_SERVER</s77><s78>[</s78><s79>'HTTP_AUTH_SUPERADMIN'</s79><s80>]</s80><s81>,</s81>
<s75>'configurator'</s75> <s76>=></s76> <s77>$_SERVER</s77><s78>[</s78><s79>'HTTP_AUTH_SUPERADMIN'</s79><s80>]</s80><s81>,</s81>
<s0>roleSeparator</s0> (optional): role values separator.
<s0>roleSeparator</s0> (optionnel) : séparateur des valeurs de rôle.
../media/logos/logo_bpi.png
../media/logos/logo_bpi.png
Contact
Contact
install_handler_libs
install_handler_libs
../../../media/icons/personal.png
../../../media/icons/personal.png
SVN nightly builds
Extraction nocturne du dépôt SVN
Datas around the authentication process.
Données concernant le processus d'authentification.
Options: redirection port and protocol
Des options : port de redirection et protocole
Manager virtual host is used to serve configuration interface and local documentation.
L'hôte virtuel du manager est utilisé pour servir l'interface de configuration et la documentation locale.
<s0>Exceptions</s0>: allow anonymous access for specific URLs (connectors, etc.)
<s0>Exceptions</s0> : autoriser l'accès anonyme pour les URLs spécifiques (connecteurs, etc.)
/_detail/icons/terminal.png?id=documentation
/_detail/icons/terminal.png?id=documentation
<s0>Verification <a1>URL</a1></s0>: <a2>URL</a2> used to verifiy the BrowserID assertion.
<s0><a1>URL</a1> de vérification</s0> : <a2>URL</a2> utilisée pour vérifier l'assertion BrowserID.
To do this in Manager, go in General Parameters > Advanced Parameters > Notifications.
pour ce faire dans le manager, aller dans Paramètres généraux > Paramètres avancés > Notifications.
<s0>$_auth</s0> <s1>eq</s1> LDAP <s2>or</s2> <s3>$_auth</s3> <s4>eq</s4> DBI
<s0>$_auth</s0> <s1>eq</s1> LDAP <s2>or</s2> <s3>$_auth</s3> <s4>eq</s4> DBI
The conditions are checked in alphabetical order of comments.
Les conditions sont examinées dans l'ordre alphabétique des commentaires.
For CentOS/RHEL:
Pour CentOS/RHEL :
RDBI
RDBI
Standard virtual host directives, to serve portal pages:
Directives standard d'hôte virtuel pour servir les pages du portail :
<s4>Allow</s4> from <s5>all</s5>
<s4>Allow</s4> from <s5>all</s5>
<s4>RewriteRule</s4> ^/saml/.* /index.pl
</<s5>IfModule</s5>>
<s4>RewriteRule</s4> ^/saml/.* /index.pl
</<s5>IfModule</s5>>
Password -> ...
Password -> ...
http://www.cpantesters.org/distro/L/Lemonldap-NG-Manager.html
http://www.cpantesters.org/distro/L/Lemonldap-NG-Manager.html
The chosen logo file must be in portal applications logos directory (<c0>portal/skins/common/apps/</c0>).
Le logo choisi doit se trouver dans le répertoire des logos des applications (<c0>portal/skins/common/apps/</c0>).
You need <a0>Web::ID</a0> package.
Le paquet <a0>Web::ID</a0> est nécessaire.
yum install lemonldap-ng
yum install lemonldap-ng
http://www.youtube.com/watch?v=OJGB6jdN34Q
http://www.youtube.com/watch?v=OJGB6jdN34Q
Apache is not configured to authenticate users !
Apache is not configured to authenticate users !
Order of categories in the menu
Ordre des catégories dans le menu
You can allow these users instead of reject them:
On peut autoriser ces utilisateurs au lieu de les rejeter :
http://search.cpan.org/~massyn/Auth-Yubikey_WebClient/
http://search.cpan.org/~massyn/Auth-Yubikey_WebClient/
So HTTP Basic Autentication is managed trough an HTTP header (<c0>Authorization</c0>), that can be forged by <a1>LL::NG</a1>, with this precautions:
Ainsi l'authentification basique HTTP est gérée par des en-têtes HTTP (<c0>Autorisation</c0>), qui peut être générée par <a1>LL::NG</a1>, avec les précautions suivantes :
clean Handler cache
nettoyer le cache des agents
<s1>ServerName</s1> zimbra.example.com
<s1>ServerName</s1> zimbra.example.com
user login
nom de connexion
<s0>notice</s0> for good authentications or external exchange (<a1>SAML</a1>, OpenID,…)
<s0>notice</s0> pour les authentifications réussies et les échanges externes (<a1>SAML</a1>, OpenID,…)
<s0>Mail headers</s0>:
<s0>En-têtes de courriel</s0> :
Install it to trust packages:
L'installer pour certifier les paquets :
<s0>Application list</s0>: display categories and applications allowed for the user
<s0>Liste des applications</s0> : affiche les catégories et applications autorisée pour l'utilisateur
portalSkin
portalSkin
ldapPpolicyControl
ldapPpolicyControl
Build your packages
Construire les paquets
<s0>Confirmation mail subject</s0>: Subject of mail sent when password change is asked (default: [LemonLDAP::NG] Password reset confirmation)
<s0>Sujet du message de confirmation</s0> : sujet du courriel envoyé lorsque le changement de mot-de-passe est demandé (défaut: [LemonLDAP::NG] Password reset confirmation)
<a0>SOAP based</a0> for client-server software, specific development, …
<a0>Basé sur SOAP</a0> pour les logiciels client-serveur, les développements spécifiques, …
Advanced features
Fonctionnalités avancées
<s0>Application name</s0> (optional): Application name (visible in Twitter)
<s0>Nom d'application</s0> (optionel) : nom de l'application (visible dans Twitter)
Main internal databases are:
Les principales bases de données internes sont :
See <a0>installation pages</a0> to know how install and use it.
Voir les <a0>pages d'installation</a0> pour apprendre à l'installer et l'utiliser.
nickname
nickname
Performances
Performances
<a0>LL::NG</a0> can use a white list or a black list to filter allowed OpenID domains.
<a0>LL::NG</a0> peut utiliser une liste blanche ou noire pour filtrer les domaines OpenID autorisés.
Reload virtual host
Recharger l'hôte virtuel
<s0><a1>URL</a1></s0>: <a2>URL</a2> of your society
<s0><a1>URL</a1></s0>: <a2>URL</a2> de votre organisation
Informix
Informix
_whatToTrace ipAddr
_whatToTrace ipAddr
<s0>Allow login from IDP</s0>: allow a user to connect directly from an IDP link.
<s0>Authentification depuis le fournisseur autorisée</s0> : autorise l'utilisateur à se connecter directement depuis un lien de l'IDP.
PerlResponseHandler ModPerl::Registry
</<s3>Files</s3>>
PerlResponseHandler ModPerl::Registry
</<s3>Files</s3>>
<s0>Path</s0>: keep <c1>^/cas/</c1> unless you have change <a2>Apache portal configuration</a2> file.
<s0>Chemin</s0> : laisser <c1>^/cas/</c1> sauf si le fichier de <a2>configuration Apache du portail</a2> a été modifiée.
Then, go in <c0>WebID parameters</c0>:
Ensuite, aller dans les <c0>paramètres WebID</c0>:
authChoiceModules
authChoiceModules
/_detail/icons/wizard.png?id=documentation
/_detail/icons/wizard.png?id=documentation
translation memory directory = <e0>[path/to/trunk/build/lemonldap-ng]</e0>/omegat.files/zz/tm/
Répertoire des mémoires de traduction = <e0>[chemin/vers/trunk/build/lemonldap-ng]</e0>/omegat.files/zz/tm/
Please refer to Liferay documentation to enable LDAP provisionning.
Se reporter à la documentation Liferay pour activer l'alimentation LDAP.
Zimbra preauth key
Clef de pré-authentification Zimbra
applications:bugzilla_logo.png
applications:bugzilla_logo.png
<a0><s1>package</s1></a0> SSOExtensions<s2>;</s2>
<s3>sub</s3> function1 <s4>{</s4>
<a0><s1>package</s1></a0> SSOExtensions<s2>;</s2>
<s3>sub</s3> function1 <s4>{</s4>
LemonLDAP::NG allows to store user logins and login attempts in their persistent session.
LemonLDAP::NG permet de stocker les connexions et tentatives dans les sessions persistantes.
All lemonldap-ng tools are in /usr/share/lemonldap-ng/bin/
Tous les outils lemonldap-ng se trouvent dans /usr/share/lemonldap-ng/bin/
../../../../media/documentation/liferay_6.png
../../../../media/documentation/liferay_6.png
<s0>Store user password in session data</s0>: see <a1>password store documentation</a1>.
<s0>Stocker le mot-de-passe de l'utilisateur dans les données de session</s0> : voir la <a1>documentation sur le stockage du mot-de-passe</a1>.
If the rule evaluation is true, the corresponding skin is applied.
Si la règle correspond, le thème correspondant est appliqué.
The configuration is done in Apache, in a virtual host.
La configuration est effectuée dans Apache, dans les hôtes virtuels.
This module is also available on <a0>GitHub</a0>.
Ce module est également disponible sur <a0>GitHub</a0>.
Go in <c0>General parameters</c0> > <c1>Portal</c1> > <c2>Captcha</c2>:
Aller à <c0>Paramètres généraux</c0> » <c1>Portail</c1> » <c2>Captcha</c2> :
<s0><a1>HTML</a1> templates</s0>: in <lang> tags, add your translation, they will be automaticaly used
Les <s0>modèles <a1>HTML</a1></s0>: dans les balises <lang>, ajoutez vos traductions, elles seront automatiquement utilisées
<a0>DBI</a0> Pivot from user table
Pivot <a0>DBI</a0> pour la table utilisateur
Authorization
Autorisations
<a0>Identity provider</a0>: how forward user identity
<a0>Fournisseur d'identité</a0> : comment transférer l'identité
Timestamp of session creation
Date et heure (timestamp) de la création de la session
<s0>Mandatory</s0>: if set to On, then session will not open if this attribute is not given by IDP.
<s0>Obligatoire</s0> : si activé, les sessions ne seront ouvertes que si l'attribut est fourni par l'IDP.
<s0>Key</s0>: application name
<s0>Key</s0> : nom d'application
http://static.springsource.org/spring-security/site/
http://static.springsource.org/spring-security/site/
<s0>headers_map</s0>: map OBM internal field to <a1>LL::NG</a1> header
<s0>headers_map</s0>: établit la correspondance entre les champs internes d'OBM et les en-têtes <a1>LL::NG</a1>
MySQL
MySQL
'directory_umask' => '007',?
'directory_umask' => '007',?
Notification send function (index.pl/notification):
Fonction d'envoi de notifications (index.pl/notification):
A computer with a GNU/Linux or recent UNIX system
Un serveur équipé d'un GNU/Linux ou d'un système UNIX récent
<a0>LL::NG</a0> is designed using <a1>Model–View–Controller software architecture</a1>, so you just have to <a2>change HTML/CSS files</a2> to custom portal.
<a0>LL::NG</a0> a été conçu en utilisant <a1>l'architecture logicielle Modèle–Vue–Controlleur</a1>, ainsi vous avez juste à <a2>modifier les fichiers HTML/CSS</a2> pour personnaliser son portail.
To learn more about using Apache as reverse-proxy, see <a2>Apache documentation</a2>.
Pour en savoir plus sur l'utilisation d' Apache en reverse-proxy, consultez la <a2>documentation d'Apache</a2>.
See the README to know how install and configure it.
Voir le README pour l'installer et le configurer.
firstname
firstname
Bibliothèque Publique d'Information
Bibliothèque Publique d'Information
Known problems
Problèmes connus
secureTokenExpiration
secureTokenExpiration
The configuration is the same as the <a0>LDAP module</a0>.
La configuration est la même que mour le <a0>module LDAP</a0>.
../pages/playground/playground.html
../pages/playground/playground.html
<a0>DBI</a0> Password column
Colonne du mot-de-passe <a0>DBI</a0>
}?);
}?);
You have to change it to match your admin user (or use other conditions like group membership, or any other rule based on a session variable).
Il faut la changer pour correspondre au nouvel administrateur (ou utiliser une autre conditions telle l'appartenance aux groupes ou tout autre règle basée sur des variables de session).
LemonLDAP::NG is also able to <a0>catch logout request</a0> on protected applications, with different behavior:
LemonLDAP::NG peut également <a0>intercepter les requêtes de déconnexion</a0> des applications protégées, avec différent comportements :
dbiAuthChain
dbiAuthChain
The menu is displayed if authentication is successful.
Le menu est affiché si l'authentification est réussie.
Certificate authorities file
Fichiers des autorités de certification
Handler status page
Page de statut de l'agent
<s3>AuthName</s3> <s4>"LL::NG Manager"</s4>
<s3>AuthName</s3> <s4>"LL::NG Manager"</s4>
dwho
dwho
../../../../media/documentation/googleapps-menu.png
../../../../media/documentation/googleapps-menu.png
Local cache
Cache local
vi LocalSettings.php
vi LocalSettings.php
You can add this repository to have recent packages:
Ajouter ce dépôt pour avoir les paquets les plus récents :
Each module can be activated trough a rule, using user session information.
Chaque module peut être activé via une règle en utilisant les informations de session de l'utilisateur.
You have to create the branch by yourself
Il faut toutefois créer manuellement la branche
<s0>print</s0> <s1>"Connected user: "</s1><s2>.</s2><s3>$_SERVER</s3><s4>{</s4>HTTP_AUTH_USER<s5>}</s5><s6>;</s6>
<s0>print</s0> <s1>"Connected user: "</s1><s2>.</s2><s3>$_SERVER</s3><s4>{</s4>HTTP_AUTH_USER<s5>}</s5><s6>;</s6>
Configure MediaWiki virtual host like other <a0>protected virtual host</a0>.
Configurer l'hôte virtuel Mediawiki comme n'importe quel autre <a0>hôte virtuel protégé</a0>.
../pages/contact.html
../pages/contact.html
Logout on EndSession end point
Déconnexion via point d'accès EndSession
Use <a0>our own YUM repository</a0>.
Utiliser <a0>votre propre dépôt YUM</a0>.
../../../css/print.css
../../../css/print.css
managerTreeAutoClose
managerTreeAutoClose
appsListOrder
appsListOrder
Configuration text editor
Éditeur de configuration en mode text
Secondary LL::NG structure
Systèe LL::NG secondaire
<a0>Django</a0> is a high-level Python Web framework that encourages rapid development and clean, pragmatic design.
<a0>Django</a0> est un framework web de haut niveau écrit en Python qui favorise le développement rapide et propre et un design pragmatique.
Home
Accueil
When you use the multiple sessions restriction parameters, sessions are parsed for each authentication unless you use an <a0>Apache::Session::Browseable</a0> module.
Lorsque sont activées les paramètres de restriction d'ouverture de session, celles-ci sont toutes examinées à chaque nouvelle authentification sauf lorsqu'un module de la famille <a0>Apache::Session::Browseable</a0> est utilisé.
Then the second rule will be applied first, so every authenticated user will access to <c0>/pub/admin</c0> directory.
Alors la seconde règle est appliquée en premier, donc tous les utilisateurs authentifiés pourront accéder au répertoire <c0>/pub/admin</c0>.
"\@example.com"
"\@example.com"
You have to register the media identifer in your user backend (LDAP or SQL) to match the yubikey with a real user.
Il faut enregistrer le matériel dans le backend utilisateurs (LDAP ou SQL) pour le faire correspondre à un utilisateur.
protect the manager by Apache configuration
protéger le manager par configuration d'Apache
documentation:1.0:applications
documentation:1.0:applications
A day has 24 hours, and a week 7 days, so the value contains 168 bits, converted into 42 hexadecimal characters.
Un jour a 24 heures et une semaine 7 jours, donc la valeur contient 168 bits, convertie en 42 caractères hexadécimaux.
../documentation/current/installrpm.html
../documentation/current/installrpm.html
Such configuration can have some security problems:
Une telle configuration peut engendrer des problèmes de sécurité :
<s0>Client secret</s0>: Client secret given by OP
<s0>Secret client</s0> : secret client donné par l'OP
Password expiration workflow
Procédé d'expiration du mot-de-passe
It is recommended to use optional_no_ca since WebID doesn't use certificate authorities :
Il est recommandé d'utiliser « optional_no_ca » car WebID n'utilise pas d'autorité de certification :
<s11><s12><OrganizationDisplayName</s12> <s13>xml:lang</s13>=<s14>"en"</s14><s15>></s15></s11>Example<s16><s17></OrganizationDisplayName<s18>></s18></s17></s16>
<s11><s12><OrganizationDisplayName</s12> <s13>xml:lang</s13>=<s14>"en"</s14><s15>></s15></s11>Exemple<s16><s17></OrganizationDisplayName<s18>></s18></s17></s16>
documentation:remote-principle.png
documentation:remote-principle.png
The configuration name is the same that files, so lmConf-1, lmConf-2, etc.
Le nom de la configuration est le même que pour File : lmConf-1, lmConf-2, etc...
Install the module:
Installer le module :
An <a0>OpenID server</a0> with <a1>CAS authentication</a1>
Un <a0>serveur OpenID</a0> avec une <a1>authentification CAS</a1>
pages/contact.html
pages/contact.html
<s0>Want Assertions Signed</s0>: set to On to require that received assertions are signed.
<s0>Exiger des assertions signées</s0> : mettre à « activé » pour exiger de recevoir des assertions signées.
You can add, delete or modify a virtual host here.
Il est possible d'ajouter, effacer ou modifier un hôte virtuel ici.
<a0>Google Apps</a0> can use <a1>SAML</a1> to authenticate users, behaving as an <a2>SAML</a2> service provider, as explained <a3>here</a3>.
<a0>Les applications Google</a0> peuvent utiliser <a1>SAML</a1> pour authentifier les utilisateurs, en se comportant comme des fournisseurs de service <a2>SAML</a2>, tel qu'expliqué <a3>ici</a3>.
Yubikey secret key
Clef secrète Yubikey
Configure LemonLDAP::NG to use MySQL as main database
Configurer LemonLDAP::NG pour utiliser MySQL comme base de données principale
Configure your new backend (create SQL database,…)
Configurer le nouveau backend (creer la base de données SQL,…)
name
nom
They will be tested in the specified order.
Ils seront testés dans l'ordre indiqué.
Select Demonstration for authentication, user and password backend.
Selectionner Démonstration pour les backends authentification, utilisateurs et mots-de-passe.
HTTPS
HTTPS
Gendarmerie Nationale
Gendarmerie Nationale
<s0>Password expire warning</s0> : number of seconds between password expiration and the date from which user is warned his password will expire.
<s0>Délai d'avertissement d'expiration du mot-de-passe</s0> : nombre de secondes entre la date d'avertissement et l'expiration effective.
<s82>'manage_template'</s82> <s83>=></s83> <s84>$_SERVER</s84><s85>[</s85><s86>'HTTP_AUTH_SUPERADMIN'</s86><s87>]</s87><s88>,</s88>
<s82>'manage_template'</s82> <s83>=></s83> <s84>$_SERVER</s84><s85>[</s85><s86>'HTTP_AUTH_SUPERADMIN'</s86><s87>]</s87><s88>,</s88>
<s0>Use Safe jail</s0>: set to 'Off' to disable Safe jail.
<s0>Utiliser la cage sécurisée</s0> : mettre à 'Désctivé' pour désactiver la cage sécurisée (Safe).
LDAP server can check password strength, and <a0>LL::NG</a0> portal will display correct errors (password too short, password in history, etc.)
Le server LDAP server peut vérifier la solidité du mot de passe et le portail <a0>LL::NG</a0> affichera les erreurs correctes (mot-de-passe trop court, dans l'historique, etc…)
<a0>Facebook</a0> is a famous social network service.
<a0>Facebook</a0> est un célèbre réseau social.
ref: a reference that can be used later to know what has been notified and when
ref : une référence qui peut être utilisée plus tard pour connaître ce qui a été notifié et quand
Template parameters are defined in source code.
Des paramètres modèles sont définis dans le code source.
<s0>Current</s0>: to extract all configuration history
<s0>Current</s0> : pour extraire tout l'historique de la configuration
A name
Un nom
managerCss
managerCss
<a2>Lanyrd</a2> <br3/>
<a2>Lanyrd</a2> <br3/>
Apache authentication module will set the <c0>REMOTE_USER</c0> environment variable, which will be used by <a1>LL::NG</a1> to get authenticated user.
Les modules d'authentification Apache renseignent la variable d'environnement <c0>REMOTE_USER</c0>, qui sera utilisée par <a1>LL::NG</a1> pour obtenir le nom d'utilisateur authentifié.
Users
Utilisateurs
(create one if none is present)
(en créer un à défaut)
<s156>// ---- Unused values ?
<s156>// ---- Unused values ?
../media/icons/xfmail.png
../media/icons/xfmail.png
screenshots:1.1:mailreset:mailreset_step3.png
screenshots:1.1:mailreset:mailreset_step3.png
You need to declare the new url in the manager: Portal → <a0>URL</a0>: <a1>https://auth.example.com/sslok/</a1>
Il faut declarer la nouvelle url dans le manager : Portail → <a0>URL</a0>: <a1>https://auth.example.com/sslok/</a1>
https://developer.mozilla.org/en-US/docs/Mozilla/Persona/FAQ?redirectlocale=en-US&redirectslug=Persona%2FFAQ#How_does_Persona_compare_to_OpenID.3F
https://developer.mozilla.org/en-US/docs/Mozilla/Persona/FAQ?redirectlocale=en-US&redirectslug=Persona%2FFAQ#How_does_Persona_compare_to_OpenID.3F
<s68>'superadmin'</s68> <s69>=></s69> <s70>$_SERVER</s70><s71>[</s71><s72>'HTTP_AUTH_SUPERADMIN'</s72><s73>]</s73><s74>,</s74>
<s68>'superadmin'</s68> <s69>=></s69> <s70>$_SERVER</s70><s71>[</s71><s72>'HTTP_AUTH_SUPERADMIN'</s72><s73>]</s73><s74>,</s74>
<s13>Deny</s13> from <s14>all</s14>
<s13>Deny</s13> from <s14>all</s14>
<a16>prereq</a16><br17/>
<a16>prereq</a16><br17/>
Configure local cache first.
Configurer d'abord le cache local.
<a2>Dailymotion</a2>
<a2>Dailymotion</a2>
lemonldap-ng-users@ow2.org
lemonldap-ng-users@ow2.org
It can be used just to share authentication or to share user's attributes following the <a3>OpenID Simple Registration Extension 1.0 (SREG)</a3> specification.
Ce peut être utilisé pour partager l'authentification et pour partager les attributs utilisateurs en suivant les spécifications <a3>OpenID Simple Registration Extension 1.0 (SREG)</a3>.
Security recommendation
Recommendation de sécurité
Writing rules and headers
Écrire les règles et en-têtes
To allow the Login History tab in Menu, configure it in <c0>General Parameters</c0> > <c1>Portal</c1> > <c2>Menu</c2> > <c3>Modules</c3> (see <a4>portal menu configuration</a4>).
Pour activer l'onglet de l'historique de connexion dans le menu, le configurer dans <c0>Paramètres généraux</c0> > <c1>Portail</c1> > <c2>Menu</c2> > <c3>Modules</c3> (voir la <a4>configuration du menu du portail</a4>).
/_detail/icons/bug.png?id=contact
/_detail/icons/bug.png?id=contact
Liferay virtual host in Apache
Hôte virtuel Liferay dans le manager
Configuration and sessions in MySQL
Configuration et sessions dans MySQL
BrowserID (Mozilla Persona)
BrowserID (Mozilla Persona)
http://search.cpan.org/perldoc?Apache::Session::MySQL
http://search.cpan.org/perldoc?Apache::Session::MySQL
Note that variables designed by $xx correspond to the name of the <a0>exported variables</a0> or <a1>macro names</a1>.
Noter que les variables designées par $xx correspondent au nom de <a0>variables exportées</a0> ou de <a1>noms de macro</a1>.
exportedHeaders
exportedHeaders
Please see the next chapter to learn how build an official tarball from SVN files.
Voir le chapître suivant pour savoir comment construire une archive officielle depuis les fichiers SVN.
make dist
make dist
<s0>Alias dereference</s0>: How to manage LDAP aliases.
<s0>Déréférence d'alias</s0> : comment gérer les alias LDAP.
my-profile.eu
my-profile.eu
Deletion example in Perl
Exemple d'effacement en Perl
Entry Identifier
Identifiant d'entrée
<s7>'notificationWildcard'</s7> <s8>=></s8> <s9>'allusers'</s9><s10>,</s10>
<s7>'notificationWildcard'</s7> <s8>=></s8> <s9>'allusers'</s9><s10>,</s10>
http://mail.ow2.org/wws/arc/lemonldap-ng-changes
http://mail.ow2.org/wws/arc/lemonldap-ng-changes
<s0><s1><Organization<s2>></s2></s1></s0>
<s0><s1><Organization<s2>></s2></s1></s0>
https://metacpan.org/module/Apache::Session::Browseable::Redis
https://metacpan.org/module/Apache::Session::Browseable::Redis
Handler does not see <a0>SSO cookies</a0> (because it is not in main domain) and redirects user on Portal
L'agent n'intercepte pas de <a0>cookie SSO</a0> (car il n'est pas dans le même domaine) et redirige l'utilisateur vers le portail
dbiUserPassword
dbiUserPassword
../../../download.html#contributions
../../../download.html#contributions
For the certificate, you can build it from the signing private key registered in Manager.
Pour le certificate, vous pouvez le construire en signant la clef privée enregistrée dans le Manager.
ldapGroupBase
ldapGroupBase
Choose “Apache” as authentication module <e0>(“General Parameters » Authentication modules » Authentication module”)</e0>
Choisir “Apache” comme module d'authentification <e0>(“Paramètres généraux » Modules d'authentification » Module d'authentification”)</e0>
managerPassword
managerPassword
applications:drupal_logo.png
applications:drupal_logo.png
get user attributes
obtenir les attributs utilisateurs
An apache virtual host protected by LemonLDAP::NG Handler must be registered in LemonLDAP::NG configuration.
Un hôte virtuel apache protégé par un agent LemonLDAP::NG doit être enregistré dans la configuration LemonLDAP::NG.
documentation:liferay_6.png
documentation:liferay_6.png
Access rule
Règle d'accès
<s0>Set macros</s0>: compute configured macros
<s0>Installe les macros</s0> : calcule les macros demandées
<s79>//"userobm_delegation" => ,</s79>
<s79>//"userobm_delegation" => ,</s79>
dbiPasswordMailCol
dbiPasswordMailCol
Click on <c0>Metadata</c0> and set manually the metadata of the service, using <a1>France Connect endpoints</a1>.
Cliquer sur <c0>Métadonnées</c0> et définir manuellement les métadonnées du service, en utilisant les <a1>points terminaux France Connect</a1>.
<s17>RewriteRule</s17> ^/openidserver/.* /index.pl
<s17>RewriteRule</s17> ^/openidserver/.* /index.pl
Grant LemonLDAP::NG access
Autoriser l'accès pour LemonLDAP::NG
http://www.lambdaprobe.org
http://www.lambdaprobe.org
Attribute storing index
Attribut où stocker les index
http://www.wikipedia.org
http://www.wikipedia.org
apt-get update
apt-get update
ldapBindDN
ldapBindDN
The log level can be set with Apache <c0>LogLevel</c0> parameter.
Le niveau de journalisation peut être configuré via le paramètre <c0>LogLevel</c0> d'Apache.
openssl req -new -key lemonldap-ng-priv.key -out cert.csr
openssl x509 -req -days 3650 -in cert.csr -signkey lemonldap-ng-priv.key -out cert.pem
openssl req -new -key lemonldap-ng-priv.key -out cert.csr
openssl x509 -req -days 3650 -in cert.csr -signkey lemonldap-ng-priv.key -out cert.pem
For security reason, a cookie provided for a domain cannot be sent to another domain.
Pour des raisons de sécurité, un cookie fournit par un domaine ne peut être transmit à un autre.
Cache::Cache
Cache::Cache
<a65><s66>print</s66></a65> <s67>"$res notification(s) have been deleted<s68>\n</s68>"</s67><s69>;</s69>
<s70>}</s70>
<a65><s66>print</s66></a65> <s67>"$res notification(s) have been deleted<s68>\n</s68>"</s67><s69>;</s69>
<s70>}</s70>
You can also use Facebook as user database.
On peut également utiliser Facebook comme base de données utilisateurs.
<s0>Activation</s0>: Set to On to enable Common Domain Cookie support.
<s0>Activation</s0> : mettre à « activé » pour activer le support du domaine commun de cookie.
http://modauthkerb.sourceforge.net/
http://modauthkerb.sourceforge.net/
Logout user from current application and from Lemonldap::NG and redirect it to http://intranet/
Déconnecte l'utilisateur de l'application courante et de Lemonldap::NG le redirige vers http://intranet/
→ User session has expired or handler does not have access to the same Apache::Session database than the portal
→ La session de l'utilisateur a expiré ou l'agent n'a pas accès à la même base de données Apache::Session que le portail
../pages/documentation/1.4/internalproxy.html
../pages/documentation/1.4/internalproxy.html
Copy the content of this file in the textarea.
Copier le contenu de ce fichie dans l'emplacement dédié.
For example, to forward login (<c0>$uid</c0>) and password (<c1>$_password</c1> if <a2>password is stored in session</a2>):
Par exemple, pour exporter l'identifiant (<c0>$uid</c0>) et le mot-de-passe (<c1>$_password</c1> si <a2>le mot-de-passe est stocké dans la session</a2>):
By default, anonymous bind is used.
Par défaut, une connexion anonyme est utilisée.
Authentication contexts
Contextes d'authentification
<s19># SSO protection</s19>
<s19># Protection SSO</s19>
phpLDAPadmin will connect to the directory with a static <a0>DN</a0> and password, and so will not request authentication anymore.
phpLDAPadmin se connecte au serveur avec un <a0>DN</a0> et un mot-de-passe statique et ne requiert ainsi aucune authentification.
Use MySQL for Lemonldap::NG configuration
Utiliser MySQL pour la configuration de Lemonldap::NG
Session lifetime for cronjob
Durée de vie des sessions pour la tâche planifiée
Include LemonLDAP::NG configuration in your main Apache configuration:
Incluez la configuration LemonLDAP::NG dans celle d'Apache :
Choice of any certificate attribute as user main login
Choix de n'importe quel attribut du certificat comme nom d'utilisateur principal
rpmbuild -ta SOURCES/lemonldap-ng-VERSION.tar.gz
rpmbuild -ta SOURCES/lemonldap-ng-VERSION.tar.gz
Apache based protection allow to be independent from WebSSO, so Manager will always be reachable even if WebSSO configuration is corrupted.
Une protection basée sur Apache permet d'être indépendant du WebSSO, ainsi le manager est toujours accessible même si la configuration du WebSSO est corrompue.
http://mb-c.pro/en/archives/7657
http://mb-c.pro/en/archives/7657
You can create a special virtual host and use <a0>Apache rewrite module</a0> to switch between open and protected hosts:
Vous pouvez créer un hôte virtuel particulier et utiliser <a0>le module rewrite d'Apache</a0> pour choisir entre le site ouvert et le protégé :
Fail2ban
Fail2ban
Select <c0>Metadata</c0>, and unprotect the field to paste the following value:
Selectionner <c0>Metadata</c0>, et déprotéger le champ pour y mettre :
Regular expression
Expression régulière
<s0>Authenticate</s0>: contact authentication database to check credentials
<s0>Authentifie</s0> : contacte le dispositif d'authentication pour vérification
css/screen.css
css/screen.css
cp ValveLemonLDAPNG.jar server/lib/
cp ValveLemonLDAPNG.jar server/lib/
Install cron jobs
Installer les tâches planifiées (cron)
Virtual host
Hôte virtuel
...
<s3><s4></IDPSSODescriptor<s5>></s5></s4></s3>
...
<s3><s4></IDPSSODescriptor<s5>></s5></s4></s3>
translations
traductions
<a2>header_remote_user_conversion</a2><br3/>
<a2>header_remote_user_conversion</a2><br3/>
portalDisplayAppslist
portalDisplayAppslist
<s0>ldapConfBase</s0>: Notifications branch <a1>DN</a1>.
<s0>ldapConfBase</s0> : <a1>DN</a1> de la branche des notifications.
icons:flags:fr.png
icons:flags:fr.png
checkLogonHours($ssoLogonHours, '', '', '1')
checkLogonHours($ssoLogonHours, '', '', '1')
1_admin
1_admin
User choice done if <a0>authentication choice</a0> was used
Choix de l'utilisateur si le <a0>backend d'authentification Choice</a0> a été utilisé
A virtual host contains:
Un hôte vituel contient :
Role Based Access Control (RBAC)
Contrôle d'accès basé sur les rôles (RBAC)
Manager menu organization
Organisation du menu du manager
Any <a0>SAML</a0> Service Provider, for example:
Tout fournisseur de service <a0>SAML</a0>, par exemple:
To achieve this, you can create a rule in the Manager: select <c0>General Parameters</c0> > <c1>Portal</c1> > <c2>Customization</c2> > <c3>Skin display rules</c3> on click on “New key”.
Pour le réaliser, il faut créer une règle dans le manager : choisir <c0>paramètres généraux</c0> > <c1>Portail</c1> > <c2>Personnalisation</c2> > <c3>Règle d'affichage du thème</c3> et cliquer sur “Nouvelle clef”.
<s0>User</s0>: where collect user data
<s0>Utilisateurs</s0>: où trouver les données utilisateurs
Remote LL::NG
LL::NG distant
authenticate users
authentifier les utilisateurs
Handler gets session get from cookie and gets session
L'agent récupère la session en utilisant la valeur du cookie
^/obm-sync
^/obm-sync
Multiple backends stack
Empiler de multiples backends
Roles as simple values of a user attribute
Rôles comme simple valeur d'attribut utilisateur
So you have just to declare this header for the virtual host in Manager.
Il suffit donc de déclarer cet en-tête pour l'hôte virtuel dans le manager.
<s16># SOAP functions for configuration access (disabled by default)</s16>
<s16># Fonctions SOAP pour accéder à la configuration (désactivées par défaut)</s16>
Install dependencies on your system
Installer les dépendances sur le système
It simplifies the build of a protected area with a few changes in the application.
Il simplifie la construction d'une aire protégée avec peu d'impact sur les applications.
notifications_explorer_create.png
notifications_explorer_create.png
http://test1.example.com
http://test1.example.com
Twitter application key
Clef d'application de Twitter
If you define mail contents in Manager, <a0>HTML</a0> templates will not be used.
Si les contenus sont définis dans le manager, les modèles <a0>HTML</a0> ne sont pas utilisés.
<s0><a1>SAML</a1> service providers</s0>: Registered SP
<s0>Fournisseurs de service <a1>SAML</a1></s0> : SP enregistrés
portalDisplayChangePassword
portalDisplayChangePassword
For each IDP, you can configure attributes that are collected.
Pour chaque IDP, il faut configurer les attributs à collecter.
It should works on every browser:
Ça doit marcher avec tous les navigateurs :
apt-cache search lemonldap-ng
apt-cache search lemonldap-ng
By default, the manager is restricted to the user 'dwho' (default backend is Demo).
Par défaut, l'accès au manager est restreint à l'utilisateur "dwho" (le backend par défaut est Demo).
If no value, disable group searching.
La recherche des groupes est désactivé si cette valeur est vide.
../../../media/screenshots/1.1/mailreset/mailreset_step3.png
../../../media/screenshots/1.1/mailreset/mailreset_step3.png
<s0><a1>Notifications</a1></s0>: messages displayed to connected users
<s0><a1>Notifications</a1></s0>: messages à afficher aux utilisateurs connectés
<s0>SSLCertificateFile</s0>: Server certificate
<s0>SSLCertificateFile</s0> : certificat serveur
../css/screen.css
../css/screen.css
The path to the lock directory
Le chemin du répertoire des verrous
Salesforce is not able to read metadata, you must fill the information into a form.
Salesforce ne peut pas lire les métadatas, il faut les indiquer dans un formulaire.
../../../media/documentation/ha-apache.png
../../../media/documentation/ha-apache.png
It is advised to use separate session backends for standard sessions, <a0>SAML</a0> sessions and <a1>CAS</a1> sessions, in order to manage index separately.
Il est préférable d'utiliser des bases de sessions séparées pour les sessions standard, <a0>SAML</a0> et <a1>CAS</a1> afin de gérer séparemment les index.
http://linuxfr.org/news/sortie-de-lemonldapng-11
http://linuxfr.org/news/sortie-de-lemonldapng-11
/usr/share/lemonldap-ng/bin/lemonldap-ng-cli
/usr/share/lemonldap-ng/bin/lemonldap-ng-cli
File session backend
Backend de sessions File
If no value, will use first NameID Format activated in metadata.
Si aucune valeur n'est indiquée, le premier format de NameID activé dans les métadatas sera utilisé.
<s0>Mail filter</s0>: Filter to find user from its mail (default: <c1>(&(mail=$mail)(objectClass=inetOrgPerson))</c1>)
<s0>Filtre mail</s0> : filtre pour trouver l'utilisateur à partir de son mail (défaut: <c1>(&(mail=$mail)(objectClass=inetOrgPerson))</c1>)
<s0><a1>CAS</a1> login</s0>: the session key used to fill user login (value will be transmitted to <a2>CAS</a2> clients).
<s0>Identifiant <a1>CAS</a1></s0> : la clef de session à utiliser pour compléter le login (valeur transmise au clients <a2>CAS</a2>).
http://search.cpan.org/perldoc?Apache2::URI#unescape_url
http://search.cpan.org/perldoc?Apache2::URI#unescape_url
authenticate: check if user is authenticated; if not, redirect it to the portal
authenticate : vérifie que l'utilisateur est authentifié ; sinon, il est redirigé vers le portail
(default: <c1>find</c1>)
(défaut: <c1>find</c1>)
Nov 2011: <a0>LINUXOID - Единая аутентификация для веб-приложений с LemonLDAP::NG</a0>
Nov 2011 : <a0>LINUXOID - Единая аутентификация для веб-приложений с LemonLDAP::NG</a0>
<s55>"userobm_perms"</s55> <s56>=></s56> <s57>"HTTP_OBM_PERMS"</s57><s58>,</s58>
<s55>"userobm_perms"</s55> <s56>=></s56> <s57>"HTTP_OBM_PERMS"</s57><s58>,</s58>
Next, configure SOAP for your remote servers
Ensuite, configurer SOAP pour les serveurs distants
→ The specified virtual host was not configured in Manager.
→ L'hôte virtuel utilisé n'est pas configuré dans le manager.
By default, mail content are empty in order to use <a0>HTML</a0> templates:
Par défaut, les messages sont vides afin d'utiliser les modèles <a0>HTML</a0> :
2 kind of files may be translated:
2 types de fichiers peuvent être traduits :
../../../media/applications/drupal_logo.png
../../../media/applications/drupal_logo.png
Then, go in <c0>Yubikey parameters</c0>:
Ensuite, aller dans les <c0>paramètres Yubikey</c0>:
LemonLDAP::NG wiki uses Dokuwiki!
Le wiki LemonLDAP::NG est un Dokuwiki !
authenticationLevel
authenticationLevel
<s0>ID Token max age</s0>: If defined, <a1>LL::NG</a1> will check the date of ID token and refuse it if it is too old
<s0>Durée de vie max des jetons</s0> : si défini, <a1>LL::NG</a1> examinera la date du jeton d'identification et refusera les jetons trop anciens
Put LemonLDAP::NG tarball in %_topdir/SOURCES
Mettre l'archive LemonLDAP::NG dans %_topdir/SOURCES
Berlin
Berlin
This module is not part of <a0>LL::NG</a0> distibution, and can be found on CPAN: <a1>Apache::Session::LDAP</a1>.
Ce module ne fait pas partie de la distribution <a0>LL::NG</a0>, et se trouve sur le CPAN : <a1>Apache::Session::LDAP</a1>.
<s0>roleKey</s0>: key in the HTTP header containing roles.
<s0>roleKey</s0> : nom de l'en-tête HTTP contenant les rôles.
dbiUser
dbiUser
../pages/screenshots.html
../pages/screenshots.html
The secondary portal is declared in the Manager of the main <a1>LL::NG</a1> structure (else user will be rejected).
Le portail secondaire est declaré dans le Manager du système <a1>LL::NG</a1> principal comme une application (sinon les utilisateurs seront rejetés).
Distinguished name
Nom distinct (distinguished name)
You can also use symbolic links in <c0>conf.d</c0> or <c1>sites-available</c1> Apache directory.
On peut aussi utiliser des liens symboliques dans le répertiore <c0>conf.d</c0> ou <c1>sites-available</c1> d'Apache.
<a0>error</a0><br1/>
<a0>error</a0><br1/>
To protect the manager, you have to choose one or both of :
Pour protéger le manager, il faut choisir l'une où les deux solutions :
../../../media/icons/utilities.png
../../../media/icons/utilities.png
Certificate
Certificat
Use <a0>packages provided by Debian</a0>.
Utiliser les <a0>paquets fournis par Debian</a0>.
screenshots:1.1:mailreset:mailreset_step5.png
screenshots:1.1:mailreset:mailreset_step5.png
http://en.wikipedia.org/wiki/Central_Authentication_Service
http://fr.wikipedia.org/wiki/Central_Authentication_Service
You can also add some other parameters
On peut également ajouter quelques autres paramètres
For example with this rule on the <c0>access</c0> parameter:
Par exemple avec cette règle sur le paramètre <c0>access</c0> :
SMTPServer
SMTPServer
These parameters are not mandatory to run <a0>SAML</a0> service, but can help to customize it:
Ces paramètres ne sont pas obligatoires pour faire fonctionner le service <a0>SAML</a0>, mais peuvent aider à leur personnalisation :
<s11>'loginHistoryEnabled'</s11> <s12>=></s12> <s13>'1'</s13><s14>,</s14>
<s11>'loginHistoryEnabled'</s11> <s12>=></s12> <s13>'1'</s13><s14>,</s14>
User tries to access protected application, his request is catched by Handler
Lorsqu'un utilisateur tente d'accéder à une application protégée, il est intercepté par l'agent (handler)
OAuth 2.0 Token Endpoint: not used here
OAuth 2.0 Token Endpoint : pas utilisé ici
Variables that can be used in rules and headers
Variables qui peuvent être utilisées dans les règles et en-têtes
<s23>'email'</s23> <s24>=></s24> <s25>$_SERVER</s25><s26>[</s26><s27>'HTTP_AUTH_MAIL'</s27><s28>]</s28><s29>,</s29>
<s23>'email'</s23> <s24>=></s24> <s25>$_SERVER</s25><s26>[</s26><s27>'HTTP_AUTH_MAIL'</s27><s28>]</s28><s29>,</s29>
Catch error pages:
Capture des pages d'erreur :
The <c0>Multiple</c0> system can :
Le système <c0>Multiple</c0> peut :
This page do not reference all error messages, but only the frequentest
Cette page ne référence pas tous les messages d'erreur, mais simplement les plus fréquents
<s0>JWKS data timeout</s0>: After this time, <a1>LL::NG</a1> will do a request to get a fresh version of JWKS data.
<s0>Durée de vie de la donnée JWKS</s0> : au delà de ce délai, <a1>LL::NG</a1> effectuera une requête pour rafraîchir la donnée JWKS.
http://search.cpan.org/perldoc?Apache::Session::Oracle
http://search.cpan.org/perldoc?Apache::Session::Oracle
An example is given under the source tree : lemonldap-ng-portal/example/index.fcgi
Un exemple est disponible dans l'arborescence des sources : lemonldap-ng-portal/example/index.fcgi
<s0>STORAGECONFFILE</s0>: location of default storage configuration file (default: /usr/local/lemonldap-ng/etc/lemonldap-ng.ini)
<s0>STORAGECONFFILE</s0> : emplacement du du fichier de configuration du stockage par défaut (défaut : /usr/local/lemonldap-ng/etc/lemonldap-ng.ini)
when computed virtual attribute 'msDS-User-Account-Control-Computed' as 6th flag set to 8, the password is considered expired.
lorsque l'attribut virtuel compilé 'msDS-User-Account-Control-Computed' a le drapeau 6th positionné à 8, le mot de passe est considéré comme expiré.
nothing here...
rien ici...
You can then use this default SSL configuration, for example in the head of /etc/lemonldap-ng/portal-apache2.conf:
Il est possible d'utiliser cette configuration SSL par défaut, par exemple en tête de /etc/lemonldap-ng/portal-apache2.conf :
For example, to allow only users with a strong authentication level:
Par exemple, pour n'autoriser que les utilisateurs authentifiés fortement :
proxy
proxy
It can works with external modules to extends its functionalities.
Il peut utiliser des modules externes pour étendre ses fonctionnalités.
<s0>Authentication level</s0>: authentication level for this module.
<s0>Niveau d'authentification</s0> : niveau d'authentification accordé à ce module.
Only the condition is not mandatory.
Seule la condition n'est pas exigée.
Then in exported variables, you can ask only for :
Ensuite dans les « variables exportées », on ne peut demander que :
<s0>Recursive</s0>: activate recursive group functionality (default: 0).
<s0>Récursivité</s0> : active la fonctionnalité récursive (défaut: 0).
HyperText Markup Language
HyperText Markup Language
<s0>Set local groups</s0>: compute configured groups
<s0>Installe les groupes locaux</s0> : calcule les groupes demandés par la configuration
Sympa configuration
Configuration Sympa
Connection settings can be configured differently for authentication process and user process.
Les paramètres de connexion peuvent être configurés différemment pour les processus d'authentification et de recherche d'utilisateur.
By default, login time and <a0>IP</a0> address are stored in history, and the error message prompted to the user for failed logins.
Par défaut, le tampon de date et l'adresse <a0>IP</a0> sont stockés dans l'historique et le message d'erreur affiché à l'utilisateur en cas d'échec.
<s0>+1h</s0>: one hour from session creation
<s0>+1h</s0> : une heure après la création de la session
overload any <a0>LL::NG</a0> <a1>parameter</a1> when a specific backend is used
surcharger n'importe quel <a1>paramètre</a1> <a0>LL::NG</a0> en fonction du backend utilisé
<s0>Extract form info</s0>: get login/password, certificate, environment variable (depending on authentication module)
<s0>Extrait les informations du formulaire</s0>: récupère le couple compte/mot-de-passe, le certificat, une variable d'environnement (suivant le module d'authentification)
This configuration is usable if you want to expose your internal <a2>SSO</a2> portal to another network (DMZ).
Cette configuration est utilisable l'on soujaite exposer un portail <a2>SSO</a2> interne à une autre réseau (DMZ).
<s0>Default rule</s0>: who can access to the application
<s0>Règle default</s0> : qui peut accéder à l'application
http://auth.example.com/saml/metadata
http://auth.example.com/saml/metadata
To use it, edit lemonldap-ng.ini (this is not available trough Manager) and configure:
Pour l'utiliser, éditer lemonldap-ng.ini (ce n'est pas disponible dans le Manager) et configurer :
</<s12>IfModule</s12>>
</<s12>IfModule</s12>>
For using SP-initiated mode, you must create your salesforce domain.
Pour utiliser le mode initié par le SP, il faut créer le domaine salesforce.
/_detail/icons/flags/ua.png?id=press
/_detail/icons/flags/ua.png?id=press
../documentation/current/notifications.html
../documentation/current/notifications.html
TLS client
Client TLS
Change password: update password column in authentication table matching user
Changement de mot-de-passe : met à jour le champ mot-de-passe de la table d'authentification correspondant à l'utilisateur
You can also use the certificate instead of public key in <a0>SAML</a0> metadata, see <a1>SAML service configuration</a1>
On peut aussi utiliser le certificat au lieu de la clef publique dans les métadatas <a0>SAML</a0>, voir <a1>configuration du service SAML</a1>
<s11># Perl script</s11>
<s11># Perl script</s11>
DokuWiki offline version
DokuWiki version hors-ligne
Full access control
Contrôle d'accès complet
Demonstration backend has hard coded user accounts:
Le backend de démonstration dispose de compte codés en dur :
Generic articles
Articles génériques
Allow only users with a LimeSurvey role
Autorise seulement les utilisateurs avec un rôle LimeSurvey
http://linuxfr.org/news/sortie-de-lemonldapng-version-10
http://linuxfr.org/news/sortie-de-lemonldapng-version-10
<a0><s1>print</s1></a0> <s2>"Connected user: "</s2><s3>.</s3><s4>$ENV</s4><s5>{</s5>HTTP_AUTH_USER<s6>}</s6><s7>;</s7>
<a0><s1>print</s1></a0> <s2>"Connected user: "</s2><s3>.</s3><s4>$ENV</s4><s5>{</s5>HTTP_AUTH_USER<s6>}</s6><s7>;</s7>
Deploy Apache configuration
Deployer la configuration Apache
Inside this jail, you can access to:
Dans cette cage, on peut accéder aux éléments suivants :
By default, default values are used.
Sauf modification, les valeurs par défaut sont utilisées.
Log with the dwho account and go on <a0>http://manager.example.com</a0>
Connectez-vous avec le compte dwho sur <a0>http://manager.example.com</a0>
../media/icons/personal.png
../media/icons/personal.png
<s0>Display Name</s0>: should be displayed on IDP, this is often your society name
<s0>Nom affiché (display name)</s0> : peut être affiché par le fournisseur d'identité (IDP), this is often your society name
Create a redirection script, called login.pl:
Créer un script de redirection, appelé login.pl:
<<s0>VirtualHost</s0>>
<<s0>VirtualHost</s0>>
<s0>none</s0>: no access control, the server will answer without checking if the user is authorized for the service (this is the default)
<s0>none</s0> : pas de contrôle d'accès, le serveur répond sans contrôler si l'utilisateur est autorisé à accéder au service (c'est la valeur par défaut)
To avoid having group dn stored in sessions datas, you can use a macro to rewrite memberOf:
Pour éviter de stocker les dn dans votre base de sessions, vous pouvez utiliser une macro pour réécrire memberOf :
<a0>Outlook Web App</a0> <br1/>
<a0>Outlook Web App</a0> <br1/>
http://search.cpan.org/dist/Apache-Session-LDAP/
http://search.cpan.org/dist/Apache-Session-LDAP/
PerlResponseHandler ModPerl::Registry
PerlResponseHandler ModPerl::Registry
valeur
valeur
^/logout
^/logout
The GPG key can be downloaded here: <a0>rpm-gpg-key-ow2</a0>
La clef GPG peut être téléchargée ici : <a0>rpm-gpg-key-ow2</a0>
<s0>Change as user</s0>: enable to perform password modification with credentials of connected user.
<s0>Change comme utilisateur</s0> : active la modification du mot-de-passe avec les éléments d'authentification de l'utilisateur connecté.
→ You tried to activate Status module without localStorage.
→ Le module Status est activé sans localStorage.
SOAP
SOAP
<a0>Authentication</a0>: how check user credentials
<a0>Authentification</a0> : comment examiner les données utilisateur d'authentification
ldapBase
ldapBase
<a0>LL::NG</a0> can delegate authentication to an OpenID server.
<a0>LL::NG</a0> peut deleguer l'authentification à un serveur OpenID.
Radius authentication level
Niveau d'authentification de Radius
<c0>_casPT</c0><s1>serviceID</s1> = <s2>Proxy ticket value</s2>
<c0>_casPT</c0><s1>serviceID</s1> = <s2>Proxy ticket value</s2>
LDAP session backend
Backend de sessions LDAP
icons:chat.png
icons:chat.png
For example, macro “macro1” will be computed before macro “macro2”: so, expression of macro2 may involve value of macro1.
Par exemple, la macro “macro1” sear calculée avant la macro “macro2” : donc l'expression de macro2 peut utiliser la valeur $macro1.
<s0>Signed Authentication Request</s0>: set to On to always sign authentication request.
<s0>Requête d'authentification signée</s0> : mettre à « activé » pour toujours signer les requêtes d'authentifications.
If the message contains check boxes, the user has to check all of them else he can not access to the portal and get his session cookie.
Si le message contient des cases à cocher, l'utilisateur doit toutes les cocher, sinon il ne peut obtenir de cookie de session.
<s0>Activation in login form</s0>: set to 1 to display captcha in login form
<s0>Activation dans le formulaire de connexion</s0> : mettre à 1 pour activer le captcha dans ce formulaire
Test::POD
Test::POD
Attributes and macros
Attributs et macros
Manager translation
Traduction du manager
You should grab some informations:
Il faut récolter quelques informations:
Default use case:
Cas général:
Before, you have to create the virtual host <c0>manager.your.domain</c0> in the manager and set a <a1>rules</a1>, else access to the manager will be denied.
Avant, il faut créer l'hôte virtuel <c0>manager.your.domain</c0> dans le manager et mettre une <a1>règle</a1>, sinon l'accès au manager sera interdit.
Due to Handler <a0>API</a0> change in 1.9, you need to set these attributes in <c1>lemonldap-ng.ini</c1> and not in Manager, for example:
Suite au changement de l'<a0>API</a0> du handler dans la version 1.9, il est nécessaire de définir ces attributs dans le fichier <c1>lemonldap-ng.ini</c1> et non dans le Manager, par exemple:
If no metadata is available, you need to write them in the textarea.
À défaut de métadonnée, il faut les écrire.
Let this parameter empty to disable the checking.
Laisser ce paramètre vide pour désactiver ce contrôle.
A little floating menu can be added to application with this simple Apache configuration:
Un petit menu flottant peut être ajouté aux applications par une seimple configuration Apache :
Then each parameter is one value of the attribute <c0>description</c0>, prefixed by its key.
Ensuite, chaque paramètre est une valeur de l'attribut <c0>description</c0>, prefixé par sa clef.
Multi modules display
Affichage des modules de Multi
icons:utilities.png
icons:utilities.png
<s89>'manage_label'</s89> <s90>=></s90> <s91>$_SERVER</s91><s92>[</s92><s93>'HTTP_AUTH_SUPERADMIN'</s93><s94>]</s94>
<s95>)</s95><s96>;</s96>
<s89>'manage_label'</s89> <s90>=></s90> <s91>$_SERVER</s91><s92>[</s92><s93>'HTTP_AUTH_SUPERADMIN'</s93><s94>]</s94>
<s95>)</s95><s96>;</s96>
→ The cache has been created by another user than Apache's user.
→ Le cache a été créé par un autre utilisateur que celui d'Apache.
<s0>Writer <a1>URL</a1></s0>: <a2>URL</a2> used by <a3>SAML</a3> IDP to write the cookie.
<s0><a1>URL</a1> d'écriture</s0> : <a2>URL</a2> utilisée par l'IdP <a3>SAML</a3> pour écrire le cookie.
../media/icons/wizard.png
../media/icons/wizard.png
<s0>Javascript protection</s0>: set httpOnly flag, to avoid cookie been caught by javascript code
<s0>Protection Javascript</s0> : active le drapeau httpOnly pour éviter que le cookie ne soit accessible par code javascript
To allow the manager to reload the configuration, register the reload virtual host name in the hosts of the server:
Pour autoriser le manager à recharger la configuration, enregistrer le nom d'hôte virtuel de rechargement dans le fichier hosts du serveur :
../media/screenshots/1.1/mailreset/mailreset_step3.png
../media/screenshots/1.1/mailreset/mailreset_step3.png
This page can be browsed for example by <a0>MRTG</a0> using the <a1>MRTG monitoring script</a1>.
Cette page peut être parcourue par exemple par <a0>MRTG</a0> en utilisant le <a1>script de surveillance MRTG</a1>.
Display-Name
Display-Name
Attribute Authority
Autorité d'attributs
<notification> element(s) :
élément(s) <notification> :
Changelog
Journal des changements
sudo apachectl configtest
sudo apachectl restart
sudo apachectl configtest
sudo apachectl restart
sudo make install
sudo make install
You can customize logs by redefining userNotice() and userError() methods, directly in <c0>lemonldap-ng.ini</c0>
On peut personnaliser les fonctions de journalisation en redéfinissant les méthodes userNotice() et userError(), directement dans <c0>lemonldap-ng.ini</c0>
User ID
User ID
Send login in Auth-User:
Envoi de l'identifiant dans Auth-User:
Redirection to the remote type portal
Redirection vers le portail de type remote
Montreal
Montréal
install_portal_libs
install_portal_libs
<s0>Users search base</s0>: Base of search in the LDAP directory.
<s0>Base de recherche des utilisateurs</s0> : base de recherche de l'annuaire LDAP.
OW2 Con
OW2 Con
The faster.
Le plus rapide.
In this case, see <a1>how convert header into environment variable</a1>.
Dans ce cas, voir <a1>comment convertir les en-têtes en variable d'environnement</a1>.
Users module: <a0>SAML</a0>
Module utilisateurs : <a0>SAML</a0>
http://www.slideshare.net/coudot/cas-openid-saml-concepts-diffrences-et-exemples-10219360
http://www.slideshare.net/coudot/cas-openid-saml-concepts-diffrences-et-exemples-10219360
Zimbra Handler parameters
Paramètres du handler Zimbra
http://zimbra.lan/service/preauth
http://zimbra.lan/service/preauth
After configuring <a0>SAML</a0> Service, you can export metadata to your partner Service Provider.
Après avoir configuré le service <a0>SAML</a0>, exporter les métadonnéesvers le fournisseur de service partenaire.
Set also the configuration <a3>URI</a3> with <a4>https://accounts.google.com/.well-known/openid-configuration</a4>, and JWKS refresh, for example every day: 86400.
Préciser alors l'<a3>URI</a3> de configuration avec <a4>https://accounts.google.com/.well-known/openid-configuration</a4>, et le rafraîchissement JWKS, par exemple pour chaque jour : 86400.
../media/logos/logo_ucanss.png
../media/logos/logo_ucanss.png
Your EntityID, often use as metadata <a0>URL</a0>, by default #PORTAL#/saml/metadata.
Votre EntityID, souvent utilisé comme <a0>URL</a0> des métadatas, par défaut #PORTAL#/saml/metadata.
<s166>)</s166><s167>,</s167>
<s166>)</s166><s167>,</s167>
<s0>Multiple domains</s0>: enable <a1>cross domain mechanism</a1> (without this, you cannot extend <a2>SSO</a2> to other domains)
<s0>Domaines multiples</s0> : active le <a1>mécanisme inter-domaines</a1> (sans ceci, on ne peut pas étendre le <a2>SSO</a2> aux autres domaines)
Put your own files instead of <c0>ow2.cert</c0>, <c1>ow2.key</c1>, <c2>ow2-ca.cert</c2>:
Placer vos propres fichiers au lieu de <c0>ow2.cert</c0>, <c1>ow2.key</c1>, <c2>ow2-ca.cert</c2>:
../pages/references.html
../pages/references.html
Kerberos
Kerberos
You can also find on this page the SVN tarball if you want to test latest features.
On peut aussi trouver sur cette page l'archive SVN pour tester les dernières évolutions.
documentation:1.0:portal
documentation:1.0:portal
ldapPwdEnc
ldapPwdEnc
Then you can have different <a0>parameters</a0> for each stored in a Perl hash entry named multi:
Ensuite on peut avoir différents <a0>paramètres</a0> pour chacun, stockés dans une table de hachage <a1>Perl</a1> nommée multi :
../pages/default_sidebar.html
../pages/default_sidebar.html
Logging application access
Trace des accès aux applications
Freshmeat
Freshmeat
Starting performances
Performances au démarrage
ldapBindPassword
ldapBindPassword
<s0><a1>API</a1> key</s0>: <a2>API</a2> key from Twitter
<s0>Clef d'<a1>API</a1></s0>: clef d'<a2>API</a2> donnée par Twitter
To edit <a0>SSO</a0> cookie parameters, go in Manager, <c1>General Parameters</c1> > <c2>Cookies</c2>:
Pour modifier les paramètres du cookie <a0>SSO</a0>, aller dans le manager, <c1>Paramètres généraux</c1> > <c2>Cookies</c2> :
<a0>tomcat</a0><br1/>
<a0>tomcat</a0><br1/>
<s23>'portalSkin'</s23> <s24>=></s24> <s25>'pastel'</s25><s26>,</s26>
<s23>'portalSkin'</s23> <s24>=></s24> <s25>'pastel'</s25><s26>,</s26>
^/(?i)index.php\?.*access.*access
^/(?i)index.php\?.*access.*access
Header name
Nom d'en-tête
Restrict /admin to administrators group
Restreint /admin au groupe des administrateurs
documentation:conferences
documentation:conferences
For example, to configure the <c0>File</c0> configuration backend:
Par exemple, pour configurer le backend de configuration <c0>File</c0> :
lemonldap-ng-dev@ow2.org
lemonldap-ng-dev@ow2.org
Configure your <a0>DNS</a0> server to resolve names with your server <a1>IP</a1>.
Configurer le serveur <a0>DNS</a0> pour résoudre les noms avec l'adresse <a1>IP</a1> de votre serveur.
Browseable session backend
Backend de session explorable
Configure the <c0>Auth-User</c0> <a1>header</a1>.
Configurer l'<a1>en-tête</a1> <c0>Auth-User</c0>.
Heidelberg
Heidelberg
This backend allows to chain authentication method, for example to failback to LDAP authentication if Remote authentication failed…
Ce backend permet de chaîner des méthodes d'authentification, par exemple pour basculer sur une authentification LDAP si l'authentification amont a échouée…
<s0>Import from LDAP</s0>: Yes (see <a1>presentation</a1>)
<s0>Import from LDAP</s0>: Yes (voir <a1>présentation</a1>)
<s0>Anti iframe protection</s0>: will kill parent frames to avoid some well known attacks
<s0>Protection anti-iframe</s0> : ferme la frame parente pour éviter des attaques bien connues
Mpm-worker works faster and LemonLDAP::NG use the thread system for best performance.
Mpm-worker est plus rapide et LemonLDAP::NG utilise le système de threads pour de meilleures performances.
Timezone of the user, set with javascript from standard login form (will be empty if other authentication methods are used)
Timezone de l'utilisateur, renseignée par javascript dans le formulaire d'authentification (vide si une autres méthode d'authentification est utilisée)
https://gist.github.com/njh/2432427
https://gist.github.com/njh/2432427
<s0>Authentication</s0>: how authenticate users
<s0>Authentification</s0>: comment authentifier les utilisateurs
Export sAMAccountName in a variable declared in <a0>exported variables</a0>
Exporter sAMAccountName dans la liste des <a0>variables exportées</a0>
documentation:latest:notifications
documentation:latest:notifications
Add then extension configuration, for example:
Puis, configuration de l'extension, par exemple :
Must be secured by network access control.
Doit être securisé par un contrôle d'accès réseau.
Apache authentication level
Niveau d'authentification d'Apache
unprotect
unprotect
Form replay parameters
Paramètres de rejeu de formulaires
logout_app_sso http://intranet/
logout_app_sso http://intranet/
Demonstration
Démonstration
If <c0><a1>CAS</a1> login</c0> is not set, it uses <c2>General Parameters</c2> » <c3>Logs</c3> » <c4>REMOTE_USER</c4> data, which is set to <c5>uid</c5> by default
Si le <c0>login <a1>CAS</a1></c0> n'est pas défini, la donnée <c2>Paramètres généraux</c2> » <c3>Journalisation</c3> » <c4>REMOTE_USER</c4> est utilisée, mise à <c5>uid</c5> par défaut
<s32>}</s32><s33>;</s33>
<s32>}</s32><s33>;</s33>
You can change it quick with a sed command.
On peut le changer rapidement par une commande sed.
../documentation/current/prereq.html
../documentation/current/prereq.html
Lemonldap\:\:NG \: Bad password for .* \(<HOST>\)
# Option: ignoreregex
# Notes.: regex to ignore.
Lemonldap\:\:NG \: Bad password for .* \(<HOST>\)
# Option: ignoreregex
# Notes.: regex to ignore.
http://www.openldap.org/doc/admin24/overlays.html#Reverse%20Group%20Membership%20Maintenance
http://www.openldap.org/doc/admin24/overlays.html#Reverse%20Group%20Membership%20Maintenance
000000FFFFFFFFFFFFFFFFFFFFFFFFFFFFFF000000
000000FFFFFFFFFFFFFFFFFFFFFFFFFFFFFF000000
For remote servers, you can use <a0>SOAP session backend</a0> in cunjunction to increase security for remote server that access through an unsecure network
Pour les serveurs distants, vous pouvez utiliser le <a0>module SOAP d'accès aux sessions</a0> en complément pour augmenter la sécurité de ces serveurs qui accèdent aux sessions au travers d'un réseau non sûr
Parameters:
Paramètres:
Update your /etc/hosts to map <a0>SSO</a0> URLs to localhost:
Mettez à jour votre /etc/hosts pour faire correspondre les URLs du <a0>SSO</a0> à votre machine :
checkLogonHours
checkLogonHours
To use Active Directory as LDAP backend, you must change few things in the manager :
Pour utiliser Active Directory comme serveur LDAP, vous devez effectuer quelques modifications dans le manager :
To see available actions, do:
Pour connaître les actions possibles, lancer :
This is also true for:
C'est disponible pour :
<a0>LL::NG</a0> can delegate authentication to a <a1>CAS</a1> server.
<a0>LL::NG</a0> peut déléguer l'authentification à un serveur <a1>CAS</a1>.
Installation from the tarball
Installation depuis l'archive
https://metacpan.org/release/Net-Facebook-Oauth2
https://metacpan.org/release/Net-Facebook-Oauth2
<<s12>Files</s12> *.pl>
<<s12>Files</s12> *.pl>
FastCGI support
Support FastCGI
"admin0\@global.virt" : $uid
"admin0\@global.virt" : $uid
https://auth.sso.sbay.org/
https://auth.sso.sbay.org/
User is redirected on protected application, with his new cookie
L'utilisateur est redirigé vers l'application demandée avec son nouveau cookie
<a0>CAS</a0> authentication will automatically add a <a1>logout forward rule</a1> on <a2>CAS</a2> server logout <a3>URL</a3> in order to close <a4>CAS</a4> session on <a5>LL::NG</a5> logout.
L'authentification <a0>CAS</a0> ajoute automatiquement une <a1>règle de renvoi après déconnexion</a1> sur l'<a3>URL</a3> de déconnexion du serveur <a2>CAS</a2> afin de clore la session <a4>CAS</a4> lors de la déconnexion <a5>LL::NG</a5>.
The first will allow to configure <a0>SSO</a0> for the alfresco webapp, and the other for the share webapp.
Le premier autorise la configuration du <a0>SSO</a0> pour la webapp Alfresco et l'autre pour la webapp partagée.
By default, Tomcat provides a file called <c0>users.xml</c0> to manage authentication:
Par défaut, Tomcat fournit un fichier nommé <c0>users.xml</c0> pour gérer l'authentification :
Handler
Agent (Handler)
Press
Presse
Register partner Service Provider on LemonLDAP::NG
Enregistrer le fournisseur de service dans LemonLDAP::NG
customhead.tpl : <a0>HTML</a0> header markups (like <a1>CSS</a1>, js inclusion)
customhead.tpl : en-têtes <a0>HTML</a0> (tels les inclusions <a1>CSS</a1>, js)
/_detail/logos/logo_bpi.png?id=references
/_detail/logos/logo_bpi.png?id=references
../media/logos/sgs_white_small.jpg
../media/logos/sgs_white_small.jpg
<s0># Uncomment this to activate status module</s0>
<s0># Uncomment this to activate status module</s0>
LDAP sever can block brute-force attacks, and <a0>LL::NG</a0> will display that account is locked
Le serveur LDAP peut bloquer les attaques par force brute et <a0>LL::NG</a0> affichera que le compte est bloqué
[lemonldap-ng]
enabled = true
port = http,https
filter = lemonldap
action = iptables-multiport[name=lemonldap, port="http,https"]
logpath = /var/log/apache*/error*.log
maxretry = 3
[lemonldap-ng]
enabled = true
port = http,https
filter = lemonldap
action = iptables-multiport[name=lemonldap, port="http,https"]
logpath = /var/log/apache*/error*.log
maxretry = 3
/_detail/screenshots/1.0/sessionsexplorer/tree_light.png?id=screenshots
/_detail/screenshots/1.0/sessionsexplorer/tree_light.png?id=screenshots
<a0>Using Apache::Session::Browseable::MySQL</a0> (recommended for best performances)
<a0>Utiliser Apache::Session::Browseable::MySQL</a0> (recommandé pour de meilleures performances)
Architecture
Architecture
<s0>PREFIX</s0>: installation directory (default: /usr/local)
<s0>PREFIX</s0> : répertoire d'installation (défaut : /usr/local)
Logout
Déconnexion
(support from Windows Server 2003) It is too late for the user to do anything.
(support depuis la version Windows Server 2003) Il est trop tard pour l'utilisateur pour faire quoi que ce soit.
Modify the portal virtual host to match this example:
Modifier l'hôte virtuel du portail comme suit :
Force port in redirection
Force le port dans les redirections
This mechanism can be used to secure access for remote servers that cross an unsecured network to access to <a0>LL::NG</a0> databases.
Ce mécanisme peut être utilisé pour sécuriser l'accès des serveurs distants qui traversent des réseaux non sécurisés pour accéder aux bases de données de <a0>LL::NG</a0>.
Protect the Manager
Protéger le manager
Authentication level
Niveau d'authentification
These options are only here to override default values.
Ces options ne sont à utiliser que pour surcharger les valeurs par défaut.
Configuration can be stored in several formats (<a0>SQL</a0>, <a1>File</a1>, <a2>LDAP</a2>) but must be shared over the network if you use more than 1 server.
La configuration peut être stockée sous plusieurs formats (<a0>SQL</a0>, <a1>File</a1>, <a2>LDAP</a2>) mais doit être partégée via le réseau si on utilise plus d'un serveur.
For example, if you are using <a0>AD as authentication backend</a0>, you can use sAMAccountName for the Windows NameID format.
Par exemple, si vous utilisez <a0>Active-Directory comme système d'authentification</a0>, vous pouvez utiliser sAMAccountName come format de NameID Windows.
You can choose other Makefile targets:
On peut choisir d'autres cibles du Makefile :
To do this, use the Manager, and go in <c0>Virtual Hosts</c0> branch.
Pour ce faire, utiliser le manager, et aller dans la branche <c0>Virtual Hosts</c0>.
<s0>getAttributes(cookieValue)</s0>: get elements stored in session
<s0>getAttributes(cookieValue)</s0> : retourne les éléments stockés dans la session
passwordDB
passwordDB
insert a loop around the <a0>HTML</a0> printing, starting with the object creation <e1>(→new)</e1>
insérer une boucle autour de l'affichage <a0>HTML</a0>, démarrant avec la création de l'objet <e1>(→new)</e1>
To create a variable, you've just to map a user attributes in <a0>LL::NG</a0> using <c1>Variables</c1> » <c2>Exported variables</c2>.
Pour créer une variable, il faut simplement associer des attributs utilisateurs dans <a0>LL::NG</a0> en utilisant <c1>Variables</c1> » <c2>Variables exportées</c2>.
../../../media/icons/gpg.png
../../../media/icons/gpg.png
Storage
Stockage
Authorization is controlled only by Handlers.
Les autorisations sont vérifiées seulement par les agents (handlers).
Apache::Session
Apache::Session
CDBI / RDBI
CDBI / RDBI
<s0><a1>Identity provider proxy</a1></s0>: <a2>LL::NG</a2> can be used as proxy translator between systems talking <a3>SAML</a3>, OpenID, <a4>CAS</a4>, …
<s0><a1>Proxy de fournisseurs d'identités</a1></s0> : <a2>LL::NG</a2> peut être utilisé comme traducteur mandataire entre systèmes comprenant <a3>SAML</a3>, OpenID, <a4>CAS</a4>, …
$mailR
$mailR
Three options:
Trois options :
<<s14>IfModule</s14> auth_kerb_module>
<<s14>IfModule</s14> auth_kerb_module>
Since MySQL does not have always transaction feature, Apache::Session::MySQL has been designed to use MySQL locks.
Comme MySQL ne dispose pas toujours de dispositif de transaction, Apache::Session::MySQL a été conçu en utilisant les verrous MySQL.
notificationStorage
notificationStorage
Configure the <a0>access rules</a0>.
Configurer les <a0>règles d'accès</a0>.
Before installing the packages, install all <a0>dependencies</a0>.
Avant d'installer les paquets, installer toutes les <a0>dépendances</a0>.
Secure configuration access
Securiser l'accès à la configuration
<s0>LmCookieDomainToReplace</s0>: string to replace in <c1>Set-Cookie</c1> header
<s0>LmCookieDomainToReplace</s0> : chaîne à remplacer dans l'en-tête <c1>Set-Cookie</c1>
/_detail/icons/xfmail.png?id=contact
/_detail/icons/xfmail.png?id=contact
<s0>Chain</s0>: <a1>DBI</a1> chain, including database driver name and database name (for example: dbi:mysql:database=lemonldapng;host=localhost).
<s0>Chaîne</s0> : chaîne <a1>DBI</a1>, contenant le nom de driver et le nom de la base de données (par exemple : dbi:mysql:database=lemonldapng;host=localhost).
RPMs are available on the <a0>Download page</a0>.
Les paquets RPM sont disponibles sur la <a0>page de téléchargement</a0>.
See <a0>how configure logging in Tomcat</a0> .
Voir <a0>how configure logging in Tomcat</a0> .
...
<s3><s4></AttributeAuthorityDescriptor<s5>></s5></s4></s3>
...
<s3><s4></AttributeAuthorityDescriptor<s5>></s5></s4></s3>
<s84>//"userobm_archive" => ,</s84>
<s84>//"userobm_archive" => ,</s84>
<s0>Sessions module</s0>: set <c1>Lemonldap::NG::Common::Apache::Session::SOAP</c1> for <a2>SOAP session backend</a2>.
<s0>Module de sessions</s0> : mettre <c1>Lemonldap::NG::Common::Apache::Session::SOAP</c1> pour le <a2>backend de session SOAP</a2>.
See <a0>Debian Lenny upgrade</a0>.
Voir la <a0>mise à jour de Debian Lenny</a0>.
Portal checks authentication
Le portail examine les données d'authentification
See <a0>https://developers.facebook.com/apps</a0> on how to do that.
Voir <a0>https://developers.facebook.com/apps</a0> pour en savoir plus.
<s0>Regexp for password generation</s0>: Regular expression used to generate the password (default: [A-Z]{3}[a-z]{5}.\d{2})
<s0>Regexp pour la génération de mot-de-passe</s0> : expression régulière utilisée pour générer le mot-de-passe (défaut : [A-Z]{3}[a-z]{5}.\d{2})
<s0>Redirect on forbidden</s0>: use 302 instead 403
<s0>Redirections pour les accès interdits</s0> : utilise 302 au lieu de 403
Password backend
Module de gestion de mots-de-passe
<s0>Resolution Rule</s0>: rule that will be applied to preselect an IDP for a user.
<s0>Règle de résolution</s0> : règle à appliquer pour pré-sélectionner cet IDP.
If not set, the secret token is calculated using the general encryption key.
S'il n'est pas renseigné, le jeton secret est calculé en utilisant la clef de chiffrement générale.
The plugin will check the <c1>REMOTE_USER</c1> environment variable to get the connected user.
Ce plugin utilise la variable d'environnement <c1>REMOTE_USER</c1> pour récupérer le nom d'utilisateur connecté.
Compatible password modification
Compatibilité des modifications de mots-de-passe
perl-Lemonldap-NG-Manager: CPAN - Manager modules
perl-Lemonldap-NG-Manager : CPAN - modules manager
This concerns all parameters for the Attribute Authority metadata section
Ceci concerne tous les paramètres de la section « autorité d'attributs » des métadatas
http://search.cpan.org/perldoc?Apache::Session::Redis
http://search.cpan.org/perldoc?Apache::Session::Redis
generic_sso
generic_sso
Common Domain Cookie is also know as <a0>WAYF Service</a0>.
Le domaine commun de cookie est également connu comme <a0>service WAYF</a0>.
http://vhost.example.com/appli1
http://vhost.example.com/appli1
http://vhost.example.com/appli2
http://vhost.example.com/appli2
Delete other session
Efface les autres sessions (session unique par utilisateur)
Contrary to <a0>multiple backend stacking</a0>, backend choice will present all available authentication methods to users, who will choose the one they want.
Contrairement au <a0>dispositif de multiples backends</a0>, le dispositif de choix de backend présente à l'utilisateur toutes les méthodes d'authentification disponibles pour qu'il puisse choisir.
You can configure here which field of <a2>LL::NG</a2> session will be associated to a NameID format.
Vous pouvez indiquer ici l'attribut de session de <a2>LL::NG</a2> qui sera associé au format du NameID.
Configuration of LemonLDAP::NG
Configuration de LemonLDAP::NG
Perl auto-protected CGI
CGI aito-protégée Perl
Filters
Filters
Name
Nom
You can also modify list of exported variables.
On peut également modifier la liste des variables exportées.
<s93>//"userobom_phone2" => ,</s93>
<s93>//"userobom_phone2" => ,</s93>
https://developers.facebook.com/tools/explorer
https://developers.facebook.com/tools/explorer
So you can define for example:
Ainsi on peut définir par exemple:
Go in Manager and create a new OpenID Connect provider.
Aller dans le Manager et créer un fournisseur OpenID-Connect.
Declare the OpenID Connect Provider in LL::NG
Déclarer le fournisseur OpenID Connect dans LL::NG
logos:logo_bpi.png
logos:logo_bpi.png
user
user
<c0>ValveLemonLDAPNG.jar</c0> is created under <c1>/dist</c1> directory.
<c0>ValveLemonLDAPNG.jar</c0> est créé dans le répertoire <c1>/dist</c1>.
2009
2009
Configuration <s0>is not saved</s0> if errors occur.
La configuration <s0>n'est pas sauvée</s0> en cas d'erreur.
LDAP server can force password change on first connection, and <a0>LL::NG</a0> portal will display a password change form before opening <a1>SSO</a1> session
Le serveur LDAP peut imposer le changement de mot-de-passe à la première connexion et le portail <a0>LL::NG</a0> affichera le formulaire de changement de mot-de-passe avant d'ouvrir la session <a1>SSO</a1>
Use “Active Directory” as authentication, userDB and passwordDBbackends,
Utiliser “Active Directory” comme systèmes d'authentification, de gestion des utilisateurs et des mots-de-passe,
../media/logos/logo-ul.png
../media/logos/logo-ul.png
stack several times the same module with a different name
empiler plusieurs fois le même module avec un nom différent
LemonLDAP::NG is used to protect access to intranet.
LemonLDAP::NG est utilisé pour protéger l'accès à l'Intranet.
LemonLDAP::NG provide a script that allows to edit configuration without graphical interface, this script is called <c0>lmConfigEditor</c0> and is stored in the LemonLDAP::NG bin/ directory, for example /usr/share/lemonldap-ng/bin:
LemonLDAP::NG fournit un script qui permet d'éditer la configuration sans interface graphique, ce script se nomme <c0>lmConfigEditor</c0> et se trouvedans le répertoire bin/ de LemonLDAP::NG, par exemple /usr/share/lemonldap-ng/bin :
Edit /etc/fail2ban/jail.conf
Editer /etc/fail2ban/jail.conf
<s136>//"userobm_mail_perms" => ,</s136>
<s136>//"userobm_mail_perms" => ,</s136>
Sources are currently available on OW2.
Les sources sont disponibles sur OW2.
In Debian/Ubuntu, install the library through apt-get command
Pour Debian/Ubuntu, installer la librairie via la commande apt-get
You can also get the <a0>LemonLDAP::NG archive</a0> and make the package yourself:
On peut également construire les paquets à partir de l'<a0>archive LemonLDAP::NG</a0> :
<s0>Handler</s0>: Apache modules used to protect applications
<s0>Agent</s0> (Handler): module Apache utilisé pour protéger les applications
Easy to customize
Facile à personnaliser
icons:bug.png
icons:bug.png
http://search.cpan.org/perldoc?Apache::Session::Sybase
http://search.cpan.org/perldoc?Apache::Session::Sybase
references
Références
<s0>Mail content</s0>:
<s0>Contenu du courriel</s0> :
<s154>//"userobm_samba_home_drive" => ,</s154>
<s154>//"userobm_samba_home_drive" => ,</s154>
Go to <c0>Configuration</c0> » <c1>Authentication</c1>:
Aller dans <c0>Configuration</c0> » <c1>Authentication</c1>:
Protected sites:
Sites protégés:
http://auth.example.com/saml/singleSignOn
http://auth.example.com/saml/singleSignOn
Change configuration in lemonldap-ng.ini :
Changer la configuration dans lemonldap-ng.ini :
2012
2012
2011
2011
Connection login
Login de connexion
2010
2010
uid: coudot
uid: coudot
<s0><s1><bean</s1> <s2>id</s2>=<s3>"LemonLDAPNGFilter"</s3> <s4>class</s4>=</s0>
<s5><s6>"org.springframework.security.web.authentication.preauth.header.RequestHeaderPreAuthenticatedProcessingFilter"</s6><s7>></s7></s5>
<s0><s1><bean</s1> <s2>id</s2>=<s3>"LemonLDAPNGFilter"</s3> <s4>class</s4>=</s0>
<s5><s6>"org.springframework.security.web.authentication.preauth.header.RequestHeaderPreAuthenticatedProcessingFilter"</s6><s7>></s7></s5>
Older versions
Versions précédentes
<s0>Authentication level</s0>: authentication level for this module
<s0>Niveau d'authentification</s0> : niveau d'authentification pour ce module
A known problematic is that many browser (Firefox, Chrome) remembers the fact that the certificate is not available at a certain time.
Problème connu : de nombreux navigateurs (Firefox, Chrome) enregistrent le fait qu'un certificat n'est pas disponible un certain temps.
Now you have access to the SP parameters list.
Il est ensuite possible d'accéder à la liste des paramètre du SP :
Google Migration
Migration Google
SSL authentication (https) does not seem to be checked anyway.
"SSL authentication (https)" ne semble pas devoir être sélectionné.
"" : ($mail =~ /^([^@]+)/)[0] .
"" : ($mail =~ /^([^@]+)/)[0] .
Country
Country
<s0>Cookie name</s0> (optional): name of the cookie of primary portal, if different from secondary portal
<s0>Nom du cookie</s0> (optionnel) : nom du cookie du portail primaire, s'il est différent de celui du portail secondaire
xguimard
xguimard
<s0>Adapt session lifetime</s0>: session lifetime will be adapted from <c1>SessionNotOnOrAfter</c1> value found in authentication response.
<s0>Adaptation de la durée de vie de la session</s0> : la durée de vie de la session sera adaptée sur la base de la valeur de <c1>SessionNotOnOrAfter</c1> dans les réponses d'authentification.
in the value field, set the field name.
dans le champ valeur, mettre le nom du champ.
Do not forget to add OBM in <a0>applications menu</a0>.
Ne pas oblier d'ajouter OBM dans le <a0>menu des applications</a0>.
Index
Index
Just remember its <a0>DN</a0> for LemonLDAP::NG configuration.
Il faut juste retenir le <a0>DN</a0> pour la configuration de LemonLDAP::NG.
Email
Email
Packages and archives
Paquets et archives
checkLogonHours($ssoLogonHours)
checkLogonHours($ssoLogonHours)
<s0>Protocol</s0>:
<s0>Protocole</s0> :
Example of a protected virtual host for a local application:
Exemple d'hôte virtuel protégé pour une application locale :
Macros
Macros
To get more information on user (name, mail, etc.), you have to read <a0>HTTP headers</a0>.
Pour obtenir plus d'information sur l'utilisateur (nom, adresse de courriel, etc...), il faut lire les <a0>en-têtes HTTP</a0>.
See <s0><a1>security chapter</a1></s0> to learn more about writing good rules.
Voir le <s0><a1>chapître sécurité</a1></s0> pour apprendre comment écrire de bonnes règles.
de
fr
Another <a0>LL::NG</a0> system configured with <a1>SAML authentication</a1>
Un autre système <a0>LL::NG</a0> configuré avec <a1>authentification SAML</a1>
Issuer module (can be multivalued)
Module fournisseur (peut-être multivalué)
http://jira.ow2.org
http://jira.ow2.org
Then you must <s0>deploy</s0> this domain in order to go on with the configuration.
Ensuite <s0>deployer</s0> ce domaine pour accéder à sa configuration.
When <a0>LL::NG</a0> is configured as OpenID identity provider, users can share their authentication using [PORTAL]/openidserver/[login] where:
Lorsque <a0>LL::NG</a0> est configuré en fournisseur d'identité OpenID, les utilisateurs peuvent partager leur authentification en utilisant [PORTAIL]/openidserver/[login] où :
domain
domain
Users can see their own history in menu, if menu module <c0>Login history</c0> is enabled.
Les utilisateurs peuvent voir leur historique dans le menu, si le module <c0>historique de connexion</c0> est activé.
<s0>+30s</s0>: 30 seconds from session creation
<s0>+30s</s0> : 30 secondes après la création de la session
In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Choice for authentication.
Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir Choice pour l'authentification.
dn
dn
Handler performance
Performance des agents (handlers)
documentation/current/installdeb.html#llng_repository
documentation/current/installdeb.html#llng_repository
Then it creates the session (with attribute filter)
Il crée la sessions (avec le filtre d'attributs)
If you want to refuse access when a data is missing, just add a “!” before the key name
Pour imposer qu'une valeur soit renseignée, ajouter un ”!” devant le nom de clef
Access Control List
Liste de contrôle d'accès
Install rpm-build package
Install rpm-build package
<s0>One user by <a1>IP</a1> address</s0>: 2 users can not open a session with the same <a2>IP</a2>.
<s0>Un utilisateur par adresse <a1>IP</a1></s0> : 2 utilisateurs ne peuvent ouvrir de sessions avec la même adresse <a2>IP</a2>.
ldapSetPassword
ldapSetPassword
<c0>skip</c0>: all is open!
<c0>skip</c0> : tout est ouvert !
Easy import/export through LDIF files
Import/export facilité via les fichiers LDIF
dbi:mysql:dbname=sessions
dbi:mysql:dbname=sessions
Just run the tar command:
Lancer implement la commande tar :
name => foaf:name
nom => foaf:name
Syslog facility
Facilité syslog
Advanced
Avancé
You need to restart Tomcat to apply changes.
Un redémarrage de Tomcat est nécessaire pour appliquer les changements.
You can then set the access rule.
Définir ensuite les règles d'accès.
Central Authentication Service
Central Authentication Service
quickstart
Démarrage rapide
OpenID 2.0 support is closed since 20th April 2015.
Le support OpenID-2.0 esl clos depuis le 20 avril 2015.
en
fr
Tomcat
Tomcat
RPM
RPM
ldapGroupAttributeNameGroup
ldapGroupAttributeNameGroup
Liferay can use <a0>LL::NG</a0> as an <a1>SSO</a1> provider but you have to manage how users are created:
Liferay peut utiliser <a0>LL::NG</a0> comme fournisseur <a1>SSO</a1> mais il faut gérer la création des comptes utilisateurs :
Authentication module: <a0>SAML</a0>
Module d'authentification : <a0>SAML</a0>
Required :
Requis :
You can change this behavior and set a cookie duration, for example:
On peut changer ce comportement et mettre une durée de vie, par exemple :
And fill it:
et le remplir :
http://www.slideshare.net/coudot/lemonldapng-un-websso-libre-confoo-2010
http://www.slideshare.net/coudot/lemonldapng-un-websso-libre-confoo-2010
<a8>limesurvey</a8><br9/>
<a8>limesurvey</a8><br9/>
/_detail/icons/tux.png?id=contact
/_detail/icons/tux.png?id=contact
<s0>Require old password</s0>: used only in the password changing module of the menu, will check the old password before updating it
<s0>Exige l'ancien mot-de-passe</s0> : utilisé seulement dans le module de changement du mot-de-passe du menu, vérifie l'ancien mot-de-passse avant de le changer
Dokuwiki local configuration
Configuration locale Dokuwiki
<s0>.css</s0>: <a1>CSS</a1> (styles)
<s0>.css</s0>: <a1>CSS</a1> (styles)
to the configuration backend
au système de stockage de la configuration
Authentication
Authentification
Date of validation of the notification <e0>id</e0>
Date de validation de la notification <e0>id</e0>
Fields:
Champs :
Custom Error <a0>URL</a0>: you can redirect the user to a special page when an error is happening
Custom Error <a0>URL</a0> : on peut rediriger l'utilisateur sur une page particulière en cas d'erreur
Manager skin
Thème du manager
<s0>Enable Single Sign-On</s0>: check the box.
<s0>Enable Single Sign-On</s0>: sélectionner.
Zimbra preauthentication key
Clef de pré-authentification Zimbra
Configure Bugzilla virtual host like other <a0>protected virtual host</a0>.
Configurer l'hôte virtuel Bugzilla comme n'importe quel autre <a0>hôte virtuel protégé</a0>.
Exported variables
Variables exportées
ant
ant
LemonLDAP::NG Common
Fichiers communs LemonLDAP::NG
Edit the file “auth.conf”, for example:
Éditer le fichier “auth.conf” de Sympa, par exemple :
Choice modules
Modules de "Choice"
managerSkin
managerSkin
Here are some screenshots of 1.2 new features.
Ici se trouvent quelques captures d'écran illustrant les nouvelles fonctionnalités de la version 1.2.
mailCharset
mailCharset
It is a Single Sign On protocol similar to OpenID, but based on user email address rather than a <a0>URL</a0>.
C'est un protocole d'authentification unique (Single Sign On) similaire à OpenID, mais basé sur l'adresse emailde l'utilisateur au lieu d'une <a0>URL</a0>.
By default, you will have a manager virtual host define in configuration.
Par défaut, il existe un hôte virtuel défini dans la configuration.
<a0>LL::NG</a0> can use two tables:
<a0>LL::NG</a0> peut utiliser deux tables :
0.9.4_application_menu.png
0.9.4_application_menu.png
In <c0>Configuration</c0>, register the <c1>client_id</c1> and <c2>client_secret</c2> given by France Connect
Dans <c0>Configuration</c0>, enregistrer les <c1>client_id</c1> et <c2>client_secret</c2> donnés par France Connect
documentation:quickstart
documentation:quickstart
<s0>manager</s0>: parameters only for Manager
<s0>manager</s0> : paramètres réservés au manager
If they really do not please you, override them!
S'ils ne conviennent pas, il peuvent être surchargés.
<s138>//"userobm_mail_server_id" => ,</s138>
<s138>//"userobm_mail_server_id" => ,</s138>
ldap.auth.enabled=true
ldap.auth.enabled=true
It provides many features:
Il fournit de nombreuses fonctionnalités :
Apache logging
Journaux d'Apache
Clément OUDOT's blog
Blog de Clément OUDOT
../../css/screen.css
../../css/screen.css
<s131>//"userobm_expresspostal" => ,</s131>
<s131>//"userobm_expresspostal" => ,</s131>
ipAddr
ipAddr
the manager (for internal use only)
le manager (à usage interne seulement)
yum install mod_auth_kerb
yum install mod_auth_kerb
OpenID protocol is deprecated.
Le protocole OpenID est obsolète.
<a0>DBI</a0> connection string
Chaîne de connexion <a0>DBI</a0>
To post user's password, you must enable <a0>password storing</a0>.
Pour envoyer le mot-de-passe utilisateur, il faut activer le <a0>stockage du mot-de-passe</a0>.
→ You do not use the new configuration syntax for application list.
→ La nouvelle syntaxe de configuration de la liste des applications n'est pas utilisée.
<a0>LL::NG</a0> can also act as <a1>CAS server</a1>, that allows to interconnect two <a2>LL::NG</a2> systems.
<a0>LL::NG</a0> peut également agir en <a1>serveur CAS</a1>, ce qui peut servir à connecter deux systèmes <a2>LL::NG</a2>.
<a0>SREG</a0> permit the share of 8 attributes:
<a0>SREG</a0> permet le partage de 8 attributs :
This mechanism allow to do <a0>SSO</a0> on application with an unsafe link between Handler and the application, but with a safe link with the Memcached server.
Ce mécanisme permet de faire du <a0>SSO</a0> sur une application sans lien sécurisé entre l'agent et l'application, mais avec un lien sûr avec le serveur Memcached.
Example 2: single table
Example 2: single table
http://2011.rmll.info/CAS-OpenID-Shibboleth-SAML-un-WebSSO-pour-les-gouverner-tous
http://2011.rmll.info/CAS-OpenID-Shibboleth-SAML-un-WebSSO-pour-les-gouverner-tous
As this may be a security hole, password store in session is not activated by default
Comme ce peut être un trou de sécurité, ce stockage en session n'est pas activé par défaut
Liferay
Liferay
<a0>LL::NG</a0> can act as an OpenID 2.0 Server, that can allow to federate <a1>LL::NG</a1> with:
<a0>LL::NG</a0> peut agir comme un serveur OpenID 2.0, ce qui permet de fédérer <a1>LL::NG</a1> avec :
<s5>my</s5> <s6>$url</s6> <s7>=</s7> <a8><s9>shift</s9></a8><s10>;</s10>
<s5>my</s5> <s6>$url</s6> <s7>=</s7> <a8><s9>shift</s9></a8><s10>;</s10>
Choose <a0>DBI</a0> type (RDBI, CDBI or <a1>DBI</a1>)
Choisir le type <a0>DBI</a0> (RDBI, CDBI or <a1>DBI</a1>)
Finally, just ensure that at least:
Finalement, vérifier que :
This is the entry point of our login cinematic.
C'est le point d'entrée de la cinématique de connexion.
http://oss.oetiker.ch/mrtg/
http://oss.oetiker.ch/mrtg/
Easy to integrate
Facile à intégrer
Google proposes to allow applications to reuse its own authentication process using <a0>OpenID</a0> protocol (it means, if your are connected to Google, other applications can trust Google and let you in).
Google propose d'autoriser les applications à réutiliser son propre processus d'authentification en utilisant le protocole <a0>OpenID</a0> (ce qui signifie que si on est connecté à Google, d'autres applications peuvent agréer Google et accepter l'utilisateur).
documentation:liferay_4.png
documentation:liferay_4.png
../../../media/screenshots/1.1/mailreset/mailreset_step4.png
../../../media/screenshots/1.1/mailreset/mailreset_step4.png
dbiAuthTable
dbiAuthTable
You <s1>must</s1> provide a full <a2>URI</a2> (for example /skins/common/lemonldap-ng_square.png) and use HTTPS on the portal
<s1>Il faut</s1> fournir une <a2>URI</a2> complète (par exemple /skins/common/lemonldap-ng_square.png) et utiliser HTTPS pour le portail
SSLAuthnLevel
SSLAuthnLevel
For now, the authentication service parameter has no domain available.
Pour l'instant, le paramètre du service d'authentification ne dispose pas d'un domaine disponible.
storePassword
storePassword
../documentation/current/start.html#authentication_users_and_password_databases
../documentation/current/start.html#authentication_users_and_password_databases
Lyon
Lyon
Access rules values can be:
Les valeurs des règles d'accès peuvent être :
by <a0>IP</a0>
par adresses <a0>IP</a0>
<s0>Secret token</s0>: used to check integrity of OpenID response.
<s0>Secret token</s0> : utilisé pour vérifier l'integrité des réponses OpenID.
a2ensite manager-apache2.conf
a2ensite portal-apache2.conf
a2ensite handler-apache2.conf
a2ensite test-apache2.conf
a2ensite manager-apache2.conf
a2ensite portal-apache2.conf
a2ensite handler-apache2.conf
a2ensite test-apache2.conf
_authChoice
_authChoice
20090301000000Z
20090301000000Z
You need to adapt some parameters:
Certains paramètres doivent être adaptés :
<s15>Deny</s15> from <s16>all</s16>
<s15>Deny</s15> from <s16>all</s16>
/_detail/icons/tutorials.png?id=documentation
/_detail/icons/tutorials.png?id=documentation
With aptitude
Avec aptitude
http://video.rmll.info/videos/permalink/v124cb7b8e410b3db28b/
http://video.rmll.info/videos/permalink/v124cb7b8e410b3db28b/
Some-Thing
Some-Thing
OBM_USERPASSWORD
OBM_USERPASSWORD
http://www.daasi.de/ldapcon2011/index.php?site=lemonldap
http://www.daasi.de/ldapcon2011/index.php?site=lemonldap
http://openid.net/specs/openid-authentication-1_1.html
http://openid.net/specs/openid-authentication-1_1.html
LDAP performances
Performances LDAP
Do not forget to save your changes!
Ne pas oublier de sauvegarder les changements !
Login History
Historique de connexion
Secure Token expiration
Expiration du jeton sécurisé
http://freeradius.org/mod_auth_radius/
http://freeradius.org/mod_auth_radius/
This is mandatory if you want to use an Apache authentication module, which is run by Apache before showing the LemonLDAP::NG portal page.
Obligatoire toutefois si on veut utiliser un module d'authentification Apache, qui sont lancés par Apache avant d'afficher la page du portail LemonLDAP::NG.
Authentication table: where login and password are stored
La table d'authentification : où les logins and et mots-de-passe sont stockés
As Handlers keep configuration in cache, when configuration change, it should be updated in Handlers.
Comme les agents gardent leur configuration en cache, lorsque la configuration est changée elle doit être mise à jour dans les agents.
REMOTE_USER environment variable (with local Handler or SetEnvIf trick)
la variable d'environnement REMOTE_USER (avec un agent local ou une conversion SetEnvIf)
<s59>//"userobm_kind" => ,</s59>
<s59>//"userobm_kind" => ,</s59>
<s152>//"userobm_samba_perms" => ,</s152>
<s152>//"userobm_samba_perms" => ,</s152>
Functions parameters:
Paramètres de la fonction :
zimbraSsoUrl
zimbraSsoUrl
If you use an older version, you need to refer to the following documentation: <a0>https://wiki.alfresco.com/wiki/SSO</a0>
Pour les versions plus anciennes, se référer à cette documentation : <a0>https://wiki.alfresco.com/wiki/SSO</a0>
Modify password if asked
Modifie le mot-de-passe si demandé
<s0>Opening conditions</s0>: rules which are evaluated before granting session.
<s0>Conditions d'ouverture</s0> : règles à évaluer avant d'autoriser l'ouverture de session.
http://code.google.com/p/redis/
http://code.google.com/p/redis/
Configure LemonLDAP::NG to use SOAP proxy mechanism
Configurer LemonLDAP::NG pour utiliser le mécanisme mandataire SOAP
http://auth.example.com/openidserver/foo.bar
http://auth.example.com/openidserver/foo.bar
echo "127.0.0.1 reload.example.com" >> /etc/hosts
echo "127.0.0.1 reload.example.com" >> /etc/hosts
To test this, you can build your own WebID certificate using one of :
Pour tester ceci, on peut se construire son propre certificat WebID en utilisant au choix :
http://www.slideshare.net/coudot/websso-and-access-management-with-lemonldapng
http://www.slideshare.net/coudot/websso-and-access-management-with-lemonldapng
/sslok/ is the new LemonLDAP::NG portal.
/sslok/ est le nouveau portail LemonLDAP::NG.
<s60>"userobm_lastname"</s60> <s61>=></s61> <s62>"HTTP_OBM_SN"</s62><s63>,</s63>
<s60>"userobm_lastname"</s60> <s61>=></s61> <s62>"HTTP_OBM_SN"</s62><s63>,</s63>
OpenID
OpenID
The AuthDemo and UserDBDemo will allow you to log in and get the standard attributes (uid, cn and mail).
AuthDemo et UserDBDemo permettent de se connecter et d'avoir les attributs standards (uid, cn et mail).
<s147>//"userobm_email_nomade" => ,</s147>
<s147>//"userobm_email_nomade" => ,</s147>
Password protected transport
Transport protégé du mot-de-passe
Upgrade
Mise à jour
Internal Proxy
Proxy interne
<s0>CREATE</s0> <s1>TABLE</s1> notifications <s2>(</s2>
<s0>CREATE</s0> <s1>TABLE</s1> notifications <s2>(</s2>
The database username
Le login de la base de données
You can find all suitable information here: <a0>http://static.springsource.org/spring-security/site/docs/3.0.x/reference/preauth.html</a0>
Les informations appropriées se trouvent ici : <a0>http://static.springsource.org/spring-security/site/docs/3.0.x/reference/preauth.html</a0>
mailConfirmSubject
mailConfirmSubject
<a0>Session explorer</a0> will not work
L'<a0>explorateur de session</a0> ne fonctionne pas
https://metacpan.org/module/Web::ID::Certificate::Generator
https://metacpan.org/module/Web::ID::Certificate::Generator
This can be useful to allow an third party application to access a virtual host with users credentials by sending a Basic challenge to it.
Ce peut être pratique pour autoriser une application cliente à accéder à un hôte virtuel avec un authentifiant en envoyant un en-tête basique.
Download
Téléchargement
...
<s5><s6></EntityDescriptor<s7>></s7></s6></s5>
...
<s5><s6></EntityDescriptor<s7>></s7></s6></s5>
<a0>LL::NG</a0> rely on a session mechanism with the session ID as a shared secret between the user (in <a1>SSO cookie</a1>) and the <a2>session database</a2>.
<a0>LL::NG</a0> utilise un mécanisme de session basé sur un identifiant de session secret partagé entre l'utilisateur (dans un <a1>cookie SSO</a1>) et la <a2>base des sessions</a2>.
This is not the case of <a0>Memcached</a0> for example.
C'est par exemple le cas de <a0>Memcached</a0>.
JSON
JSON
../media/icons/tutorials.png
../media/icons/tutorials.png
<a0>LL::NG</a0> try to find the user in users database with the given information
<a0>LL::NG</a0> tente de trouver l'utilisateur dans la base de données avec l'information donnée
screenshots:1.1:mailreset:mailreset_step1.png
screenshots:1.1:mailreset:mailreset_step1.png
pages/documentation.html
pages/documentation.html
Portal (pastel theme)
Portail (thème pastel)
SSLVar
SSLVar
Try also to create a global notification (to the uid “allusers”), and connect with any user, the message will be prompted.
Essayer alors de créer une notification globale (à l'utilisateur “allusers”), et se connecter avec n'importe quel compte, le message sera affiché.
<s5>Deny</s5> from <s6>all</s6>
<s5>Deny</s5> from <s6>all</s6>
<s0>Path</s0>: keep <c1>^/saml/</c1> unless you have change <a2>SAML</a2> end points suffix in <a3>SAML service configuration</a3>.
<s0>Chemin</s0> : laisser <c1>^/saml/</c1> sauf si les suffixes des points d'accès <a2>SAML</a2> ont été modifiés sans la <a3>configuration du service SAML</a3>.
Memcached servers
Serveurs memcached
This parameter is used by <a0>SAML IDP</a0> to fill the authentication context in authentication responses.
Ce paramètre est utilisé par l'<a0>IdP SAML</a0> pour renseigner le contexte d'authentification dans les réponses.
The Apache configuration depends on the module you choose, you need to look at the module documentation, for example:
La configuration Apache dépend du module choisi, se référer à sa documentation. Exemple :
condition: condition to display the notification, can use all session variables.
condition : condition pour afficher la notification, peut utiliser toutes les variables de session.
# You can protect it :
# * by Apache itself,
# * by the parameter 'protection' which can take one of the following
# values :
# * authenticate : all authenticated users can access
# * manager : manager is protected like other virtual hosts: you
# have to set rules in the corresponding virtual host
# * rule: <rule> : you can set here directly the rule to apply
# * none : no protection
# You can protect it :
# * by Apache itself,
# * by the parameter 'protection' which can take one of the following
# values :
# * authenticate : all authenticated users can access
# * manager : manager is protected like other virtual hosts: you
# have to set rules in the corresponding virtual host
# * rule: <rule> : you can set here directly the rule to apply
# * none : no protection
casStorage
casStorage
Use Safe Jail
Utiliser la cage sécurisée
yum install perl-Authen-Radius
yum install perl-Authen-Radius
→ The configuration cannot be loaded.
→ La configuration ne peut être chargée.
You need to get a preauth key from Zimbra server.
Il est nécessaire de récupérer une clef de pré-authentification auprès du serveur Zimbra.
Specific default values for filters to match AD schema
Valeurs spécifiques par défaut des filtres pour correspondre au schéma AD
...
<s3><s4></SPSSODescriptor<s5>></s5></s4></s3>
...
<s3><s4></SPSSODescriptor<s5>></s5></s4></s3>
<s105>"userobm_service"</s105> <s106>=></s106> <s107>"HTTP_OBM_OU"</s107><s108>,</s108>
<s105>"userobm_service"</s105> <s106>=></s106> <s107>"HTTP_OBM_OU"</s107><s108>,</s108>
As <a0>DBI</a0> is a login/password based module, the authentication level can be:
Comme <a0>DBI</a0> est un module de type login/mot-de-passe, le niveau d'authentification peut être :
<s0>Users module</s0>: OpenID Connect
<s0>Module utilisateurs</s0> : OpenID-Connect
Région Basse-Normandie
Région Basse-Normandie
Handler stores user data in its cache
Il stocke ces données dans son cache
documentation/conferences.html
documentation/conferences.html
http://www.cpantesters.org/distro/L/Lemonldap-NG-Portal.html
http://www.cpantesters.org/distro/L/Lemonldap-NG-Portal.html
You will need to install a Dokuwiki plugin, available on <a0>download page</a0>.
Il faut installer le plugin Dokuwiki disponible sur la <a0>page de téléchargement</a0>.
Use it
Les utiliser
Datas concerning the first connection to the portal
Données concernant la première connexion au portail
value
valeur
accordeon_dark.png
accordeon_dark.png
Variable name
Nom de Variable
<s0>Authentication table</s0>: authentication table name
<s0>Table d'authentification</s0> : nom de la table d'authentification
Configure user and password
Configurer le nom de compte et le mot-de-passe
Cookie expiration
Expiration du cookie
http://perldoc.perl.org/MIME/Base64.html
http://perldoc.perl.org/MIME/Base64.html
The authentication level given to users authenticated with this module.
Le niveau d'authentification accordé aux utilisateurs authentifiés par ce module.
../documentation/current/installdeb.html
../documentation/current/installdeb.html
Ministère de la Justice
Ministère de la Justice
User tries to access a protected application in a different domain
L'utilisateur tente d'accéder à une application protégée d'un autre domaine
<s0>Handler</s0>: user is redirected if he has no <a1>SSO</a1> cookie (or in <a2>CDA</a2> mode)
les <s0>agents (handlers)</s0> : l'utilisateur y est redirigé s'il n'a pas de cookie <a1>SSO</a1> (ou en mode <a2>CDA</a2>)
KrbServiceName HTTP/auth.example.com
KrbServiceName HTTP/auth.example.com
<a9><s10>print</s10></a9> <s11>'<a href="http://test3.example.com/">click here</a>'</s11><s12>;</s12>
<s13>}</s13>
<a9><s10>print</s10></a9> <s11>'<a href="http://test3.example.com/">click here</a>'</s11><s12>;</s12>
<s13>}</s13>
<s0>NameID format</s0>: force NameID format here (email, persistent, transient, etc.).
<s0>Format du NameID</s0> : force le format du NameID (email, persistent, transient, etc.).
Prerequisites and dependencies
Pré-requis et dépendances
SQL session backend
Backend de sessions SQL
Statistics are displayed when calling the status path on an Handler (for example: <a0>http://test1.example.com/status</a0>).
Les statistiques sont affichées lors des appels au chemin du statut sur un agent (par exemple : <a0>http://test1.example.com/status</a0>).
<s6>require</s6> Lemonldap::NG::Portal::Menu;
<s6>require</s6> Lemonldap::NG::Portal::Menu;
[login] is the user login (or any other session information, <s0><a1>see below</a1></s0>)
[login] est le nom de connexion (ou tout autre information de session, <s0><a1>voir ci-dessous</a1></s0>)
XML menu configuration is deprecated.
XML menu configuration is deprecated.
A value
Une valeur
Else, you will lock access to Manager and will never access it anymore.
Sinon, on risque de verrouiller l'accès au manager et ne plus pouvoir y accéder.
In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Slave for authentication or users module.
Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir <a2>Slave</a2>) pour les modules authentification ou utilisateurs.
_passwordDB
_passwordDB
LimeSurvey virtual host in Apache
Hôte virtuel LimeSurvey dans Apache
tree_light.png
tree_light.png
Documentation
Documentation
Functioning
Fonctionnement
start.html
start.html
<a0>SlideShare</a0> <br1/>
<a0>SlideShare</a0> <br1/>
The messages are stored with the levels :
Les messages sont stockés avec les niveaux :
See <a2>Twitter FAQ</a2> on how to do that:.
Reportez-vous à la <a2>FAQ Twitter</a2> pour en savoir plus.
It looks like this:
Ça ressemble à :
id
id
Download the latest version:
Télécharger la dernière version :
<s0>Build cookie</s0>: build <a1>SSO cookies</a1> with session ID
<s0>Construit les cookies</s0>: construit les <a1>cookies SSO</a1> avec l'identifiant de session
Create OBM virtual host (for example obm.example.com) in <a0>LL::NG</a0> configuration: <c1>Virtual Hosts</c1> » <c2>New virtual host</c2>.
Créer l'hôte virtuel OBM (par exemple obm.example.com) dans la configuration <a0>LL::NG</a0> : <c1>Hôtes virtuels</c1> » <c2>Nouvel hôte virtuel</c2>.
Goal
But
Regular expression for random password
Expression rationnelle pour la génération aléatoire des mots-de-passe
http://www.slideshare.net/xguimard/lemonldapng-opensource-websso-of-the-french-administrations-1394404
http://www.slideshare.net/xguimard/lemonldapng-opensource-websso-of-the-french-administrations-1394404
CSOD needs two things to configure <a0>LL::NG</a0> as an IDP:
CSOD nécessite 2 éléments pour configurer <a0>LL::NG</a0> comme IDP :
Example for MySQL :
Exemple pour MySQL :
LockPassword
LockPassword
_session_id
_session_id
<s0># Best performance under ModPerl::Registry</s0>
<s1># Uncomment this to increase performance of Portal</s1>
<Perl>
<s0># Meilleures performances sous ModPerl::Registry</s0>
<s1># A décommenter pour augmenter les performances du portail</s1>
<Perl>
<a2>Video</a2>
<a2>Vidéo</a2>
See full parameters list
Voir la liste complète des paramètres
This documentation will explain how to configure <a0>LL::NG</a0> with the developer reserved space.
Cette documentation présente la configuration de <a0>LL::NG</a0> avec l'environnement de développement.
<a0>Spring Security</a0> is the new ACEGI name.
<a0>Spring Security</a0> est le nouveau nom d'ACEGI.
By default, <a0>DNS</a0> domain is <c1>example.com</c1>.
Par défaut, le domaine <a0>DNS</a0> est <c1>example.com</c1>.
<a0>LL::NG</a0> can easy talk to other authentication systems using <a1>SAML</a1>, OpenID, <a2>CAS</a2>.
<a0>LL::NG</a0> peut aisément dialoguer avec d'autres systèmes d'authentification en utilisant <a1>SAML</a1>, OpenID, <a2>CAS</a2>.
This documentation explains how configure <a0>SAML</a0> service in <a1>LL::NG</a1>, in particular:
Cette documentation explique comment configurer le service <a0>SAML</a0> dans <a1>LL::NG</a1>, en particulier :
../../../media/screenshots/1.1/mailreset/mailreset_step1.png
../../../media/screenshots/1.1/mailreset/mailreset_step1.png
dirName
dirName
<s0>Password</s0>: where change the password
<s0>Mots-de-passe</s0>: où changer les mots-de-passe
<s0>Name</s0>: display text
<s0>Nom</s0> : texte à afficher
Configuration backend
Stockage de la configuration
Open links in new window
Ouvre les liens dans une nouvelle fenêtre
You can choose to install only one component by choosing the package <c0>lemonldap-ng-portal</c0>, <c1>lemonldap-ng-handler</c1> or <c2>lemonldap-ng-manager</c2>.
On peut n'installer qu'un seul composant en choisissant le paquet <c0>lemonldap-ng-portal</c0>, <c1>lemonldap-ng-handler</c1> ou <c2>lemonldap-ng-manager</c2>.
Date of birth
Date of birth
Only uid, cn and mail attributes are available.
Seuls les attributs uid, cn et mail sont disponibles.
samlStorageOptions
samlStorageOptions
useRedirectOnError
useRedirectOnError
This attribute is set by LemonLDAP::NG when <a1>password was reset by mail</a1> and the user choose to generate the password (default: enabled).
Cet attribut est activé par LemonLDAP::NG lorsque <a1>le mot-de-passe a été réinitialisé par mail</a1> et que l'utilisateur a choisi de générer le mot-de-passe (défaut : activé).
This function is not compliant with <a0>Safe jail</a0>, you will need to disable the jail to use it.
Cette fonction n'est pas compatible avec la <a0>cage saine</a0>, il faut désactiver la mise en cage.
<s10><s11><role</s11> <s12>rolename</s12>=<s13>"tomcat"</s13><s14>/></s14></s10>
<s10><s11><role</s11> <s12>rolename</s12>=<s13>"tomcat"</s13><s14>/></s14></s10>
<s0>Xavier GUIMARD</s0>: historic project leader, developer, Debian packager, administrator of big Lemonldap::NG instances
<s0>Xavier GUIMARD</s0> : Leader historique du projet, developpeur, empaqueteur Debian, administrateur de grosses installations de Lemonldap::NG
Logout user from current application and redirect it to the menu
Déconnecte l'utilisateur de l'application courante et le redirige vers le menu
etc.
etc...
Development
Développement
mailTimeout
mailTimeout
accordeon_light.png
accordeon_light.png
This How To explains how change this default behavior to protect Manager with other rules.
Ce document explique comment changer ce comportement par défaut pour protéger le manager avec d'autres règles.
yubikeyAuthnLevel
yubikeyAuthnLevel
LWP::UserAgent
LWP::UserAgent
icons:xfmail.png
icons:xfmail.png
Bugzilla virtual host in Apache
Hôte virtuel Apache hébergeant Bugzilla
If you are protecting Drupal with <a0>LL::NG</a0> as reverse proxy, <a1>convert header into REMOTE_USER environment variable</a1>.
Si Drupal est protégé par un reverse-proxy <a0>LL::NG</a0>, <a1>convertir l'en-tête en variable d'environnement REMOTE_USER</a1>.
For example:
Par exemple :
Allow only admin and superadmin roles
Autorisé seulement pour les rôles admin et superadmin
You have to set your portal <a1>URL</a1> with the googlecb=1 GET parameter, for example:
Il faut indiquer l'<a1>URL</a1> du portail avec le paramètre GET « googlecb=1 », par exemple :
Get the packages
Obtenir ces paquets
/_detail/screenshots/1.0/pastel/menu.png?id=screenshots
/_detail/screenshots/1.0/pastel/menu.png?id=screenshots
logos:sgs_white_small.jpg
logos:sgs_white_small.jpg
notificationStorageOptions
notificationStorageOptions
/_detail/logos/logo-ul.png?id=references
/_detail/logos/logo-ul.png?id=references
http://portal/index.pl/sessions
http://portal/index.pl/sessions
Go to the Manager and <a0>create a new virtual host</a0> for phpLDAPadmin.
Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour phpLDAPadmin.
Zimbra Handler cannot be used in Nginx for the moment.
Le handler Zimbra ne peut être utilisé avec in Nginx pour l'instant.
<s0>SSLOptions</s0>: set to <c1>+StdEnvVars</c1> to get certificate fields in environment variables
<s0>SSLOptions</s0> : mettre à <c1>+StdEnvVars</c1> pour obtenir les champs du certificat dans les variables d'environnement
In Manager, go in <c0>General Parameters</c0> » <c1>Authentication modules</c1> and choose Remote for authentication and users.
Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir Remote pour les modules authentification et utilisateurs.
User backend
Module utilisateurs
<a0>Download</a0> the plugin and copy the files in dokuwiki <c1>inc/auth/</c1> directory:
<a0>Télécharger</a0> le plugin et le copier dans le répertoire dokuwiki <c1>inc/auth/</c1> :
You can modify location of default storage configuration file in configure target:
On peut modifier l'emplacement du fichier de configuration du stockage par défaut dans la cible configure :
The access to phpLDAPadmin will be protected by LemonLDAP::NG with specific access rules.
L'accès à phpLDAPadmin sera protégé par LemonLDAP::NG avec une règle particulière d'accès.
Lemonldap::NG::Portal::SharedConf->compile(
Lemonldap::NG::Portal::SharedConf->compile(
http://search.cpan.org/perldoc?DBI
http://search.cpan.org/perldoc?DBI
zimbraAccountKey
zimbraAccountKey
Authentication portal
Portails d'authentification
Use SOAP for Lemonldap::NG sessions
Utiliser SOAP pour les sessions Lemonldap::NG
Disabling Safe jail
Désactiver la cage sécurisée
SAP
SAP
See <a0>Apache::Session::Memcached</a0> for optional parameters.
Voir <a0>Apache::Session::Memcached</a0> pour les paramètres optionnels.
<a0>CAS</a0>_authnLevel
<a0>CAS</a0>_authnLevel
When you use <a0>SOAP sessions backend</a0>, it is recommended to use read-only <a1>URL</a1> (<a2>http://portal/index.pl/sessions</a2>).
Lorsqu'on utilise le <a0>backend de session SOAP</a0>, il est recommandé d'utiliser l'<a1>URL</a1> en lecture seule (<a2>http://portal/index.pl/sessions</a2>).
<s0>Logout rule</s0>: catch OBM logout
<s0>Règle logout</s0> : intercepter la déconnexion OBM
<s0><s1><EntityDescriptor</s1> <s2>entityID</s2>=<s3>"http://auth.example.com/saml/metadata"</s3><s4>></s4></s0>
<s0><s1><EntityDescriptor</s1> <s2>entityID</s2>=<s3>"http://auth.example.com/saml/metadata"</s3><s4>></s4></s0>
<s0>Searched attributes</s0>: name(s) of the attribute storing the name of the group, spaces separated (default: cn).
<s0>Attributs recherchés</s0> : nom(s) de l'attribut stocké dans le nom du groupe, séparés par des virgules (défaut: cn).
/_detail/logos/logo_abuledu.png?id=references
/_detail/logos/logo_abuledu.png?id=references
And the mail filter is:
Et le filtre d'adresse mail est :
If so, you can redirect users to a <a0>HTML</a0> page that explain that it is safe to close browser after disconnect.
Dans ce cas, il faut rediriger les utilisateurs vers une page <a0>HTML</a0> qui explique qu'il est préférable de clore son navigateur après déconnexion.
../../../media/documentation/lasso.png
../../../media/documentation/lasso.png
<a0>CAS</a0> server <a1>URL</a1>
<a1>URL</a1> du serveur <a0>CAS</a0>
<s0>Access control policy</s0>: define if access control should be done on <a1>CAS</a1> service.
<s0>Politique de contrôle d'accès</s0> : definit si le contrôle d'accès doit être fait sur le service <a1>CAS</a1>.
AuthBasic Handler
Agent AuthBasic
<s0>Identity provider</s0>: <a1>LL::NG</a1> is able to provide identity service using:
<s0>Fournisseur d'identité</s0> : <a1>LL::NG</a1> peut fournir un service d'identité en utilisant :
singleUserByIP
singleUserByIP
You need <a0>Auth::Yubikey_WebClient</a0> package.
Le paquet <a0>Auth::Yubikey_WebClient</a0> est nécessaire.
<s0># SOAP functions for configuration access (disabled by default)</s0>
<<s1>Location</s1> /index.pl/config>
<s0># SOAP functions for configuration access (disabled by default)</s0>
<<s1>Location</s1> /index.pl/config>
<s0>Account</s0>: <a1>DN</a1> used to connect to LDAP server.
<s0>Compte</s0> : <a1>DN</a1> à utiliser pour se connecter au serveur LDAP.
Use comment to correct this:
Utiliser des commentaires pour corriger ça :
Application Programming Interface
Interface de programmation
<s0>SSLCACertificateFile</s0>: CA certificate to validate client certificates
<s0>SSLCACertificateFile</s0> : certificat d'autorité pour valider les certificats clients
http://www.yubico.com
http://www.yubico.com
field
champ
Name: should be filled automatically with your organization or domain
Name : devrait être automatiquement renseigné avec votre domaine
Cross Domain Authentication
Authentification inter-domaines
</<s31>Location</s31>>
</<s31>Location</s31>>
string
chaîne
APT-GET
APT-GET
Edit Dokuwiki local configuration (<c0>conf/local.php</c0>) and set <c1>lemonldap</c1> as authentication type:
Éditer la configuration locale Dokuwiki (<c0>conf/local.php</c0>) et indiquer <c1>lemonldap</c1> comme type d'authentification :
LockDataSource
LockDataSource
rtyler@badwolf.org
rtyler@badwolf.org
Other parameters
Autres paramètres
<s0>Auth-Cn</s0>: $cn
<s0>Auth-Cn</s0>: $cn
<a0>API</a0> Name: filled automatically
<a0>API</a0> Name : renseigné automatiquement
<a0>Integrating applications</a0> in <a1>LL::NG</a1> is easy since its dialog with applications is based on <a2>customizable HTTP headers</a2>.
<a0>Integrer des applications</a0> dans <a1>LL::NG</a1> est facile car leur dialogue est basé sur des <a2>en-têtes HTTP personnalisables</a2>.
Exported variables are the variables available to <a0>write rules and headers</a0>.
Les variables exportées sont des variables disponibles pour <a0>écrire des règles d'accès et des en-têtes</a0>.
~7500
~7500
The location <a0>URL</a0> end is based on the <c1>service_id</c1> defined in Sympa apache configuration.
La fin de l'<a0>URL</a0> est construite à partir du <c1>service_id</c1> defini dans la configuration Apache de Sympa.
<s0>Header for user login</s0>: header that contains the user main login
<s0>En-tête identifiant l'utilisateur</s0> : en-tête contenant le nom de connexion
http://www.yubico.com/yubikey
http://www.yubico.com/yubikey
Other components needs just a read access.
Les autres composants n'ont besoin que d'un accès en lecture.
With RPM
Avec RPM
KrbVerifyKDC <s18>Off</s18>
KrbVerifyKDC <s18>Off</s18>
Reset password by mail
Réinitialisation des mots-de-passe par courriel
Session
Session
cat /etc/lemonldap-ng/for_etc_hosts >> /etc/hosts
cat /etc/lemonldap-ng/for_etc_hosts >> /etc/hosts
/_detail/screenshots/0.9.3/lemonldap-ng-portal-password.png?id=screenshots
/_detail/screenshots/0.9.3/lemonldap-ng-portal-password.png?id=screenshots
Example: interoperability between 2 organizations
Exemple : interoperabilité entre 2 organisations
http://lanyrd.com/2011/rmll-2/sffqx/
http://lanyrd.com/2011/rmll-2/sffqx/
This requires to configure <a0>LL::NG</a0> as an <s1><a2>SAML Identity Provider</a2></s1>.
Ceci nécessite de configurer <a0>LL::NG</a0> comme <s1><a2>fournisseur d'identité SAML</a2></s1>.
<s0>Account type</s0>: for Zimbra this can be name, id or foreignKey (by default: id)
<s0>Type de compte</s0> : pour Zimbra, ce peut être name, id ou foreignKey (par défaut : id)
Auto reloading SSL Certificates
Rechargement automatique des certificats SSL
Extended functions
Fonctions étendues
/_detail/icons/flags/fr.png?id=documentation%3Aconferences
/_detail/icons/flags/fr.png?id=documentation%3Aconferences
http://en.wikipedia.org/wiki/OAuth2
http://en.wikipedia.org/wiki/OAuth2
When receiving the request, the real authentication context will be mapped ton an internal authentication level (see <a1>how configure the mapping</a1>), that you can check to allow or deny session creation.
À la réception de la requête, le contexte d'authentification réel est traduit en un niveau d'authentification interne (voir <a1>comment configurer la translation</a1>), utilisable pour accorder ou non la création de session.
<a0>Liferay</a0> is an enterprise portal.
<a0>Liferay</a0> est un portail d'entreprise.
sn
sn
It can be done via direct access to the session database or using SOAP access.
Ce peut être fait par accès direct à la base des sessions principale ou en utilisant une requête SOAP.
No <a0>IRC</a0> client?
Pas de client <a0>IRC</a0> ?
We directly use HTTP headers to fill default user profile.
On utilise les en-têtes HTTP pour trouver le profil utilisateur par défaut.
One remote portal that delegates authentication to the second organization (just an other file on the same server)
Un portail distant qui délègue l'authentification à la seconde organisation (juste un autre fichier sur le même serveur)
<s0>Sessions timeout</s0>: Maximum lifetime of a session.
<s0>Durée de vie maximale des sessions</s0> : durée de vie maximale des sessions.
../../../../media/applications/mediawiki_logo.png
../../../../media/applications/mediawiki_logo.png
mailreset_step3.png
mailreset_step3.png
css/print.css
css/print.css
The Manager let you define comments in rules, to order them:
Le manager permet de définir des commentaires de règles, ce qui permet de les ordonner :
Databases
Bases de données
Note: since AD 2012, each user can have a specific password expiration policy.
Note : depuis AD 2012, chaque utilisateur peut disposer d'une politique 'expiration de mot-de-passe différente.
AbulEdu
AbulEdu
Create user and role:
Créer un utilisateur et un rôle :
In other cases which result on impossibility to authenticate user, to retrieve data or to create a session, nothing is stored.
Dans les autres cas résultant de l'impossibilité d'authentifier l'utilisateur ou de récupérer les données pour créer la session, rien n'est stocké.
index/alphabetical.html
index/alphabetical.html
<s0>Friendly Name</s0>: optional, <a1>SAML</a1> attribute friendly name.
<s0>Nom alternatif</s0>: optionnel, nom alternatif de l'attribut <a1>SAML</a1>.
Secure reverse-proxies
Securiser les proxies inverses
loginHistory
loginHistory
<s149>//"userobm_vacation_datebegin" => ,</s149>
<s149>//"userobm_vacation_datebegin" => ,</s149>
For now, ldapgroups contains “cn=admin,dmdName=groups,dc=example,dc=com cn=su,dmdName=groups,dc=example,dc=com”
Pour l'instant, ldapgroups contient “cn=admin,dmdName=groups,dc=example,dc=com cn=su,dmdName=groups,dc=example,dc=com”
exportedAttr
exportedAttr
coudot@example.com
coudot@example.com
../../../../media/documentation/liferay_1.png
../../../../media/documentation/liferay_1.png
Configuration parameters are:
Les paramètres de configuration sont :
Start
Commencer
http://httpd.apache.org/docs/2.2/misc/perf-tuning.html#compiletime
http://httpd.apache.org/docs/2.2/misc/perf-tuning.html#compiletime
<<s0>VirtualHost</s0> *>
<<s0>VirtualHost</s0> *>
This tutorial will guide you into a minimal installation and configuration procedure.
Ce tutoriel vous guidera pour réaliser une installation et une configuration minimale.
Note that if you use FastCGI, you must restart Apache to enable changes.
Noter que si on utilise FastCGI, il faut redémarrer Apache pour activer les changements.
LemonLDAP::NG configuration is stored in a backend that allows all modules to access it.
La configuration de LemonLDAP::NG est stockée dans un backend permettant à tous les modules d'y accéder.
In this case, authentication is not a response to an issued authentication request, and we have less control on conditions.
Dans ce cas, l'authentification n'est pas une réponse à une requête d'authentification ce qui diminue les capacités de contrôle.
MediaWiki virtual host in Manager
Hôte virtuel Mediawiki dans le manager
Using LemonLDAP::NG with Active-Directory
Utiliser Lemonldap::NG avec Active-Directory
<s0>Want Authentication Request Signed</s0>: set to On to require that received authentication request are signed.
<s0>Exiger des requêtes d'authentification signées</s0> : mettre à « activer » pour exiger de recevoir des requêtes d'authentification signées.
deny
deny
Roles as entries in the directory
Rôles comme entrée d'annuaire
It will be the link between the <a0>SAML</a0> assertion coming from LemonLDAP::NG (the IdP) and a given user in Salesforce.
Ce sera le lien entre l'assertion <a0>SAML</a0> provenant de LemonLDAP::NG (l'IdP) et l'identifiant Salesforce.
<a0>handlerauthbasic</a0><br1/>
<a0>handlerauthbasic</a0><br1/>
System
Système
<s0>$conf</s0><s1>[</s1>authtype<s2>]</s2> <s3>=</s3> lemonldap<s4>;</s4>
<s0>$conf</s0><s1>[</s1>authtype<s2>]</s2> <s3>=</s3> lemonldap<s4>;</s4>
The request on logout <a0>URL</a0> will be sent after user is disconnected, so you should unprotect this <a1>URL</a1> if it is protected by an <a2>LL::NG</a2> Handler.
Cette requête vers l'<a0>URL</a0> de déconnexion est envoyée après la déconnexion de l'utilisateur, il faut donc déprotéger cette <a1>URL</a1> si elle est protégée par un agent <a2>LL::NG</a2>.
<a2>mediawiki</a2><br3/>
<a2>mediawiki</a2><br3/>
sympaMailKey
sympaMailKey
qw(delete <s1>header</s1> cache read_from_client cookie <s2>redirect</s2> unescapeHTML));
qw(delete <s1>header</s1> cache read_from_client cookie <s2>redirect</s2> unescapeHTML));
However, certificate will not be really validated by other <a0>SAML</a0> components (expiration date, common name, etc.), but will just be a public key wrapper.
Toutefois, le certificat ne sera pas réellement validé par les autres composants <a0>SAML</a0> (date d'expiration, nom commun, etc.), mais simplement vu comme un conteneur de clef publique.
<a0>SAML</a0> Identity Location: choose if the user Name ID is held in the subject or in some attribute
<a0>SAML</a0> Identity Location : choisir si l'identifiant utilisateur est maintenu dans le sujet ou dans un autre attribut
Install it to trust RPMs:
L'installer pour certifier les RPMs:
Spring Security provides a default <c0>pre-authentication</c0> mechanism that can be used to connect your J2EE application to <a1>LL::NG</a1>.
Spring Security fournit un mécansime de <c0>pre-authentification</c0> par défaut qui peut être utilisé pour connecter une application J2EE à <a1>LL::NG</a1>.
Secondary portal check if remote session is available.
Le portail secondaire vérifie que la session distante est valable.
Web::ID::Certificate::Generator
Web::ID::Certificate::Generator
https://auth.abuledu.net/
https://auth.abuledu.net/
Attributes from user backend
Attributs récupérés du module utilisateur
install_portal_site (/usr/local/lemonldap-ng/htdocs/portal)
install_portal_site (/usr/local/lemonldap-ng/htdocs/portal)
employeeNumber
employeeNumber
Register partner Identity Provider on LemonLDAP::NG
Enregistrer le fournisseur d'identité partenaire dans LemonLDAP::NG
<s29>Deny</s29> from <s30>all</s30>
<s29>Deny</s29> from <s30>all</s30>
zimbraUrl
zimbraUrl
Packages are available on the <a0>Download page</a0>.
Les paquets sont disponibles sur la <a0>page de téléchargement</a0>.
Underscore characters are also replaced by spaces.
Les caractères « _ » sont alors remplacés par des espaces.
<s73>"userobm_datebegin"</s73> <s74>=></s74> <s75>"HTTP_OBM_DATEBEGIN"</s75><s76>,</s76>
<s73>"userobm_datebegin"</s73> <s74>=></s74> <s75>"HTTP_OBM_DATEBEGIN"</s75><s76>,</s76>
<s0>Display deleted sessions</s0>: display deleted sessions on authentication phase.
<s0>Afficher les sessions effacées</s0> : affiche les sessions effacées lors de la phase d'authentification.
Session activity timeout requires Handlers to have a write access to sessions database.
Le délai d'expiration des sessions nécessite que les agents aient un accès en écriture à la base des sessions.
Restrict network access to the redis server.
Restreignez l'accès réseau au serveur Redis.
<s29>Allow</s29> from <s30>all</s30>
<s29>Allow</s29> from <s30>all</s30>
yubikeyClientID
yubikeyClientID
dbiTable
dbiTable
RPM bundle
Paquets RPM
Active Directory
Active Directory
documentation:configuration-ldap.png
documentation:configuration-ldap.png
Google+
Google+
If this regex matches, the line is ignored.
Si cette expression régulière correspond, la ligne est ignorée.
You have to run this command on Active Directory:
Il faut lancer cette commande dans Active Directory:
LemonLDAP::NG is highly scalable, so easy to insert behind a load-balancer:
LemonLDAP::NG est hautement scalable, donc facile à insérer derière un répartisseur de charge :
Core team
Équipe prinicpale
<s0>Force UTF-8</s0>: this will force UTF-8 conversion of attributes values collected from IDP.
<s0>Forcer l'UTF-8</s0> : force la conversion UTF-8 des valeurs d'attributs collectées depuis l'IDP.
../documentation/current/authdemo.html
../documentation/current/authdemo.html
LemonLDAP::NG configuration can be managed in a local file with <a0>INI format</a0>.
La configuration LemonLDAP::NG peut être gérée par un fichier local au <a0>format INI</a0>.
<s18>DirectoryIndex</s18> index.pl index.html
<s18>DirectoryIndex</s18> index.pl index.html
Comment
Commentaire
http://search.cpan.org/~mmims/Net-Twitter/
http://search.cpan.org/~mmims/Net-Twitter/
/_detail/icons/flags/fr.png?id=press
/_detail/icons/flags/fr.png?id=press
There are no <e0>global</e0> authorizations except the right to open a session in the portal.
Il n'y a pas d'autorisation <e0>globale</e0>, à l'exception de la règle accordant l'ouverture de session dans le portail.
<a2>Lanyrd</a2>
<a2>Lanyrd</a2>
If you use TLS, you can set any of the <a0>Net::LDAP</a0> start_tls() sub like <c1>ldap+tls://server/verify=none&capath=/etc/ssl</c1>.
En utilisant TLS, il est possible d'utiliser toutes les options de la fonction start_tls() <a0>Net::LDAP</a0> telle <c1>ldap+tls://server/verify=none&capath=/etc/ssl</c1>.
“myfield ⇒ firstname” can be “”
“myfield ⇒ prénom”, peut être “”
Logs settings
Journalisation
all together (based on user <a0>choice</a0>, <a1>rules</a1>, …)
tous en même temps (basé sur le <a0>choix</a0> utilisateur, les <a1>règles</a1>, …)
<s0><a1>API</a1> client ID</s0>: <a2>API</a2> client ID from Yubico
<s0>Identifiant client de l'<a1>API</a1></s0> : identifiant client de l'<a2>API</a2> obtenu auprès de Yubico
Not shareable between servers except if used in conjunction with <a0>SOAP session backend</a0> or with a shared file system (NFS,…).
Pas partageable entre serveurs sauf si utilisé avec le <a0>backend de configuration SOAP</a0> ou un système de partage de fichiers (NFS,…).
<s62><s63></property<s64>></s64></s63></s62>
<s65><s66></bean<s67>></s67></s66></s65>
<s68><s69><security:authentication-manager</s69> <s70>alias</s70>=<s71>"authenticationManager"</s71> <s72>/></s72></s68>
<s62><s63></property<s64>></s64></s63></s62>
<s65><s66></bean<s67>></s67></s66></s65>
<s68><s69><security:authentication-manager</s69> <s70>alias</s70>=<s71>"authenticationManager"</s71> <s72>/></s72></s68>
dbiAuthnLevel
dbiAuthnLevel
_user
_user
<s13>Allow</s13> from <s14>all</s14>
<s13>Allow</s13> from <s14>all</s14>
Lemonldap::NG::Portal
Lemonldap::NG::Portal
See <a0>performances</a0> to know how to use macros and groups in rules.
Voir <a0>performances</a0> pour comprendre l'intérêt des macros et groupes dans les règles.
Manager tree autoClose
Auto-fermeture de l'arbre du manager
You have to create the table by yourself:
Il faut créer soi-même la table :
<s39>"headers_map"</s39> <s40>=></s40> <a41><s42>Array</s42></a41><s43>(</s43>
<s39>"headers_map"</s39> <s40>=></s40> <a41><s42>Array</s42></a41><s43>(</s43>
Lock files are stored in another directory.
Les fichiers verrous sont stockés dans un autre répertoire.
a15a18c8bb17e6f67886a9af1898c018b9f5a072
a15a18c8bb17e6f67886a9af1898c018b9f5a072
This page presents the SP initiated mode.
Cette page présente le mode initié par le SP.
<a0>Create a protocol proxy</a0> <e1>(<a2>SAML</a2> to OpenID, <a3>CAS</a3> to <a4>SAML</a4> ,…)</e1>
<a0>Créer un proxy de protocoles </a0> <e1>(<a2>SAML</a2> vers OpenID, <a3>CAS</a3> vers <a4>SAML</a4> ,…)</e1>
documentation/current/prereq.html#apt-get
documentation/current/prereq.html#apt-get
contact
contact
Enable SSL in Apache
Activer SSL dans Apache
</<s19>IfModule</s19>>
</<s19>IfModule</s19>>
documentation:googleapps-ssoconfig.png
documentation:googleapps-ssoconfig.png
<s0>auto</s0>: display only if the user can access it
<s0>auto</s0> : n'afficher que si l'utilisateur peut y accéder
<s0>New window</s0>: open menu links in new window
<s0>Nouvelle fenêtre</s0> : ouvre les liens du menu dans de nouvelles fenêtres
Optional attributes:
Attributs optionnels :
Main <a0>DNS</a0> domain
Domaine <a0>DNS</a0> principal
These rules can be set trough Manager: <c0>General Parameters</c0> > <c1>Portal</c1> > <c2>Menu</c2> > <c3>Modules activation</c3>.
Ces règles peuvent être modifiées via le manager : <c0>Paramètres généraux</c0> > <c1>Portail</c1> > <c2>Menu</c2> > <c3>Activation des modules</c3>.
Frameworks
Frameworks
http://search.cpan.org/~speeves/Apache2-AuthenNTLM-0.02/AuthenNTLM.pm
http://search.cpan.org/~speeves/Apache2-AuthenNTLM-0.02/AuthenNTLM.pm
<s135>//"userobm_web_all" => ,</s135>
<s135>//"userobm_web_all" => ,</s135>
0 if not
0 sinon
Yubikey public ID size
Taille de l'ID public Yubikey
The team
L'équipe
managerTreeJqueryCss
managerTreeJqueryCss
Wordpress, GLPI, OBM, Dokuwiki, …
Wordpress, GLPI, OBM, Dokuwiki, …
<a1>LL::NG</a1> can restrict this:
<a1>LL::NG</a1> peut restreindre cet usage :
In Apache configuration, add the PerlHeaderParserHandler Lemonldap::NG::Handler on the webmail.domain.tls vhost
Dans la configuration Apache, ajouter "PerlHeaderParserHandler Lemonldap::NG::Handler" dans l'hôte virtuel webmail.domain.tls
Auth-Cn
Auth-Cn
Users: will not collect any data (but you can still register environment variables in session)
Utilisateurs : ne collecte aucune donnée (mais il est possible d'enregistrer des variables d'environement dans la session)
If no binding defined, the default binding in IDP metadata will be used.
Si aucune méthode n'est définie, la méthode par défaut des métadatas de l'IDP sera utilisée.
<a0>LL::NG</a0> Manager has a session explorer module that can be used to browse opened sessions:
Le gestionnaire de <a0>LL::NG</a0> dispose d'un explorateur de sessions qui peut être utilisé pour parcourir sessions ouvertes :
You will configure Zimbra virtual host like other <a0>protected virtual host</a0> but you will use Zimbra Handler instead of default Handler.
Configurer l'hôte virtuel Zimbra comme n'importe quel autre <a0>hôte virtuel protégé</a0> mais utiliser le handler Zimbra au lieu du handler par défaut.
In <c0>Display</c0>, you can set the name and the logo
Dans <c0>Affichage</c0>, on peut indiquer le nom et le logo
<s123>"userobm_zipcode"</s123> <s124>=></s124> <s125>"HTTP_OBM_POSTALCODE"</s125><s126>,</s126>
<s123>"userobm_zipcode"</s123> <s124>=></s124> <s125>"HTTP_OBM_POSTALCODE"</s125><s126>,</s126>
<s0>$auth_kind</s0> <s1>=</s1> <s2>'LemonLDAP'</s2><s3>;</s3>
<s4>$lemonldap_config</s4> <s5>=</s5> <a6><s7>Array</s7></a6><s8>(</s8>
<s0>$auth_kind</s0> <s1>=</s1> <s2>'LemonLDAP'</s2><s3>;</s3>
<s4>$lemonldap_config</s4> <s5>=</s5> <a6><s7>Array</s7></a6><s8>(</s8>
<a0>CAS</a0> attribute for login
Attribut <a0>CAS</a0> pour le nom de connexion
The <a0>DBI</a0> string
La chaîne <a0>DBI</a0>
using own database (<a0>LDAP</a0>, <a1>SQL</a1>, …)
utilisant une base de données propre (<a0>LDAP</a0>, <a1>SQL</a1>, …)
Zimbra account session key
Clef de session de compte Zimbra
../../../../media/applications/liferay_logo.png
../../../../media/applications/liferay_logo.png
Mot de passe pour l'utilisateur lemonldap-ng :
[...]
lemonldap-ng=> create table sessions ( id char(32) not null primary key, a_session text );
lemonldap-ng=> q
Mot de passe pour l'utilisateur lemonldap-ng :
[...]
lemonldap-ng=> create table sessions ( id char(32) not null primary key, a_session text );
lemonldap-ng=> q
<s0>Double cookie for single session</s0>: as same, two cookies are delivered, but only one session is written in session database
<s0>Double cookie pour session unique</s0> : de même, deux cookies sont délivrés, mais une seule session n'est écrite dans la base de données
ASF-WS
ASF-WS
phpLDAPadmin virtual host in Apache
Hôte virtuel phpLDAPadmin dans le manager
domain name
le nom de domaine
In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose WebID for authentication module.
Dans le manager, aller dans <c0>Paramètres generaux</c0> > <c1>Modules d'authentification</c1> et choisir WebID comme module d'authentication.
<a0>CAS</a0> issuer
Fourniture d'identité <a0>CAS</a0>
It should be the same value as the organization domain url, displayed on the previous section
Ce devrait être la même valeur que l'URL du domaine indiqué dans la section précédente
Keep the private key in a file, for example lemonldap-ng-priv.key, then use openssl to generate an auto-signed certificate:
Garder la clef privée dans un fichier, par exemple lemonldap-ng-priv.key, et utiliser openssl pour générer un certificat auto-signé :
AuthApache authentication
Authentification AuthApache
unicode2iso($name)
unicode2iso($nom)
Timestamp of last authentication time
Date et heure (timestamp) de la dernière authentification
~3
~3
~5
~5
YUM
YUM
<s0>Extracted certificate field</s0>: field of the certificate affected to $user internal variable
<s0>Champ extrait du certificat</s0> : champ du certificat affecté à la variable interne $user
Examples with a <a0>configured header</a0> named 'Auth-User':
Exemples avec un <a0>en-tête configuré</a0> nommé 'Auth-User':
<s0>Location</s0>: Access Point for <a1>SSO</a1> request.
<s0>Location</s0>: Point d'accès pour les requêtes <a1>SSO</a1>.
Mini howtos
Mini howtos
LDAP
LDAP
Screenshots
Captures d'écran
/_detail/logos/logo_linagora.png?id=references
/_detail/logos/logo_linagora.png?id=references
<a0>LL::NG</a0> can use federation protocols (<a1>SAML</a1>, <a2>CAS</a2>, OpenID) independently to:
<a0>LL::NG</a0> peut utiliser des protocoles de fédération (<a1>SAML</a1>, <a2>CAS</a2>, OpenID) indépendamment pour :
Lemonldap::NG::Handler::SharedConf: No cookie found
Lemonldap::NG::Handler::SharedConf: No cookie found
<s3># Uncomment this line if you use Lemonldap::NG menu</s3>
<s3># Décommentez cette ligne si vous utilisez le menu Lemonldap::NG</s3>
../../media/documentation/lemonldapng-sso.png
../../media/documentation/lemonldapng-sso.png
iso2unicode
iso2unicode
→ You use the Apache authentication backend, but Apache is not or bad configured (no REMOTE_USER send to LemonLDAP::NG).
→ Le backend d'authentification Apache est utilisé, mais Apache n'est pas ou mal configuré (la variable d'environnement REMOTE_USER n'est pas envoyée à LemonLDAP::NG).
<s0><s1><?xml</s1> <s2>version</s2>=<s3>"1.0"</s3> <s4>encoding</s4>=<s5>"UTF-8"</s5> <s6>standalone</s6>=<s7>"no"</s7><s8>?></s8></s0>
<s9><s10><root<s11>></s11></s10></s9>
<s12><s13><notification</s13> <s14>uid</s14>=<s15>"foo.bar"</s15> <s16>date</s16>=<s17>"2009-01-27"</s17> <s18>reference</s18>=<s19>"ABC"</s19><s20>></s20></s12>
<s21><s22><title<s23>></s23></s22></s21>You have new authorizations<s24><s25></title<s26>></s26></s25></s24>
<s27><s28><subtitle<s29>></s29></s28></s27>Application 1<s30><s31></subtitle<s32>></s32></s31></s30>
<s33><s34><text<s35>></s35></s34></s33>You have been granted to access to appli-1<s36><s37></text<s38>></s38></s37></s36>
<s39><s40><subtitle<s41>></s41></s40></s39>Application 2<s42><s43></subtitle<s44>></s44></s43></s42>
<s45><s46><text<s47>></s47></s46></s45>You have been granted to access to appli-2<s48><s49></text<s50>></s50></s49></s48>
<s51><s52><subtitle<s53>></s53></s52></s51>Acceptation<s54><s55></subtitle<s56>></s56></s55></s54>
<s57><s58><check<s59>></s59></s58></s57>I know that I can access to appli-1 <s60><s61></check<s62>></s62></s61></s60>
<s63><s64><check<s65>></s65></s64></s63>I know that I can access to appli-2 <s66><s67></check<s68>></s68></s67></s66>
<s69><s70></notification<s71>></s71></s70></s69>
<s72><s73><notification</s73> <s74>uid</s74>=<s75>"allusers"</s75> <s76>date</s76>=<s77>"2009-01-27"</s77> <s78>reference</s78>=<s79>"disclaimer"</s79> <s80>condition</s80>=<s81>"$ipAddr =~ /^192/"</s81><s82>></s82></s72>
<s83><s84><title<s85>></s85></s84></s83>This is your first access on this system<s86><s87></title<s88>></s88></s87></s86>
<s89><s90><text<s91>></s91></s90></s89>Be a nice user and do not break it please.<s92><s93></text<s94>></s94></s93></s92>
<s95><s96><check<s97>></s97></s96></s95>Of course I am not evil!<s98><s99></check<s100>></s100></s99></s98>
<s101><s102></notification<s103>></s103></s102></s101>
<s104><s105></root<s106>></s106></s105></s104>
<s0><s1><?xml</s1> <s2>version</s2>=<s3>"1.0"</s3> <s4>encoding</s4>=<s5>"UTF-8"</s5> <s6>standalone</s6>=<s7>"no"</s7><s8>?></s8></s0>
<s9><s10><root<s11>></s11></s10></s9>
<s12><s13><notification</s13> <s14>uid</s14>=<s15>"foo.bar"</s15> <s16>date</s16>=<s17>"2009-01-27"</s17> <s18>reference</s18>=<s19>"ABC"</s19><s20>></s20></s12>
<s21><s22><title<s23>></s23></s22></s21>Vous avez de nouvelles autorisations<s24><s25></title<s26>></s26></s25></s24>
<s27><s28><subtitle<s29>></s29></s28></s27>Application 1<s30><s31></subtitle<s32>></s32></s31></s30>
<s33><s34><text<s35>></s35></s34></s33>Vous êtes autorisé à accéder à appli-1<s36><s37></text<s38>></s38></s37></s36>
<s39><s40><subtitle<s41>></s41></s40></s39>Application 2<s42><s43></subtitle<s44>></s44></s43></s42>
<s45><s46><text<s47>></s47></s46></s45>Vous êtes autorisé à accéder à appli-2<s48><s49></text<s50>></s50></s49></s48>
<s51><s52><subtitle<s53>></s53></s52></s51>Acceptation<s54><s55></subtitle<s56>></s56></s55></s54>
<s57><s58><check<s59>></s59></s58></s57>Je reconnais savoir que je peux accéder à appli-1 <s60><s61></check<s62>></s62></s61></s60>
<s63><s64><check<s65>></s65></s64></s63>Je reconnais savoir que je peux accéder à appli-2 <s66><s67></check<s68>></s68></s67></s66>
<s69><s70></notification<s71>></s71></s70></s69>
<s72><s73><notification</s73> <s74>uid</s74>=<s75>"allusers"</s75> <s76>date</s76>=<s77>"2009-01-27"</s77> <s78>reference</s78>=<s79>"disclaimer"</s79> <s80>condition</s80>=<s81>"$ipAddr =~ /^192/"</s81><s82>></s82></s72>
<s83><s84><title<s85>></s85></s84></s83>Ceci est votre premier accès à ce système<s86><s87></title<s88>></s88></s87></s86>
<s89><s90><text<s91>></s91></s90></s89>Soyez sage et ne le cassez pas.<s92><s93></text<s94>></s94></s93></s92>
<s95><s96><check<s97>></s97></s96></s95>Bien sûr, je ne suis pas méchant !<s98><s99></check<s100>></s100></s99></s98>
<s101><s102></notification<s103>></s103></s102></s101>
<s104><s105></root<s106>></s106></s105></s104>
Captcha is a security mechanism aimed to prevent robots to submit forms.
Captcha est un mécanisme de sécurité utilisé pour éviter des des robots ne soumettent des formulaires.
Data should not contains accents or special characters, as HTTP protocol only allow <a0>ASCII</a0> values in header (but depending on the HTTP server, you can use ISO encoded values)
Les données ne doivent pas contenir de caractères spéciaux, car le protocole HTTP n'autorise que les caractères <a0>ASCII</a0> dans les en-têtes (mais suivant le serveur HTTP, vous pouvez utiliser des valeurs encodées ISO)
Main features
Fonctionnalités principales
<a0>RBAC</a0> stands for Role Based Access Control.
<a0>RBAC</a0> signifie contrôle d'accès basé sur les rôles (Role Based Access Control).
IRC
IRC
<s8>require</s8> SOAP::Lite;
</Perl>
<s8>require</s8> SOAP::Lite;
</Perl>
0_bad
0_bad
It means that if you modify some settings here, you will have to share again the metadata with other providers.
Ceci signifie que si vous modifiez quelque chose ici, vous devez ré-exporter les metadatas aux autres fournisseurs.
convertConfig --current=/etc/lemonldap-ng/lemonldap-ng.ini --new=/new/lemonldap-ng.ini
convertConfig --current=/etc/lemonldap-ng/lemonldap-ng.ini --new=/new/lemonldap-ng.ini
This key must be stored directly in lemonldap-ng.ini:
Cette clef doit être stockée directement dans lemonldap-ng.ini :
applications:phpldapadmin_logo.png
applications:phpldapadmin_logo.png
For application BBB:
Pour l'application BBB :
Notification format
Format des notifications
css/all.css
css/all.css
cd myskin
ln -s ../pastel/*.tpl .
cd myskin
ln -s ../pastel/*.tpl .
$_password
$_password
mailUrl
mailUrl
http://www.jdll.org/content/lemonldapng-100-en-avant-premi%C3%A8re
http://www.jdll.org/content/lemonldapng-100-en-avant-premi%C3%A8re
References are listed in alphabetic order.
Les références sont listées dans l'ordre alphabétique.
Do this in the control panel or in the configuration file:
Faire ceci dans le panneau de contrôle ou dans le fichier de configuration :
<s0># boolean macro</s0>
isAdmin <s1>-></s1> <s2>$uid</s2> <s3>eq</s3> <s4>'foo'</s4> <s5>or</s5> <s6>$uid</s6> <s7>eq</s7> <s8>'bar'</s8>
<s9># other macro </s9>
displayName <s10>-></s10> <s11>$givenName</s11><s12>.</s12><s13>" "</s13><s14>.</s14><s15>$surName</s15>
<s16># Use a boolean macro in a rule</s16>
<s17>^/</s17>admin <s18>-></s18> <s19>$isAdmin</s19>
<s20># Use a string macro in a HTTP header</s20>
Display<s21>-</s21>Name <s22>-></s22> <s23>$displayName</s23>
<s0># macro booléenne</s0>
isAdmin <s1>-></s1> <s2>$uid</s2> <s3>eq</s3> <s4>'foo'</s4> <s5>or</s5> <s6>$uid</s6> <s7>eq</s7> <s8>'bar'</s8>
<s9># autre macro </s9>
displayName <s10>-></s10> <s11>$givenName</s11><s12>.</s12><s13>" "</s13><s14>.</s14><s15>$surName</s15>
<s16># Utiliser une macro booléenne dans une règle</s16>
<s17>^/</s17>admin <s18>-></s18> <s19>$isAdmin</s19>
<s20># Utiliser une macro chaîne dans un en-tête HTTP</s20>
Display<s21>-</s21>Name <s22>-></s22> <s23>$displayName</s23>
If your function is not compliant with <a0>Safe jail</a0>, you will need to disable the jail.
Si la fonction n'est pas compatible avec la <a0>cage saine</a0>, il faut désactiver la mise en cage.
Backend choice by users
Backend choisit par l'utilisateur
Data to store as REMOTE_USER (used also in Apache logs)
Donnée à utiliser comme REMOTE_USER (également utilisée dans les journaux d'Apache)
specification
spécification
An <a0>enterprise Google Apps account</a0>
Un <a0>compte applicatif Google entreprise</a0>
secret
secret
Just set the <a3>LL::NG</a3> Handler <a4>IP</a4> on this attribute in order to add more security.
Indiquer seulement l'adresse <a4>IP</a4> du handler <a3>LL::NG</a3> dans cet attribut pour ajouter plus de sécurité.
<s0>info</s0> for user actions
<s0>info</s0> pour les actions utilisateurs
Web based for normal users:
Basé sur du web pour les utilisateurs normaux :
<s0>HTTPS</s0>: use https as protocol
<s0>HTTPS</s0> : utilise https comme protocole
<s0>Display</s0>:
<s0>Affichage</s0> :
<a0>DBI</a0> UserDB table
Table UserDB <a0>DBI</a0>
/_detail/screenshots/0.9.3/lemonldap-ng-testpage.png?id=screenshots
/_detail/screenshots/0.9.3/lemonldap-ng-testpage.png?id=screenshots
install_manager_libs
install_manager_libs
See <a0>mod_proxy</a0> and <a1>mod_rewrite</a1> documentation for more about configuring Apache reverse-proxies.
Voir les documentation de <a0>mod_proxy</a0> et <a1>mod_rewrite</a1> pour plus d'information sur la configuration du proxy inverse d'Apache.
This can happend when you use lmConfigEditor or launch <s0>cron files</s0> with a different user than Apache process.
Ceci peut arriver lorsqu'on utilise lmConfigEditor ou lorsqu'on lance les <s0>fichiers cron</s0> avec un utilisateur différent de celui du processus Apache.
<a2>IBM Lotus iNotes</a2>
<a2>IBM Lotus iNotes</a2>
<a4>Joind.in</a4>
<a4>Joind.in</a4>
mailOnPasswordChange
mailOnPasswordChange
http://mail.ow2.org/wws/arc/lemonldap-ng-dev
http://mail.ow2.org/wws/arc/lemonldap-ng-dev
Syslog
Syslog
mailFrom
mailFrom
<s0>Password</s0>: Connection password
<s0>Mot-de-passe</s0> : mot-de-passe du compte de connexion
The difference with <a0>remote authentication</a0> is that the client will never be redirect to the main <a1>LL::NG</a1> portal.
La différence avec <a0>l'authentification "Remote"</a0> est que le client n'est jamais redirigé vers le portail <a1>LL::NG</a1> principal.
multi
multi
$uidR
$uidR
If secured cookie is enabled, the portal <a3>URL</a3> <s4>must</s4> be HTTPS.
Si le cookie sécurisé est activé, l'<a3>URL</a3> du portail <s4>doit</s4> être en HTTPS.
</<s11>Directory</s11>>
</<s11>Directory</s11>>
To change it:
Pour le changer :
Logs
Journaux
The LDIF view of such entry can be:
La vue LDIF d'une telle entrée ressemble à :
Menu modules activation rules
les règles d'activation des modules du menu
http://perldoc.perl.org/functions/join.html
http://perldoc.perl.org/functions/join.html
Password
Mot-de-passe
If you want to become member of <a1>LL::NG</a1> team ask to <a2>lemonldap-ng-dev@ow2.org</a2>.
SI vous souhaitez devenir membre de l'équipe <a1>LL::NG</a1> demandez-le également à <a2>lemonldap-ng-dev@ow2.org</a2>.
This script is called <c0>lemonldap-ng-cli</c0> and is stored in the LemonLDAP::NG bin/ directory, for example /usr/share/lemonldap-ng/bin:
Ce script se nomme <c0>lemonldap-ng-cli</c0> et se trouve dans le répertoire bin/ de LemonLDAP::NG, par exemple /usr/share/lemonldap-ng/bin:
<s85>//"userobm_hidden" => ,</s85>
<s85>//"userobm_hidden" => ,</s85>
First steps
Premiers pas
Bugzilla can authenticate a user with HTTP headers, and auto-create its account with a few information:
Bugzilla peut authentifier un utilisateur par en-tête HTTP et auto-générer son compte avec quelques informations :
http://search.cpan.org/perldoc?DBD::Oracle
http://search.cpan.org/perldoc?DBD::Oracle
../../../media/applications/spring_logo.png
../../../media/applications/spring_logo.png
Header
En-tête
Protect only the administration pages
Protéger seulement la page d'administration
<s94>//"userobm_mobile" => ,</s94>
<s94>//"userobm_mobile" => ,</s94>
<s0>faketicket</s0>: if the user has no access, a fake ticket is built, and the user is redirected to <a1>CAS</a1> service.
<s0>faketicket</s0> : si l'utilisateur n'a pas accès, un faux ticket est construit, et l'utilisateur est redirigé vers le service <a1>CAS</a1>.
<s0>Scope</s0>: Value of scope parameter (example: openid profile).
<s0>Portée</s0> : valeur du paramètre de portée (exemple : profil openid).
Tarball
Archive
You can add a link in <a0>application menu</a0> to display Google Apps to users.
Il est possible d'ajouter un lien dans le <a0>menu application</a0> pour afficher Google Apps.
http://forge.ow2.org/svnsnapshots/lemonldap-svn-latest.tar.gz
http://forge.ow2.org/svnsnapshots/lemonldap-svn-latest.tar.gz
Hide old password in reset form
Masquer l'ancien mot-de-passe dans le formulaire de réinitialisation
userDB
userDB
documentation:1.0:ldapconfbackend
documentation:1.0:ldapconfbackend
Other resources
Autres documents
This will download the public and the private key.
Ceci télécharge les clefs publique et privée.
User found from login process
Nom d'utilisateur trouvé dans le processus d'authentification
SP Initiated Binding: chose any of the supported binding (every one listed there is currently supported on LemonLDAP::NG) HTTP POST is a good choice
SP Initiated Binding : choisir n'importe quel protocole supporté (ils le sont actuellement tous par LemonLDAP::NG), HTTP POST est un bon choix
The normal portal has a link included in the authentication form pointing to the remote portal for the users of the other organization
Le portail normal dispose d'un lien dans le formulaire d'authentification pointant vers le portail destiné aux utilisateurs de l'autre organisation
Follow <a0>LDAP session backend</a0> doc
Suivre la documentation <a0>backend de sessions LDAP</a0>
Firefox has detected that the server is redirecting the request for this address in a way that will never complete
Firefox has detected that the server is redirecting the request for this address in a way that will never complete
<s0>Persistent</s0>: NameID is restored from previous sessions
<s0>Persistent</s0>: le NameID est restoré depuis la session précédente
The user will be redirected on portal <a0>URL</a0> with error in the <c1>lmError</c1> <a2>URL</a2> parameter.
L'utilisateur sera redirigé vers l'<a0>URL</a0> du portail avec une erreur dans le paramètre <c1>lmError</c1> de l'<a2>URL</a2>.
<s114>//"userobm_address3" => ,</s114>
<s114>//"userobm_address3" => ,</s114>
Test notification
Tester les notifications
In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose <a2>CAS</a2> for authentication.
Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir <a2>CAS</a2> pour l'authentification.
../../../media/applications/glpi_logo.png
../../../media/applications/glpi_logo.png
Then restart Apache.
Redémarrer Apache ensuite.
Note that this feature is interesting only for the Lemonldap::NG systems protecting a high number of applications
Notez que cette fonctionnalité n'est intéressante que pour les systèmes Lemonldap::NG protégeant un grand nombre d'applications
vi /root/SSOExtensions.pm
vi /root/SSOExtensions.pm
Use then the <a0>Multiple authentication module</a0>, for example:
Utiliser alors le <a0>module d'authentification multiple</a0>, exemple:
http://search.cpan.org/perldoc?CGI
http://search.cpan.org/perldoc?CGI
If not authenticated (or authentication is forced) try to find it (userDB module) and to authenticate it (auth module), create session, calculate groups and macros and store them.
Si ce n'est pas le cas (ou si l'authentification est forcée) tente de le trouver (module userDB) et de l'authentifier (module d'authentification), crée la session, calcule les groupes et macros et les stocke
<s0>CDBI</s0> : very simple storage
<s0>CDBI</s0> : stockage très simple
<a14>portalmenu</a14><br15/>
<a14>portalmenu</a14><br15/>
How it works
Fonctionnement
http://auth.example.com/?logout=1
http://auth.example.com/?logout=1
In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Proxy for authentication and users.
Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir Proxy pour les modules authentification et utilisateurs.
http://lanyrd.com/2012/ow2-con12/scbcwz/
http://lanyrd.com/2012/ow2-con12/scbcwz/
To bypass this, follow the documentation of <a0>AuthApache module</a0>
Pour outrepasser ceci, suivre la documentation du <a0>module AuthApache</a0>
radiusServer
radiusServer
Apache::Session::Browseable::MySQL doesn't use locks so performances are keeped.
Apache::Session::Browseable::MySQL n'utilise pas les locks pour conserver les performances.
To do this, go in Manager > General Parameters > Advanced Parameters > Security > Use Safe Jail and disable it.
Pour ce faire, aller dans le manager > Paramètres généraux > Paramètres avancés > Sécurité > Utiliser la cage sécurisée et la désactiver.
Add on your <c0>server.xml</c0> file a new valve entry like this (in host section):
Ajouter dans le fichier <c0>server.xml</c0> une nouvelle valve comme ci-dessous (dans la section host):
http://perldoc.perl.org/Safe.html
http://perldoc.perl.org/Safe.html
After logout process, the user is redirected on portal, or on a configured <a0>URL</a0>.
Après déconnexion, l'utilisateur est redirigé vers une <a0>URL</a0> configurée ou vers le portail.
OBM_GROUPS
OBM_GROUPS
See also
Voir aussi
One standard portal
Un portail standard
It returns 1 if this match, 0 else.
Elle retourne 1 si c'est bon, 0 sinon.
Configure Liferay virtual host like other <a0>protected virtual host</a0>.
Configurer l'hôte virtuel Liferay comme n'importe quel autre <a0>hôte virtuel protégé</a0>.
To install them on system:
Pour les installer sur le système :
Nginx is a very fast web server.
Nginx est un serveur web particulièrement performant.
In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Facebook for authentication module.
Dans le manager, allez dans <c0>Paramètres generaux</c0> > <c1>Modules d'authentification</c1> et choisissez Facebook comme module d'authentication.
Twitter
Twitter
Password is not a common attribute.
Le mot-de-passe n'est pas un attribut commun.
caFile
caFile
/_detail/screenshots/1.0/pastel/portal.png?id=screenshots
/_detail/screenshots/1.0/pastel/portal.png?id=screenshots
ldapPort
ldapPort
<a0>DokuWiki</a0> is a standards compliant, simple to use Wiki, mainly aimed at creating documentation of any kind.
<a0>DokuWiki</a0> est un wiki simple et standard principalement destiné à la création de documents de toute nature.
ldapRaw
ldapRaw
Exported variables in the Manager
Variables exportées dans le manager
sed -i 's/example\.com/ow2.org/g' /etc/lemonldap-ng/* /var/lib/lemonldap-ng/conf/lmConf-1 /var/lib/lemonldap-ng/test/index.pl
sed -i 's/example\.com/ow2.org/g' /etc/lemonldap-ng/* /var/lib/lemonldap-ng/conf/lmConf-1 /var/lib/lemonldap-ng/test/index.pl
Perl
Perl
http://lanyrd.com/2012/solutionslinux/sryym/
http://lanyrd.com/2012/solutionslinux/sryym/
Adapt it to configure the index you need.
À adapter pour configurer les index voulus.
https://auth.example.com/
https://auth.example.com/
<s0><s1>[</s1>configuration<s2>]</s2></s0>
<s3>type</s3> <s4>=</s4><s5> RDBI</s5>
<s6>dbiChain</s6> <s7>=</s7><s8> DBI:mysql:database=lemonldap-ng</s8><s9>;host=1.2.3.4</s9>
<s10>dbiUser</s10> <s11>=</s11><s12> lemonldap</s12>
<s13>dbiPassword</s13> <s14>=</s14><s15> password</s15>
<s16>; optional</s16>
<s17>dbiTable</s17> <s18>=</s18><s19> mytablename</s19>
<s0><s1>[</s1>configuration<s2>]</s2></s0>
<s3>type</s3> <s4>=</s4><s5> RDBI</s5>
<s6>dbiChain</s6> <s7>=</s7><s8> DBI:mysql:database=lemonldap-ng</s8><s9>;host=1.2.3.4</s9>
<s10>dbiUser</s10> <s11>=</s11><s12> lemonldap</s12>
<s13>dbiPassword</s13> <s14>=</s14><s15> password</s15>
<s16>; optional</s16>
<s17>dbiTable</s17> <s18>=</s18><s19> mytablename</s19>
Go to the Manager and <a0>create a new virtual host</a0> for Dokuwiki.
Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour Dokuwiki.
../../../media/applications/sympa_logo.png
../../../media/applications/sympa_logo.png
<s0>Allowed modules</s0>: click on <c1>New chain</c1> to add a choice.
<s0>Modules autorisés</s0> : cliquer sur <c1>Nouveau choix</c1> pour ajouter un choix.
The <a0>LDAP schema extension</a0> can be used to store this value.
L'<a0>extension de schéma LDAP</a0> peut être utilisée pour stocker cette valeur.
Notification activation
Activation des notifications
mail
mail
New Service Provider
Nouveau fournisseur de service
To make the portal start faster when the server is relaunched, add those lines in Apache configuration file (as described in portal-apache2.conf):
Pour accélérer le démarrage du portail lorsque le serveur est relancé, ajoutez les lignes suivantes dans les fichiers de configuration d'Apache (tel que proposé dans portal-apache2.conf):
<s0>Display other sessions </s0>: display other sessions on authentication phase, with a link to delete them.
<s0>Afficher les autres sessions</s0> : affiche les autres sessions ouvertes lors de la phase d'authentification avec un lien pour les effacer.
The password can be in plain text, or encoded with a standard SQL method:
Le mot-de-passe peut être stocké en clair ou encodé avec une méthode SQL standard :
For example it can be stored as a second value of the uid attribute in the LDAP directory:
Par exemple il peut être stocké comme seconde valeur de l'attibut uid dans un annuaire LDAP :
Last name
Nom
When you know the key of the variable, you just have to prefix it with the dollar sign to use it, for example to test if <c0>uid</c0> variable match <c1>coudot</c1> :
En connaissant le nom d'une variable, il suffit de la préfixer avec un signe dollar pour l'utiliser, par exemple pour savoir si la variable <c0>uid</c0> contient <c1>coudot</c1> :
For application <a0>AAA</a0>:
Pour l'application AAA :
Crypt::OpenSSL::X509
Crypt::OpenSSL::X509
http://www.liferay.com/
http://www.liferay.com/
Key (<a0>LL::NG</a0> name)
Clef (nom <a0>LL::NG</a0>)
<s26>Order</s26> <s27>deny</s27>,<s28>allow</s28>
<s26>Order</s26> <s27>deny</s27>,<s28>allow</s28>
../../../css/screen.css
../../../css/screen.css
<a0>LL::NG</a0> will operate some SQL queries:
<a0>LL::NG</a0> exécutera quelques requêtes SQL :
OpenID Connect Service
Service OpenID-Connect
LemonLDAP::NG provides a proxy that can replace the use of Apache mod_proxy.
LemonLDAP::NG fournit un proxy qui peut remplacer l'utilisation de mod_proxy d'Apache.
<s119>"userobm_town"</s119> <s120>=></s120> <s121>"HTTP_OBM_L"</s121><s122>,</s122>
<s119>"userobm_town"</s119> <s120>=></s120> <s121>"HTTP_OBM_L"</s121><s122>,</s122>
The SP name is asked, enter it and click OK.
Le nom de SP est demandé, entrer-le et cliquer sur OK.
To use this feature only locally, edit <c0>lemonldap-ng.ini</c0> in section [all]:
Pour utiliser cette fonctionnalité seulement localement, éditer <c0>lemonldap-ng.ini</c0> dans la section [all]:
To configure sessions, go in Manager, <c0>General Parameters</c0> » <c1>Sessions</c1>:
Pour configurer les sessions, aller dans le manager, <c0>Paramètres généraux</c0> » <c1>Sessions</c1> :
Give a technical name (no spaces, no special characters), like “sample-op”;
Donner un nom technique (sans espaces ni caratères speciaux), tel “sample-op” ;
../media/logos/logo_rbn.png
../media/logos/logo_rbn.png
it may be the <e3>backbone</e3> of a heterogeneous architecture.
il peut être le <e3>pivot</e3> d'une architecture hétérogène.
Go in Manager, <c0>General Parameters</c0> » <c1>Advanced Parameters</c1> » <c2>Custom functions</c2> and set:
Aller dans le manager, <c0>Paramètres généraux</c0> » <c1>Paramètres avancés</c1> » <c2>Fonctions personnalisées</c2> et indiquer :
Macros and groups are calculated during authentication process by the portal:
Les macros et les groupes sont calculées pendant le processus d'authentification par le portail :
<s0><s1>[</s1>configuration<s2>]</s2></s0>
<s3>type</s3> <s4>=</s4><s5> File</s5>
<s6>dirName</s6> <s7>=</s7><s8> /var/lib/lemonldap-ng/conf</s8>
<s0><s1>[</s1>configuration<s2>]</s2></s0>
<s3>type</s3> <s4>=</s4><s5> File</s5>
<s6>dirName</s6> <s7>=</s7><s8> /var/lib/lemonldap-ng/conf</s8>
userPivot
userPivot
A mail with a token is sent to user
Un courriel avec une valeur est envoyé à l'utilisateur
startTime
startTime
SAML assertion
Assertion SAML
<a0>Alfresco</a0> is an ECM/BPM software.
<a0>Alfresco</a0> est un logiciel ECM/BPM.
globalStorage
globalStorage
This parameter is set by the portal and use javascript to get the connected user timezone.
Ce paramètre est géré par le portail et utilise javascript pour obtenir le fuseau de l'utilisateur connecté.
Remember to change the access rule in Manager virtual host to allow new administrators.
Ne pas oublier de changer la règle d'accès à l'hôte virtuel du manager pour autoriser les nouveaux administrateurs.
Default value
Valeur par défaut
fullname
fullname
../../../media/icons/neotux.png
../../../media/icons/neotux.png
In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Database (<a2>DBI</a2>) for authentication, users and/or password modules.
Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir "base de données" (<a2>DBI</a2>) pour les modules authentification, utilisateurs et/ou mots-de-passe.
Notifications system
Systèmes de notification
Then, go in <c0>Radius parameters</c0>:
Ensuite, aller dans les <c0>paramètres Radius</c0>:
if a user can access directly to the hidden application, it can bypass <a0>LL::NG</a0> protection
Si un utilisateur peut accéder directement à l'application cachée, peut contourner la protection de <a0>LL::NG</a0>
Then you got this value inside the Auth-Roles header:
On les obtient dans l'en-tête Auth-Roles :
applications:sympa_logo.png
applications:sympa_logo.png
Using notification system
Utiliser le système de notification
<s2>require</s2> Lemonldap::NG::Portal::SharedConf;
<s2>require</s2> Lemonldap::NG::Portal::SharedConf;
It must match AD policy
Ça doit correspondre avec la politique de l'AD
Skin rules
Règle du thème
/_detail/screenshots/0.9.4/0.9.4_application_menu.png?id=screenshots
/_detail/screenshots/0.9.4/0.9.4_application_menu.png?id=screenshots
lemonldap-ng-testpage.png
lemonldap-ng-testpage.png
Sessions are stored using <a0>Apache::Session</a0> modules family.
Les sessions sont stockées en utilisant les modules de la famille <a0>Apache::Session</a0>.
The configuration is done in config.php:
La configuration est effectuée via config.php:
<s0>List</s0>: domains list (comma separated values)
<s0>Liste</s0> : liste des domaines (séparés par des virgules)
It provides a specific and lightweight OpenID Connect module that will replace the current Google module.
Il fournit un module OpenID-Connect spécifique et facile qui remplace l'actuel module Google.
Backend
Backend
→ When you upgrade from Debian Lenny with customized index.pl files, you must upgrade them.
→ Lors d'une mise à jour d'une Debian Lenny avec un fichier index.pl personnalisé, il faut le mettre à jour.
http://sourcesup.cru.fr/projects/perlcas/
http://sourcesup.cru.fr/projects/perlcas/
Using this, we can do a very simple interoperability system between 2 organizations using two <a0>LL::NG</a0> structures:
En utilisant ce système, on peut avoir une simple interopérabilité entre 2 organisations utilisant chacune leur système <a0>LL::NG</a0> :
String::Random
String::Random
<s0>Authentication filter</s0>: Filter to find user from its login (default: <c1>(&(uid=$user)(objectClass=inetOrgPerson))</c1>)
<s0>Filtre d'authentication</s0> : filtre pour trouver l'utilisateur à partir de son login (défaut : <c1>(&(uid=$user)(objectClass=inetOrgPerson))</c1>)
High Availability
Haute disponibilité
reloadTime
reloadTime
If no proxied services defined, <a0>CAS</a0> authentication will not activate the <a1>CAS</a1> proxy mode.
Si aucun service proxifié n'est défini, l'authentification <a0>CAS</a0> n'activera pas le mode proxy <a1>CAS</a1>.
http://perldoc.perl.org/functions/exit.html
http://perldoc.perl.org/functions/exit.html
<a12>portalcustom</a12><br13/>
<a12>portalcustom</a12><br13/>
http://jira.ow2.org/browse/LEMONLDAP?selectedTab=com.atlassian.jira.plugin.system.project%3Achangelog-panel
http://jira.ow2.org/browse/LEMONLDAP?selectedTab=com.atlassian.jira.plugin.system.project%3Achangelog-panel
<a0>CDA</a0> activation
Activation du <a0>CDA</a0>
Validation of the session: external user has now a local session
Validation de la session : l'utilisateur externe dispose ainsi d'un session locale
After configuring <a0>SAML</a0> Service, you can export metadata to your partner Identity Provider.
Après avoir configuré le service <a0>SAML</a0> Service, exporter les metadatas vers le fournisseur d'identité partenaire.
This mode allow to test LemonLDAP::NG without any third-party software.
Ce mode permet de tester LemonLDAP::NG sans aucun autre programme tiers.
Configuration is in /etc/lemonldap-ng
La configuration se trouve dans /etc/lemonldap-ng
Then, go in <c0>OpenID parameters</c0>:
Ensuite, aller dans les <c0>paramètres OpenID</c0> :
You can change the separator with the <c2>fileNameSeparator</c2> option, and set another value, for example <c3>@</c3>.
On peut changer ce séparateur en changeant la valeur de l'option <c2>fileNameSeparator</c2> par exemple <c3>@</c3>.
'cache_root' => '/tmp',?
'cache_root' => '/tmp',?
We suppose that LimeSurvey is installed in /var/www/html/limesurvey
On suppose que LimeSurvey est installé dans /var/www/html/limesurvey
Convert::PEM
Convert::PEM
Main parameters
Paramètres principaux
#perl_auto-protected_cgi
#perl_auto-protected_cgi
service_id lemonldapng
service_id lemonldapng
ldapgroups <s0>-></s0> <a1><s2>join</s2></a1><s3>(</s3><s4>" "</s4><s5>,</s5><s6>(</s6><s7>$ldapgroups</s7> <s8>=~</s8> <s9>/cn=(.*?),/g</s9><s10>)</s10><s11>)</s11>
ldapgroups <s0>-></s0> <a1><s2>join</s2></a1><s3>(</s3><s4>" "</s4><s5>,</s5><s6>(</s6><s7>$ldapgroups</s7> <s8>=~</s8> <s9>/cn=(.*?),/g</s9><s10>)</s10><s11>)</s11>
<s77>//"userobm_account_dateexp" => ,</s77>
<s77>//"userobm_account_dateexp" => ,</s77>
http://fedoraproject.org/wiki/EPEL/
http://fedoraproject.org/wiki/EPEL/
lemonldap_ng_session_explorer_1340022388573.png
lemonldap_ng_session_explorer_1340022388573.png
Create table:
Créer la table:
If no value, the default NameID format is Email.
Si aucune valeur n'est indiquée, le format de NameID par défaut est Email.
Form replay
Rejeu de formulaires
Manager theme
Thème du manager
<s9>AuthLDAPBindPassword</s9> <s10>"secret"</s10>
<s9>AuthLDAPBindPassword</s9> <s10>"secret"</s10>
Google supports these claims:
Google supporte ces champs :
Go to the Manager and <a0>create a new virtual host</a0> for MediaWiki.
Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour Mediawiki.
logos:logo-ul.png
logos:logo-ul.png
http://fr.lutece.paris.fr
http://fr.lutece.paris.fr
<c0>deny</c0>: nobody is welcomed
<c0>deny</c0>: personne n'est autorisé
SAML service configuration
Configuration du service SAML
Each SREG attribute will be associated to a user session key.
Chaque attribut SREG est associé à une clef de session utilisateur.
In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Yubikey for authentication module.
Dans le manager, allez dans <c0>Paramètres generaux</c0> > <c1>Modules d'authentification</c1> et choisissez Yubikey comme module d'authentication.
LimeSurvey configuration
Configuration de LimeSurvey
You can also add a condition.
Il est possibe d'ajouter une condition.
Index list
Liste d'index
XSS attack detected
XSS attack detected
LinuxFR
LinuxFR
CAS
CAS
<s144>//"userobm_nomade_perms" => ,</s144>
<s144>//"userobm_nomade_perms" => ,</s144>
^/(css|js)/
^/(css|js)/
<s0>SREG mapping</s0>: link between SREG attributes and session keys (<s1><a2>see below</a2></s1>).
<s0>Associations SREG</s0> : liens entre les attributs SREG et les clefs de session (<s1><a2>voir ci-dessous</a2></s1>).
For example, to send it in an header:
Par exemple, pour l'envoyer dans un en-tête :
GoogleApps => http://www.google.com/calendar/hosted/mydomain.org/logout
GoogleApps => http://www.google.com/calendar/hosted/mydomain.org/logout
You only need a reload <a0>URL</a0> per physical servers, as Handlers share the same configuration cache on each physical server.
Une <a0>URL</a0> par serveur physique est nécessaire, car les agents partagent le même cache de configuration pour chaque serveur physique.
To change it, go in General Parameters > Advanced Parameters > Notifications > Wildcard for all users, and set for example <c0>alluserscustom</c0>.
Pour le changer, aller dans Paramètres généraux > Paramètres avancés > Notifications > Carte blanche pour tous les utilisateurs, et mettre par exemple <c0>alluserscustom</c0>.
Changing the domain value will not update other configuration parameters, like virtual host names, portal <a0>URL</a0>, etc.
Changer la valeur du domaine ne met pas à jour les autres paramètres tels les noms d'hôtes virtuels, l'<a0>URL</a0> du portail, etc...
tchemineau@example.com
tchemineau@example.com
<s25># another HTML code</s25>
<s26>}</s26>
<s25># autre code HTML</s25>
<s26>}</s26>
Menu modules
Modules du menu
LemonLDAP::NG 1.0 release
Sortie de LemonLDAP::NG 1.0
Lemonldap::NG::Common
Lemonldap::NG::Common
You will need to collect all attributes needed to create a user in OBM, this includes:
Il faut collecter tous les attributs nécessaires pour créer un compte OBM :
Build <a0>cookie(s)</a0>
Construit le ou les <a0>cookies</a0>
Sybase
Sybase
Below are documented internal variables.
Ci-dessous sont documentées les variables internes.
Common Domain Cookie
Domaine commun de cookie
$_auth
$_auth
Configure Sympa virtual host like other <a0>protected virtual host</a0> but protect only magic authentication <a1>URL</a1>.
Configurer l'hôte virtuel Sympa comme n'importe quel autre <a0>hôte virtuel protégé</a0> mais ne protéger que l'authentification magique.
On Debian/Ubuntu:
Sur Debian/Ubuntu :
Security
Sécurité
Use <a0>our own Debian repository</a0>.
Utiliser <a0>votre propre dépôt Debian</a0>.
<s0>Requested authentication context</s0>: this context is declared in authentication request.
<s0>Contexte d'authentification demandé</s0> : ce contexte est déclaré dans la requête d'authentification.
<s0>apply</s0>: reload <a1>URL</a1> for distant Hanlders
<s0>apply</s0> : les <a1>URL</a1> de rechargement des agents distants
The Manager displays main branches:
Le manager affiche des branches principales :
Kinematics
Cinématique
<s0>end</s0>: End date (GMT)
<s0>end</s0>: date de fin (GMT)
../../../../media/applications/limesurvey_logo.png
../../../../media/applications/limesurvey_logo.png
<s0>Manager</s0>: used to manage LemonLDAP::NG configuration and to explore sessions.
<s0>Manager</s0>: utilisé pour gérer la configuration LemonLDAP::NG et explorer les sessions.
Security Assertion Markup Language
Security Assertion Markup Language
See also <a0>general kinematics presentation</a0>.
Voir aussi la <a0>présentation de la cinématique générale</a0>.
portalOpenLinkInNewWindow
portalOpenLinkInNewWindow
High availability
Haute disponibilité
If using <a0>LL::NG</a0> as reverse proxy, configure also the <c1>Auth-User</c1> <a2>header</a2>,
Si <a0>LL::NG</a0> est utilisé par reverse-proxy, configurer l'<a2>en-tête</a2> <c1>Auth-User</c1>,
<s3># DocumentRoot</s3>
<s3># DocumentRoot</s3>
http://lanyrd.com/2012/13eme-rencontres-mondiales-du-logiciel-libre/sryyt/
http://lanyrd.com/2012/13eme-rencontres-mondiales-du-logiciel-libre/sryyt/
Hello <s0><TMPL_VAR <s1>NAME</s1><s2>=</s2><s3>"myparam"</s3>></s0>!
Hello <s0><TMPL_VAR <s1>NAME</s1><s2>=</s2><s3>"myparam"</s3>></s0>!
You need <a0>Net::Twitter</a0> package, with a very recent version (>3).
Vous devez installer une version récente (>3) du paquet <a0>Net::Twitter</a0>.
<a0>CAS</a0> Session backend options
Options du module de stockage <a0>CAS</a0>
OBM includes Groupware, messaging server, CRM, LDAP, Windows Domain, smartphone and PDA synchronization…
OBM inclut un groupware, un serveur de messagerie, un CRM, un annuaire LDAP, un domaine Windows, un dispositif de synchronisation pour smartphone et PDA…
Prepare the LDAP server and the LL::NG configuration file
Préparer le serveur LDAP et le fichier de configuration LL::NG
RMLL/LSM
RMLL/LSM
<a0>LL::NG</a0> provides a special function named <a1>basic</a1> to build this header.
<a0>LL::NG</a0> fournit une fonction spéciale nommée <a1>basic</a1> pour construire cet en-tête.
Example: <a2>http://auth.example.com</a2>
Exemple: <a2>http://auth.example.com</a2>
dbiUserChain
dbiUserChain
Double cookie
Double cookie
logos:logo_ministere_justice.jpg
logos:logo_ministere_justice.jpg
wget https://sourcesup.cru.fr/frs/download.php/2476/AuthCAS-1.4.tar.gz
wget https://sourcesup.cru.fr/frs/download.php/2476/AuthCAS-1.4.tar.gz
You can now use your function in a macro, an header or an access rule, for example:
Les fonctions peuvent être utilisées dans une macro, un en-tête ou une règle d'accès, par exemple:
It will be prompted if you generate keys, else you can set it in the <c0>Private key password</c0>.
Il vous sera demandé à la génération de la clef ou vous pouvez l'entrer dans le champ <c0>Mot-de-passe de la clef privée</c0>.
Next run ant command:
Lancer ensuite la commande ant :
documentation:lemonldapng-sso.png
documentation:lemonldapng-sso.png
timeout
timeout
Main <a0>external databases</a0> are:
Les principales <a0>bases de données externes</a0> sont :
URL contains a non protected host
URL contains a non protected host
It manages both authentication and authorization and provides headers for accounting.
Il gère à la fois les authentifications et les autorisations et fournit des en-têtes HTTP pour la traçabilité.
Redis session backend
Module de stockage des sessions Redis
<s0>VHOSTLISTEN</s0>: how listen parameter is configured for virtual hosts in Apache (default: *:80)
<s0>VHOSTLISTEN</s0> : comment est configuré le paramètre d'écoute des hôtes virtuels dans Apache (défaut : *:80)
We use the Perl module Authen::Captcha to generate codes and images, which look like this:
Nous utilisons le module Perl Authen::Captcha pour générer les codes et images, ce qui ressemble à :
CAS (authentication module)
CAS (module d'authentification)
You need <a0>Net::Facebook::Oauth2</a0> package.
La paquet <a0>Net::Facebook::Oauth2</a0> est nécessaire.
MRTG monitoring
Supervision MRTG
Register form: where user enters information to create a new account
Formulaire d'enregistrement : où les utilisateurs entrent les informations nécessaires à la création de compte
when pwdLastSet = 0 in the user entry, it means that password has been reset, and a form is presented to the user for him to change his password.
Lorsque le paramètre pwdLastSet est positionné à 0 dans l'entrée utilisateur, ça signifie que le mot de passe a été réinitialisé et qu'un formulaire est présenté à l'utilisateur pour qu'il change son mot de passe.
icons:flags:us.png
icons:flags:us.png
remoteCookieName
remoteCookieName
documentation:googleapps-menu.png
documentation:googleapps-menu.png
^/(?i)index.php\?.*access=admin
^/(?i)index.php\?.*access=admin
<s0>Display</s0>: As Google Apps is not a protected application, set to <c1>On</c1> to always display it
<s0>Display</s0> : comme Google Apps n'est pas une application protégée, indiquer <c1>On</c1> pour toujours l'afficher
Offline
Hors ligne
http://www.slideshare.net/coudot/lemonldapng-un-websso-libre
http://www.slideshare.net/coudot/lemonldapng-un-websso-libre
<s64>"userobm_firstname"</s64> <s65>=></s65> <s66>"HTTP_OBM_GIVENNAME"</s66><s67>,</s67>
<s68>// "userobm_title" => "HTTP_OBM_TITLE",</s68>
<s64>"userobm_firstname"</s64> <s65>=></s65> <s66>"HTTP_OBM_GIVENNAME"</s66><s67>,</s67>
<s68>// "userobm_title" => "HTTP_OBM_TITLE",</s68>
/_detail/screenshots/1.0/dark/password.png?id=screenshots
/_detail/screenshots/1.0/dark/password.png?id=screenshots
This is a security point, to prevent someone to create a session by sending custom headers.
Il s'agit d'un élément de sécurité pour éviter à quelqu'un de créer une session en envoyant des en-têtes personnalisés.
<s89>"userobm_phone"</s89> <s90>=></s90> <s91>"HTTP_OBM_TELEPHONENUMBER"</s91><s92>,</s92>
<s89>"userobm_phone"</s89> <s90>=></s90> <s91>"HTTP_OBM_TELEPHONENUMBER"</s91><s92>,</s92>
<a0>SAML</a0> service configuration is a common step to configure <a1>LL::NG</a1> as <a2>SAML SP</a2> or <a3>SAML IDP</a3>.
La configuration du service <a0>SAML</a0> est une étape commune pour configurer <a1>LL::NG</a1> comme <a2>fournisseur de service SAML (SP)</a2> ou <a3>fournisseur d'identité SAML (IDP)</a3>.
$uid eq “root”
$uid eq “root”
Google Apps has a configuration parameter to redirect user on a specific <a0>URL</a0> after Google Apps logout (see <a1>Google Apps control panel</a1>).
Google Apps ne dispose pas de paramètre de configuration pour rediriger les utilisateurs vers une <a0>URL</a0> spécifique après la déconnexion Google Apps (voir <a1>Google Apps control panel</a1>).
New code:
Nouveau code:
http://www.jdll.org/node/206
http://www.jdll.org/node/206
<a3>XSS</a3> checks will still be done with warning in logs, but this will not prevent the process to continue.
Le contrôle <a3>XSS</a3> continuera à être effectué mais avec seulement des avertissements dans les journaux sans empêcher le processus de continuer.
Gaultier HUBERT
Gaultier HUBERT
applications:liferay_logo.png
applications:liferay_logo.png
Form page <a0>URI</a0>: /login.php
<a0>URI</a0> de la page de formulaire : /login.php
Google Apps
Google Apps
Login history
Historique de connexion
<s0>syntax</s0> (optional): <c1>hexadecimal</c1> (default) or <c2>octetstring</c2>
<s0>syntax</s0> (optionnel) : <c1>hexadecimal</c1> (défaut) ou <c2>octetstring</c2>
To chain SSL, you have to set “SSLRequire optional” in Apache configuration, else users will be authenticated by SSL only.
Pour chaîner SSL, il est nécessaire de mettre “SSLRequire optional” dans le fichier de configuration Apache, sinon les utilisateurs ne seront authentifiés que par SSL.
<s0><a1>SSO</a1> and Application logout</s0>: the request is forwarded to application and <a2>SSO</a2> session is closed
<s0>Déconnexion <a1>SSO</a1> et applicative</s0>: la requête est transmise à l'application et la session <a2>SSO</a2> est fermée
<s0>Redirect</s0>: redirect user on protected application or on Portal (applications menu)
<s0>Redirect</s0>: redirect user on protected application or on Portal (applications menu)
<s0>Manager interface</s0>: all messages are grouped in lemonldap-ng-manager/lib/Lemonldap/NG/Manager/_i18n.pm.
L'<s0>interface du Manager</s0>: tous les messages sont regroupés dans lemonldap-ng-manager/lib/Lemonldap/NG/Manager/_i18n.pm.
Override logging functions
Surcharger les fonctions de journalisation
SMTPAuthPass
SMTPAuthPass
<s13><s14><property</s14> <s15>name</s15>=<s16>"principalRequestHeader"</s16> <s17>value</s17>=<s18>"Auth-User"</s18><s19>/></s19></s13>
<s13><s14><property</s14> <s15>name</s15>=<s16>"principalRequestHeader"</s16> <s17>value</s17>=<s18>"Auth-User"</s18><s19>/></s19></s13>
Dates
Dates
X509
X509
Available parameters are:
Paramètres disponibles :
Go to the Manager and <a0>create a new virtual host</a0> for Bugzilla.
Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour Bugzilla.
Delay between check of local configuration
Delai entre 2 examens de la configuration locale
mkdir /usr/local/lemonldap-ng/notifications/
chown www-data /usr/local/lemonldap-ng/notifications/
mkdir /usr/local/lemonldap-ng/notifications/
chown www-data /usr/local/lemonldap-ng/notifications/
<a0>CDA</a0> is set if the handler is not in the same domain
Le <a0>CDA</a0> ne fonctionne que si l'agent n'est pas dans le même domaine
This allows to use different databases for these process.
Ceci autorise à utiliser deux bases de données différentes pour ces deux processus.
Erwan LEGALL
Erwan LEGALL
AD password policy does not follow the LDAP <a0>RFC</a0>, but Microsoft has implemented its own policy.
La politique de mots-de-passe AD ne respecte pas les <a0>RFC</a0> LDAP, mais Microsoft a implementé sa propore politique.
POD unit tests
Tests unitaires POD
Edit configuration
Editer la configuration
Secure Token Handler
Agent jeton sécurisé
0.9.4_password_reset.png
0.9.4_password_reset.png
<a18>presentation</a18><br19/>
<a18>presentation</a18><br19/>
<s0>Renew authentication</s0>: force authentication renewal on <a1>CAS</a1> server
<s0>Renouveler l'authentification</s0> : force le renouvellement de l'authentification sur le serveur <a1>CAS</a1>
<s0>dbiChain</s0>: <a1>DBI</a1> connection.
<s0>dbiChain</s0> : chaîne de connexion <a1>DBI</a1>.
https
https
Logout forward
Propagation de déconnexion
documentation:latest:prereq
documentation:latest:prereq
Cookie security
Sécurité du cookie
Operating System
Système d'exploitation
Example 1: two tables
Exemple 1 : deux tables
documentation:lasso.png
documentation:lasso.png
Modules
Modules
<s0>Use rule</s0>: a rule to allow user to use this module, set to <c1>1</c1> to always allow.
<s0>Règle d'utilisation</s0> : une règle pour autoriser l'usage de ce module, mettre 1 pour toujours l'autoriser.
Email::Date::Format
Email::Date::Format
/_detail/icons/personal.png?id=contact
/_detail/icons/personal.png?id=contact
You must also install the database connector (<a1>DBD::Oracle</a1>, <a2>DBD::Pg</a2>,…)
Il faut également installer le connecteur à la base de données (<a1>DBD::Oracle</a1>, <a2>DBD::Pg</a2>,…)
../pages/documentation/conferences.html
../pages/documentation/conferences.html
<s162>//"userobm_nomade_datebegin" => ,</s162>
<s162>//"userobm_nomade_datebegin" => ,</s162>
Configuration backend parameters
Paramètres des backends de configuration
To summary available options:
Pour résumer les options disponibles :
So a simple user can have admin rights on the LDAP directory if your access rules are too lazy.
Ainsi un simple utilisateur aura un accès administrateur au serveur LDAP si votre règle d'accès est trop permisive.
External user clicks to be redirected to the remote type portal
L'utilisateur externe clique pour être redirigé vers le second portail
user email
Email de l'utilisateur
A little macro:
Une petite macro :
<s0>Name</s0>: Text displayed on choice tab.
<s0>Nom</s0> : Texte à afficher sur l'onglet.
<s5>AuthType</s5> Basic
<s5>AuthType</s5> Basic
<s0>Mail sender</s0>: address seen in the “From” field (default: noreply@[DOMAIN])
<s0>Expéditeur</s0> : adresse vue dans le champ “From” (défaut : noreply@[DOMAINE])
You may rather use standards protocols like <a1>SAML</a1>, <a2>OpenID Connect</a2> or <a3>CAS</a3>.
Il est préférable d'utiliser des protocoles standards tels <a1>SAML</a1>, <a2>OpenID</a2> ou <a3>CAS</a3>.
User password is now available in <c0>$_password</c0> variable.
Le mot-de-passe utilisateur est désormais disponible dans la variable <c0>$_password</c0>.
With the above solution, all the Drupal site will be protected, so no anonymous access will be allowed.
Avec la solution ci-dessus, tout le site Drupal sera protégé, ainsi aucun accès anonyme ne sera autorisé.
Authentication with Kerberos
Authentification avec Kerberos
A web browser launched from the computer (to access localhost)
Un navigateur web lançé depuis ce serveur (pour accéder à la boucle locale)
using Apache authentication system (used for <a0>SSL</a0>, <a1>Kerberos</a1>, <a2>HTTP basic authentication</a2>, …)
utilisant le système d'authentification d'Apache (utilisé pour <a0>SSL</a0>, <a1>Kerberos</a1>, l'<a2>authentification HTTP basique</a2>, …)
Translators
Translators
<s87>//"userobm_local" => ,</s87>
<s87>//"userobm_local" => ,</s87>
You can also define:
On peut aussi définir :
It allows to put <a0>LL::NG</a0>::portal behind another web <a1>SSO</a1>, or behind a SSL hardware to delegate SSL authentication to that hardware.
Ceci permet de metre un portail <a0>LL::NG</a0> derrière un autre web <a1>SSO</a1>, ou derrière un matériel SSL pour déléguer à ce matériel l'authentification.
These parameters can be configured in Manager, in <c0>General Parameters</c0> > <c1>Advanced parameters</c1> > <c2>Handler redirections</c2>.
Cesparamètres peuvent être configurés dans le manager, dans <c0>Paramètres généraux</c0> > <c1>Paramètres avancés</c1> > <c2>Redirections des agents</c2>.
<s0>Value</s0>: SREG attribute name:
<s0>Valeur</s0> : noms d'attributs SREG :
Zimbra also features archiving and discovery for compliance.
Zimbra propose aussi l'archivage et discovery for compliance.
Go to the Manager and <a0>create a new virtual host</a0> for Liferay.
Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour Liferay.
Official repository
Dépôt officiel
<s0>Page <a1>URL</a1></s0>: <a2>URL</a2> of password reset page (default: [PORTAL]/mail.pl)
<s0><a1>URL</a1> de la page</s0> : <a2>URL</a2> de la page de réinitialisation de mot-de-passe (défaut : [PORTAL]/mail.pl)
http://search.cpan.org/perldoc?Apache::Session::Browseable
http://search.cpan.org/perldoc?Apache::Session::Browseable
~150
~150
one unsecured for other applications
un non-sécurisé pour les autres applications
timezone
timezone
You can use #PORTAL# in values to replace the portal <a0>URL</a0>.
Vous pouvez utiliser le mot clef #PORTAL# dans les valeurs pour remplacer l'<a0>URL</a0> du portail.
Do not restrict /public/
Ne pas restreindre /public/
<s21>Allow</s21> from <s22>all</s22>
<s21>Allow</s21> from <s22>all</s22>
Authentication, Authorization and Accounting (AAA) mechanisms
Mécanismes d'authentification, d'autorisation et de traçabilité (AAA)
Zimbra can be deployed on-premises or as a hosted email solution.
Zimbra peut être déployé sur site ou hébergé telle une messagerie.
Slave
Slave
cd trunk
cd trunk
Mail From address
Adresse source des messages
To register <a0>LL::NG</a0>, you will need to give some information like application name or logo.
Pour enregistrer <a0>LL::NG</a0>, il faut renseigner quelques informations telles le nom d'application ou le logo.
LemonLDAP::NG can also use syslog (only for user actions).
LemonLDAP::NG peut également utiliser syslog (seulement pour les actions utilisateurs).
mailreset_step2.png
mailreset_step2.png
<c0>logout_sso</c0>, <c1>logout_app</c1>, <c2>logout_app_sso</c2>: catch logout request
<c0>logout_sso</c0>, <c1>logout_app</c1>, <c2>logout_app_sso</c2>: intercepte les requêtes de déconnexion
http://www.facebook.com/home.php?#!/pages/LemonldapNG/328254254936
http://www.facebook.com/home.php?#!/pages/LemonldapNG/328254254936
American Standard Code for Information Interchange
American Standard Code for Information Interchange
For example, we change it to <c2>ow2.org</c2>:
Par exemple, pour le changer en <c2>ow2.org</c2>:
Configure the portal to use the remote <a0>LL::NG</a0> structure.
Configurer le portail pour qu'il utilise le système <a0>LL::NG</a0> distant.
<s0>APACHEGROUP</s0>: group running Apache
<s0>APACHEGROUP</s0>: groupe de fonctionnement d'Apache
Use extended functions
Utiliser les fonctions étendues
email
email
Identity Provider
Fournisseur d'identité
When it takes “false”, HTTP headers have to be sent by <a1>LL::NG</a1> to make authentication.
Lorsqu'il est à “false”, les en-têtes HTTP doivent être renseignés par <a2>LL::NG</a2> pour valider l'authentification.
<text>: paragraph to display: will be inserted in <a0>HTML</a0> page enclosed in <p class=“notifText”>…</p>
<text> : paragraphe à afficher : sera inséré dans la page <a0>HTML</a0> encadré dans <p class=“notifText”>…</p>
<a0>Sympa</a0> is a mailing list manager.
<a0>Sympa</a0> est un gestionnaire de listes de diffusion.
http://toolinux.com/Sortie-de-LemonLDAP-NG-1-1
http://toolinux.com/Sortie-de-LemonLDAP-NG-1-1
http://toolinux.com/Sortie-de-LemonLDAP-NG-1-0
http://toolinux.com/Sortie-de-LemonLDAP-NG-1-0
These parameters can be configured in Manager, in <c0>General Parameters</c0> > <c1>Advanced parameters</c1> > <c2>Handler redirections</c2>:
Ces paramètres peuvent être configurés dans le manager, dans <c0>Paramètres généraux</c0> > <c1>Paramètres avancés</c1> > <c2>Redirections des agents</c2>:
<a0>SAML</a0> Identity Type: choose Federation ID.
<a0>SAML</a0> Identity Type : choisir "Federation ID".
lemonldap-ng-portal-appslist.png
lemonldap-ng-portal-appslist.png
Use custom functions
Utiliser les fonctions personnalisées
Change <s0>mycompanyid</s0> (in <c1>AssertionConsumerService</c1> markup, parameter <c2>Location</c2>) into your CSOD company ID and put the certificate value inside the ds:X509Certificate markup
Changer <s0>mycompanyid</s0> (dans <c1>AssertionConsumerService</c1> markup, parameter <c2>Location</c2>) avec l'ID CSOD de l'entreprise et mettre la valeur du certificat dans ds:X509Certificate markup
sudo make postconf
sudo make postconf
Display applications list
Affiche la liste des applications
<a0>Session restrictions</a0> will not work
Les <a0>restrictions de session</a0> ne fonctionnent pas
(see next section)
(voir section suivante)
Else, all data are copied in the session database.
Sinon, toutes les données sont copiées.
Net::OpenID::Server > 1.00
Net::OpenID::Server > 1.00
_idp
_idp
You have to update them by yourself.
Il faut les mettre à jour soi-même.
Then create symbolic links on template files, as you might not want to rewrite all <a0>HTML</a0> code (else, do as you want).
Créer ensuite des liens symboliques pour éviter de réécrire tous les fichiers <a0>HTML</a0> (sauf si c'est souhaité).
<s0>Change password <a1>URL</a1></s0>: where users can change their password.
<s0>Change password <a1>URL</a1></s0>: où les utilisateurs peuvent changer leur mot-de-passe.
Some adaptations are needed with other databases.
Quelques adaptations sont nécessaires pour les autres bases de données.
<s0>sessions/</s0>: read only access to sessions (enough for distant Handlers)
<s0>sessions/</s0> : accès en lecture seule aux sessions (suffisant pour les agents distants)
To refresh it, you have to set an handler on the same server to use the refresh mechanism or to restart the server after each configuration change.
Pour la rafraîchir, il faut installer un agent (handler) sur le même serveur pour utiliser le mécanisme de rafraîchissement ou redémarrer le serveur à chaque changement.
<s20><s21><user</s21> <s22>username</s22>=<s23>"tomcat"</s23> <s24>password</s24>=<s25>"tomcat"</s25> <s26>roles</s26>=<s27>"tomcat"</s27><s28>/></s28></s20>
<s20><s21><user</s21> <s22>username</s22>=<s23>"tomcat"</s23> <s24>password</s24>=<s25>"tomcat"</s25> <s26>roles</s26>=<s27>"tomcat"</s27><s28>/></s28></s20>
'cache_depth' => 5,?
'cache_depth' => 5,?
<s6># ...</s6>
}
<s6># ...</s6>
}
<s0>RDBI</s0> : triple store storage
<s0>RDBI</s0> : stockage en triplets
references.html
references.html
/_detail/icons/knewsticker.png?id=contact
/_detail/icons/knewsticker.png?id=contact
The common domain is used by <a0>SAML SP</a0> to find an Identity Provider for the user, and by <a1>SAML IDP</a1> to register itself in user's IDP list.
Le domaine commun est utilisé par le <a0>SP SAML</a0> pour trouver le fournisseur d'identité de l'utilisateur et par l'<a1>IdP SAML</a1> pour s'enregistrer dans la liste des IDP.
Several extensions allows to configure <a0>SSO</a0> on MediaWiki:
Plusieurs extensions permettent de configurer le <a0>SSO</a0> dans MediaWiki :
<s0>Attribute to store</s0>: the session key that will be stored in Memcached.
<s0>Attribut à stocker</s0> : la clef de session qui doit être stockée dans Memcached.
Conferences
Conférences
Menu modules display
Affichage des modules du menu
Run this to update packages cache:
Lancer ceci pour rafraîchir le cache :
http://event.appsec-forum.ch/27-oct-appsec-conferences/#c1
http://event.appsec-forum.ch/27-oct-appsec-conferences/#c1
Redirection to the portal of the main area and normal authentication (if not done before)
Redirection vers le portail principal et authentification normale (sauf si déjà faite)
Roles are entries, below branches representing applications.
Les rôles sont des entrées, les branches subordonnées représentant les applications.
You can enter a password to protect private key with a password.
Vous pouvez entrer un mot de passe de protection de la clef privée.
0.9.3
0.9.3
A click on a key will display the associated value.
Un click sur la clef affiche la valeur associée.
0.9.4
0.9.4
http://www.admin-magazin.de/News/Single-Sign-on-im-Web-mit-LemonLDAP-NG-1.1
http://www.admin-magazin.de/News/Single-Sign-on-im-Web-mit-LemonLDAP-NG-1.1
BrowserID
BrowserID
secureTokenHeader
secureTokenHeader
mailSessionKey
mailSessionKey
authentication
authentification
<a0>URL</a0> for mail reset
<a0>URL</a0> pour la réinitialisation par courriel
IO::String
IO::String
You can also adapt Apache access control:
On peut également adapter le contrôle d'accès d'Apache :
http://help.sap.com/saphelp_nw70/helpdata/en/d0/a3d940c2653126e10000000a1550b0/frameset.htm
http://help.sap.com/saphelp_nw70/helpdata/en/d0/a3d940c2653126e10000000a1550b0/frameset.htm
http://wiki.zimbra.com/index.php?title=Preauth
http://wiki.zimbra.com/index.php?title=Preauth
macros
macros
Go on Drupal administration interface and enable the Webserver Auth module.
Aller dans l'interface administration et activer le module Webserver Auth.
vi /etc/apt/sources.list.d/lemonldap-ng.list
vi /etc/apt/sources.list.d/lemonldap-ng.list
In General Parameters > Authentication modules, choose <c0>Apache</c0> as authentication backend.
Dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> choisir Apache pour l'authentification.
Portal
Portail
icons:terminal.png
icons:terminal.png
Nantes
Nantes
Drivers
Drivers
Proxy portal <a0>URL</a0>
<a0>URL</a0> du portail mandataire
/usr/share/lemonldap-ng/bin/lmConfigEditor
/usr/share/lemonldap-ng/bin/lmConfigEditor
First check and install the <a0>prerequisites</a0>.
D'abord vérifier et installer les <a0>pré-requis</a0>.
OBM is shipped with a <a0>LL::NG</a0> plugin with these features:
OBM est livré avec un composant <a0>LL::NG</a0> apportant les fonctionnalités suivantes :
_userDB
_userDB
These parameters can be overwritten in LemonLDAP::NG ini file, in the section <c0>apply</c0>.
Ces paramètres peuvent être surchargés dans le fichier ini de LemonLDAP::NG ini file, à la section <c0>apply</c0>.
<s0>CREATE</s0> <s1>TABLE</s1> sessions <s2>(</s2>
<s0>CREATE</s0> <s1>TABLE</s1> sessions <s2>(</s2>
Macros and groups are stored in session database.
Les macros et les groupes sont stockées dans la base de données des sessions.
External portal
Portail externe
Please use lmMigrateConfFiles2ini to migrate your menu configuration
Please use lmMigrateConfFiles2ini to migrate your menu configuration
Read-only functions (index.pl/sessions or index.pl/adminSessions paths):
Fonctions en lecture seule (chemins index.pl/sessions ou index.pl/adminSessions) :
You can use Null backend to bypass some authentication process steps.
Le backend Null peut être utilisé pour sauter des étapes du processus d'authentication.
globalStorageOptions
globalStorageOptions
User name session field
Champ de session stockant le nom d'utilisateur
Installation on RHEL/CentOS with packages
Installation sur RHEL/CentOS avec les paquets
Portal URL
URL du portail
TikiWiki, …
TikiWiki, …
activate <a0>CDA</a0> in <c1>General Parameters</c1> » <c2>Cookies</c2> » <c3>Multiple domains</c3>
activer le <a0>CDA</a0> dans <c1>Paramètres généraux</c1> » <c2>Cookies</c2> » <c3>Domaines multiples</c3>
By default, user will be redirected on portal if no <a0>URL</a0> defined, or on the specified <a1>URL</a1> if any.
Par défaut, l'utilisateur est redirigé vers le portail si aucune <a0>URL</a0> n'est définie ou vers l'<a1>URL</a1> indiquée sinon.
All <a1>Apache::Session</a1> style modules are useable except for some features.
Tous les modules de type <a1>Apache::Session</a1> sont utilisables excepté pour quelques fonctionnalités.
ldap://localhost
ldap://localhost
The <a0>LDAP schema extension</a0> can be used to store these values
L'<a0>extension de schéma LDAP</a0> peut être utilisée pour stocker ces valeurs.
start
Commencer
SSOExtensions::function1
SSOExtensions::function1
LemonLDAP::NG - Offline Version
LemonLDAP::NG - Version hors-ligne
Declare Google in your LL::NG server
Déclarer Google dans le serveur LL::NG
<a0>SSO</a0> on OBM web interface
<a0>SSO</a0> sur l'interface web d'OBM
Package GPG signature
Signature GPG des paquets
<br0/>
<br0/>
portalAntiFrame
portalAntiFrame
Portal performances
Performances du portail
tree_dark.png
tree_dark.png
Consent to share attribute <e0>id</e0> trough OpenID
Consentement de partage de l'attribut <e0>id</e0> via OpenID
ldapChangePasswordAsUser
ldapChangePasswordAsUser
http://en.wikipedia.org/wiki/Outlook_Web_App
http://en.wikipedia.org/wiki/Outlook_Web_App
As described in <a0>performances chapter</a0>, you can use macros, local macros,…
Comme indiqué au <a0>chapître performances</a0>, on peut utiliser des macros, macros locales,…
Error log: all messages emitted by the program, depending on the configured log level
Journaux d'erreur (ErrorLog) : tous les messages emis par le programme, suivant le niveau de journalisation configuré (LogLevel)
PostGreSQL
PostGreSQL
http://www.linpki.org/projects/linshare/wiki/HttpHeaderSSOEN
http://www.linpki.org/projects/linshare/wiki/HttpHeaderSSOEN
Configuration backend can be set in the <a0>local configuration file</a0>, in <c1>configuration</c1> section.
Le backend de configuration peut être indiqué dans le <a0>fichier local de configuration</a0>, dans la section <c1>configuration</c1>.
http://www.slideshare.net/coudot/rmll-2011-websso
http://www.slideshare.net/coudot/rmll-2011-websso
The <c0>basic</c0> function will also force conversion from UTF-8 to ISO-8859-1, which should be accepted by most of HTTP servers.
La fonction <c0>basic</c0> force la conversion des caractères UTF-8 en ISO-8859-1, qui peut être accepté par la plupart des serveurs HTTP.
It is recommended to secure the channel between reverse-proxies and application to be sure that only request coming from the <a0>LL::NG</a0> protected reverse-proxies are allowed.
Il est donc recommandé de sécurisé le canal entre le proxy inverse et l'application pour être sûr que seules les requêtes issues des proxies inverses protégés par <a0>LL::NG</a0> sont autorisées.
Protection scheme
Schéma de protection
/_detail/screenshots/1.1/mailreset/mailreset_step1.png?id=screenshots
/_detail/screenshots/1.1/mailreset/mailreset_step1.png?id=screenshots
A “password warning time before password expiration” variable can be specified in LemonLDAP::NG to do so.
Une variable “délai d'avertissement pour mot de passe avant expiration de celui-ci” peut être indiquée dans LemonLDAP::NG pour le faire.
Then go in Manager, <c0>General Parameters</c0> » <c1>Advanced Parameters</c1> » <c2>Password management</c2>:
Aller dans le manager, <c0>Paramètres généraux</c0> » <c1>Paramètres avancés</c1> » <c2>Gestion des mots-de-passe</c2> :
Uncheck it to disable <a1>SAML</a1> authentication (for example, if your Identity Provider is down).
Le désélectionner désactive l'authentification <a1>SAML</a1> (à utiliser, si votre fournisseur d'identité est hors service).
Alphabetical Index
Index alphabétique
1800+
1800+
../../../../media/applications/tomcat_logo.png
../../../../media/applications/tomcat_logo.png
Since version 0.9.4, LemonLDAP::NG can be used to notify some messages to users: if a user has a message, the message will be displayed when he will access to the portal.
Depuis la version 0.9.4, LemonLDAP::NG peut être utilisé pour notifier des messages aux utilisateurs : si un utilisateur a un message, celui-ci est affiché lorsqu'il accède au portail.
The real accounting has to be done by the application itself since <a0>SSO</a0> logs can not understand transactions.
La réelle traçabilité doit être faite par l'application elle-même car les journaux du <a0>SSO</a0> ne peuvent interprêter les transactions.
<s0>Control asked <a1>URL</a1></s0>: prevent <a2>XSS</a2> attacks and bad redirections
<s0>Control asked <a1>URL</a1></s0>: prevent <a2>XSS</a2> attacks and bad redirections
lemonldap-ng-changes@ow2.org
lemonldap-ng-changes@ow2.org
Schema
Schéma
../media/icons/chat.png
../media/icons/chat.png
Secure Token allow requests in error
Le jeton sécurisé autorise les requêtes en cas d'erreur
Offline 0.1
Hors-ligne 0.1
~100
~100
<s0>Check <a1>SSO</a1> message signature</s0>: check <a2>SSO</a2> message signature
<s0>Vérification de la signature des messages <a1>SSO</a1></s0> : vérifie la signature des messages <a2>SSO</a2>
../../../../media/applications/spring_logo.png
../../../../media/applications/spring_logo.png
This is because the client often need to request directly the IDP, and the Apache authentication will block the request.
En effet, le client doit souvent interroger directement l'IDP et l'authentification Apache va bloquer la requête.
Then use openssl to generate an auto-signed certificate:
Ensuite, utiliser openssl pour générer un certificat auto-signé :
# Values: TEXT
#
ignoreregex =
# Values: TEXT
#
ignoreregex =
<s0>Target <a1>URL</a1></s0>: /process.php
<s0><a1>URL</a1> cible</s0> : /process.php
You can use different type of access: <a0>SQL</a0>, <a1>File</a1> or <a2>LDAP</a2> for servers in secured network and <a3>SOAP</a3> for remote servers.
On peut utiliser différent typed d'accès : <a0>SQL</a0>, <a1>File</a1> or <a2>LDAP</a2> pour les serveurs se trouvant sur le réseau sécurisé et <a3>SOAP</a3> pour les autres.
Yverdon
Yverdon
When the user accept the notification, the reference is stored in his persistent session.
Lorsque l'utilisateur accepte la notification, la référence est stockée dans ses données de session persistentes.
http://www.dailymotion.com/video/xvom9l_ow2con-12-clement-oudot_tech?search_algo=2#.UR31OX1m1iU
http://www.dailymotion.com/video/xvom9l_ow2con-12-clement-oudot_tech?search_algo=2#.UR31OX1m1iU
lemonldap-ng-doc: contains <a0>HTML</a0> documentation and project docs (README, etc.)
lemonldap-ng-doc : contient la documentation <a0>HTML</a0> et celle du projet (README, etc...)
skip
skip
This is the default configuration backend.
C'est le backend de configuration par défaut.
<s0>warn</s0> for failed authentications
<s0>warn</s0> pour les échecs d'authentifications
Authentication protocols
Authentication protocols
../../../media/applications/dokuwiki_logo.png
../../../media/applications/dokuwiki_logo.png
../../../../media/applications/zimbra_logo.png
../../../../media/applications/zimbra_logo.png
Cross Site Scripting
Cross Site Scripting
Comments can be used to order your rules: rules are applied in the alphabetical order of comment (or regexp in there is no comment).
Les commentaires peuvent être utilisés pour ordonner les règles : elles sont appliquées dans l'ordre alphabétique des commentaires (ou des expressions régulières à défaut de commentaire).
Contributions
Contributions
http://lanyrd.com/2011/confoo/sddcy/
http://lanyrd.com/2011/confoo/sddcy/
<a0>LL::NG</a0> can protect any Apache hosted application including Apache reverse-proxy mechanism.
<a0>LL::NG</a0> peut protéger toute application hébergée par Apache y compris le mécanisme de proxy inverse d'Apache.
<s21># special html code for admins</s21>
<s22>}</s22>
<s23>else</s23> <s24>{</s24>
<s21># code html spécial pour les administrateurs</s21>
<s22>}</s22>
<s23>else</s23> <s24>{</s24>
<s0>all</s0>: parameters for all modules
<s0>all</s0> : paramètres pour tous les modules
User table
Table utilisateurs
Mail, Agenda, Groupware
Mail, Agenda, Groupware
yubikeyPublicIDSize
yubikeyPublicIDSize
Add it to trustedDomains (or set <c0>*</c0> in trustedDomains to accept all).
L'ajouter à trustedDomains (ou mettre <c0>*</c0> dans trustedDomains pour tout accepter).
/testssl/ is a SSL protected page to check the certificate
/testssl/ est une page protégée par SSL qui vérifie le certificat
Configure attributes:
Configurer les attributs :
Insertion example in Perl
Exemple d'insertion en Perl
<s0>Default filter</s0>: default LDAP fitler for searches, should not be modified.
<s0>Filtre par défaut</s0> : filtre LDAP par défaut pour les recherches, ne devrait pas être modifié.
If one is missing, the user is not created.
Si l'un est manquant, le compte ne sera pas créé.
So to improve performances, avoid too complex rules by using the macro or the groups or local macros.
Donc pour augmenter les performances, évitez les règles trop complexes en utilisant les macros, groupes ou macros locales.
You can use this authentication module to link your <a0>LL::NG</a0> server to any OpenID Connect Provider.
On peut utiliser ce module d'authentification pour lier un serveur <a0>LL::NG</a0> à n'importe quel fournisseur OpenID-Connect.
Then use the <c0>SiteMinder</c0> tab to configure <a1>SSO</a1>:
Utiliser ensuite le paragraphe <c0>SiteMinder</c0> pour configurer le <a1>SSO</a1> :
<s1>SetHandler</s1> perl-<s2>script</s2>
<s1>SetHandler</s1> perl-<s2>script</s2>
Since 4.0 release, it offers an easy way to configure <a0>SSO</a0> thanks to authentication subsystems.
Depuis la version 4.0, il permet facilement de configurer un <a0>SSO</a0> grace au sous-système d'authentification.
Browseable session backend (<a0>Apache::Session::Browseable</a0>) works exactly like Apache::Session::* corresponding module but add index that increase <a1>session explorer</a1> and <a2>session restrictions</a2> performances.
Le backend de session explorable (<a0>Apache::Session::Browseable</a0>) fonctionne exactement comme le module Apache::Session::* correspondant mais ajoute des index qui améliore les performances de l'<a1>explorateur de session</a1> et les <a2>restrictions de sessions</a2>.
WebID
WebID
Reply address
Adresse de réponse
Access Token Hash verification
Vérification de hashage des jetons d'accès
and edit /etc/fail2ban/filter.d/lemonldap.conf
et editer /etc/fail2ban/filter.d/lemonldap.conf
Now configure all <a0>SAML</a0> parameters:
Puis configurer tous les paramètres <a0>SAML</a0> :
Save the configuration and exit the Manager.
Sauver la configuration et quitter le manager.
----</s156>
----</s156>
See the following chapters:
Voir les chapîtres suivants :
/_detail/screenshots/0.9.4/0.9.4_password_reset.png?id=screenshots
/_detail/screenshots/0.9.4/0.9.4_password_reset.png?id=screenshots
Restrict network access to the backend.
Restreindre l'accès réseau au backend.
Header value
Valeur d'en-tête
DataSource
DataSource
File location
Emplacement du fichier
documentation:features
documentation:features
<s0>Check last logins</s0>: displays a checkbox on login form, allowing user to check his login history right after opening session
<s0>Vérifier l'historique</s0> : affiche une case à cocher sur le formulaire d'authentification permettant à l'utilisateur d'examiner son historique de connexion après l'ouverture de la session
Portal produce a <c0>notice</c0> message in <a1>Apache logs or syslog</a1> when a user authenticates (or fails to authenticate) and logs out.
Le portail génère un message de niveau <c0>notice</c0> <a1>dans les journaux d'Apache ou dans syslog</a1> lorsqu'un utilisateur d'authentifie (ou échoue) ou se déconnecte.
<s44>//"userobm_gid" => "HTTP_OBM_GID",</s44>
<s44>//"userobm_gid" => "HTTP_OBM_GID",</s44>
SHA1
SHA1
Access rules: check user's right on <a0>URL</a0> patterns
Des règles d'accès : examine les droits de l'utilisateur via des expressions sur les <a0>URL</a0>
install_manager_site (/usr/local/lemonldap-ng/htdocs/manager)
install_manager_site (/usr/local/lemonldap-ng/htdocs/manager)
Register LemonLDAP::NG on partner Identity Provider
Enregistrer LemonLDAP::NG dans le fournisseur d'identité partenaire
No parameters needed.
Aucun paramètres n'est requis.
Identity Provider Certificate: whereas it is mentionned that this is the authentication certificate, you must give your LemonLDAP::NG (IdP) signing certificate.
Identity Provider Certificate : bien qu'il semble devoir être renseigné ici le certificat d'authentification, c'est celui de signature de l'IdP Lemonldap::NG qu'il faut renseigner.
Lemonldap::NG handlers use a local cache to store sessions (for 10 minutes).
Les agents (handlers) Lemonldap::NG utilisent un cache local pour stocker les sessions (pour 10 minutes).
For example, if these rules are used without comments:
Par exemple, si ces règles sont utilisées sans commentaires :
Configure LimeSurvey virtual host like other <a0>protected virtual host</a0>.
Configurer l'hôte virtuel LimeSurvey comme n'importe quel autre <a0>hôte virtuel protégé</a0>.
JWT signature verification
Vérification de signature JWT
Portal redirects user on protected application with his session ID as <a0>URL</a0> parameter
Portal redirige l'utilisateur vers l'application demandée avec son identifiant de session en paramètre de l'<a0>URL</a0>
<s0><s1>[</s1>configuration<s2>]</s2></s0>
<s3>type</s3> <s4>=</s4><s5> JSONFile</s5>
<s6>dirName</s6> <s7>=</s7><s8> /var/lib/lemonldap-ng/conf</s8>
<s0><s1>[</s1>configuration<s2>]</s2></s0>
<s3>type</s3> <s4>=</s4><s5> JSONFile</s5>
<s6>dirName</s6> <s7>=</s7><s8> /var/lib/lemonldap-ng/conf</s8>
If you still need to use Google login after this date, use <a0>OpenID Connect authentication module</a0>.
S'il est nécessaire d'utiliser la connexion Google après cette date, utiliser le <a0>module d'authentification OpenID-Connect</a0>.
Go in Manager, <c0>General parameters</c0> » <c1>Advanced parameters</c1> » <c2>Logout forward</c2> and click on <c3>Add a key</c3>, then fill:
Aller dans le manager, <c0>Paramètres généraux</c0> » <c1>Paramètres avancés</c1> » <c2>Transfert de la déconnexion</c2> et cliquer sur <c3>Ajouter une clef</c3>, renseigner ensuite :
You will be prompted.
Le message sera affiché.
Application parameters:
Paramètres des applications :
mysuperpassword
mysuperpassword
<s0>Users</s0> : <a1>lemonldap-ng-users@ow2.org</a1> ( <a2>Subscribe</a2> | <a3>Archives</a3> )
<s0>Utilisateurs</s0> : <a1>lemonldap-ng-users@ow2.org</a1> ( <a2>Souscrire</a2> | <a3>Archives</a3> )
Servers
Servers
Objectclass of the entry
Objectclass de l'entrée
../../../../media/documentation/liferay_5.png
../../../../media/documentation/liferay_5.png
Change it:
Le Changer :
Skin name
Nom du thème
Body for confirmation mail
Corps du message de confirmation
https://www.portail.crbn.fr
https://www.portail.crbn.fr
OpenID secret token
Secret OpenID
Session identifier (carried in cookie)
Identifiant de session (porté par le cookie)
Java (Spring)
Java (Spring)
number
numero
Then, go in <c0>Proxy parameters</c0>:
Ensuite, aller dans les <c0>paramètres Proxy</c0> :
By default, only the configured authentication backend is available for users.
Par défaut, seul le backend configuré est accessible aux utilisateurs.
Authentication, users and password databases
Bases de données d'authentification, des utilisateurs et des mots-de-passe
Single Sign On cookie, domain and portal URL
Cookie SSO, URL du portail et domaine
<s0>Key name</s0>: name of the key in LemonLDAP::NG session
<s0>Nom de clef</s0> : nom de la clef dans la session LemonLDAP::NG
/_detail/logos/logo_rbn.png?id=references
/_detail/logos/logo_rbn.png?id=references
This is a well known security framework for J2EE applications.
C'est le très connu framework de sécurité des applications J2EE.
<s104>//"userobm_direction" => ,</s104>
<s104>//"userobm_direction" => ,</s104>
https://twitter.com
https://twitter.com
This is currently unsupported in LemonLDAP::NG because every policy must be computed with their precedence to know which maximum password age to apply.
Ce n'est actuellement pas supporté par LemonLDAP::NG car toute politique doit etre calculée avec sa priorité pour connaître l'âge maximum à appliquer.
To use it (with MySQL for example), choose “Apache::Session::Browseable::MySQL” as “Apache::Session module” and use the following parameters:
Pour l'utiliser (avec MySQL par exemple), choisissez “Apache::Session::Browseable::MySQL” comme “Module Apache::Session” et utilisez les paramètres suivants :
It is for the moment only in BETA stage.
Elle n'est pour le moment disponible qu'à titre de test.
Session backend
Module de stockage des sessions
Then you can access to user datas
On peut ensuite accéder aux données de l'utilisateur
Install <a0>Webserver Auth</a0> module, by downloading it, and unarchive it in the drupal modules/ directory.
Télécharger et installer le module <a0>Webserver Auth</a0>, en le décompressant dans le répertoire modules/.
<s1># DocumentRoot</s1>
<s1># DocumentRoot</s1>
If you are protecting MediaWiki with <a0>LL::NG</a0> as reverse proxy, <a1>convert header into REMOTE_USER environment variable</a1>.
Si Mediawiki est protégé par un reverse-proxy <a0>LL::NG</a0>, <a1>convertir l'en-tête en variable d'environnement REMOTE_USER</a1>.
Expression
Expression
<a2>idpopenid</a2><br3/>
<a2>idpopenid</a2><br3/>
Indeed, by default, users without logon hours values are rejected.
Sinon, par défaut, les utilisateurs sans créneau horaire de connexion sont rejetés.
<s0>Reset attribute</s0>: name of password reset attribute (default: pwdReset).
<s0>Attribut reset</s0> : nom de l'attribut reset du mot-de-passe (défaut : pwdReset).
You can test any <a0>URL</a0> to see if it's protected using testUri().
On peut tester toute <a0>URL</a0> pour voir si elle est protégée en utilisant testUri().
http://lanyrd.com/2011/ldapcon/sgqdf/
http://lanyrd.com/2011/ldapcon/sgqdf/
In the manager: set <a0>Apache::Session::Redis</a0> in <c1>General parameters</c1> » <c2>Sessions</c2> » <c3>Session storage</c3> » <c4>Apache::Session module</c4> and add the following parameters (case sensitive):
Dans le manager : indiquez <a0>Apache::Session::Redis</a0> dans <c1>Paramètres généraux</c1> » <c2>Sessions</c2> » <c3>Stockage des sessions</c3> » <c4>Module Apache::Session</c4> et ajoutez les paramètres suivant (sensibles à la casse):
Setup
Mise en marche
<s0>Set groups</s0>: request user database to find groups
<s0>Installe les groupes</s0> : interroge la base de données utilisateurs pour trouver les groupes
<s0>User</s0>: Connection user
<s0>Utilisateur</s0> : compte de connexion
documentation:latest:writingrulesand_headers
documentation:latest:writingrulesand_headers
Local cache parameters
Paramètres du cache local
<a39><s40>print</s40></a39> <s41>STDERR</s41> <s42>"SOAP Error: "</s42> <s43>.</s43> <s44>$r</s44><s45>-></s45><s46>fault</s46><s47>-></s47><s48>{</s48>faultstring<s49>}</s49><s50>;</s50>
<s51>}</s51>
<s52>else</s52> <s53>{</s53>
<a39><s40>print</s40></a39> <s41>STDERR</s41> <s42>"SOAP Error: "</s42> <s43>.</s43> <s44>$r</s44><s45>-></s45><s46>fault</s46><s47>-></s47><s48>{</s48>faultstring<s49>}</s49><s50>;</s50>
<s51>}</s51>
<s52>else</s52> <s53>{</s53>
With dpkg
Avec dpkg
documentation:lemonldap-ng-architecture.png
documentation:lemonldap-ng-architecture.png
There are no <e0>global</e0> headers.
Il n'y a pas d'en-tête <e0>global</e0>.
Role
Rôle
documentation/current/installdeb.html#official_repository
documentation/current/installdeb.html#official_repository
dpkg -i liblemonldap-ng-* lemonldap-ng*
dpkg -i liblemonldap-ng-* lemonldap-ng*
It provides full functionality you expect from an email client, including MIME support, address book, folder manipulation, message searching and spell checking.
Il fournit toutes les fonctionnalités attendues d'un client email, y compris support MIME, carnet d'adresses, manipulation des dossiers, recherche de messages et correcteur d'orthographe.
useSafeJail
useSafeJail
../css/print.css
../css/print.css
LemonLDAP::NG configuration (edited by the Manager) is in /var/lib/lemonldap-ng/conf/
La configuration LemonLDAP::NG (editée par le manager) se trouve dans /var/lib/lemonldap-ng/conf/
Little effort is required to translate the encoded string back into the user name and password, and many popular security tools will decode the strings “on the fly”.
Un petit effort est requis pour décoder ces chaînes et de nombreux outils de sécurité les décodent à la volée.
Userlogout => logout_sso
Userlogout => logout_sso
secureTokenAttribute
secureTokenAttribute
For example, the user name Aladdin and password open sesame would be combined as Aladdin:open sesame – which is equivalent to QWxhZGRpbjpvcGVuIHNlc2FtZQ== when encoded in Base64.
Par exemple, le nom Aladdin et le mot-de-passe "open sesame" vont être assemblés en "Aladdin:open sesame" – dont l'équivalent est QWxhZGRpbjpvcGVuIHNlc2FtZQ== en Base64.
Reload virtual host:
Hôte virtuel pour le rechargement :
By default, the RelayState session is deleted when it is read.
Par défaut, la session RelayState est détruite lorsqu'elle est lue.
Configuration reload will then be effective in less than 10 minutes.
Le rechargement de la configuration sera effectif en moins de 10 minutes.
Login form: where user enters login and password to authenticate
formulaire de connexion : où les utilisateurs entrent leurs login/mot-de-passe
Then fill all inputs to create the notification.
Remplir ensuite tous les champs pour créer la notification.
http://fedoraproject.org/wiki/EPEL/FAQ#howtouse
http://fedoraproject.org/wiki/EPEL/FAQ#howtouse
WSDL file
Fichier WSDL
Build
Construction
../css/all.css
../css/all.css
Configuration reload
Rechargement de la configuration
radiusSecret
radiusSecret
<a0>SAML</a0> Version: check that version 2.0 is used
<a0>SAML</a0> Version : vérifier que la version 2.0 est utilisée
Liferay administration
Administration Liferay
https://metacpan.org/release/Web-ID
https://metacpan.org/release/Web-ID
<a10>portal</a10><br11/>
<a10>portal</a10><br11/>
updateTime
updateTime
<a0>CAS</a0>_url
<a0>CAS</a0>_url
See the full description of the protocol here: <a0>https://developer.mozilla.org/en-US/docs/Mozilla/Persona</a0>
Voir la description complète du protocole ici : <a0>https://developer.mozilla.org/en-US/docs/Mozilla/Persona</a0>
../../../media/applications/saplogo.gif
../../../media/applications/saplogo.gif
../../../media/documentation/ha-sessions-configuration.png
../../../media/documentation/ha-sessions-configuration.png
Getting sources from SVN repository
Obtenir les sources depuis le dépôt SVN
<s0>ldapConfBase</s0>: <a1>DN</a1> of configuration branch
<s0>ldapConfBase</s0> : <a1>DN</a1> de la branche des configurations
Configure sessions specificities
Configurer les spécificités des sessions
You have to install the corresponding Perl module.
Il faut installer le module Perl correspondant.
<s0># Get attributes (or macros)</s0>
<s1>my</s1> <s2>$cn</s2> <s3>=</s3> <s4>$cgi</s4><s5>-></s5><s6>user</s6><s7>-></s7><s8>{</s8>cn<s9>}</s9>
<s10># Test if user is member of a Lemonldap::NG group (or LDAP mapped group)</s10>
<s11>if</s11><s12>(</s12> <s13>$cgi</s13><s14>-></s14><s15>group</s15><s16>(</s16><s17>'admin'</s17><s18>)</s18> <s19>)</s19> <s20>{</s20>
<s0># Obtenir des attributs (ou macros)</s0>
<s1>my</s1> <s2>$cn</s2> <s3>=</s3> <s4>$cgi</s4><s5>-></s5><s6>user</s6><s7>-></s7><s8>{</s8>cn<s9>}</s9>
<s10># Tester si l'utilisateur est membre d'un groupe Lemonldap::NG (ou d'un groupe LDAP translaté)</s10>
<s11>if</s11><s12>(</s12> <s13>$cgi</s13><s14>-></s14><s15>group</s15><s16>(</s16><s17>'admin'</s17><s18>)</s18> <s19>)</s19> <s20>{</s20>
a warning before password expiration is possible in AD, but only in GPO (Computer Configuration\Windows Settings\Local Policies\Security Options under Interactive Logon: Prompt user to change password before expiration) However it as no reality in LDAP referential.
un avertissement avant expiration du mot de passe est possible dans AD, mais seuleent dans une GPO (Configuration de l'ordinateur\Paramètres Windows\Politiques locales\Options de sécurité pour le logon interactif: Demander à l'utilisateur de changer son mot de passe avant expiration). Toutefois, ça n'a pas de matérialisation dans le référentiel LDAP.
A <a0>Apache::Session::Browseable::Redis</a0> has been created, it is the faster (except for session explorer, defeated by Apache::Session::Browseable::<a1>DBI</a1>/<a2>LDAP</a2> >= 1.0)
Un module <a0>Apache::Session::Browseable::Redis</a0> a été créé, c'est le plus rapide (excepté pour l'explorateur de sessions, battu par Apache::Session::Browseable::<a1>DBI</a1>/<a2>LDAP</a2> >= 1.0)
/_detail/icons/flags/us.png?id=documentation%3Aconferences
/_detail/icons/flags/us.png?id=documentation%3Aconferences
LemonLDAP::NG can export <a0>HTTP headers</a0> either using a proxy or protecting directly the application.
LemonLDAP::NG peut exporter des <a0>en-têtes HTTP</a0> qu'on l'utilise sur une reverse-proxy ou directement sur le serveur à protéger
A skin will often refer to the <c0>common</c0> skin, which is not a real skin, but shared skin objects (like scripts, images and <a1>CSS</a1>).
Un thème se réfère souvent au thème <c0>common</c0>, qui n'est pas un thème réel mais contient des objects partagés (tels les scripts, images et <a1>CSS</a1>).
<s0>Allow requests in error</s0>: allow a request that has generated an error in token generation to be forwarded to the protected application without secure token (default: yes)
<s0>Autorise les requêtes en cas d'erreur</s0> : autorise la requête qui a généré une erreur dans la génération du jeton à être transféré à l'application protégé sans jeton sécurisé (défaut : oui)
Attribute storing session content
Attribut où stocker le contenu de la session
Can be left blank for plain text passwords.
Peut être vide pour le stockage des mots-de-passe en clair.
In Manager, you can configure categories and applications in <c0>General Parameters</c0> > <c1>Portal</c1> > <c2>Menu</c2> > <c3>Categories and applications</c3>.
Dans le manager, on peut configurer les catégories et applications dans <c0>Paramètres généraux</c0> > <c1>Portail</c1> > <c2>Menu</c2> > <c3>Catégories et applications</c3>.
Bruxelles
Bruxelles
<s0><a1>Application menu</a1></s0>: display authorized applications in categories
<s0><a1>Menu des applications</a1></s0> : affiche les applications autorisées dans les catégories
CDBI
CDBI
You can call it <c0>google</c0> for example.
On peut l'appeler <c0>google</c0> par exemple.
date: creation date (format YYYY-MM-DD)
date : date de création (format AAAA-MM-JJ)
/_detail/screenshots/0.9.4/0.9.4_authentication_portal.png?id=screenshots
/_detail/screenshots/0.9.4/0.9.4_authentication_portal.png?id=screenshots
In this case, <a1>LL::NG</a1> acts like an SAML2 Service Provider (SP).
Dans ce cas, <a1>LL::NG</a1> agit comme un fournisseur de service SAML2 (SP).
../pages/documentation/quickstart.html
../pages/documentation/quickstart.html
Example of status page:
Exemple de page de statut :
<s0><a1>API</a1> secret key</s0>: <a2>API</a2> secret key from Yubico
<s0>Clef secrète de l'<a1>API</a1></s0> : clef secrète de l'<a2>API</a2> obtenue auprès de Yubico
multi <s0>=></s0> <s1>{</s1>
multi <s0>=></s0> <s1>{</s1>
If <a1>LL::NG</a1> send some roles split by some commas, configure <s2>roleSeparator</s2>.
Si <a1>LL::NG</a1> envoie les rôles séparés par des caractères (virgule,...), configurer <s2>roleSeparator</s2>.
Follow <a0>SOAP sessions backend</a0> page
Suivre la documentation <a0>backend de sessions SOAP</a0>
randomPasswordRegexp
randomPasswordRegexp
The <a0>Yubikey</a0> is a small material token shipped by <a1>Yubico</a1>.
<a0>Yubikey</a0> est un petit matériel d'authentification vendu par <a1>Yubico</a1>.
<s0>Domain</s0>: validity domain for the cookie (the cookie will not be sent on other domains)
<s0>Domaine</s0> : domaine de valaidité du cookie (le cookie n'est pas envoyé vers d'autres domaines)
Let's go
On y va
<s0>Sign <a1>SSO</a1> message</s0>: sign <a2>SSO</a2> message
<s0>Signature des messages <a1>SSO</a1></s0> : signe les messages <a2>SSO</a2>
LemonLDAP::NG configuration is mainly a key/value structure, so Manager will present all keys into a structured tree.
La configuration de LemonLDAP::NG est essentiellement une structure clef/valeur, ainsi le manager présente toutes les clefs en un arbre structuré.
Mail
Mail
Run
Test
“!myfield ⇒ lastname” must be set
“!myfield ⇒ nom” doit être renseigné
accept (or whatever you want)
accept (ou la valeur désirée)
You can refer to <a0>parameter list</a0> to find it.
Se référer à la <a0>liste des paramètres</a0> pour le trouver.
On your main server, configure a <a0>File</a0>, <a1>SQL</a1> or <a2>LDAP</a2> backend
Sur le serveur principal, configurer un backend <a0>File</a0>, <a1>SQL</a1> or <a2>LDAP</a2>
Password change form (in menu)
Formulaire de changement de mot-de-passe (dans le menu)
DataSource -> dbi:mysql:sessions;host=...
DataSource -> dbi:mysql:sessions;host=...
Then select <c0>Set up single sign-on (<a1>SSO</a1>)</c0>:
Ensuite sélectionner <c0>Set up single sign-on (<a1>SSO</a1>)</c0>:
<s0>Sessions activity timeout</s0>: Maximum inactivity duration.
<s0>Délai d'expiration des sessions</s0> : durée maximale d'inactivité.
BrowserID is also known as Mozilla Persona.
BrowserID est également connu sous le nom de « Mozilla Persona ».
/_detail/screenshots/1.0/dark/portal.png?id=screenshots
/_detail/screenshots/1.0/dark/portal.png?id=screenshots
Twitter authentication level
Niveau d'authentification de Twitter
By default, if user process connection settings are empty, authentication process connection settings will be used.
Par défaut, si les paramètres de processus de connexion utilisateur sont vides , ceux d'authentification seront utilisés.
<s161>//"userobm_system" => ,</s161>
<s161>//"userobm_system" => ,</s161>
<s0>Force authentication</s0>: set ForceAuthn flag in authentication request
<s0>Authentification forcée</s0> : positionne le drapeau ForceAuthn dans la requête d'authentification
First, configure your real backend
Premièrement, configurer le backend réel
To keep Memcached performance level and <a0>LL::NG</a0> features, you can replace <a1>Memcached</a1> by <a2>Redis</a2> using <a3>NoSQL session backend</a3>.
Pour maintenir un niveau de performance tel celui de Memcached et préserver les fonctionnalités de <a0>LL::NG</a0>, on peut remplacer <a1>Memcached</a1> par <a2>Redis</a2> en utilisant le <a3>backend de sessions NoSQL</a3>.
You should now use <a0>OpenID Connect</a0>.
Il faut maintenant utiliser <a0>OpenID-Connect</a0>.
http://haproxy.1wt.eu/
http://haproxy.1wt.eu/
The sources are available on <a0>download page</a0>.
Les sources sont disponibles sur la <a0>page de téléchargement</a0>.
This requires to request user old password (see <a1>portal customization</a1>).
Nécessite de requérir l'ancien mot-de-passe (voir <a1>personnalisation du portail</a1>).
Edit first <c0>alfresco-global.properties</c0> and add the following:
Éditer d'abord <c0>alfresco-global.properties</c0> et ajouter :
It returns:
Elle retourne :
<s0><s1><?xml</s1> <s2>version</s2>=<s3>'1.0'</s3> <s4>encoding</s4>=<s5>'utf-8'</s5><s6>?></s6></s0>
<s7><s8><tomcat-users<s9>></s9></s8></s7>
<s0><s1><?xml</s1> <s2>version</s2>=<s3>'1.0'</s3> <s4>encoding</s4>=<s5>'utf-8'</s5><s6>?></s6></s0>
<s7><s8><tomcat-users<s9>></s9></s8></s7>
<s0>Other</s0>:
<s0>Autres</s0> :
http://fosdem.org/2012/schedule/event/lemonldapng
http://fosdem.org/2012/schedule/event/lemonldapng
You've simply to insert a notification and connect to the portal using the same UID.
Il suffit d'insérer une notification et de se connecter au portail en utilisant le même UID.
<s0>Mail field name</s0>: name of authentication table column hosting mail (for password reset)
<s0>Nom du chmap mail</s0> : nom de la colonne de la table d'authentification contenant le mail (pour la réinitialisation du mot-de-passe)
Some articles published somewhere in the world wide web.
Quelques articles publiés quelque part sur le web.
<s16># Directory index</s16>
<s16># Directory index</s16>
http://httpd.apache.org/docs/current/mod/mod_proxy.html
http://httpd.apache.org/docs/current/mod/mod_proxy.html
Local file
Fichier local
Remote
Remote
../pages/download.html
../pages/download.html
localStorage
localStorage
Timezone
Timezone
http://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf
http://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf
../documentation/current/ssocookie.html#sso_cookie
../documentation/current/ssocookie.html#sso_cookie
documentation:liferay_7.png
documentation:liferay_7.png
<s3># SSO protection</s3>
<s3># Protection SSO</s3>
<s0>include</s0> /usr/local/lemonldap-ng/etc/portal-apache2.conf
<s1>include</s1> /usr/local/lemonldap-ng/etc/handler-apache2.conf
<s2>include</s2> /usr/local/lemonldap-ng/etc/manager-apache2.conf
<s3>include</s3> /usr/local/lemonldap-ng/etc/test-apache2.conf
<s0>include</s0> /usr/local/lemonldap-ng/etc/portal-apache2.conf
<s1>include</s1> /usr/local/lemonldap-ng/etc/handler-apache2.conf
<s2>include</s2> /usr/local/lemonldap-ng/etc/manager-apache2.conf
<s3>include</s3> /usr/local/lemonldap-ng/etc/test-apache2.conf
<s11><s12><SPSSODescriptor</s12> <s13>protocolSupportEnumeration</s13>=<s14>"urn:oasis:names:tc:SAML:2.0:protocol"</s14><s15>></s15></s11>
<s11><s12><SPSSODescriptor</s12> <s13>protocolSupportEnumeration</s13>=<s14>"urn:oasis:names:tc:SAML:2.0:protocol"</s14><s15>></s15></s11>
<a0>parameterlist</a0><br1/>
<a0>parameterlist</a0><br1/>
/_detail/screenshots/1.0/impact/password.png?id=screenshots
/_detail/screenshots/1.0/impact/password.png?id=screenshots
<s0>portal full <a1>URL</a1></s0> if custom function is run by portal (e.g. <a2>https://auth.example.com/</a2>)
<s0>l'<a1>URL</a1> complète du portail</s0> si la fonction personnalisée est appelée par le portail (i.e. <a2>https://auth.example.com/</a2>)
If you need a professional service or support, please contact one of the companies listed on <a0>the following page</a0>.
Pour obtenir un support ou un service professionnel, contacter l'unde des entreprises citées à <a0>la page suivante</a0>.
This step should already have been if you installed <a0>LL::NG</a0> with packages.
Cette étape est effectuée automatiquement lorsqu'on installe <a0>LL::NG</a0> avec les packages.
After redirection, normal authentication in the remote portal
Après redirection, authentification normale sur le portail distant (celui de son organisation)
soapAuthService
soapAuthService
<a0>CAS</a0> access control policy
Politique de contrôle d'accès <a0>CAS</a0>
Apache Tomcat
Apache Tomcat
<a0>LL::NG</a0> use 2 internal databases to store its configuration and sessions.
<a0>LL::NG</a0> utilise 2 bases de données interne pour stocker ses configuration et sessions.
<a4>YouTube</a4>
<a4>YouTube</a4>
Habib ZITOUNI
Habib ZITOUNI
If this session is lost, Google will ask a confirmation for each requested attribute.
Si cette session est perdue, Google redemandera confirmation pour chaque attribut demandé.
https://opends.dev.java.net/public/standards/draft-behera-ldap-password-policy.txt
https://opends.dev.java.net/public/standards/draft-behera-ldap-password-policy.txt
If no encryption keys are defined, signature keys are used for signature and encryption.
Si aucune clef de chiffrement n'est définie, la clef de signature est aussi utilisée pour le chiffrement.
http://lanyrd.com/2011/solutions-linux-open-source/sddcx/
http://lanyrd.com/2011/solutions-linux-open-source/sddcx/
It is particularly important for smart cards: when the card is not inserted before the browser starts, the user must restart his browser, or at least refresh (F5) the page.
C'est particulièrement important pour les cartes à puce : lorsqu'elle n'est pas insérée avant que le navigateur ne démarre, l'utilisateur doit redémarrer ce dernier, ou au moins recharger la page (F5).
Configuration and sessions access by SOAP
Accès à la configuration et aux sessions par SOAP
<s1>Order</s1> <s2>deny</s2>,<s3>allow</s3>
<s1>Order</s1> <s2>deny</s2>,<s3>allow</s3>
/index/ is an unprotected page to display a SSL test button
/index/ est une page non protégée pour afficher un bouton de test SSL
<s3>RewriteRule</s3> ^/saml/metadata /metadata.pl
<s3>RewriteRule</s3> ^/saml/metadata /metadata.pl
mailR
mailR
The portal
Le portail
/_detail/screenshots/1.1/mailreset/mailreset_step2.png?id=screenshots
/_detail/screenshots/1.1/mailreset/mailreset_step2.png?id=screenshots
For MySQL, you need to set additional parameters:
Pour MySQL, il faut ajouter quelques paramètres :
cookieName
cookieName
This file is called <c1>lemonldap-ng.ini</c1> and has the following sections:
Le fichier est nommé <c1>lemonldap-ng.ini</c1> et dispose des sections suivantes :
<a2>bugzilla</a2><br3/>
<a2>bugzilla</a2><br3/>
You can first check on <a1>LemonLDAP::NG JIRA project</a1> that your bug is not already referenced, and then create it (with a registered account).
Commencez par vérifier sur <a1>le site JIRA du projet LemonLDAP::NG</a1> que votre bogue n'est pas déjà référencé, et créez le sinon (avec un compte préalablement créé).
<s0>Account session key</s0>: session field used as Zimbra user account (by default: uid)
<s0>clef de session compte</s0> : champ de session utilisé comme compte utilisateur Zimbra (par défaut : uid)
Radius server
Serveur Radius
<a0>Apache::Session::Redis</a0> is the faster shareable session backend
<a0>Apache::Session::Redis</a0> est le module de stockage des sessions en réseau le plus rapide
Secure Token header
En-tête du jeton sécurisé
http://www.slideshare.net/ASF-WS/asfws-casopen-idsaml
http://www.slideshare.net/ASF-WS/asfws-casopen-idsaml
Configure security settings
Configurer les paramètres de sécurité
Google Apps control panel
Panneua de contrôle Google Apps
managerDn
managerDn
icons:wizard.png
icons:wizard.png
For example, if real sessions are stored in <a0>files</a0>:
Par exemple, si les sessions réelels sont stockées dans des <a0>fichiers</a0> :
Set exported variables
Définir les variables exportées
Display logout module
Affiche le module de déconnexion
UCANSS
UCANSS
applications:mediawiki_logo.png
applications:mediawiki_logo.png
<s0>Server port</s0>: TCP port used by LDAP server.
<s0>Port du serveur</s0> : port TCP du serveur LDAP.
The user can choose a new password or ask to generate one
L'utilisateur peut choisir un nouveau mot de passe ou demander sa génération
UserName -> user
Password -> password
Index -> ipAddr uid
UserName -> user
Password -> password
Index -> ipAddr uid
perl -MLemonldap::NG::Handler::Status -I/etc/perl -I/usr/local/lib/perl/5.10.1 -I/usr/local/share/perl/5.10.1 -I/usr/lib/perl5 -I/usr/share/perl5 -I/usr/lib/perl/5.10 -I/usr/share/perl/5.10 -I/usr/local/lib/site_perl -I.
perl -MLemonldap::NG::Handler::Status -I/etc/perl -I/usr/local/lib/perl/5.10.1 -I/usr/local/share/perl/5.10.1 -I/usr/lib/perl5 -I/usr/share/perl5 -I/usr/lib/perl/5.10 -I/usr/share/perl/5.10 -I/usr/local/lib/site_perl -I.
<s0>Auth-Mail</s0>: $mail
<s0>Auth-Mail</s0>: $mail
Set csod as Service Provider name.
Mettre csod comme nom de fournisseur de service.
screenshots
captures d'écran
../pages/translations.html
../pages/translations.html
portal is in a https virtualhost if securedCookie is set
le portail est dans un hôte virtuel https si securedCookie est activé
Assertion Consumer
Consommateur d'assertions
<s100>"userobm_company"</s100> <s101>=></s101> <s102>"HTTP_OBM_O"</s102><s103>,</s103>
<s100>"userobm_company"</s100> <s101>=></s101> <s102>"HTTP_OBM_O"</s102><s103>,</s103>
Bugzilla
Bugzilla
protection
protection
Full name
Nom complet
Nov 2011: <a0>ZDNet - La gendarmerie nationale renforce la sécurité de l’accès à son SI</a0>
Nov 2011 : <a0>ZDNet - La gendarmerie nationale renforce la sécurité de l’accès à son SI</a0>
You can also display a check box on the authentication form, to allow user to see their login history before beeing redirected to the protected application (see <a0>portal customization</a0>).
on peut aussi afficher une case à cocher dans le formulaire d'authentification pour autoriser l'utilisateur à voir son historique de connexion avant d'être redirigé vers l'application protégée (voir la <a0>personnalisation du portail</a0>).
...
</<s4>VirtualHost</s4>>
...
</<s4>VirtualHost</s4>>
Session key containing email address
La clef de session contient l'adresse mail
If a user is redirected from handler to portal for authentication and once he is authenticated, portal redirects him to the redirection <a0>URL</a0>.
Si un utilisateur est redirigé depuis un agent vers le portail pour s'authentifier et s'il est déjà authentifié, le portail le redirige vers l'<a0>URL</a0> de redirection.
phpLDAPadmin will have no idea of the user connected to the WebSSO.
phpLDAPadmin ne connaît donc pas le nom du l'utilisateur connecté au WebSSO.
But you have to allow sessions web services, see <a0>SOAP sessions backend</a0>.
Il faut en revanche autoriser le service web des sessions, voir le <a0>backend de sessions SOAP</a0>.
Zimbra virtual host in Manager
Hôte virtuel Zimbra dans le manager
Key name
Nom de la clef
Then edit MediaWiki local settings
Éditer ensuite les paramètres locaux MediaWiki
<s0>Username control</s0>: Regular expression used to check user login syntax.
<s0>Contrôle du nom d'utilisateur</s0> : expression régulière utilisée pour vérifier la syntaxe du nom d'utilisateur.
<s0>table</s0>: Notifications table name.
<s0>table</s0> : nom de la table des notifications.
User table: where user data are stored (mail, name, etc.)
La table utilisateurs : où les données utilisateurs sont stockées (mail, nom, etc.)
<s0>Size</s0>: length of captcha
<s0>Taille</s0> : longueur du captcha
Authorization => "Basic ".encode_base64("$uid:$_password")
Authorization => "Basic ".encode_base64("$uid:$_password")
<s0>Prompt</s0>: Value of prompt parameter (example: consent)
<s0>Prompt</s0> : valeur du paramètre prompt (exemple : consent)
rtyler
rtyler
YUM repository
Dépôt YUM
The script uses the <c0>editor</c0> system command, that links to your favorite editor.
Ce script utilise la commande système <c0>editor</c0>, qui est liée à l'éditeur favori.
As an RP, <a0>LL::NG</a0> supports a lot of OpenID Connect features:
Comme RP, <a0>LL::NG</a0> supporte de nombreuses fonctionnalités OpenID-Connect :
http://search.cpan.org/~gbarr/perl-ldap/lib/Net/LDAP.pod
http://search.cpan.org/~gbarr/perl-ldap/lib/Net/LDAP.pod
In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose BrowserID for authentication.
Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir BrowserID pour l'authentification.
Register what module was used for authentication, user data, password, …
Enregistre les modules utilisés pour l'authentification, les données utilisateurs, les mots-de-passe, …
<s0>getCookies(user,password)</s0>: authentication system.
<s0>getCookies(user,password)</s0> : système d'authentification.
phpLDAPadmin virtual host in Manager
Hôte virtuel phpLDAPadmin dans le manager
ldapgroups -> memberOf
ldapgroups -> memberOf
http://en.wikipedia.org/wiki/IBM_Lotus_iNotes
http://en.wikipedia.org/wiki/IBM_Lotus_iNotes
All pages
Toutes les pages
In other words, take the time to configure this part before sharing metadata.
En d'autres mots, prenez le temps de bien configurer cette partie avant de partager les metadatas.
<s6>Options</s6> +ExecCGI
<s6>Options</s6> +ExecCGI
Single Sign On
Authentification unique (Single Sign On)
dbiAuthLoginCol
dbiAuthLoginCol
Integration in Active Directory (LDAP and Kerberos)
Integration dans Active Directory (LDAP et Kerberos)
Name of the cookie
Nom du cookie
<a0>LimeSurvey</a0> is a web survey software written in PHP.
<a0>LimeSurvey</a0> est un logiciel de sondage écrit en PHP.
/_detail/screenshots/1.0/impact/menu.png?id=screenshots
/_detail/screenshots/1.0/impact/menu.png?id=screenshots
<a0>Twitter</a0> is a famous microblogging server.
<a0>Twitter</a0> est un serveur de microblog célèbre.
<s5>Allow</s5> from <s6>all</s6>
<s5>Allow</s5> from <s6>all</s6>
../pages/start.html
../pages/start.html
It needs 4 modules to work:
Il a besoin de 4 modules pour fonctionner :
documentation:ha-sessions-configuration.png
documentation:ha-sessions-configuration.png
../../../media/icons/access.png
../../../media/icons/access.png
http://www.sympa.org
http://www.sympa.org
They can then be forwarded to applications trough <a0>HTTP headers</a0>.
Ils peuvent être transférés aux applications via les <a0>en-têtes HTTP</a0>.
Choice <a0>URL</a0> parameter
Paramètre d'<a0>URL</a0> pour "Choice"
DBI
DBI
LL::NG
LL::NG
Authentication: will create session without prompting any credentials (but will register client <a0>IP</a0> and creation date)
Authentification : créé une session sans demander quoi que ce soit (mais enregistre l'adresse <a0>IP</a0> cliente et la date de création)
<s0>Logo</s0>: file name to use as logo
<s0>Logo</s0> : nom de fichier à utiliser comme logo
KrbMethodNegotiate <s16>On</s16>
KrbMethodNegotiate <s16>On</s16>
<a0>LL::NG</a0> can delegate authentication to Apache, so it is possible to use any <a1>Apache authentication module</a1>, for example Kerberos, Radius, OTP, etc.
<a0>LL::NG</a0> peut déléguer l'authentification à Apache, ainsi il est possible d'utiliser tous les <a1>modules d'authentification Apache</a1>, par exemple Kerberos, Radius, OTP, etc.
https://metacpan.org/module/Apache::Session::Browseable::LDAP
https://metacpan.org/module/Apache::Session::Browseable::LDAP
It sends an OTP, which is validated against Yubico server.
Il envoie un mot-de-passe à valeur unique (OTP) qui est validé par un serveur Yubico.
zimbraBy
zimbraBy
Extract
Extraction
Examples:
Exemples :
Key
Clef
Apache::Session performances
Performances d'Apache::Session
In “External authentications” click “Others” and in “Field holding the login in the _SERVER array” select “REMOTE_USER”
Dans “External authentications” cliquer sur “Others” et dans “Field holding the login in the _SERVER array” choisir “REMOTE_USER”
<s0>error</s0>: if user has no access, an error is shown on the portal, the user is not redirected to <a1>CAS</a1> service
<s0>error</s0> : si l'utilisateur n'a pas accès, une erreur est affichée sur le portail, l'utilisateur n'est pas redirigé vers le service <a1>CAS</a1>
uid: 123456789012
uid: 123456789012
Notification backend
Module de stockage des notifications
LemonLDAP::NG 1.1 release
Sortie de LemonLDAP::NG 1.1
For debugging, this valve can print some helpful information in debug level.
Pour le debogage, cette valve peut tracer quelques information utiliser.
Restrict /admin/ directory to user bart.simpson
Restreindre le répertoire /admin/ à l'utilisateur bart.simpson
AD password policy
Politique de mots-de-passe AD
SHA
SHA
by users
par utilisateurs
Storage directory
Répertoire de stockage
The NameID is the main user identifier, carried in <a1>SAML</a1> messages.
NameID est l'identifiant principal de l'utilisateur transmis dans les messages <a1>SAML</a1>.
Lasso session dump
Dump de session Lasso
checkDate
checkDate
Registered users on CSOD with the same email than those used by <a0>LL::NG</a0> (email will be the NameID exchanged between CSOD and <a1>LL::NG</a1>)
Enregistrer les utilisateurs dans CSOD avec la même adresse mail que celle utilisée dans <a0>LL::NG</a0> (l'adresse mail sera le NameID échangé entre CSOD et <a1>LL::NG</a1>)
psql -h 127.0.0.1 -U lemonldap-ng -W lemonldap-ng
psql -h 127.0.0.1 -U lemonldap-ng -W lemonldap-ng
If you modify directly the skin files, your modifications will certainly be erased on the next upgrade.
Les modifications apportées directement sur les fichiers thèmes risquent d'être perdus à la prochaine mise-à-jour.
The value will be used to display the data.
Cette valeur sera utilisée pour afficher les données.
cookieExpiration
cookieExpiration
^/caldav
^/caldav
An <a0>SAML server</a0> with <a1>OpenID authentication</a1>
Un <a0>serveur SAML</a0> avec une <a1>authentification OpenID</a1>
KrbAuthRealms EXAMPLE.COM
KrbAuthRealms EXAMPLE.COM
ldapPasswordResetAttributeValue
ldapPasswordResetAttributeValue
<s0>Grant session</s0>: check rights to open <a1>SSO</a1> session
<s0>Autorise la session</s0> : vérifie le droit d'ouvrir une session <a1>SSO</a1>
icons:kmultiple.png
icons:kmultiple.png
Take a look at <a0>http://xmlns.com/foaf/spec/#sec-crossref</a0>.
Voir <a0>http://xmlns.com/foaf/spec/#sec-crossref</a0>.
A special <a0>URL</a0> is declared in application menu (like <a1>http://zimbra.example.com/zimbrasso</a1>)
Une <a0>URL</a0> spéciale est declarée dans le menu des applications (telle <a1>http://zimbra.example.com/zimbrasso</a1>)
LemonLDAP::NG used as <a0>CAS</a0> server.
LemonLDAP::NG utilisé comme serveur <a0>CAS</a0>.
Allow no certificate to chain with other authentication methods
Autoriser les clients sans certificat dans le chaînage avec d'autres méthodes d'authentification
Connectors
Connecteurs
Accept all authenticated users:
Accepte tout utilisateur authentifié :
Manual download
Téléchargement manuel
Tomcat valve
Valve Tomcat
If your sessions explorer is on the same server that the portal, either use the <s0>adminSessions</s0> end point in Manager configuration, or override the <c1>globalStorage</c1> and <c2>globalStorageOptions</c2> parameters in section all (and not portal) of <c3>lemonldap-ng.ini</c3>.
Si l'explorateur de sessions est sur le même serveur que le portail, utiliser soit la terminaison <s0>adminSessions</s0> dans la configuration eu manager, ou surcharger les paramètres <c1>globalStorage</c1> et <c2>globalStorageOptions</c2> dans la section all (et pas portal) de <c3>lemonldap-ng.ini</c3>.
<s0>Reader <a1>URL</a1></s0>: <a2>URL</a2> used by <a3>SAML</a3> SP to read the cookie.
<s0><a1>URL</a1> de lecture</s0> : <a2>URL</a2> utilisée par le SP <a3>SAML</a3> pour lire le cookie.
Delete other session if <a0>IP</a0> differs
Efface les autres sessions de l'utilisateur si les adresses <a0>IP</a0> diffèrent
zimbraPreAuthKey
zimbraPreAuthKey
CGI
CGI
secureTokenUrls
secureTokenUrls
You need to register a new application on Facebook to get an application ID and a secret.
Il faut enregistrer la nouvelle application dans Facebook pour obtenir un identifiant d'application et un secret.
<s2>DocumentRoot</s2> /var/lib/lemonldap-ng/portal/
<s2>DocumentRoot</s2> /var/lib/lemonldap-ng/portal/
<e0>WHATTOTRACE</e0> must be replaced by the attribute or macro configured in the What To Trace parameter (REMOTE_USER)
<e0>WHATTOTRACE</e0> doit être remplacé par l'attribut ou la macro configurée dans le paramètre indiquant le champ utilisateur à stocker dans les journaux (REMOTE_USER)
http://www.slideshare.net/coudot/sl2009-identity-management-cycle-ldap-synchronization-and-websso2
http://www.slideshare.net/coudot/sl2009-identity-management-cycle-ldap-synchronization-and-websso2
<s0>Display</s0>: Value of display parameter (example: page)
<s0>Affichage</s0> : valeur du paramètre d'affichage (exemple : page)
See <a0>Sessions</a0> for more details
Voir <a0>Sessions</a0> pour plus de détails
http://lanyrd.com/2011/jcos/sdrbd/
http://lanyrd.com/2011/jcos/sdrbd/
to the sessions storage backend
au système de stockage des sessions
Here are some examples, witch their specific documentation:
Quelques exemples, avec leur documentation :
icons:gpg.png
icons:gpg.png
<s5>RewriteRule</s5> ^/saml/.* /index.pl
<s5>RewriteRule</s5> ^/saml/.* /index.pl
<a0>SAML</a0> token
Jeton <a0>SAML</a0>
<a0>DBI</a0> table name
Nom de table <a0>DBI</a0>
Follow <a0>SOAP configuration backend</a0> page
Suivre la documentation <a0>backend de configuration SOAP</a0>
Entrez le mot de passe pour le nouveau rôle : <PASSWORD>
Entrez-le de nouveau : <PASSWORD>
Le nouveau rôle est-il un super-utilisateur ?
Entrez le mot de passe pour le nouveau rôle : <PASSWORD>
Entrez-le de nouveau : <PASSWORD>
Le nouveau rôle est-il un super-utilisateur ?
Internet Explorer
Internet Explorer
lemonldap-ng-manager: contains administration interface and session explorer
lemonldap-ng-manager : contient l'interface d'administration et l'explorateur de session
Then you <e0>only</e0> have to write <c1>myskin/css/styles.css</c1> and add your media to <c2>myskin/images</c2>.
Il suffit ensuite d'écrire <c1>myskin/css/styles.css</c1> et d'ajouter les médias dans <c2>myskin/images</c2>.
...
</<s2>VirtualHost</s2>>
...
</<s2>VirtualHost</s2>>
remoteGlobalStorage
remoteGlobalStorage
Access rules and HTTP headers
Règles d'accès et en-têtes HTTP
<s0>Client ID</s0>: Client ID given by OP
<s0>Identifiant client</s0> : identifiant client donné par l'OP
If you use features like <a0>SAML</a0> (authentication and issuer), <a1>CAS</a1> (issuer) and password reset self-service, you also need to index some fields.
Lorsqu'on utilise des fonctionnalités telles <a0>SAML</a0> (authentification ou fournisseur d'identité), <a1>CAS</a1> (fournisseur d'identité) ou le service de réinitialisation de mots-de-passe, il faut également indexer quelques champs.
Remote Session backend
Backend de sessions distant
../pages/documentation/presentation.html
../pages/documentation/presentation.html
Since 1.1.0, a notification explorer is available in Manager, and notifications can be done for all users, with the possibility to display conditions.
Depuis la version 1.1.0, un explorateur de notifications est disponible dans le manager, et les notifications peuvent être faites pour tous les utilisateurs, avec possibilité d'affichage conditionnel.
<s0><a1>Sessions</a1></s0>: where sessions are stored.
<s0><a1>Sessions</a1></s0>: où sont stockées les sessions.
-1 if this <a0>URL</a0> is not known by <a1>LL::NG</a1> configuration
-1 si cette <a0>URL</a0> n'est pas connue de la configuration de <a1>LL::NG</a1>
Session expiration: sessions will never expire (server side)
Expiration des sessions : les sessions n'expirent jamais (du côté serveur)
Rule for session granting
Règle pour l'autorisation d'ouverture de session
<s10>Order</s10> <s11>deny</s11>,<s12>allow</s12>
<s10>Order</s10> <s11>deny</s11>,<s12>allow</s12>
OBM_GIVENNAME
OBM_GIVENNAME
<a2>django</a2><br3/>
<a2>django</a2><br3/>
<s69>"userobm_email"</s69> <s70>=></s70> <s71>"HTTP_OBM_MAIL"</s71><s72>,</s72>
<s69>"userobm_email"</s69> <s70>=></s70> <s71>"HTTP_OBM_MAIL"</s71><s72>,</s72>
Extend variables using macros and groups
Étendre les variables en utilisant les macros et groups
<a0>OBM</a0> is enterprise-class messaging and collaboration platform for workgroup or enterprises with many thousands users.
<a0>OBM</a0> est une plateforme collaborative et de messagerie pour entreprises ou groupes de travail comprenant plusieurs milliers d'utilisateurs.
Change <s0>mydomain.org</s0> (in <c1>AssertionConsumerService</c1> markup, parameter <c2>Location</c2>) into your Google Apps domain.
Changer <s0>mydomain.org</s0> (dans <c1>AssertionConsumerService</c1> markup, parameter <c2>Location</c2>) en votre domaine Google Apps.
It has a simple but powerful syntax which makes sure the data files remain readable outside the Wiki and eases the creation of structured texts.
Il dispose d'une syntaxe simple mais puissante qui fait que les fichiers de données restent lisibles en dehors du Wiki, et facilite la création de textes structurés.
../../../media/applications/obm_logo.png
../../../media/applications/obm_logo.png
Radius
Radius
Set <c0>Email</c0> in <c1>Options</c1> » <c2>Authentication Response</c2> » <c3>Default NameID format</c3>
Mettre <c0>Email</c0> dans <c1>Options</c1> » <c2>Réponse d'authentification</c2> » <c3>Format NameID par défaut</c3>
Social Networks and News
Réseaux sociaux et nouvelles
If a user is not authenticated and attempts to connect to an area protected by a LemonLDAP::NG compatible Handler, he is redirected to a portal.
Si un utilisateur n'est pas authentifié et tente de se connecter à une application protégée par un agent compatible LemonLDAP::NG, il est redirigé vers le portail.
You have then to install all the downloaded packages:
Il faut ensuite installer tous les paquets téléchargés :
Another <a0>LL::NG</a0> system configured with <a1>OpenID authentication</a1>
Un autre système <a0>LL::NG</a0> configuré avec <a1>authentification OpenID</a1>
<s0>ServerName</s0> auth.example.com
<s0>ServerName</s0> auth.example.com
<s0>Use Nonce</s0>: If enabled, a nonce will be sent, and verified from the ID Token
<s0>Utiliser Nonce</s0> : si activé, un nonce sera envoyé, et vérifié depuis le jeton d'identité
<a0>CAS</a0> Session backend
Module de stockage <a0>CAS</a0>
hideOldPassword
hideOldPassword
<s0>Sign-out page <a1>URL</a1></s0>: this in not the SLO access point (Google Apps does not support SLO), but the main logout page.
<s0>Sign-out page <a1>URL</a1></s0>: il ne s'agit pas du point d'accès de déconnexion globale (SLO) (Google Apps ne le supporte pas), mais de la page de déconnexion.
Go to the Manager and <a0>create a new virtual host</a0> for Sympa.
Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour Sympa.
<<s1>Location</s1> /status>
<<s1>Location</s1> /status>
<s0>url_logout</s0>: <a1>URL</a1> used by OBM to logout, will be caught by <a2>LL::NG</a2>
<s0>url_logout</s0>: <a1>URL</a1> utilisée par OBM pour les déconnexions, sera appelée par <a2>LL::NG</a2>
<a0>WebID</a0> is a way to uniquely identify a person, company, organisation, or other agent using a <a1>URI</a1> and a certificate.
<a0>WebID</a0> est un moyen d'identification unique de personnes, entreprises, organisation, ou autre agent en utilisant une <a1>URI</a1> et un certificat.
Restrict /js/ and /css/ directory to authenticated users
Restreindre les répertoires /js/ et /css/ aux utilisateurs authentifiés
Main components
Composants principaux
Open Source Guide
Guide Open Source
For each binding you can set:
Pour chaque déclaration, vous pouvez indiquer :
Else you can paste the content of the JSON file in the textarea.
Sinon copier le contenu du fichier JSON dans l'emplacement dédié.
match with the correct values.
correspondent aux bonnes valeurs.
http://www.google.com/apps/
http://www.google.com/apps/
http://lasso.entrouvert.org
http://lasso.entrouvert.org
../../../media/applications/limesurvey_logo.png
../../../media/applications/limesurvey_logo.png
gender
gender
Secure Token Memcached servers
Serveurs Memcached pour le jeton sécurisé
PerlSetVar LmProxyPass http://www.private.com/
PerlSetVar LmProxyPass http://www.private.com/
CPAN test reports:
Rapports de test du CPAN:
So Apache::Session module is not a problem for handlers.
Ainsi, les modules Apache::Session ne posent pas de problèmes aux agents.
You need some prerequisites:
Certains pré-requis sont nécessaire :
Skin customization
Personnalisation du thème
http://en.wikipedia.org/wiki/Doctor_Who
http://en.wikipedia.org/wiki/Doctor_Who
For now, Zimbra isn't supported by Nginx handler.
Pour l'instant, Zimbra n'est pas supporté par le handler Nginx.
<s0>Secured cookie</s0>: 4 options:
<s0>Cookie sécurisé</s0> : 4 options :
<s0>Login history</s0>: display user's last logins and last failed logins
<s0>Historique de connexion</s0> : affiche les derniers succès et échecs de connexion
Example of corresponding LDAP attribute
Exemple de correspondance d'attributs LDAP
Build the tarball from SVN
Construire l'archive depuis SVN
Python (Django)
Python (Django)
Authentication response
Réponse d'authentification
User owns <a0>SSO cookies</a0> on the main domain (see <a1>Login kinematics</a1>)
Les utilisateurs possèdent des <a0>cookies SSO</a0> dans le domaine principal (voir la <a1>cinématique de connexion</a1>)
<s0>userKey</s0>: key in the HTTP header containing user login.
<s0>userKey</s0> : nom de l'en-tête HTTP contenant le nom d'utilisateur.
Store user password in session
Stocker le mot-de-passe utilisateur dans la session
All rules are concerned:
Toutes les règles sont concernées :
<s0><s1>[</s1>all<s2>]</s2></s0>
<s3>cda</s3> <s4>=</s4><s5> 1</s5>
<s0><s1>[</s1>all<s2>]</s2></s0>
<s3>cda</s3> <s4>=</s4><s5> 1</s5>
Example: <a3>http://auth.example.com/saml/singleSignOn</a3>
Exemple : <a3>http://auth.example.com/saml/singleSignOn</a3>
icons:flags:de.png
icons:flags:de.png
POST data
Données POST
It is compliant with the <a0>form replay</a0> feature
Il est compatible avec le <a0>rejeu de formulaire</a0>
../documentation/current/ssocookie.html
../documentation/current/ssocookie.html
Conditions:
Conditions :
Edit then <c0>share-config-custom.xml</c0> and uncomment the last part.
Éditer ensuite <c0>share-config-custom.xml</c0> et décommenter la dernière partie.
https://my-profile.eu/
https://my-profile.eu/
Then, go in <c0>BrowserID parameters</c0>:
Ensuite, aller dans les <c0>paramètres BrowserID</c0>:
documentation:liferay_5.png
documentation:liferay_5.png
You can inspect a user session with the sessions explorer (in Manager)
On peut inspecter une session utilisateur avec l'explorateur de sessions (accessible depuis le manager)
http://en.wikipedia.org/wiki/FastCGI
http://en.wikipedia.org/wiki/FastCGI
~40 000
~40 000
You can for example use <c2>openid profile email</c2>.
On peut par exemple utiliser <c2>openid profile email</c2>.
documentation:latest:installrpm
documentation:latest:installrpm
In the manager: set <a0>Apache::Session::Memcached</a0> in <c1>General parameters</c1> » <c2>Sessions</c2> » <c3>Session storage</c3> » <c4>Apache::Session module</c4> and add the following parameters (case sensitive):
Dans le manager : indiquez <a0>Apache::Session::Memcached</a0> dans <c1>Paramètres généraux</c1> » <c2>Sessions</c2> » <c3>Stockage des sessions</c3> » <c4>Module Apache::Session</c4> et ajoutez les paramètres suivant (sensibles à la casse) :
Protocol and port
Protocole et port
You can do it either by uploading the file, or get it from IDP metadata <a0>URL</a0> (this require a network link between your server and the IDP):
Ceci peut être fait soit en téléchargeant le fichier, soit en l'obtenant par l'<a0>URL</a0> de métadatas de l'IDP (à condition d'avoir un lien réseau entre le serveur et l'IDP):
In Portal virtual host, you will find several configuration parts:
Dans l'hôte virtuel du portail se trouve plusieurs éléments de configuration :
Then Zimbra do the <a0>SSO</a0> by setting a cookie in user's browser
Ensuite Zimbra génère son cookie <a0>SSO</a0> dans le navigateur de l'utilisateur
http://www.slideshare.net/coudot/rmll-2009-prsentation-du-websso-lemonldapng
http://www.slideshare.net/coudot/rmll-2009-prsentation-du-websso-lemonldapng
<s0>Activation</s0>: set to <c1>On</c1>
<s0>Activation</s0> : mettre à <c1>Activé</c1>.
../../../media/screenshots/1.1/mailreset/mailreset_step2.png
../../../media/screenshots/1.1/mailreset/mailreset_step2.png
You need to use the IDP initiated feature of <a0>LL::NG</a0>.
Il faut utiliser la fonctionnalité initiée par l'IDP de <a0>LL::NG</a0>.
It will get the user identity trough an ID Token, and grab user attributes trough UserInfo endpoint.
L'identité utilisateur sera récupérée via in jeton d'identification, et les attributs utilisateurs via le point d'accès UserInfo.
any files sharing system (NFS, NAS, SAN,…)
tout système de partage de fichiers (NFS, NAS, SAN,…)
/_detail/screenshots/1.0/dark/menu.png?id=screenshots
/_detail/screenshots/1.0/dark/menu.png?id=screenshots
icons:xeyes.png
icons:xeyes.png
This documentation just explains how to set up the <a0>SSO</a0> part.
Cette documentation explique seulement comment activer la partie <a0>SSO</a0>.
/_detail/documentation/lemonldapng-sso.png?id=documentation%3Apresentation
/_detail/documentation/lemonldapng-sso.png?id=documentation%3Apresentation
http://www.fitzdsl.net/?p=286
http://www.fitzdsl.net/?p=286
To bypass this, <a0>LL::NG</a0> can remember what password was given by user on authentication phase.
Pour contourner ce problème, <a0>LL::NG</a0> peut se souvenir du mot-de-passe utilisé dans la phase d'authentification.
../media/icons/bug.png
../media/icons/bug.png
You need to restrict access to Alfresco to <a0>LL::NG</a0>.
Il faut restreindre l'accès à Alfresco à <a0>LL::NG</a0>.
<a0>LL::NG</a0> provides a valve, available on <a1>download page</a1>.
<a0>LL::NG</a0> fournit une valve, disponible sur <a1>page de téléchargement</a1>.
One user tries to access to the portal
Un utilisateur tente d'accéder au portail
Dokuwiki virtual host in Apache
Hôte virtuel Dokuwiki dans le manager
SGS
SGS
This feature can be enabled and configured in Manager, in <c0>General Parameters</c0> » <c1>Advanced Parameters</c1> » <c2>Login History</c2>.
Cette fonctionnalité peut être activée et configurée dans le manager dans <c0>Paramètres généraux</c0> » <c1>Paramètres avancés</c1> » <c2>Historique de connexion</c2>.
Some applications using it
Quelques applications l'utilisant
<s150>//"userobm_vacation_dateend" => ,</s150>
<s150>//"userobm_vacation_dateend" => ,</s150>
../media/logos/logo_abuledu.png
../media/logos/logo_abuledu.png
Sunday is the first day.
Dimanche est le premier jour.
server
server
Subject for confirmation mail
Sujet du message de confirmation
Tips
Astuces
That message can contain session data as user attributes or macros.
Ce message peut contenir des données de session tels les attributs ou les macros.
http://en.wikipedia.org/wiki/OAuth
http://fr.wikipedia.org/wiki/OAuth
msmith@badwolf.org
msmith@badwolf.org
mailReplyTo
mailReplyTo
Auth-Mail
Auth-Mail
vi /var/lib/lemonldap-ng/portal/login.pl
vi /var/lib/lemonldap-ng/portal/login.pl
Lemonldap::NG::Manager
Lemonldap::NG::Manager
yubikeySecretKey
yubikeySecretKey
Choose and configure your main sessions storage system
Choisir et configurer le système principal de stockage des sessions
Feature
Fonctionnalité
documentation.html
documentation.html
You can also use caFile and caPath parameters.
On peut également utiliser les paramètres caFile et caPath.
<s0>External databases</s0>: not managed by LemonLDAP::NG, for example user database
Les <s0>bases de données externes</s0>: non gérées par LemonLDAP::NG, par exemple la base des utilisateurs
<a0>idpcas</a0><br1/>
<a0>idpcas</a0><br1/>
Clément OUDOT
Clément OUDOT
Copy <c0>ValveLemonLDAPNG.jar</c0> in <c1><TOMCAT_HOME>/server/lib</c1>:
Copier <c0>ValveLemonLDAPNG.jar</c0> dans <c1><TOMCAT_HOME>/server/lib</c1>:
When you commit <a0>OmegaT</a0> files in svn repository, don't push backup files.
Lorsque vous validez les fichiers <a0>OmegaT</a0> dans le dépôt svn, n'y poussez pas les fichiers de sauvegarde.
<s4>Deny</s4> from <s5>all</s5>
<s4>Deny</s4> from <s5>all</s5>
<a0>CAS</a0>_CAFile
<a0>CAS</a0>_CAFile
groups
groups
_lassoSessionDump
_lassoSessionDump
<s0>Internal databases</s0>: only used by LemonLDAP::NG
Les <s0>bases de données internes</s0>: utilisées seulement par LemonLDAP::NG
1.2
1.2
<s0><s1><IDPSSODescriptor<s2>></s2></s1></s0>
<s0><s1><IDPSSODescriptor<s2>></s2></s1></s0>
http://www.svwux.org/
http://www.svwux.org/
You can find all versions on <a0>OW2 forge download page</a0>.
Vous pouvez trouver toutes les versions sur <a0>la page de téléchargement de la forge OW2</a0>.
1.1
1.1
/_detail/documentation/lemonldap-ng-architecture.png?id=documentation%3Apresentation
/_detail/documentation/lemonldap-ng-architecture.png?id=documentation%3Apresentation
http://manager.example.com
http://manager.example.com
As you may have guessed, these accounts are famous characters from the TV show <a0>Doctor Who</a0>.
Comme on peut le voir, ces comptes sont les fameux caractères du show TV <a0>Doctor Who</a0>.
<<s8>IfModule</s8> mod_rewrite.c>
<<s8>IfModule</s8> mod_rewrite.c>
<a0>LL::NG</a0> validate the token and propose a password change form
<a0>LL::NG</a0> valide la valeur et propose un formulaire de changement de mot-de-passe
SQL
SQL
../../documentation/presentation.html#kinematics
../../documentation/presentation.html#kinematics
Don't forget to install cron files !
N'oubliez pas d'installer les fichiers cron !
If <c0>exportedAttr</c0> is set, only those attributes are copied in the session database of the secondary <a1>LL::NG</a1> structure.
Si <c0>exportedAttr</c0> est défini, seuls ces attributs sont copiés dans la base des sessions du système <a1>LL::NG</a1> secondaire.
<s109>"userobm_address1"</s109> <s110>=></s110> <s111>"HTTP_OBM_POSTALADDRESS"</s111><s112>,</s112>
<s109>"userobm_address1"</s109> <s110>=></s110> <s111>"HTTP_OBM_POSTALADDRESS"</s111><s112>,</s112>
HASH of login success and failures
Table des connexion réussies ou échouées
<s0>off</s0>: never display
<s0>off</s0> : ne jamais afficher
Default skin
Thème par défaut
Unoptimized for <a0>session explorer</a0> and <a1>single session</a1> features.
Pas optimisé pour l'<a0>exlorateur de sessions</a0> et les fonctionnalités de <a1>session unique</a1>.
../../../media/screenshots/1.1/mailreset/mailreset_step5.png
../../../media/screenshots/1.1/mailreset/mailreset_step5.png
OpenID authentication level
Niveau d'authentification d'OpenID
Application menu
Menu application
authenticate user
authentifier les utilisateurs
105.000
105.000
$uid eq "coudot"
$uid eq "coudot"
SSL authentication
Authentification SSL
By default, Manager is protected to allow only the demonstration user “dwho”.
Par défaut, le manager est protégé et n'autorise que l'utilisateur de démonstration “dwho”.
Forward logout to applications
Propager les déconnexions aux applications
../documentation/current/logs.html
../documentation/current/logs.html
http://www.slideshare.net/coudot/sl2011-lemon-ldapng
http://www.slideshare.net/coudot/sl2011-lemon-ldapng
../../../../css/print.css
../../../../css/print.css
Session-ID => $_session_id
Session-ID => $_session_id
<s0>Thursday, 25-Apr-1999 00:40:33 GMT</s0>: at the indicated time and date (but this is probably a bad idea)
<s0>Thursday, 25-Apr-1999 00:40:33 GMT</s0> : jusqu'à la date indiquée (généralement une mauvaise idée)
Go in the Manager and set the session module (<a0>Apache::Session::Browseable::MySQL</a0> for MySQL) in <c1>General parameters</c1> » <c2>Sessions</c2> » <c3>Session storage</c3> » <c4>Apache::Session module</c4> and add the following parameters (case sensitive):
Aller dans le manager et mettre le module de session (<a0>Apache::Session::Browseable::MySQL</a0> pour MySQL) dans <c1>Paramètres généraux</c1> » <c2>Sessions</c2> » <c3>Stockage des sessions</c3> » <c4>Module Apache::Session</c4> et ajouter le paramètre suivant (sensible à la casse) :
If some of your servers are not in the same (secured) network than the database, it is recommended to use <a3>SOAP access</a3> for those servers.
Si certains des serveurs ne se trouvent pas sur le même réseau (securisé) que la même base de données, il est recommandé d'utiliser <a3>l'accès SOAP</a3> pour ces serveurs.
It can be a brake for the portal:
En revanche, ce peut-être un frein pour le portail :
_idpConfKey
_idpConfKey
Go to the Manager and <a0>create a new virtual host</a0> for Zimbra.
Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour Zimbra.
For full install:
Pour une installation complète :
Université de Limoges
Université de Limoges
($uid =~ /^admin0/i)[0] ?
($uid =~ /^admin0/i)[0] ?
For older version, check <a0>http://wiki.glpi-project.org/doku.php?id=en:authautoad</a0>
Pour les versions plus anciennes, voir <a0>http://wiki.glpi-project.org/doku.php?id=en:authautoad</a0>
Write custom functions library
Écrire une librairie de fonctions personnalisées
Now imagine the following DIT:
On suppose le schéma suivant :
<s0>David COUTADEUR</s0>: developer, tester
<s0>David COUTADEUR</s0> : developeur, testeur
<s0>Secret token</s0>: a secret token used to secure transmissions between OpenID client and server (<s1><a2>see below</a2></s1>).
<s0>Jeton secret</s0> : le jeton secret utilisé pour sécuriser les transmissions entre le client et le server OpenID (<s1><a2>voir ci-dessous</a2></s1>).
SSL
SSL
rm custom*
cp ../pastel/custom* .
rm custom*
cp ../pastel/custom* .
Service Provider
Fournisseur de service
The <c0>ProxyPreserveHost</c0> directive will forward the Host header to the protected application.<br1/>
La directive <c0>ProxyPreserveHost</c0> transfère l'en-tête Host à l'application protégée.<br1/>
CAS server
Serveur CAS
<s29>"server_ip_check"</s29> <s30>=></s30> <s31>false</s31><s32>,</s32>
<s29>"server_ip_check"</s29> <s30>=></s30> <s31>false</s31><s32>,</s32>
<a14>logs</a14><br15/>
<a14>logs</a14><br15/>
This kind of <a0>SSO</a0> mechanism is not clean, and can lead to problems, like local password blocking, local session not well closed, etc.
Ce type de mécanisme <a0>SSO</a0> n'est pas parfait et peut générer des problèmes tels des blocages de mots-de-passe, sessions locales mal closes, etc...
<s0>CRONDIR</s0>: Cronfile directory (default: $PREFIX/etc/lemonldap-ng/cron.d)
<s0>CRONDIR</s0> : répertoire des fichiers cron (défaut: $PREFIX/etc/lemonldap-ng/cron.d)
http://xmlns.com/foaf/spec/#sec-crossref
http://xmlns.com/foaf/spec/#sec-crossref
You have to use Apache.
Il faut utiliser Apache.
<s0><a1>PGT</a1> file</s0>: temporary file where proxy tickets are stored (by default, <c2>/tmp/pgt.txt</c2>)
<s0>Fichier <a1>PGT</a1></s0> : fichier temporaire où les tickets de proxy sont stockés (par défaut, <c2>/tmp/pgt.txt</c2>)
Handler parameters
Paramètres de l'agent
Then in <c0>General Parameters</c0> > <c1>Authentication modules</c1> > <c2>OpenID Connect parameters</c2>, you can set:
Ensuite dans <c0>Paramètres généraux</c0> > <c1>Paramètres d'authentification</c1> > <c2>Paramètres OpenID-Connect </c2>, on peut indiquer :
<s0>Local <a1>SSO</a1> <a2>URL</a2> pattern</s0>: regular expression to match the <a3>SSO</a3> <a4>URL</a4> (by default: ^/zimbrasso$)
<s0>Expression de correspondance de l'<a2>URL</a2> <a1>SSO</a1></s0> : expression régulière de correspondance de l'<a4>URL</a4> <a3>SSO</a3> (par défaut : ^/zimbrasso$)
http://test2.example.com
http://test2.example.com
Configure Dokuwiki virtual host like other <a0>protected virtual host</a0>.
Configurer l'hôte virtuel Dokuwiki comme n'importe quel autre <a0>hôte virtuel protégé</a0>.
Add a new virtual host webmail.domain.tld
Ajouter un nouvel hôte virtuel webmail.domain.tld
You can then access to the configuration of this OP.
On peut ensuite accéder à la configuration de cet OP.
The generated tarball is in the current directory.
L'archive générée est dans le répertoire courant.
<s31>...</s31>
<s31>...</s31>
Name: <c0>Auth-User</c0>
Nom : <c0>Auth-User</c0>
each area has 2 portals:
chacune a 2 portails:
documentation:remote-interoperability.png
documentation:remote-interoperability.png
Some can be mandatory, so if they are not returned by IDP, the session will not open.
Certains peuvent être obligatoires, et s'ils ne sont pas retournés par l'IDP, la session n'est pas ouverte.
Session opening
Ouverture de session
<s151>//"userobm_vacation_message" => ,</s151>
<s151>//"userobm_vacation_message" => ,</s151>
Define here the mapping between the <a0>LL::NG</a0> session content and the fields provided in UserInfo response.
Définir ici la correspondance entre le contenu de la sessions <a0>LL::NG</a0> et les champs fournis dans la réponse UserInfo.
../../../media/applications/linshare_logo.png
../../../media/applications/linshare_logo.png
Notifications
Notifications
http://memcached.org/
http://memcached.org/
... other SSL parameters ...
... autres paramètres SSL ...
You can also configure jetlag (if all of your users use the same timezone):
On peut aussi configurer jetlag (si tous les utilisateurs utilisent le même fuseau):
Rule name
Nom de la règle
You just have to share configuration and sessions databases between those servers:
Il faut juste partager les bases de données de configuration et des sessions entre ces serveurs :
<s0>User source attribute</s0>: name of the attribute in users entries used in the link (default: dn).
<s0>Attribut source utilisateur</s0> : nom de l'attribut utilisateur utilisé dans le lien (défaut: dn).
The real user identifier is stored in a Memcached server and the protected application can the request the Memcached server to get user identifier.
L'identifiant utilisateur réel est stockédans un serveur Memcached et l'application protégée peut requérir le serveur Memcached pour obtenir l'identifiant utilisateur.
gen-webid-cert.sh
gen-webid-cert.sh
http://mail.ow2.org/wws/arc/lemonldap-ng-users
http://mail.ow2.org/wws/arc/lemonldap-ng-users
The statistics are collected trough a daemon launched by the Handler.
Ces statistiques sont collectées via un démon lancé par l'agent.
sympaSecret
sympaSecret
<s0>Auto login</s0>: set to 1 to use auto login.
<s0>Authentification automatique</s0> : mettre à 1 pour utiliser la connexion automatique.
tomcat >= 5.5
tomcat >= 5.5
The digit will not be shown on portal page.
Le chiffre ne sera pas affiché sur la page portail.
For tests with <c0>example.com</c0>, launch the following :
Pour les tests avec <c0>example.com</c0>, lancer ce qui suit :
Xavier GUIMARD
Xavier GUIMARD
Just configure the <a0>access rules</a0>.
Configurer simplement la <a0>règle d'accès</a0>.
Then go to trunk directory:
Aller ensuite dans le répertoire trunk :
_lastAuthnUTime
_lastAuthnUTime
Use the name you want but this values in the value field.
Utiliser n'importe quel nom de clef mais ces valeurs dans le champ « valeur ».
Headers are used to give user datas to the application.
Les en-têtes sont utilisés pour donner aux applications les données utilisateurs.
securedCookie
securedCookie
For block brute force attack with fail2ban
pour bloquer les attaques en force brute avec fail2ban
For databases like PostgreSQL, don't forget to add “Commit” with a value of 1
Pour les bases de données telles PostgreSQL, ne pas oublier d'ajouter “Commit” avec une valeur de 1
User Provisioning Enabled: should create automatically the user in Salesforce (not functionnal right now)
User Provisioning Enabled : création automatique des utilisateurs dans Salesforce (pas fonctionnel à l'heure actuelle)
MBConsulting
MBConsulting
Access protected application
Accéder aux applications protégées
logos:logo_gn.png
logos:logo_gn.png
1 if user is superadmin
1 si l'utilisateur est super-administrateur
When all modifications are done, click on <c0>Save</c0> to store configuration.
Lorsque toutes les modifications sont effectuées, cliquer sur <c0>Sauver</c0> pour enregistrer la configuration.
To define keys, you can:
Pour définir les clefs, vous pouvez :
It has enhanced functions to make the daily life for the administrators easier, like a job-tracking-system with mail-notification and methods to build a database with basic information about your network-topology.
Il dispose de functions avancées pour faciliter la vie des administrateurs, telle un détecteur de tâches avec notification par mail et des méthodes pour construire la base de données avec des informations minimales sur la topologie du réseau.
Login
login
Anti frame protection
Protection anti-frame
Go in the Manager and set the session module to <c0>Apache::Session::Browseable::LDAP</c0>.
Aller dans le manager et mettre le module de session à <c0>Apache::Session::Browseable::LDAP</c0>
SMTPAuthUser
SMTPAuthUser
../media/icons/flags/fr.png
../media/icons/flags/fr.png
http://en.wikipedia.org/wiki/SAML
http://fr.wikipedia.org/wiki/SAML
Portal (dark theme)
Portail (thème dark)
../../documentation/presentation.html#cross_domain_authentication_cda
../../documentation/presentation.html#cross_domain_authentication_cda
It is incompatible with authentication chaining (see Stack Multiple backends), because of Apache parameter “SSLVerifyClient”, which must have the value “require”
Ce n'est pas compatible avec une chaîne d'authentification (voir Empiler plusieurs backends), en raison du paramètre Apache “SSLVerifyClient”, qui doit être mis à la valeur “require”
Be careful with some applications which doesn't verify Lemonldap::NG headers after having created their own cookies.
Faire attention avec certaines applications qui ne vérifient pas les en-têtes Lemonldap::NG après avoir créé leurs propres cookies.
http://en.wikipedia.org/wiki/Basic_access_authentication
http://fr.wikipedia.org/wiki/HTTP_Authentification
Salesforce Login <a0>URL</a0>: generated automatically.
Salesforce Login <a0>URL</a0> : générée automatiquement.
Add an Apache access control to avoid other access.
Ajouter un contrôle d'accès Apache pour éviter les autres accès.
rpm --import rpm-gpg-key-ow2
rpm --import rpm-gpg-key-ow2
Auth-User
Auth-User
../../../../media/applications/bugzilla_logo.png
../../../../media/applications/bugzilla_logo.png
<s132>//"userobm_host_id" => ,</s132>
<s132>//"userobm_host_id" => ,</s132>
If <a0>CAS</a0> failed, LDAP will be used.
Si <a0>CAS</a0> échoue, LDAP est utilisé.
This can be used to notify right changes,… See <a1>notifications</a1> for more.
Ceci peut être utilisé pour notifier des changements de droits,... Consultez la page <a1>notifications</a1> pour plus d'information.
Password reset by mail form: where user enters mail to recover a lost password
Formulaire de réinitialisation de mot-de-passe par courriel
This will bypass the authentication module for request from APPLICATIONS_<a0>IP</a0>.
Ceci évite l'authentification des requêtes issues des adresses listées dans APPLICATIONS_<a0>IP</a0>.
Proxy LL::NG
Proxy LL::NG
Rule
Règle
You will need a very recent version of Lasso (>= 2.3.0).
Vous devez utiliser une version récente de Lasso (>= 2.3.0).
server based restriction (like Apache “allow/deny” mechanism)
restrictions basées sur le serveur (tel le mécanisme “allow/deny” d'Apache)
You can use the following rules instead:
On peut utiliser les règles suivantes à la place :
http://www.cpantesters.org/distro/L/Lemonldap-NG-Handler.html
http://www.cpantesters.org/distro/L/Lemonldap-NG-Handler.html
All data is stored in plain text files – no database is required.
Toutes les données sont stockées dans des fichiers texte, aucune base de données n'est nécessaire.
<s19><s20><OrganizationURL</s20> <s21>xml:lang</s21>=<s22>"en"</s22><s23>></s23></s19>http://www.example.com<s24><s25></OrganizationURL<s26>></s26></s25></s24>
<s27><s28></Organization<s29>></s29></s28></s27>
<s19><s20><OrganizationURL</s20> <s21>xml:lang</s21>=<s22>"en"</s22><s23>></s23></s19>http://www.example.com<s24><s25></OrganizationURL<s26>></s26></s25></s24>
<s27><s28></Organization<s29>></s29></s28></s27>
one with read/write rights for servers hosting the manager
une avec des droits en lecture/écriture pour les serveurs hébergeant le manager
localStorageOptions
localStorageOptions
→ The specified node is not the uploaded tree.
→ Le nœud spécifié n'est pas dans l'arbre chargé.
../../../../media/applications/googleapps_logo.png
../../../../media/applications/googleapps_logo.png
You have access to all environment variable, like user <a1>IP</a1> address.
Toutes les variables d'environnement sont disponibles, telle l'adresse <a1>IP</a1> de l'utilisateur.
<s0>#!/usr/bin/perl</s0>
<s1>use</s1> SOAP<s2>::</s2><s3>Lite</s3><s4>;</s4>
<s5>use</s5> utf8<s6>;</s6>
<s7>my</s7> <s8>$lite</s8> <s9>=</s9> SOAP<s10>::</s10><s11>Lite</s11>
<s0>#!/usr/bin/perl</s0>
<s1>use</s1> SOAP<s2>::</s2><s3>Lite</s3><s4>;</s4>
<s5>use</s5> utf8<s6>;</s6>
<s7>my</s7> <s8>$lite</s8> <s9>=</s9> SOAP<s10>::</s10><s11>Lite</s11>
SAML2 implementation is based on <a0>Lasso</a0>.
L'implementation SAML est basée sur <a0>Lasso</a0>.
https://www.djangoproject.com/
https://www.djangoproject.com/
Twitter application name
Nom d'application Twitter
<s0>Get user info</s0>: contact user database to collect attributes
<s0>Récupère les informations utilisateur</s0> : contacte la base de données utilisateurs pour les obtenir
Check if user is already authenticated
Vérifie si l'utilisateur n'est pas déjà authentifié
Portal SOAP services
Services SOAP du portail
mailSubject
mailSubject
<s0>User attribute</s0>: which session attribute will be used to display <c1>Connected as</c1> in the menu
<s0>Attribut utilisateur</s0> : attribut de session à utiliser pour afficher <c1>Connecté en tant que</c1> dans le menu
../../documentation/features.html#session_explorer
../../documentation/features.html#session_explorer
Example of a protected virtual host with LemonLDAP::NG as reverse proxy:
Exemple d'hôte virtuel protégé avec Lemonldap::NG en proxy-inverse :
<s19>'samlIDPSSODescriptorSingleSignOnServiceHTTPPost'</s19> <s20>=></s20> <s21>'urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST;#PORTAL#/saml/singleSignOn;'</s21><s22>,</s22>
<s19>'samlIDPSSODescriptorSingleSignOnServiceHTTPPost'</s19> <s20>=></s20> <s21>'urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST;#PORTAL#/saml/singleSignOn;'</s21><s22>,</s22>
<<s3>Directory</s3> /usr/local/lemonldap-ng/htdocs/portal/>
<<s3>Directory</s3> /usr/local/lemonldap-ng/htdocs/portal/>
Extraction
Extraction
/_detail/screenshots/1.0/manager/accordeon_dark.png?id=screenshots
/_detail/screenshots/1.0/manager/accordeon_dark.png?id=screenshots
Drupal
Drupal
apt-get install libauthen-radius-perl
apt-get install libauthen-radius-perl
Cache backend
Module du cache local
LL::NG based protection
Protection basée sur LL::NG
You need to add the <c0>Index</c0> field and can also configure the <c1>ldapAttributeIndex</c1> field to set the attribute name where index values will be stored.
Il faut ajouter le champ <c0>Index</c0>, on peut aussi configurer le champ <c1>ldapAttributeIndex</c1> pour indiquer le nom d'attribut dans lequel les index doivent être stockés.
<a63><s64>print</s64></a63> <s65>"$res notification(s) have been inserted<s66>\n</s66>"</s65><s67>;</s67>
<s68>}</s68>
<a63><s64>print</s64></a63> <s65>"$res notification(s) have been inserted<s66>\n</s66>"</s65><s67>;</s67>
<s68>}</s68>
If you use the <a0>choice backend</a0>, you need to add the choice parameter in redirect <a1>URL</a1>
Si le <a0>backend choix</a0> est utilisé, il faut ajouter le paramètre choix dans l'<a1>URL</a1> de redirection
Notification backend options
Options du module de stockage des notifications
To customize a skin, the simplest way is to create a new skin folder:
Pour personnaliser un thème, la meilleure façon est de créer un nouveau répertoire :
(if it is superior to 1h, then there is a problem.
(au-dessus d'1h, il y a un problème.
If the OpenID Connect provider only uses symmetric encryption, JWKS data is not useful.
Si le fournisseur OpenID-Connect n'utilise qu'une clef symétrique de chiffrement, la donnée JWKS n'est pas nécessaire.
When you set a parameter in <c0>lemonldap-ng.ini</c0>, it will override the parameter from the global configuration.
Lorsqu'un paramètre et fixé dans <c0>lemonldap-ng.ini</c0>, il surcharge le paramètre issu de la configuration globale.
Define headers used in OBM mapping, for example:
Definir les en-têtes utilisés pour les correspondances OBM, par exemple :
To know this information, just take the portal <a0>URL</a0> and the Callback GET parameter, for example:
Pour connaître cette information, prendre simplement l'<a0>URL</a0> et le paramètre GET de rappel, par exemple :
General parameters
Paramètres généraux
SlideShare
SlideShare
/_detail/logos/logo_gn.png?id=references
/_detail/logos/logo_gn.png?id=references
<s0>Use reset attribute</s0>: enable to use the password reset attribute.
<s0>Utiliser l'attribut reset</s0> : activé pour utiliser l'attribut reset du mot-de-passe.
Portal and Manager skins have not evolved a lot since 1.0, so 1.0 screenshots are still up to date.
Les thèmes du portail et du manager n'ont pas beaucoup évolué depuis la version 1.0, donc les captures d'écran 1.0 restent valables.
User XXXX was not granted to open session
User XXXX was not granted to open session
<s0>Reply address</s0>: address seen in the “Reply-To” field
<s0>Adresse pour la réponse</s0> : adresse vue dans le champ “Reply-To”
...
...
<a0>Rules</a0> are applied in alphabetical order (comment and regular expression).
Les <a0>règles</a0> sont appliquées dans l'ordre alphabétique (commentaires et expressions régulières).
Modules are separated by semi-colons/
Les modules doivent être séparés par point-virgules/
http://auth.example.com
http://auth.example.com
We split databases in two categories:
Nous scindons les bases de données en deux catégories :
Casimir ANTUNES
Casimir ANTUNES
apt-key add rpm-gpg-key-ow2
apt-key add rpm-gpg-key-ow2
Binaries install :
Installer les exécutables :
Your module has to be loaded by Apache (for example after Handler load):
Le module doit être chargé par Apache (par exemple après le chargement de l'agent) :
See <a0>SAML service</a0> configuration chapter.
Voir le chapître de configuration du <a0>service SAML</a0>.
http://www.zdnet.fr/actualites/la-gendarmerie-nationale-renforce-la-securite-de-l-acces-a-son-si-39765875.htm
http://www.zdnet.fr/actualites/la-gendarmerie-nationale-renforce-la-securite-de-l-acces-a-son-si-39765875.htm
http://en.wikipedia.org/wiki/OpenID
http://fr.wikipedia.org/wiki/OpenID
Database Interface
Database Interface
dbi:Pg:dbname=sessions;host=10.2.3.1
dbi:Pg:dbname=sessions;host=10.2.3.1
You can also use <portal>?logout=1 as logout_url to remove LemonLDAP::NG session when “disconnect” is chosen.
On peut aussi utiliser <portal>?logout=1 comme URL de déconnexion pour supprimer la session LemonLDAP::NG lorsque la déconnexion est demandée.
twitterAuthnLevel
twitterAuthnLevel
<s0><a1>DBI</a1></s0> which has been deprecated: it is a read-only backend that exists just for compatibility with older versions of LemonLDAP::NG.
<s0><a1>DBI</a1></s0> devenu obsolète : il reste un backend en lecture seule qui n'existe que pour la compatibilité avec les anciennes versions de LemonLDAP::NG.
Variables
Variables
by date
par date
<s0>isAuthorizedURI(cookieValue,url)</s0>: check if user is granted to access to the function
<s0>isAuthorizedURI(cookieValue,url)</s0> : vérifie si l'utilisateur est autorisé à accéder à la fonction
<s7># Uncomment this line if you use portal SOAP capabilities</s7>
<s7># Décommenter cette ligne si les fonctions SOAP du portail sont utilisées</s7>
mkdir /tmp/MyNamespace/2: Permission denied ...
mkdir /tmp/MyNamespace/2: Permission denied ...
Register LemonLDAP::NG on partner Service Provider
Enregistrer LemonLDAP::NG sur le fournisseur de service partenaire
See <a0>SOAP session backend</a0> documentation.
Voir la documentation du <a0>backend de sessions SOAP</a0>.
<s0>Format</s0> (optional): <a1>SAML</a1> attribute format.
<s0>Format</s0> (optionnel) : format de l'attribut <a1>SAML</a1>.
/_detail/screenshots/0.9.4/0.9.4_logout_menu.png?id=screenshots
/_detail/screenshots/0.9.4/0.9.4_logout_menu.png?id=screenshots
http://www.limesurvey.org
http://www.limesurvey.org
Persistent Session backend options
Options du backend des sessions persistantes
Usage
Utilisation
<a0>SAML</a0> assertion
Assertion <a0>SAML</a0>
(default is not to cipher)
(aucun par défaut)
LDAP configuration backend
Backend de configuration LDAP
Currently, the module is simply handling a Radius Authentication request and has been tested only against a FreeRadius server.
Actuellement, ce module traite simplement une requête d'authentification Radius et n'a été testé que sur un serveur FreeRadius.
Past and present contributors
Contributeurs passé et présent
Claim name
Nom affiché
Handler Redirections
Redirections des agents
/_detail/screenshots/1.0/manager/accordeon_light.png?id=screenshots
/_detail/screenshots/1.0/manager/accordeon_light.png?id=screenshots
For tests with the configured domain, launch the following :
Pour les tests avec le domaine configuré, lancer :
Superadmin: no one can stop him!
Superadmin : personne ne peut l'arrêter !
2_pub
2_pub
portal/skins/common/mail_password.tpl
portal/skins/common/mail_password.tpl
To configure your new skin in Manager, select the custom skin, and enter your skin name in the configuration field.
Pour configurer le nouveau thème dans le manager, selectionner le thème personnalisé et entrer le nom du nouveau thème dans le champ.
Proxy cookie name
Nom du cookie du proxy
useXForwardedForIP
useXForwardedForIP
The security relies on the symmetric key <c0>client_secret</c0>.
La sécurité repose sur la clef symétrique <c0>client_secret</c0>.
<s0>Binary attributes</s0>: regular expression matching binary attributes (see <a1>Net::LDAP</a1> documentation).
<s0>Attributs binaires</s0> : expression régulière correspondant aux attributs binaires (voir la documentation <a1>Net::LDAP</a1>).
activeTimer
activeTimer
Write good rules
Écrire de bonnes règles
For now, this feature is only supported by Apache handler.
Pour l'instant, cette fonctionnalité n'est offerte qu'avec le handler Apache.
ldapConfBase
ldapConfBase
<a2>passwordstore</a2><br3/>
<a2>passwordstore</a2><br3/>
Edit the portal virtual host to enable SSL double authentication:
Éditer l'hôte virtuel du portail pour activer la double authentification SSL :
Password: will not change any password
Mots-de-passe : ne change aucun mot-de-passe
If the OpenID consumer ask for data, users will be prompted to accept or not the data sharing.
Si le client OpenID demande des données utilisateurs, ceux-ci sont questionnés pour accepter ou non le partage.
SAML Service
Service SAML
<a0>DBI</a0> Connection chain
Chaîne de connexion <a0>DBI</a0>
Links
Links
<subtitle>: subtitle to display: will be inserted in <a0>HTML</a0> page enclosed in <h2 class=“notifText”>…</h2>
<subtitle> : sous-titre : sera inséré dans la page <a0>HTML</a0> encadré dans <h2 class=“notifText”>…</h2>
<s0><a1>Portal</a1></s0>: used to authenticate users, display applications list and provides identity provider service (<a2>SAML</a2>, <a3>OpenID</a3>, <a4>CAS</a4>).
<s0><a1>Portail</a1></s0>: utilisé pour authentifier les utilisateurs, afficher la liste des applications et fournir le service d'identité (<a2>SAML</a2>, <a3>OpenID</a3>, <a4>CAS</a4>).
Nginx is fully supported by LemonLDAP::NG since version 1.9.
Nginx est pleinement supporté par LemonLDAP::NG depuis la version 1.9.
http://confoo.ca/en/2011/session/lemonldap-ng-a-free-web-single-sign-on-software
http://confoo.ca/en/2011/session/lemonldap-ng-a-free-web-single-sign-on-software
The configuration will be store under a specific branch, for example <c0>ou=conf,ou=applications,dc=example,dc=com</c0>.
La configuration est stockée dans une branche spécifique, par exemple <c0>ou=conf,ou=applications,dc=example,dc=com</c0>.
<a0>DBI</a0> Mail column
Colonne mail <a0>DBI</a0>
http://www.tux.in.ua/articles/2810
http://www.tux.in.ua/articles/2810
Prepare the database
Preparer la base de données
Change default DNS domain
Changer le domaine DNS par défaut
Fill values here:
Renseigner les valeurs ici :
http://lanyrd.com/2011/appsec-forum-2011/sgyzq/
http://lanyrd.com/2011/appsec-forum-2011/sgyzq/
See <a1>https://doc.integ01.dev-franceconnect.fr/identite-pivot</a1>
Voir <a1>https://doc.integ01.dev-franceconnect.fr/identite-pivot</a1>
dbiPassword
dbiPassword
<s0>Logout</s0>: logout button
<s0>Déconnexion</s0> : bouton de déconnexion
ID Token validation
Validation de jeton d'identité
You then just have to add the <c0>Index</c0> parameter in <c1>General parameters</c1> » <c2>Sessions</c2> » <c3>Session storage</c3> » <c4>Apache::Session module</c4> :
Il suffira juste d'ajouter le paramètre <c0>Index</c0> dans <c1>Paramètres généraux</c1> » <c2>Sessions</c2> » <c3>Stockage des sessions</c3> » <c4>Module Apache::Session</c4> :
liblemonldap-ng-portal-perl: Portal files
liblemonldap-ng-portal-perl : fichiers du portail
/usr/share/lemonldap-ng/bin/lemonldap-ng-cli help
/usr/share/lemonldap-ng/bin/lemonldap-ng-cli help
<s9>Options</s9> +ExecCGI
<s9>Options</s9> +ExecCGI
Mounir GZADY
Mounir GZADY
Here are the main options used by <a0>LL::NG</a0>:
Ci-dessous les principales options utilisées par <a0>LL::NG</a0> :
No configuration found
No configuration found
Restart all your remote Apache servers
Redémarrer tous les serveurs Apache distants
<s0>newSession</s0>: create a session (return attributes)
<s0>newSession</s0> : crée une session (retourne les attributs)
<s45>//"userobm_domain_id" => ,</s45>
<s45>//"userobm_domain_id" => ,</s45>
You can download the code here: <a0>https://www.mediawiki.org/wiki/Special:ExtensionDistributor/Auth_remoteuser</a0>
Il est possible de télécharger le code source ici : <a0>https://www.mediawiki.org/wiki/Special:ExtensionDistributor/Auth_remoteuser</a0>
Portal customization
Personnalisation du portail
<s0>SSLUserName</s0> (optional): certificate field that will be used to identify user in <a1>LL::NG</a1> portal virtual host
<s0>SSLUserName</s0> (optionnel) : champ du certificat à utiliser pour identifier pour identifier un utilisateur dans l'hôte virtuel du portail <a1>LL::NG</a1>
<a12>logoutforward</a12><br13/>
<a12>logoutforward</a12><br13/>
<s0>LmLocationToReplace</s0>: string to replace in <c1>Location</c1> header
<s0>LmLocationToReplace</s0> : chaîne à remplacer dans l'en-tête <c1>Location</c1>
Apache configuration
Configuration d'Apache
Create sessions table:
Créer la table des sessions :
../documentation/current/start.html#configuration_database
../documentation/current/start.html#configuration_database
This protocol is implementated in an <a2>LL::NG</a2> specific Handler.
Ce protocole est implementé dans un handler spécifique de <a2>LL::NG</a2>.
twitterAppName
twitterAppName
<a1>Of course, there are other differences</a1>.
<a1>Il y a bien sur d'autres différences</a1>.
<a0>DBI</a0> authentication level
Niveau d'authentification <a0>DBI</a0>
</<s15>Location</s15>>
</<s15>Location</s15>>
To avoid problems, <a0>LL::NG</a0> decode them using <a1>http://search.cpan.org/perldoc?Apache2::URI#unescape_url</a1>.
Pour éviter les problèmes, <a0>LL::NG</a0> les décode en utilisant <a1>http://search.cpan.org/perldoc?Apache2::URI#unescape_url</a1>.
In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Twitter for authentication module.
Dans le manager, allez dans <c0>Paramètres generaux</c0> > <c1>Modules d'authentification</c1> et choisissez Twitter comme module d'authentication.
<<s17>IfModule</s17> mod_dir.c>
<<s17>IfModule</s17> mod_dir.c>
<s0><s1><AttributeAuthorityDescriptor<s2>></s2></s1></s0>
<s0><s1><AttributeAuthorityDescriptor<s2>></s2></s1></s0>
rpm -Uvh lemonldap-ng-* perl-Lemonldap-NG-*
rpm -Uvh lemonldap-ng-* perl-Lemonldap-NG-*
Another <a0>LL::NG</a0> system configured with <a1>CAS authentication</a1>
Un autre système <a0>LL::NG</a0> configuré avec <a1>authentification CAS</a1>
Portal recognizes the user with its <a0>SSO cookies</a0>, and see he is coming from a different domain
Le portail reconnaît l'utilisateur par son <a0>cookie SSO</a0> et voit qu'il sollicite une application d'un domaine différent
You can also use the same user for all.
On peut également utiliser le même compte pour tous.
Users: collect data transfered in HTTP headers by the “master”.
Utilisateurs : collecte les données transférées par en-tête HTTP par le “maître”.
<a20>press</a20><br21/>
<a20>press</a20><br21/>
He must contact his administrator.
Il doit contacter son administrateur.
The extension is presented here: <a0>http://www.mediawiki.org/wiki/Extension:AutomaticREMOTE_USER</a0>
L'extension est présentée ici : <a0>http://www.mediawiki.org/wiki/Extension:AutomaticREMOTE_USER</a0>
<s0>Hash schema</s0>: SQL method for hashing password.
<s0>Schéma de hachage</s0> : méthode SQL pour hacher les mots-de-passe.
<s0>User Header</s0>: Auth-User (case sensitive)
<s0>User Header</s0>: Auth-User (case sensitive)
http://httpd.apache.org/docs/2.2/mod/mod_rewrite.html
http://httpd.apache.org/docs/2.2/mod/mod_rewrite.html
http://twitter.com/lemonldapng
http://twitter.com/lemonldapng
Connector
Connecteur
A Google Migration workaround is available since LemonLDAP::NG 1.4.4.
Un contournement à la migration Google est disponible depuis la version 1.4.4 de LemonLDAP::NG.
Example :
Exemple :
<s0><a1>CAS</a1> session module name and options</s0>: choose a specific module if you do not want to mix <a2>CAS</a2> sessions and normal sessions (see <a3>why</a3>).
<s0>Nom et options du module session <a1>CAS</a1></s0> : choisir un module spécifique pour ne pas mêler les sessions <a2>CAS</a2> et les sessions normales (voir <a3>pourquoi</a3>).
Authentication and UserDB
Authentification et base d'utilisateurs
No <a0>headers</a0> are required.
Aucun <a0>en-tête</a0> n'est nécessaire.
Variables are stored in the user session.
Les variables sont stockées dans la session utilisateur.
<s0>Mail charset</s0>: Charset used for the body of the mail (default: utf-8)
<s0>Jeu de caractères du courriel</s0> : jeu de caractère utilisé pour le corps du message (défaut : utf-8)
<s40><s41><property</s41> <s42>name</s42>=<s43>"preAuthenticatedUserDetailsService"</s43><s44>></s44></s40>
<s40><s41><property</s41> <s42>name</s42>=<s43>"preAuthenticatedUserDetailsService"</s43><s44>></s44></s40>
lemonldap_ng_sample_protected_application_1340022329086.png
lemonldap_ng_sample_protected_application_1340022329086.png
Form replay data
les données à rejouer dans les formulaires
Get the tarball on <a0>download page</a0> and follow next steps (or install using <a1>RPM</a1> or <a2>Debian</a2> packages):
Récupérez l'archive sur la <a0>page de téléchargement</a0> et suivez les étapes suivantes (ou installez les paquets <a1>RPM</a1> ou <a2>Debian</a2>):
<s0>Group source attribute</s0>: name of the attribute in groups entries used in the link, for recursive group search (default: dn).
<s0>Attribut source du groupe</s0> : nom de l'attribut dans l'entrée groupe utilisé dans le lien pour la recherche récursive de groupe (défaut : dn).
Users module
Module utilisateurs
mailreset_step4.png
mailreset_step4.png
A skin is composed of different files:
Un thème est composé de différents fichiers :
Adapt the reload virtual host name to the domain you configured.
Adapter le nom d'hôte virtuel de rechargement au domaine configuré.
User is redirected on portal and his <a0>SSO cookies</a0> is empty
L'utilisateur est redirigé vers le portail et son <a0>cookie SSO</a0> est vide
mailreset_step1.png
mailreset_step1.png
To use TLS, set <c0>ldap+tls://server</c0> and to use LDAPS, set <c1>ldaps://server</c1> instead of server name.
Pour utiliser TLS, utiliser <c0>ldap+tls://server</c0> et pour utiliser LDAPS, indiquer <c1>ldaps://server</c1> au lieu du nom de serveur.
You must read the man page corresponding to your database (<a0>Apache::Session::MySQL</a0>, …) to learn more about parameters.
Il faut consulter la page de manuel correspondant à la base de données (<a0>Apache::Session::MySQL</a0>, …) pour connaître les paramètres.
Exported attributes
Attributs exportés
Prerequisites
Pré-requis
<s0>Application logout</s0>: the request is forwarded to application but <a1>SSO</a1> session is not closed
<s0>Déconnexion applicative</s0>: la requête est transmise à l'application mais la session <a1>SSO</a1> n'est pas détruite
Change <s0>mydomain.org</s0> into your Google Apps domain
Mettre <s0>mydomain.org</s0> dans le domaine Google Apps
Now you can log in with a simple HTTP header.
On peut ensuite se connecter avec un simple en-tête HTTP.
Some examples:
Quelques exemples:
https://metacpan.org/module/Apache::Session::Browseable
https://metacpan.org/module/Apache::Session::Browseable
/_detail/screenshots/0.9.3/lemonldap-ng-portal-auth.png?id=screenshots
/_detail/screenshots/0.9.3/lemonldap-ng-portal-auth.png?id=screenshots
<s0>fileNameSeparator</s0>: file name separator.
<s0>fileNameSeparator</s0> : séparateur de nom de fichier.
../media/logos/logo_ministere_justice.jpg
../media/logos/logo_ministere_justice.jpg
<s0>Control header content</s0>: value to control.
<s0>Contenu de l'en-tête de contrôle</s0> : valeur à contrôler.
</<s6>IfModule</s6>>
</<s6>IfModule</s6>>
<s0>adminSessions/</s0>: read/write access to sessions (required for distant Portal, distant Manager or distant Handlers which modify sessions)
<s0>adminSessions/</s0> : accès en lecture/écriture aux sessions (nécessaire pour les portails ou manager distants ou les handlers distants qui modifient les sessions)
SAML sessions module name and options
Options et nom du module de sessions SAML
It is stored in session datas under the name <s0>$_facebookToken</s0>
Il est stocké dans les données de session sous le nom <s0>$_facebookToken</s0>
Status module activation
Activation du module de statut
tar xzf lemonldap-ng-*.tar.gz
cd lemonldap-ng-*
make debian-packages
tar xzf lemonldap-ng-*.tar.gz
cd lemonldap-ng-*
make debian-packages
https://auth.linagora.com/
https://auth.linagora.com/
http://journeesperl.fr/fpw2011/talk/3383
http://journeesperl.fr/fpw2011/talk/3383
LemonLDAP::NG provide a script that allows to edit configuration items in non interactive mode.
LemonLDAP::NG fournit un script qui autorise l'édition d'éléments de configuration en mode non-interactif.
Zimbra application in menu
Application Zimbra dans le menu
http://search.cpan.org/perldoc?Apache::Session
http://search.cpan.org/perldoc?Apache::Session
aptitude install lemonldap-ng
aptitude install lemonldap-ng
<s0>Configuration endpoint</s0>: <a1>URL</a1> of OP configuration endpoint
<s0>Configuration endpoint</s0>: <a1>URL</a1> de point d'accès de configuration de l'OP
In the Manager, go in <c0>General Parameters</c0> » <c1>Issuer modules</c1> » <c2><a3>CAS</a3></c2> and configure:
Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules fournisseurs</c1> et configurer :
Safe can be very annoying when we use <a0>extended functions</a0> or <a1>custom functions</a1>.
Safe peut être très gênant lorsqu'on utilise les <a0>fonctions étendues</a0> ou les <a1>fonctions personnalisées</a1>.
http://search.cpan.org/perldoc?Apache::Session::Browseable::MySQL
http://search.cpan.org/perldoc?Apache::Session::Browseable::MySQL
http://mail.ow2.org/wws/subscribe/lemonldap-ng-dev
http://mail.ow2.org/wws/subscribe/lemonldap-ng-dev
NTLM
NTLM
Postal code
Postal code
kdestroy
kdestroy
(o/n) n
Le nouveau rôle doit-il être autorisé à créer des bases de données ?
(o/n) n
Le nouveau rôle doit-il être autorisé à créer des bases de données ?
<s1>RewriteEngine</s1> <s2>On</s2>
<s1>RewriteEngine</s1> <s2>On</s2>
Custom functions
Fonctions personnalisées
make
make test
make
make test
LemonLDAP::NG configuration
Configuration de LemonLDAP::NG
Configure your tomcat home in <c0>build.properties</c0> files.
Configurer votre tomcat home dans le fichier <c0>build.properties</c0>.
Customizable NameID formats are:
Les formats de NameID personnalisables sont :
In <c0>Configuration</c0>, register the <c1>client_id</c1> and <c2>client_secret</c2> given by Google.
Dans <c0>Configuration</c0>, enregistrer les <c1>client_id</c1> et <c2>client_secret</c2> donnés par Google.
RMLL
RMLL
<s54>'create_user'</s54> <s55>=></s55> <s56>$_SERVER</s56><s57>[</s57><s58>'HTTP_AUTH_SUPERADMIN'</s58><s59>]</s59><s60>,</s60>
<s54>'create_user'</s54> <s55>=></s55> <s56>$_SERVER</s56><s57>[</s57><s58>'HTTP_AUTH_SUPERADMIN'</s58><s59>]</s59><s60>,</s60>
Just set the <c0>Auth-User</c0> header with the attribute that carries the user login, for example <c1>$uid</c1>.
Renseigner simplement l'en-tête <c0>Auth-User</c0> avec l'attribut qui contient le nom de login, par exemple <c1>$uid</c1>.
Extract from the <a0>Wikipedia article</a0>:
Extrait de <a0>l'article Wikipedia</a0>:
^/public/
^/public/
Kinematics:
Cinématique :
Zimbra parameters are the following:
Les paramètres Zimbra sont les suivants :
<s0>Force authentication</s0>: set to 'On' to force authentication when user connects to portal, even if he has a valid session
<s0>Forcer l'authentification</s0> : mettre à 'Activé' pour forcer l'authentification lorsque l'utilisateur accède au portail même s'il dispose d'une session valide
Define at least:
Definir au moins :
../media/rpm-gpg-key-ow2
../media/rpm-gpg-key-ow2
Edit also OBM Apache configuration to enable <a0>LL::NG</a0> Handler:
Éditer également la configuration du serveur Apache d'OBM pour activer les en-têtes <a0>LL::NG</a0> :
multiValuesSeparator
multiValuesSeparator
Go in Manager, and:
Aller dans le manager et :
^/pub/admin/
^/pub/admin/
unicode2iso
unicode2iso
openIdIDPList
openIdIDPList
You just need to choose if the authenticated user will be a “user” or a “guest”.
Il suffit de choisir si l'utilisateur authentifié sera un "utilisateur" ou un "invité".
<s0>SSLVerifyClient</s0>: set to <c1>optional</c1> to allow user with a bad certificate to access to <a2>LL::NG</a2> portal page.
<s0>SSLVerifyClient</s0> : mettre à <c1>optional</c1> pour autoriser les utilisateurs ne disposant pas d'un certificat valide à accéder à la page du portail <a2>LL::NG</a2>
Get the tarball from <a0>download page</a0>.
Récupérer l'archive depuis la <a0>page de téléchargement</a0>.
This script must be run as root, it will then use the Apache user and group to access configuration.
Ce script doit être lancé par root, il utilisera ensuite le compte et le groupe d'Apache pour accéder à la configuration.
More than one server can be set here separated by spaces or commas.
Plusieurs serveurs peuvent être renseignés séparés par des virgules ou espaces.
Notification delete function:
Fonction d'effacement de notification :
Add a floating menu
Ajouter un menu flottant
Zimbra syncs to smartphones (iPhone, BlackBerry) and desktop clients like Outlook and Thunderbird.
Zimbra se synchronise avec les smartphones (iPhone, BlackBerry) et les clients lourds de bureau tels Outlook et Thunderbird.
<s4>Order</s4> <s5>allow</s5>,<s6>deny</s6>
<s4>Order</s4> <s5>allow</s5>,<s6>deny</s6>
<s0>dbiUser</s0>: <a1>DBI</a1> user.
<s0>dbiUser</s0> : utilisateur <a1>DBI</a1>.
Go in <c0>Exported attributes</c0> to choose which attributes from “identité pivot” you want to collect.
Aller dans les <c0>Attributs exportés</c0> pour choisir quels attributs de l'« identité pivot » on souhaite collecter.
<a0>Download the Lasso tarball</a0> and compile it on your system.
<a0>Téléchargez l'archive Lasso</a0> et compilez là sur votre système.
We include some template files that can be customized:
Nous incluons des fichiers modèles qui peuvent être personnalisés :
Certificate authorities directory
Répertoire des autorités de certification
Configuration access
Accès à la configuration
LemonLDAP::NG Manager
Gestionnaire LemonLDAP::NG
<s0>get_key_from_all_sessions</s0>: list all sessions and return asked keys
<s0>get_key_from_all_sessions</s0> : liste toutes les sessions et retourne les clefs demandées
<s52><s53><property</s53> <s54>name</s54>=<s55>"userDetailsService"</s55> <s56>ref</s56>=<s57>"userDetailsService"</s57><s58>/></s58></s52>
<s52><s53><property</s53> <s54>name</s54>=<s55>"userDetailsService"</s55> <s56>ref</s56>=<s57>"userDetailsService"</s57><s58>/></s58></s52>
documentation/features.html
documentation/features.html
Give display name
Donne le nom à afficher
vi /var/www/html/limesurvey/config.php
vi /var/www/html/limesurvey/config.php
<s0>Configuration</s0>:
<s0>Configuration</s0> :
Protected application sends response to Handler
L'application protégée renvoie sa réponse à l'agent
<s0>Shared secret</s0>: this is the passphrase to use to connect to the Radius server
<s0>Secret partagé</s0> : la phrase de passe à utiliser pour se connecter au serveur Radius
$_userDB
$_userDB
If a modification is done, the configuration is saved with a new configuration number.
Si une modification est effectuée, la configuration est sauvée avec un nouveau numéro.
But as Google rotate their keys, we will also configure a refresh interval on JKWS data.
Mais comme Google change régulièrement ses clefs, il faut configurer un intervalle de rafraîchissement des données JKWS.
Headers are defined inside a virtualhost and takes effect only on it.
Les en-têtes sont définies à l'intérieur d'un hôte virtuel (virtualhost) et n'ont d'effet que sur lui.
Manage virtual hosts
Gérer les hôtes virtuels
Authentication module
Module d'authentication
In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose LDAP for authentication, users and/or password modules.
Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir LDAP) pour les modules authentification, utilisateurs et/ou mots-de-passe.
If the user do a new password reset request but there is already a request pending, the user can ask the confirmation mail to be resent.
Si l'utilisateur effectue une nouvelle demande de réinitialisation mais qu'une requête est déjà en attente, il peut demander une ré-expédition du courriel.
Event
Événement
MD5
MD5
dbiUserUser
dbiUserUser
XXXX was not found in tree
XXXX was not found in tree
If you modify <c0>/saml/metadata</c0> suffix you have to change corresponding Apache rewrite rule.
Si vous modifiez le suffixe <c0>/saml/metadata</c0>, vous devez changer la règle de réécriture d'Apache.
$groups
$groups
The <c1>openid</c1> scope is mandatory.
La portée <c1>openid</c1> est exigée.
Domain Name System
Domain Name System
<<s25>Location</s25> /index.pl/notification>
<<s25>Location</s25> /index.pl/notification>
../../../media/applications/zimbra_logo.png
../../../media/applications/zimbra_logo.png
OpenID Connect is a protocol based on REST, OAuth 2.0 and JOSE stacks.
OpenID Connect est un protocole basé sur les piles REST, OAuth 2.0 et JOSE.
Example for groups:
Exemples de groupes:
^/config/
^/config/
Status module can not be loaded without localStorage parameter
Status module can not be loaded without localStorage parameter
Prepare database
Préparer la base de données
No headers are needed.
Aucun en-tête n'est nécessaire.
_utime
_utime
Configure the following <a0>headers</a0>.
Configurer les <a0>en-têtes</a0> suivants.
Cookie Javascript protection
Protection Javascript du cookie
translations.html
translations.html
Remember that rules written on GET parameters must be tested.
Rappel : les règles poratnt sur des paramètres GET doivent être testées.
Else, current configuration is kept.
Sinon, la configuration courante est gardée.
Manager tree JQuery <a0>CSS</a0> file
Fichier <a0>CSS</a0> de l'arbre JQuery du manager
POST data: use form replay
Des données POST : à utiliser pour répondre aux formulaires
10.0.0.1:20000 10.0.0.2:20000
10.0.0.1:20000 10.0.0.2:20000
When installing <a0>LL::NG</a0>, the Manager can only be accessed with the demo account <c1>dwho</c1>.
Lorsqu'on installe <a0>LL::NG</a0>, le manager n'est accessible que via le compte de démonstration <c1>dwho</c1>.
Proxy backend to be used in conjunction with another session backend.
Backend proxy à utiliser avec un autre backend de sessions.
[PORTAL] is the portal <a0>URL</a0>
[PORTAIL] est l'<a0>URL</a0> du portail
<a0>CornerStone On Demand (CSOD)</a0> allows to use <a1>SAML</a1> to authenticate users.
<a0>CornerStone On Demand (CSOD)</a0> permet d'utiliser <a1>SAML</a1> pour authentifier les utilisateurs.
<s30>'lang'</s30> <s31>=></s31> <s32>'en'</s32><s33>,</s33>
<s30>'lang'</s30> <s31>=></s31> <s32>'en'</s32><s33>,</s33>
install_examples_site (/usr/local/lemonldap-ng/examples)
install_examples_site (/usr/local/lemonldap-ng/examples)
<s25><s26><NameIDFormat<s27>></s27></s26></s25>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress<s28><s29></NameIDFormat<s30>></s30></s29></s28>
<s25><s26><NameIDFormat<s27>></s27></s26></s25>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress<s28><s29></NameIDFormat<s30>></s30></s29></s28>
NameID formats
Formats de NameID
Redirection to the portal of the secondary area (transparent)
Redirection vers le portail secondaire (transparent)
Cascading Style Sheets
Cascading Style Sheets
https://cas.unilim.fr/
https://cas.unilim.fr/
Go to the Manager and <a0>create a new virtual host</a0> for LimeSurvey.
Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour LimeSurvey.
Imported from an LDAP directory
Importés d'un serveur LDAP
Install and launch a <a0>Redis server</a0>.
Installez et lancer un <a0>serveur Redis</a0>.
Pages where this menu is displayed can be restricted, for example:
Les pages où ce menu est affiché peuvent être restreintes, par exemple :
secureTokenMemcachedServers
secureTokenMemcachedServers
Reset password on next logon workflow
Réinitialisation du mot-de-passe à la connexion suivante
Compatibility with Identity Provider modules
Compatibilité avec les modules fournisseurs d'identité
It works by default with IDP intiated mechanism, but can works with the standard SP initiated cinematic.
Il fonctionne par défaut avec un mécanisme initié par l'IDP mais permet un fonctionnement standard initié par le SP.
Issy Les Moulineaux
Issy-les-Moulineaux
You may want to failback to another authentication backend in case of the Apache authentication fails.
On peut choisir de basculer sur un autre backend d'authentification en cas d'échec de l'authentification Apache.
You can prefix the key name with a digit to order them.
Il est possible d'ordonner les noms de clefs en utilisant un préfixe numérique.
<s0>Response Location</s0>: Access Point for <a1>SSO</a1> response.
<s0>Response Location</s0> : Point d'accès pour les réponses <a1>SSO</a1>.
Overloading is not available trough the Manager
La surcharge n'est pas paramètrable dans le manager
Location
Lieu
logos:logo_ucanss.png
logos:logo_ucanss.png
These options are used to build redirection <a0>URL</a0> (when user is not logged, or for <a1>CDA</a1> requests).
Ces options sont utilisées dans la construction des <a0>URL</a0> de redirection (lorsque l'utilisateur n'est pas connecté ou pour les requêtes <a1>CDA</a1>).
Sessions database
Base de données des sessions
A macro is stored as attributes: it can contain boolean results or any string
Une macro est stockée comme un attribut : elle peut contenir le résultat d'un calcul booléen ou n'importe quelle chaîne de caractères
Now we will add Google Apps as a new <a0>SAML</a0> Service Provider:
Ajouter ensuite Google Apps comme nouveau fournisseur de service <a0>SAML</a0> :
Safe jail
Cage sécurisée
To configure <a0>SSO</a0> with Sympa, use <s1>Magic authentication</s1>: a special <a2>SSO</a2> <a3>URL</a3> is protected by <a4>LL::NG</a4>, Sympa will display a button for users who wants to use this feature.
Pour configurer le <a0>SSO</a0> avec Sympa, utiliser l'<s1>authentification magique</s1> : une <a3>URL</a3> spéciale <a2>SSO</a2> est protégée par <a4>LL::NG</a4>, Sympa affichera un bouton pour les utilisateurs souhaitant utiliser cette fonctionnalité.
Presentation
Présentation
Speaker
Conférencier
<a0>SSO cookies</a0> is not detected, so Handler redirects user to Portal
Si le <a0>cookies SSO</a0> n'est pas détecté, l'agent redirige l'utilisateur vers le portail
<a0>LL::NG</a0> can also act as <a1>SAML IDP</a1>, that allows to interconnect two <a2>LL::NG</a2> systems.
<a0>LL::NG</a0> peut également agir comme un <a1>IDP SAML</a1>, ce qui permet d'interconnecter deux systèmes <a2>LL::NG</a2>.
ipAddr <e0>WHATTOTRACE</e0> _httpSessionType ipAddr
ipAddr <e0>WHATTOTRACE</e0> _httpSessionType ipAddr
ConFoo
ConFoo
<a0>SAML</a0> Session backend options
Options du module de stockage <a0>SAML</a0>
increased (+1) if portal is protected by SSL (HTTPS)
augmenté (+1) si le portail est protégé par SSL (HTTPS)
http://static.springsource.org/spring-security/site/docs/3.0.x/reference/preauth.html
http://static.springsource.org/spring-security/site/docs/3.0.x/reference/preauth.html
You can also choose a different session module to split <a0>SSO</a0> sessions and <a1>SAML</a1> sessions.
Vous pouvez également utiliser un module différent pour répartir les sessions <a0>SSO</a0> et <a1>SAML</a1>.
<s0>Captcha module name</s0>: Apache session module used to store generated captchas
<s0>Nom du module Captcha</s0> : module Apache::Session utilisé pour stocker les captchas générés
If you don't have one, create it with the signing key pair already generated (you could do this with openssl).
S'il n'en dispose pas, en créer un avec la paire de clef déjà générée (on peut le faire avec openssl).
Reset password by mail (self service)
Réinitialiser les mots-de-passe par mail (self-service)
Use redirect on error
Utiliser les redirections en cas d'erreur
Redis server
Serveur Redis
This module is not available in version 1.9 and superior, you must use instead the <a0>OpenID Connect authentication module</a0>.
Ce module n'est plus disponible dans les versions 1.9 et supérieures, il faut utiliser le <a0>module d'authentification OpenID-Connect</a0>.
Go in <c0>General Parameters</c0> » <c1>Issuer modules</c1> » <c2><a3>SAML</a3></c2> and configure:
Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules fournisseurs</c1> » <c2><a3>SAML</a3> et configurer :
Go to the <a0>SAML</a0> Single Sign On settings, and fill these information:
Aller dans les paramètres SSO de <a0>SAML</a0> et y indiquer :
<s17>-></s17><s18>proxy</s18><s19>(</s19><s20>'http://auth.example.com/index.pl/notification'</s20><s21>)</s21><s22>;</s22>
<s23>$r</s23> <s24>=</s24> <s25>$lite</s25><s26>-></s26><s27>newNotification</s27><s28>(</s28>
<s29>'<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<root>
<notification uid="foo.bar" date="2009-01-27" reference="ABC">
<text> You have been granted to access to appli-1 </text>
<text> You have been granted to access to appli-2 </text>
<check> I know that I can acces to appli-1 </check>
<check> I know that I can acces to appli-2 </check>
</notification>
</root>
'</s29><s30>)</s30><s31>;</s31>
<s32>if</s32> <s33>(</s33> <s34>$r</s34><s35>-></s35><s36>fault</s36> <s37>)</s37> <s38>{</s38>
<s17>-></s17><s18>proxy</s18><s19>(</s19><s20>'http://auth.example.com/index.pl/notification'</s20><s21>)</s21><s22>;</s22>
<s23>$r</s23> <s24>=</s24> <s25>$lite</s25><s26>-></s26><s27>newNotification</s27><s28>(</s28>
<s29>'<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<root>
<notification uid="foo.bar" date="2009-01-27" reference="ABC">
<text> You have been granted to access to appli-1 </text>
<text> You have been granted to access to appli-2 </text>
<check> I know that I can acces to appli-1 </check>
<check> I know that I can acces to appli-2 </check>
</notification>
</root>
'</s29><s30>)</s30><s31>;</s31>
<s32>if</s32> <s33>(</s33> <s34>$r</s34><s35>-></s35><s36>fault</s36> <s37>)</s37> <s38>{</s38>
LockDirectory
LockDirectory
References
Références
You need to find the following files in your Alfresco installation:
Les fichiers suivants sont nécessaires dans l'installation Alfresco :
1f777a6581e478499f4284e54fe2d4a4e513dfff
1f777a6581e478499f4284e54fe2d4a4e513dfff
The user click on the link in the mail
L'utilisateur clique sur le lien dans le courriel
LL::NG as federation protocol proxy
LL::NG en proxy de fédération de protocoles
Portal (impact theme)
Portail (thème impact)
Prefer then the other solutions (see below).
Si c'est le cas, utiliser une autre solution (voir ci-dessous).
The portal is the biggest component of Lemonldap::NG.
Le portail est le composant le plus gros de Lemonldap::NG.
Google Apps does not support Single Logout (SLO).
Google Apps ne supporte pas le Single Logout (SLO).
postcode
postcode
variables
variables
Proxy Granting Ticket
Proxy Granting Ticket
This option can then be overridden for each Service Provider.
Cette option peut être surchargée pour chaque fournisseur de service.
Authentication backend
Module d'authentification
Dokuwiki virtual host in Manager
Hôte virtuel Dokuwiki dans le manager
http://httpd.apache.org/docs/current/mod/mod_ssl.html
http://httpd.apache.org/docs/current/mod/mod_ssl.html
JWKS is a JSON file containing public keys.
JWKS est un fichier JSON contenant des clefs publiques.
http://webchat.freenode.net
http://webchat.freenode.net
http://lanyrd.com/2012/fosdem/spfqq/
http://lanyrd.com/2012/fosdem/spfqq/
<a0>LWP::UserAgent</a0> parameters
Paramètre <a0>LWP::UserAgent</a0>
You need to set the PHP_AUTH_USER variable to have the Webserver authentication mode working.
Il faut renseigner la variable PHP_AUTH_USER pour faire fonctionner le mode d'authentification par serveur web.
'namespace' => 'MyNamespace'?
'namespace' => 'MyNamespace'?
lemonldap-ng: meta-package, contains no file but dependencies on other packages
lemonldap-ng : meta-paquet qui ne contient aucun fichier mais des dépendances vers les autres paquets
Jan 2012: <a0>Configuration de LemonLDAP::NG avec Google Authenticator</a0>
Jan 2012 : <a0>Configuration de LemonLDAP::NG avec Google Authenticator</a0>
Roadmap
Feuille de route
To have a stronger integration, we will configure LimeSurvey to autocreate unknown users and use HTTP headers to fill name, mail and roles.
Pour une meilleure integration, LimeSurvey doit être configuré pour créer automatiquement les utilisateurs inconnus et utiliser les en-têtes HTTP pour remplir le nom, le mail et les rôles.
This objectClass allow attributes <c1>cn</c1> and <c2>description</c2>.
Cet classe d'objet autorise les attributs <c1>cn</c1> et <c2>description</c2>.
Select the key, and export it (button <c0>Download</c0>).
Selectionner la clef, et l'exporter (bouton <c0>Télécharger</c0>):
You must come back later to fill this parameter.
Il faudra revenir plus tard pour adapter ce paramètre.
Jquery (javascript framework) is included in tarball and RPMs, but is a dependency on Debian official releases
Jquery (framework javascript) est inclus dans l'archive et les RPMs, mais est une dépendance des versions officielles Debian
Prepare the database and the LL::NG configuration file
Preparer la base de donnée et le fichier de configuration LL::NG
Manager (sessions explorer)
Manager (explorateur de sessions)
<s0>Check SLO message signature</s0>: check SLO message signature
<s0>Vérifie la signature des messages SLO</s0> : vérifie la signature des messages SLO
../../../media/applications/phpldapadmin_logo.png
../../../media/applications/phpldapadmin_logo.png
See <a0>translations</a0>.
Voir <a0>traductions</a0>.
It can be used to host the portal or the manager through its FastCGI support and can be used to protect applications using the auth_request module (dialing with a FastCGI authorization server).
Il peut être utilisé pour héberger le portail ou le manager au travers de son support FastCGI et peut être utilisé pour protéger des applications en utilisant le module auth_request (qui dialogue avec un serveur d'autorisations FastCGI).
Anonymous access
Accès anonyme
They are extracted from the users database by the <a1>users module</a1>.
Elles sont extraites de la base de données des utilisateurs par le <a1>module utilisateurs</a1>.
The default rule is:
La règle par défaut est :
Use LDAP for sessions
Utiliser LDAP pour les sessions
Accounting
Traçabilité
checkLogonHours($ssoLogonHours, '', $_timezone)
checkLogonHours($ssoLogonHours, '', $_timezone)
Back to main index
Retour à l'index principal
All static content (examples, <a0>CSS</a0>, images, etc.) is in /usr/share/lemonldap-ng/
Tous le contenu statique (exemples, <a0>CSS</a0>, images, etc...) se trouve dans /usr/share/lemonldap-ng/
<s0>Confirmation mail content</s0> (optional): Content of mail sent when password change is asked
<s0>Contenu du message de confirmation</s0> (optionnel) : contenu du courriel envoyé lorsque le changement de mot-de-passe est demandé
notifyDeleted
notifyDeleted
You have to install mod_ssl for Apache.
Installer mod_ssl pour Apache.
As LDAP is a login/password based module, the authentication level can be:
Comme LDAP est un module de type login/mot-de-passe, le niveau d'authentification peut être :
See <a0>how to do this</a0> on Zimbra wiki.
Voir <a0>comment le faire</a0> sur le wiki Zimbra.
Use with caution.
À utiliser avec précaution.
By default, notifications will be stored in the same database as configuration:
Par défaut, les notifications sont stockées dans la même base de données que la configuration :
http://search.cpan.org/perldoc?DBD::Pg
http://search.cpan.org/perldoc?DBD::Pg
It is also used by <a2>SAML SP</a2> to fill the authentication level in user session, based on authentication response authentication context.
Il est également utilisé par le <a2>SP SAML</a2> pour définir le niveau d'authentification dans la session de l'utilisateur en se basant sur la réponse d'authentification.
xguimard@example.com
xguimard@example.com
<s168>)</s168><s169>;</s169>
<s168>)</s168><s169>;</s169>
download
Téléchargement
To extend <a0>SSO</a0> on several domains, a cross-domain mechanism is implemented in LemonLDAP::NG.
Pour étendre le <a0>SSO</a0> sur plusieurs domaines, un mécanisme inter-domaines est intégré à LemonLDAP::NG.
<a0>safejail</a0><br1/>
<a0>safejail</a0><br1/>
$groups =~ /\badmin\b/
$groups =~ /\badmin\b/
Go on <a0>http://auth.example.com</a0> and log with one of the demonstration account.
Allez sur <a0>http://auth.example.com</a0> et connectez-vous avec l'un des comptes de démonstration
Protect the Manager by LL::NG
Protéger le manager par LL::NG
Portal <a0>URL</a0> is the address used to redirect users on the authentication portal by:
L'<a0>URL</a0> du portail est l'adresse utilisée pour rediriger les utilisateurs bers le portail d'authentification par :
Install the new lemonldap-ng.ini file at the place of the old file in all <a0>LL::NG</a0> servers
Installer le nouveau fichier lemonldap-ng.ini à la place de l'ancien dans tous les serveurs <a0>LL::NG</a0>
twitterSecret
twitterSecret
<s6>require</s6> SOAP::Lite;
</Perl>
<s6>require</s6> SOAP::Lite;
</Perl>
Pascal PEJAC
Pascal PEJAC
<a0>CAS</a0> CA file
Fichier d'AC de <a0>CAS</a0>
<a1>Try Freenode Webchat</a1>!
<a1>Essayez le client web Freenode</a1> !
https://developers.facebook.com/apps
https://developers.facebook.com/apps
phpLDAPadmin
phpLDAPadmin
Use /adminSessions if the Handler need to modify the session, for example if you configured an idle timeout.
Utiliser /adminSessions si l'agent doit modifier la session, par exemple si on configure un délai d'inactivité des sessions.
/_detail/logos/sgs_white_small.jpg?id=references
/_detail/logos/sgs_white_small.jpg?id=references
Radius secret
Secret Radius
Without index, <a0>LL::NG</a0> will have to retrieve all sessions stored in backend and parse them to find the needed sessions.
Sans index, <a0>LL::NG</a0> doit récupérer toutes les sessions stockées dans le backend et les examiner pour trouver les sessions demandées.
http://dev.twitter.com/pages/api_faq
http://dev.twitter.com/pages/api_faq
Most of configuration can be done trough LemonLDAP::NG Manager (by default <a0>http://manager.example.com</a0>).
La majeure partie de la configuration peut être réalisée via le manager LemonLDAP::NG (par défaut <a0>http://manager.example.com</a0>).
All handlers download the whole configuration, so many servers can serve the same virtual hosts
Tous les agents téléchargent intégralement la configuration, donc plusieurs serveurs peuvent servir le même hôte virtuel
icons:personal.png
icons:personal.png
Each virtual host is a protected resource, with access rules, headers, POST data and options.
Chaque hôte virtuel est une ressource protégée, avec règles d'accès, en-têtes, options et données POST.
by double <a0>IP</a0> (sessions opened by the same user from multiple computers)
par double <a0>IP</a0> (sessions ouvertes par le même utilisateur sur plusieurs machines)
Xavier GUIMARD<br0/>
Xavier GUIMARD<br0/>
exportedVars
exportedVars
The cookie $id isn't yet available: Object does not exist in the data store
The cookie $id isn't yet available: Object does not exist in the data store
See <a0>Manager protection documentation</a0> to know how to use Apache modules or <a1>LL::NG</a1> to manage access to Manager.
Voir la <a0>documentation de protection du manager</a0> pour savoir comment utiliser les modules d'Apache ou <a1>LL::NG</a1> pour gérer l'accès au manager.
customheader.tpl : <a0>HTML</a0> code int the header div
customheader.tpl : code <a0>HTML</a0> inséré dans le div d'en-tête
When <c0>Choice</c0> is selected for authentication, values for Users and Password modules are also forced to <c1>Choice</c1>.
Lorsque <c0>Choice</c0> est selectionné pour l'authentification, les valeurs pour les modules utilisateur et mots-de-passe sont forcées à <c1>Choice</c1>.
<s0>Max age</s0>: Value of max_age parameter (example: 3600)
<s0>Âge max</s0> : valeur du paramètre max_age (exemple : 3600)
These settings can be overriden per virtual host, see <a0>virtual host management</a0>.
Ces paramètres peuvent être surchargés dans chaque hôte virtuel, voir la <a0>gestion des hôtes virtuels</a0>.
<a2>exportedvars</a2><br3/>
<a2>exportedvars</a2><br3/>
http://auth.example.com/index.pl/sessions
http://auth.example.com/index.pl/sessions
The OP should publish its metadata in a JSON file (see for example <a0>Google metadata</a0>).
L'OP peut publier sa métadonnée dans un fichier JSON (voir par exemple la <a0>métadonnée Google</a0>).
^/admin/
^/admin/
http://www.omegat.org/
http://www.omegat.org/
http://drupal.org
http://drupal.org
Remote Session backend options
Options du backend de sessions distant
<s0>List type</s0>: choose white list to define allowed domains or black list to define forbidden domains
<s0>Type de liste</s0> : choisir liste blanche pour définir la liste exhaustive des domaines autorisés ou liste noire pour lister les domaines interdits
Example
Exemple
http://joind.in/2862
http://joind.in/2862
<s0>Success mail subject</s0>: Subject of mail sent when password is changed (default: [LemonLDAP::NG] Your new password)
<s0>Sujet du message de succès</s0> : sujet du courriel lorsque le mot-de-passe est changé (défaut : [LemonLDAP::NG] Your new password)
See <a2>https://doc.integ01.dev-franceconnect.fr/fs-scopes</a2>
Voir <a2>https://doc.integ01.dev-franceconnect.fr/fs-scopes</a2>
casStorageOptions
casStorageOptions
In this case you will be able to use <c1>$_password</c1> to fill any password POST field.
Dans ce cas, la variable <c1>$_password</c1> peut être utilisée dans tous les champs à envoyer.
You can set one or several <a3>IP</a3> addresses, separated by spaces, or let this parameter empty to disable the checking.
Plusieurs adresses <a3>IP</a3> separées par des espaces peuvent être entrées, ou ce paramètre peut rester vide pour désactiver ce contrôle.
Then set:
et indiquez :
<s0>Password modify extended operation</s0>: enable to use the LDAP extended operation <c1>password modify</c1> instead of standard modify operation.
<s0>Opération étendue de modification de mot-de-passe</s0> : active l'utilisation de l'opération étendue de <c1>modification de mot-de-passe</c1> LDAP au lieu de l'opération standard.
<a0>DBI</a0> password
Mot-de-passe <a0>DBI</a0>
images and other media files
images et autres médias
This message is displayed only when you upgrade from a version older than 1.0
Ce message n'est affiché que lors d'une mise à jour depuis une version inférieure à la 1.0
yum update
yum update
<s0># SOAP functions for sessions management (disabled by default)</s0>
<s0># Gestion des fonctions SOAP functions pour la gestion des sessions (désactivée par défaut)</s0>
Configuration
Configuration
<s0># SAML2 Issuer</s0>
<s0># Fournisseur d'identité SAML2</s0>
persistentStorage
persistentStorage
Variables can be used in rules and headers.
Les variables peuvent être utilisées dans les règles et en-têtes.
<s0>WebID whitelist</s0>: list of space separated hosts granted to host FOAF document.
<s0>Liste blanche WebID</s0> : liste de noms d'hôtes, séparés par des espaces, autorisés à héberger les documents FOAF.
http://search.cpan.org/perldoc?Apache::Session::Postgres
http://search.cpan.org/perldoc?Apache::Session::Postgres
Authentication choice will also be registered in session:
Le choix d'authentication est également enregistré dans la session :
You just have to activate Notifications in the Manager (General Parameters > Advanced Parameters > Notifications > Activation) or in lemonldap-ng.ini:
Il suffit d'activer les notifications dans le manager (Paramètres généraux > Paramètres avancés > Notifications > Activation) ou dans lemonldap-ng.ini :
During this period, user can ask the confirmation mail to be resent (default: session timeout value)
Durant cette période, l'utilisateur peut demander que le courriel soit ré-émis (défaut : durée de vie de la session)
<a0>DBI</a0> UserDB connection password
Mot-de-passe de connexion UserDB <a0>DBI</a0>
The request validity time is a configuration parameter.
La durée de validité de la requête est un paramètre de configuration.
internal variables, managed by LemonLDAP::NG
les variables internes, gérées par LemonLDAP::NG
Apache portal SSL configuration
Configuration SSL du portail dans Apache
To stack several times the same module, use “#name” with different names.
Pour empiler plusieurs fois le même module, utiliser ”#nom” avec différents noms.
<s0>Auth-User</s0>: $uid
<s0>Auth-User</s0>: $uid
install_doc_site (/usr/local/lemonldap-ng/htdocs/doc)
install_doc_site (/usr/local/lemonldap-ng/htdocs/doc)
Indeed, this variable is set by the Handler on the physical server hosting the Handler, and not on other servers where the Handler is not installed.
Toutefois, cette variable est renseignée par l'agent dans le serveur physique l'hébergeant mais pas dans les autres serveurs sans agents.
../documentation/current/portalcustom.html
../documentation/current/portalcustom.html
Give a static value
Donne une valeur statique
OW2 annual conference
Conférence annuelle OW2
<s1>AuthzLDAPAuthoritative</s1> <s2>On</s2>
<s1>AuthzLDAPAuthoritative</s1> <s2>On</s2>
Get UserInfo as JSON or as JWT
Récupérer UserInfo au format JSON ou JWT
SSO cookie
Cookie SSO
Some options are available:
Quelques options sont disponibles :
Next create the configuration branch where you want.
Créer ensuite la branche des configurations n'importe où.
Store -> MySQL
Lock -> Null
Generate -> MD5
Serialize -> Storable
DataSource -> dbi:mysql:sessions;host=...
Store -> MySQL
Lock -> Null
Generate -> MD5
Serialize -> Storable
DataSource -> dbi:mysql:sessions;host=...
macros are used to extend (or rewrite) <s0><a1>exported variables</a1></s0>.
Les macros sont utilisées pour étendre (ou réécrire) les <s0><a1>variables exportées</a1></s0>.
http://lanyrd.com/2011/fpw2011/sfhcb/
http://lanyrd.com/2011/fpw2011/sfhcb/
This works like <a0>File backend</a0>, except that data are serialized in JSON.
Il fonctionne comme le <a0>backend File</a0>, si ce n'est que les données sont sérialisées au format JSON.
<a0>CAS</a0> <a1>PGT</a1> temporary file
Fichier temporaire <a1>PGT</a1> de <a0>CAS</a0>
To enable <a0>LL::NG</a0> authentication plugin, go in <c1>/etc/obm/obm_conf.inc</c1>:
Pour activer le composant d'authentification <a0>LL::NG</a0>, aller dans <c1>/etc/obm/obm_conf.inc</c1>:
Hamza AISSAT
Hamza AISSAT
../../../media/icons/jabber_protocol.png
../../../media/icons/jabber_protocol.png
To work with <a0>LL::NG</a0> it requires:
Pour fonctionner avec <a0>LL::NG</a0> il faut :
Issuer: this is the LemonLDAP::NG (our IdP) Entity Id, which is by default #PORTAL#/saml/metadata
Issuer : c'est l'identifiant d'entité de LemonLDAP::NG, qui est par défaut #PORTAL#/saml/metadata
Open SSO session
Ouvrez une session SSO
Strasbourg
Strasbourg
<s0>logon_hours</s0>: string representing allowed logon hours (GMT)
<s0>logon_hours</s0> : chaîne représentant les heures autorisées (GMT)
You can use Redis and set up the database like explained in <a0>Redis session backend</a0>.
Il est possible d'utiliser Redis comme expliqué dans <a0>Backend de sessions Redis</a0>.
Net::OpenID::Consumer > 1.00
Net::OpenID::Consumer > 1.00
groups are stored as space-separated strings in the special attribute “groups”: it contains the names of groups whose rules were returned true for the current user
les groupes sont stockées en chaîne de caractères séparées par des espaces dans l'attribut spécial “groups” : il contient les noms des groupes dont la règle à retournée une valeur non nulle pour l'utilisateur courant
File configuration backend
Backend de configuration File
Send “Lastname, firstname” in Auth-Name:
Envoi de “Lastname, firstname” dans Auth-Name:
cda
cda
../../../media/icons/kmultiple.png
../../../media/icons/kmultiple.png
Add a new rule:
Ajouter une nouvelle règle :
/_detail/icons/flags/de.png?id=press
/_detail/icons/flags/de.png?id=press
<a0>LL::NG</a0> uses <a1>Perl Authen::Radius </a1> as a simple authentication backend.
<a0>LL::NG</a0> utilise <a1>Authen::Radius de Perl</a1> comme simple backend d'authentification.
South Bay Community Network
South Bay Community Network
Access rule: <c0>accept</c0>
Règle d'accès : <c0>accept</c0>
<a2>Lutece</a2>
<a2>Lutece</a2>
port
port
Outlook Web Access, …
Outlook Web Access, …
<s7>Allow</s7> from <s8>all</s8>
<s7>Allow</s7> from <s8>all</s8>
https://websso.dmz.bpi.fr/
https://websso.dmz.bpi.fr/
mailto:lemonldap-ng-users@ow2.org
mailto:lemonldap-ng-users@ow2.org
Required for PostgreSQL
Requis pour PostgreSQL
<a4>performances</a4><br5/>
<a4>performances</a4><br5/>
Proxy backend to be used in conjunction with another configuration backend.
Backend proxy à utiliser avec un autre backend de configuration.
<s0>LDAP password encoding</s0>: can allow to manage old LDAP servers using specific encoding for passwords (default: utf-8).
<s0>Encodage des mots-de-passe LDAP</s0> : peut permettre de gérer les anciens servers LDAP en utilisant un encodage spécifique pour les mots-de-passe (défaut: utf-8).
You can define how many logins and failed logins will be stored.
On peut définir le nombre de connexions et d'échecs à stocker.
Apache based protection
Protection basée sur Apache
Applications listed below are known to be easy to integrate in <a0>LL::NG</a0>.
Les applications listées ci-dessous sont connues pour être faciles à intégrer à <a0>LL::NG</a0>.
All identity provider protocols can be used simultaneously
Tous les protocoles de fournisseur d'identité peuvent être utilisés simultanément
In Debian/Ubuntu mod_ssl is already shipped in <c0>apache2.2-common</c0> package.
Dans Debian/Ubuntu mod_ssl est installé avec le paquet <c0>apache2.2-common</c0>.
Drupal virtual host in Apache
Hôte virtuel Apache hébergeant Drupal
../../documentation/features.html#session_restrictions
../../documentation/features.html#session_restrictions
http://jira.ow2.org/browse/LEMONLDAP
http://jira.ow2.org/browse/LEMONLDAP
lemonldapng
lemonldapng
LemonLDAP::NG <a0>SSO cookies</a0> are generated by <a1>Apache::Session</a1>, they are as secure as a 128-bit random cookie.
Les <a0>cookies SSO</a0> de LemonLDAP::NG sont générés par <a1>Apache::Session</a1>, ils sont aussi sûrs que tout cookie basé sur un aléa de 128 bits.
Problems are generally resolved in up to 72 hours)
Ces problèmes sont généralement résolus en moins de 72 heures)
...
</<s3>VirtualHost</s3>>
...
</<s3>VirtualHost</s3>>
UserName -> ...
UserName -> ...
By default, LemonLDAP::NG uses Apache logs to store user actions and other messages:
Par défaut, LemonLDAP::NG utilise les journaux d'Apache pour journaliser les actions des utilisateurs et autre messages :
You can write <a0>rules</a0> matching any component of <a1>URL</a1> to protect including GET parameters, but be careful.
On peut écrire des <a0>règles</a0> qui examine n'importe quel composant de l'<a1>URL</a1> à protéger y compris les paramètres GET, mais il faut faire attention.
../media/icons/flags/de.png
../media/icons/flags/de.png
change password (with server side password policy management)
changer les mots-de-passe (avec la gestion de la politique de mot-de-passe côté serveur)
qw(delete <s3>header</s3> cache read_from_client cookie <s4>redirect</s4> unescapeHTML));
qw(delete <s3>header</s3> cache read_from_client cookie <s4>redirect</s4> unescapeHTML));
User provisioning (account auto creation at first connection)
Importation des comptes utilisateurs (auto-création à la première connexion)
After choosing the file name (for example lemonldapn-ng-priv.key), download the key on your disk.
Après avoir choisi le nom de fichier (par exemple lemonldapn-ng-priv.key), le télécharger sur le disque.
Configure Drupal virtual host like other <a0>protected virtual host</a0>.
Configurer l'hôte virtuel Drupal comme n'importe quel autre <a0>hôte virtuel protégé</a0>.
Access to Liferay (first time):
Accès à Liferay (première connexion):
documentation:liferay_3.png
documentation:liferay_3.png
<a0>GRR</a0> is a room booking software.
<a0>GRR</a0> est un logiciel de réservation de chambres.
<s0>+3M</s0>: three months from session creation
<s0>+3M</s0> : trois mois après la création de la session
Parameter redirections
Paramètrer les redirections
<s0>Check JWT signature</s0>: Set to 0 to disable JWT signature checking
<s0>Vérifier la signature JWT</s0> : mettre à 0 pour désactiver la signature JWT
chmod 750 /var/lib/lemonldap-ng/sessions /var/lib/lemonldap-ng/sessions/lock
chown www-data:www-data /var/lib/lemonldap-ng/sessions /var/lib/lemonldap-ng/sessions/lock
chmod 750 /var/lib/lemonldap-ng/sessions /var/lib/lemonldap-ng/sessions/lock
chown www-data:www-data /var/lib/lemonldap-ng/sessions /var/lib/lemonldap-ng/sessions/lock
<a0>URL</a0> used before being redirected to the portal (empty if portal was used as entry point)
<a0>URL</a0> utilisée avant d'être redirigé vers le portail (vide si le portail a été utilisé comme point d'entrée)
Datas related to <a0>SAML</a0> protocol
Donnée relative au protocole <a0>SAML</a0>
Zimbra
Zimbra
Project = <e0>[path/to/trunk/build/lemonldap-ng]</e0>/omegat.files/zz <e1>(where zz is your international code, example: “fr” for France)</e1>
Projet = <e0>[chemin/vers/trunk/build/lemonldap-ng]</e0>/omegat.files/zz <e1>(où zz est votre code international, exemple: “fr” pour le français)</e1>
It is best known for their CRM products and social networking applications.
Elle est connue pour ses CRM et applications de réseaux sociaux.
uid
uid
PostgreSQL
PostgreSQL
<a0>URL</a0> pattern: <c1>^/admin/</c1>
Expression sur l'<a0>URL</a0> : <c1>^/admin/</c1>
<a2>redirections</a2><br3/>
<a2>redirections</a2><br3/>
It means that you manage authorizations to access applications by checking the role(s) of the user, and provide this role to the application.
Celà signifie qu'on gère les autorisations d'accès aux applications en examinant le(s) rôle(s) de l'utilisateur et en fournissant ce(s) rôle(s) à l'application.
Organization
Organisation
Admin
Admin
0.9.4_password_menu.png
0.9.4_password_menu.png
Examples for <a0>LDAP</a0>:
Exemples pour <a0>LDAP</a0> :
LemonLDAP::NG will do some checks on configuration and display errors and warnings if any.
LemonLDAP::NG effectue ensuite quelques tests sur la configuration et affiche les éventuelles erreurs et avertissements.
../../../../media/documentation/googleapps-sso.png
../../../../media/documentation/googleapps-sso.png
The “default” rule is only applied if no other rule match
La règle “default” n'est appliquée que si aucune autre règle ne correspond
Once <a0>OpenID Connect service</a0> is configured, you need to register to France Connect.
Une fois le <a0>service OpenID-Connect</a0> configuré, on peut s'enregistrer dans France Connect.
You need to activate LDAP authentication, else <a0>SSO</a0> authentication will not work.
Il faut activer l'authentification LDAP sinon l'authentification <a0>SSO</a0> ne marchera pas.
DNS
DNS
<a0>LL::NG</a0> is able to transfer (trough SOAP) authentication credentials to another <a1>LL::NG</a1> portal, like a proxy.
<a0>LL::NG</a0> peut transferer (en utilisant SOAP) les éléments d'authentification à un autre portail <a1>LL::NG</a1>, comme un proxy.
CSOD control panel
Panneau de configuration CSOD
status
status
Uniform Resource Identifier
Uniform Resource Identifier
GLPI
GLPI
Create database:
Créer la base de données :
documentation/presentation.html
documentation/presentation.html
Portal destroys session and redirects user on itself with an empty <a0>SSO cookies</a0>
Le portail détruit la session et redirige l'utilisateur sur lui-même avec un <a0>cookie SSO</a0> vide
Use LDAP for configuration
Utiliser LDAP pour la configuration
Clone
Clone
Before enabling Manager protection by <a0>LL::NG</a0>, you must have configured how users authenticate on Portal, and test that you can log in without difficulties.
Avant d'activer la protection du manager par <a0>LL::NG</a0>, il faut avoir configuré la méthode d'authentification sur le portail et véifier qu'on peut s'y connecter sans difficultés.
Same with remote server configured with the same host name:
La même chose avec le serveur distant configuré avec le même nom d'hôte :
You need to register your LemonLDAP::NG application to Google in order to obtain the Client ID and the Client Secret, see <a0>https://developers.google.com/</a0>
Il faut enregistrer l'application LemonLDAP::NG chez Google pour obtenir le couple identifiant mot-de-passe, voir <a0>https://developers.google.com/</a0>
To configure the user identifier in access log, go in Manager, <c0>General Parameters</c0> > <c1>Logging</c1> > <c2>REMOTE_USER</c2>.
Pour configurer l'identifiant utilisateur dans les journaux d'accès, aller dans le manager, <c0>Paramètres généraux</c0> > <c1>Journalisation</c1> > <c2>REMOTE_USER</c2>.
documentation:latest:authdemo
documentation:latest:authdemo
Choose and configure your main configuration storage system
Choisir et configurer le système principal de stockage de la configuration
<s0>getMenuApplications(cookieValue)</s0>: return a list of authorizated applications (based on menu calculation)
<s0>getMenuApplications(cookieValue)</s0>: retourne une liste des applications autorisées (basée sur le calcul du menu)
Parameters for File backend are the same as <a0>File configuration backend</a0>.
Les paramètres pour le backend File sont les mêmes que ceux du <a0>backend de configuration File</a0>.
purge old sessions
purger les anciennes sessions
user full name
Nom complet de l'utilisateur
icons:access.png
icons:access.png
Manager protection
Protection du manager
<s3>'ldapAuthnLevel'</s3> <s4>=></s4> <s5>'2'</s5><s6>,</s6>
<s3>'ldapAuthnLevel'</s3> <s4>=></s4> <s5>'2'</s5><s6>,</s6>
Reload the Manager to see the order that will be used
Recharger le manager pour voir l'ordre dans lequel elles seront appliquées
../../../../media/applications/http_logo.png
../../../../media/applications/http_logo.png
<s0>Preauthentication <a1>URL</a1></s0>: Zimbra preauthentication <a2>URL</a2>, either with full <a3>URL</a3> (ex: <a4>http://zimbra.lan/service/preauth</a4>), either only with path (ex: /service/preauth) (by default: /service/preauth)
<s0><a1>URL</a1> de pré-authentification</s0> : <a2>URL</a2> de pré-authentification Zimbra, soit l'<a3>URL</a3> complète (ex : <a4>http://zimbra.lan/service/preauth</a4>), soit seulement le chemin absolu (ex : /service/preauth) (par défaut : /service/preauth)
<s0>Validity time of a password reset request</s0>: number of seconds for password reset request validity.
<s0>Durée de validité de la requête de réinitialisation de mot-de-passe</s0> : nombre de secondes pour la validité de la requête de réinitialisation.
You can find some configuration tips <a0>on this page</a0>.
On peut trouver quelques éléments de configuration <a0>dans cette page</a0>.
Source directory = <e0>[path/to/trunk/build/lemonldap-ng]</e0>/doc/
Répertoire des sources = <e0>[chemin/vers/trunk/build/lemonldap-ng]</e0>/doc/
<s0>Logo</s0>: Logo of the application
<s0>Logo</s0> : logo de l'application
Configure your SQL database
Configurer la base de données SQL
Restart fail2ban
Redémarrer fail2ban
LDAPCon
LDAPCon
See <a0>Yubico API</a0> page.
Voir la page <a0>Yubico API</a0>.
<s140>"userobm_mail_quota"</s140> <s141>=></s141> <s142>"HTTP_OBM_MAILQUOTA"</s142><s143>,</s143>
<s140>"userobm_mail_quota"</s140> <s141>=></s141> <s142>"HTTP_OBM_MAILQUOTA"</s142><s143>,</s143>
Follow the <a0>next steps</a0>
Suivre les <a0>étapes suivantes</a0>
Then, go in <c0>Remote parameters</c0>:
Ensuite, aller dans les <c0>paramètres Remote</c0> :
Authorization => basic($uid,$_password)
Authorization => basic($uid,$_password)
To encode the redirection <a0>URL</a0>, the handler will use some Apache environment variables and also configuration settings:
Pour encoder l'<a0>URL</a0> de redirection, l'agent utilise des variables d'environnement Apache et des paramètres de configuration :
Fields to index
Champs à indexer
For CentOS/RHEL, We advice to disable the default SSL virtual host configured in /etc/httpd/conf.d/ssl.conf.
Pour CentOS/RHEL, il est recommandé de désactiver l'hôte virtuel SSL par défaut configuré dans /etc/httpd/conf.d/ssl.conf.
<s0>$ldapservers</s0><s1>-></s1><s2>SetValue</s2><s3>(</s3><s4>$i</s4><s5>,</s5><s6>'server'</s6><s7>,</s7><s8>'auth_type'</s8><s9>,</s9><s10>'config'</s10><s11>)</s11><s12>;</s12>
<s13>$ldapservers</s13><s14>-></s14><s15>SetValue</s15><s16>(</s16><s17>$i</s17><s18>,</s18><s19>'login'</s19><s20>,</s20><s21>'dn'</s21><s22>,</s22><s23>'cn=Manager,dc=example,dc=com'</s23><s24>)</s24><s25>;</s25>
<s26>$ldapservers</s26><s27>-></s27><s28>SetValue</s28><s29>(</s29><s30>$i</s30><s31>,</s31><s32>'login'</s32><s33>,</s33><s34>'pass'</s34><s35>,</s35><s36>'secret'</s36><s37>)</s37><s38>;</s38>
<s0>$ldapservers</s0><s1>-></s1><s2>SetValue</s2><s3>(</s3><s4>$i</s4><s5>,</s5><s6>'server'</s6><s7>,</s7><s8>'auth_type'</s8><s9>,</s9><s10>'config'</s10><s11>)</s11><s12>;</s12>
<s13>$ldapservers</s13><s14>-></s14><s15>SetValue</s15><s16>(</s16><s17>$i</s17><s18>,</s18><s19>'login'</s19><s20>,</s20><s21>'dn'</s21><s22>,</s22><s23>'cn=Manager,dc=example,dc=com'</s23><s24>)</s24><s25>;</s25>
<s26>$ldapservers</s26><s27>-></s27><s28>SetValue</s28><s29>(</s29><s30>$i</s30><s31>,</s31><s32>'login'</s32><s33>,</s33><s34>'pass'</s34><s35>,</s35><s36>'secret'</s36><s37>)</s37><s38>;</s38>
~17000
~17000
../../../../media/applications/dokuwiki_logo.png
../../../../media/applications/dokuwiki_logo.png
If your table is not named lmConfig, set it's name in <c0>dbiTable</c0> parameter.
Si la table ne se nomme pas lmConfig, mettre son nom dans le paramètre <c0>dbiTable</c0>.
svn checkout svn://svn.forge.objectweb.org/svnroot/lemonldap
svn checkout svn://svn.forge.objectweb.org/svnroot/lemonldap
Siteminder Authentication
Siteminder Authentication
get groups where user is registered
obtenir les groupes dont l'utilisateur est membre
This timeout allows to purge sessions of lost RelayState.
Ce délai permet de supprimer les sessions des RelayState perdus.
Go in Manager and click on <c0><a1>SAML</a1> 2 Service</c0> node.
Allez dans le Manager et cliquez sur le nœud <c0>Service <a1>SAML</a1> 2</c0>.
<s0><a1>API</a1> secret</s0>: <a2>API</a2> secret from Twitter
<s0>Secret d'<a1>API</a1></s0>: secret d'<a2>API</a2> donné par Twitter
Simple usage example:
Exemple d'usage simple :
mailto:lemonldap-ng-changes@ow2.org
mailto:lemonldap-ng-changes@ow2.org
<s0>Login field name</s0>: name of authentication table column hosting login
<s0>Nom du champ de compte</s0> : nom de la colonne de la table d'authentification contenant le login
../media/icons/knewsticker.png
../media/icons/knewsticker.png
Using <a0>LL::NG</a0> in reverse proxy mode, you will not have the <c1>REMOTE_USER</c1> environment variable set.
Lorsque <a0>LL::NG</a0> est utilisé en mode reverse-proxy, la variable d'environnement <c1>REMOTE_USER</c1> n'est pas renseignée.
The following table list fields to index depending on the feature you want to increase performance:
Le tableau suivant liste les champs à indexer suivant les fonctionnalités dont on souhaite améliorer les performances :
User-Email
User-Email
<a0>LL::NG</a0> will then display a form with an OpenID input, wher users will type their OpenID login.
<a0>LL::NG</a0> affiche alors un formulaire dans lequel les utilisateurs peuvent entrer leur identifiant OpenID.
Configure LemonLDAP::NG to use LDAP as main database
Configurer LemonLDAP::NG pour utiliser LDAP comme base de données principale
Go in Manager, <c0>General parameters</c0> » <c1>Advanced parameters</c1> » <c2>Security</c2>:
Aller dans le manager, <c0>Paramètres généraux</c0> » <c1>Paramètres avancés</c1> » <c2>Sécurité</c2> :
../../../../media/applications/obm_logo.png
../../../../media/applications/obm_logo.png
Mail reset feature
Fonctionnalité de réinitialisation de mot-de-passe
If authentication succeed, Portal collect user data
Si l'authentication est acceptée, le portail récupère les données de l'utilisateur
Liferay virtual host in Manager
Hôte virtuel Liferay dans le manager
Documentation install :
Installer la documentation :
It can be configured globally, or inside a virtual host.
Il peut être configuré globalement, ou dans chaque hôte virtuel.
http://search.cpan.org/search?query=Safe&mode=module
http://search.cpan.org/search?query=Safe&mode=module
Then you will be able to use it in your template like this:
On peut ensuite l'utiliser dans le modèle comme suit :
Secure Token attribute
Attribut du jeton sécurisé
You can also disable internal Sympa authentication to keep only LemonLDAP::NG by removing user_table paragraph
Il est également possible de désactiver l'authentification interne de Sympa pour ne garder que celle de LemonLDAP::NG en supprimant le paragraphe user_table
You have to set its value in Manager.
Il faut en indiquer une dans le manager.
$uid eq "bart.simpson"
$uid eq "bart.simpson"
Safe module is used to eval expressions in headers, rules, etc.
Le module Safe est utilisé pour évaluer les expressions dans les en-têtes, règles, etc...
(see ppolicy workflow below)
(voir le procédé de politique de mots-de-passe ci-dessous)
Then, go in <c0>SSL parameters</c0>:
Aller ensuite dans <c0>Paramètres SSL</c0> :
Interactive <s0>management of user passwords</s0>:
<s0>Gestion interactive des mots-de-passe des utilisateurs</s0>:
http://httpd.apache.org/docs/current/mod/mod_setenvif.html
http://httpd.apache.org/docs/current/mod/mod_setenvif.html
You can preselect IDP with an IDP resolution rule.
Il est possible de pré-selectionner l'IDP par une règle de résolution.
ldapUsePasswordResetAttribute
ldapUsePasswordResetAttribute
1 if user is admin
1 si l'utilisateur est administrateur
File session backend is the more simple session database.
Le backend de sessions File est la plus simple des bases de données.
/var/lib/lemonldap-ng/sessions
/var/lib/lemonldap-ng/sessions
liblemonldap-ng-common-perl: configuration and common files
liblemonldap-ng-common-perl : fichiers communs et de configuration
The path to the main directory
Le chemin du répertoire principal
The module must be loaded by Apache (LoadModule directive).
Ce module doit être chargé par Apache (directive LoadModule).
Secure Token protected URLs
URL protégées du jeton sécurisé
This documentation concerns MySQL.
Cette documentation est construite autour de MySQL.
Password expiration warning workflow
Procédé d'avertissement avant expiration du mot-de-passe
<a0>Configuring the virtual hosts</a0> is not sufficient to display an application in the menu.
<a0>Configurer les hôtes virtuels</a0> n'est pas suffisant pour afficher une application dans le menu.
</<s7>Location</s7>>
</<s7>Location</s7>>
You can import a certificate containing the public key instead the raw public key.
Vous pouver importer un certificat contenant la clef publique au lieu d'une simple clef.
<s11>my</s11> <s12>$param</s12> <s13>=</s13> <a14><s15>shift</s15></a14><s16>;</s16>
<s11>my</s11> <s12>$param</s12> <s13>=</s13> <a14><s15>shift</s15></a14><s16>;</s16>
Don't forget to create an index on the field used to find users (uid by default)
N'oubliez pas de créer un index sur le champ utilisé pour trouver les utilisateurs (uid par défaut)
You should have configured <a0>LL::NG</a0> as an <a1>SAML Identity Provider</a1>,
Il est nécessaire d'avoir configuré <a0>LL::NG</a0> comme <a1>fournisseur d'identité SAML</a1>,
<s0>SOAP sessions end point</s0> (optional): SOAP end point, if not based on internal portal <a1>URL</a1> with <c2>index.pl/sessions</c2> suffix
<s0>Point terminal des sessions SOAP</s0> (optionnel): URL du service SOAP si elle n'est pas basée sur celle du portail interne avec le suffixe <c2>index.pl/sessions</c2>
http://search.cpan.org/perldoc?LWP::UserAgent
http://search.cpan.org/perldoc?LWP::UserAgent
<a0>LL::NG</a0> can use an LDAP directory to:
<a0>LL::NG</a0> peut utiliser un annuaire LDAP pour :
_notification_<e0>id</e0>
_notification_<e0>id</e0>
Configure the connection string (see <a0>DBI manual page</a0>)
Configurer la chaîne de connexion (voir la <a0>page de manuel DBI</a0>)
ldapTimeout
ldapTimeout
More information about Safe on <a0>CPAN</a0>
Plus d'information sur Safe sur le <a0>CPAN</a0>
../../../css/all.css
../../../css/all.css
^/Microsoft-Server-ActiveSync
^/Microsoft-Server-ActiveSync
http://perldoc.perl.org/functions/package.html
http://perldoc.perl.org/functions/package.html
<s0>Password policy control</s0>: enable to use LDAP password policy.
<s0>Contrôle de politique de mot-de-passe</s0> : active l'utilisation de la politique de mots-de-passe LDAP.
Service configuration will be used to generate <a0>LL::NG</a0> <a1>SAML</a1> metadata, that will be shared with other providers.
La configuration du service est utilisée pour générer les métadatas <a1>SAML</a1> de <a0>LL::NG</a0>, qui sont partagées avec les autres fournisseurs.
Internet Relay Chat
Internet Relay Chat
<s0>Backgound color</s0>: Background color displayed in the BrowserID login window
<s0>Couleur d'arrière plan</s0> : Couleur d'arrière plan affichée dans la fenêtre d'authentification BrowserID
Identity Provider Logout <a0>URL</a0>: the logout location on the IdP
Identity Provider Logout <a0>URL</a0> : l'URL de déconnexion de l'IdP
This configuration storage can be shared between different hosts using:
Ce type de stockage de configuration peut être partagé entre différents serveurs en utilisant :
http://httpd.apache.org/docs/2.2/mod/mod_proxy.html
http://httpd.apache.org/docs/2.2/mod/mod_proxy.html
install_handler_site (/usr/local/lemonldap-ng/handler)
install_handler_site (/usr/local/lemonldap-ng/handler)
<s115>"userobm_zipcode"</s115> <s116>=></s116> <s117>"HTTP_OBM_POSTALCODE"</s117><s118>,</s118>
<s115>"userobm_zipcode"</s115> <s116>=></s116> <s117>"HTTP_OBM_POSTALCODE"</s117><s118>,</s118>
It is possible with AJAX code and 3 Apache locations to bypass this limitation.
Il est possible d'éviter ceci avec un code AJAX et 3 "locations" Apache.
http://lanyrd.com/2011/jdll/smdct/
http://lanyrd.com/2011/jdll/smdct/
Glossary directory = <e0>[path/to/trunk/build/lemonldap-ng]</e0>/omegat.files/zz/glossary/
Répertoire des glossaires = <e0>[path/to/trunk/build/lemonldap-ng]</e0>/omegat.files/zz/glossary/
<s0><s1>[</s1>manager<s2>]</s2></s0>
<s3>;protection = manager</s3>
<s0><s1>[</s1>manager<s2>]</s2></s0>
<s3>;protection = manager</s3>
<a0>Probe</a0> <br1/>
<a0>Probe</a0> <br1/>
Shareable
Partageable
So the above example can also be written like this:
Ainsi l'exemple ci-dessous peut être écrit simplement :
Mail charset
Table de caractères des mails
<s0>Activation in register form</s0>: set to 1 to display captcha in register form
<s0>Activation dans le formulaire d'enregistrement</s0> : mettre à 1 pour activer le captcha dans ce formulaire
Zimbra account type
Type de compte Zimbra
dbiAuthPasswordCol
dbiAuthPasswordCol
tar zxvf AuthCAS-1.4.tar.gz
cd AuthCAS-1.4/
perl Makefile.PL
make
make test
tar zxvf AuthCAS-1.4.tar.gz
cd AuthCAS-1.4/
perl Makefile.PL
make
make test
http://perldoc.perl.org/functions/shift.html
http://perldoc.perl.org/functions/shift.html
It can be used to delete a session
Il peut être utilisé pour effacer une session
documentation/current/prereq.html#yum
documentation/current/prereq.html#yum
Apache SSL global configuration
Configuration globale de ssl dans Apache
<a0>browseablesessionbackend</a0><br1/>
<a0>browseablesessionbackend</a0><br1/>
<s0>Response Location</s0>: Access Point for SLO response.
<s0>Response Location</s0>: Point d'accès pour les réponses SLO.
https://www.public.com
https://www.public.com
Each <a0>LL::NG</a0> authentication module has an authentication level, which can be associated to an <a1>SAML authentication context</a1>.
Chaque module d'authentification de <a0>LL::NG</a0> dispose d'un niveau d'authentification qui peut être associé à un <a1>contexte d'authentification SAML</a1>.
dn: cn=lmConf-1,ou=conf,ou=applications,dc=example,dc=com
objectClass: top
objectClass: applicationProcess
cn: lmConf-1
description: {globalStorage}'Apache::Session::File'
description: {cookieName}'lemonldap'
description: {whatToTrace}'$uid'
...
dn: cn=lmConf-1,ou=conf,ou=applications,dc=example,dc=com
objectClass: top
objectClass: applicationProcess
cn: lmConf-1
description: {globalStorage}'Apache::Session::File'
description: {cookieName}'lemonldap'
description: {whatToTrace}'$uid'
...
<a0>LL::NG</a0> Slave backend relies on HTTP headers to retrieve user login and/or attributes.
Le backend Slave de <a0>LL::NG</a0> utilise les en-têtes <a1>HTTP</a1> pour récupérer le nom d'utilisateur et/ou les attributs.
documentation:latest:installdeb
documentation:latest:installdeb
The Kerberos configuration is quite complex.
La configuration Kerberos est assez complexe.
<a0>Apache::Session::Browseable</a0> is a wrapper for other Apache::Session modules that add the capability to manage indexes.
<a0>Apache::Session::Browseable</a0> est une surcouche d'autres modules Apache::Session qui ajoute des capacités d'indexation.
Genève
Genève
locationRules
locationRules
LimeSurvey virtual host in Manager
Hôte virtuel LimeSurvey dans le manager
../../../media/documentation/remote-interoperability.png
../../../media/documentation/remote-interoperability.png
Custom-Header => function1($uid)
Custom-Header => function1($uid)
<s8># SOAP functions for sessions access (disabled by default)</s8>
<s8># Fonctions SOAP pour l'accès aux sessions (désactivées par défaut)</s8>
../../../media/applications/liferay_logo.png
../../../media/applications/liferay_logo.png
Zimbra local <a0>SSO</a0> <a1>URL</a1> pattern
Expression d'<a1>URL</a1> <a0>SSO</a0> locale pour Zimbra
if you use “File” system and your “dirName” is set to /usr/local/lemonldap-ng/conf/, the notifications will be stored in /usr/local/lemonldap-ng/notifications/
si “File” est utilisé et que “dirName” vaut /usr/local/lemonldap-ng/conf/, les notifications seront stockées dans /usr/local/lemonldap-ng/notifications/
/_detail/screenshots/1.1/mailreset/mailreset_step3.png?id=screenshots
/_detail/screenshots/1.1/mailreset/mailreset_step3.png?id=screenshots
In <c0>General</c0>, fill at least the following information:
Dans <c0>General</c0>, remplir au moins les informations suivantes :
Paris
Paris
SOAP session backend
Backend de sessions SOAP
Reverse proxy
Proxy inverse
And run the “dist” target:
Lancer la cible “dist” :
One of mandatory information is the redirect <a1>URL</a1> (one or many).
Une des informations exigées est l'<a1>URL</a1> de redirection (une ou plusieurs).
LemonLDAP::NG ships 3 Apache configuration files:
LemonLDAP::NG fournit 3 fichiers de configuration Apache :
This means that the user Name ID will be mapped to the Federation ID field.
Ceci signifie que l'identifiant utilisateur correspondra avec le champ Federation ID.
lemonldap-ng-conf: contains default configuration (<a0>DNS</a0> domain: example.com)
lemonldap-ng-conf : contient la configuration par défaut (domaine <a0>DNS</a0> : example.com)
Debian/Ubuntu
Debian/Ubuntu
Admin: can create surveys
Admin : peut créer des surveillances
Be careful for Windows user, path must contains “/”.
Attention avec les systèmes Windows, le séparateur de répertoire est le ”/”.
Find us on Freenode, channel #lemonldap-ng
Retrouvez-nous sur Freenode, canal #lemonldap-ng
SAML
SAML
OpenID authentication can proposed as an alternate authentication scheme using the <a0>authentication choice</a0> method.
L'authentification OpenID peut être proposée en choix alternatif en utilisant la méthode d'authentification <a0>choice</a0>.
Accept some specificities:
Autres possibilités :
SAML connectors
Connecteurs SAML
To configure warning before password expiration, you must set two variables in Active Directory parameters in Manager:
Pour configurer l'avertissement vant expiration, il faut indiquer deux variables des paramètres Active Directory dans le Manager:
<s5># Uncomment this line if you use portal SOAP capabilities</s5>
<s5># Décommentez cette ligne si vous utilisez les capacités SOAP du portail</s5>
http://search.cpan.org/~manowar/RadiusPerl-0.12/Radius.pm
http://search.cpan.org/~manowar/RadiusPerl-0.12/Radius.pm
Identity Provider Login <a0>URL</a0>: the user/password <a1>SAML</a1> portal location on the IdP
Identity Provider Login <a0>URL</a0> : l'emplacement du portail utilisateur/mot-de-passe <a1>SAML</a1> dans l'IdP
http://en.wikipedia.org/wiki/Role-based_access_control
http://en.wikipedia.org/wiki/Role-based_access_control
http://www.cpantesters.org/distro/L/Lemonldap-NG-Common.html
http://www.cpantesters.org/distro/L/Lemonldap-NG-Common.html
_timezone
_timezone
(o/n) n
Le nouveau rôle doit-il être autorisé à créer de nouveaux rôles ?
(o/n) n
Le nouveau rôle doit-il être autorisé à créer de nouveaux rôles ?
<s2>'LDAP#Openldap'</s2> <s3>=></s3> <s4>{</s4>
<s2>'LDAP#Openldap'</s2> <s3>=></s3> <s4>{</s4>
The next time you will access Manager, it will be trough <a0>LL::NG</a0>.
En retournant vers le manager, ce sera via <a0>LL::NG</a0>.
<s145>//"userobm_nomade_enable" => ,</s145>
<s145>//"userobm_nomade_enable" => ,</s145>
documentation:presentation
documentation:presentation
When a user access a Handler without a cookie, he is redirected on portal, and the target <a0>URL</a0> is encoded in redirection <a1>URL</a1> (to redirect user after authentication process).
Lorsqu'un utilisateur accède à un agent sans cookie, il est redirigé vers le portail, et l'<a0>URL</a0> cible est encodée dans l'<a1>URL</a1> de redirection (pour rediriger l'utilisateur après authentification).
Your application can know the connected user using:
Une application peut connaître l'utilisateur connecté en utilisant :
<s20><s21><property</s21> <s22>name</s22>=<s23>"authenticationManager"</s23> <s24>ref</s24>=<s25>"authenticationManager"</s25> <s26>/></s26></s20>
<s27><s28></bean<s29>></s29></s28></s27>
<s30><s31><bean</s31> <s32>id</s32>=<s33>"preauthAuthProvider"</s33> <s34>class</s34>=<s35>"org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider"</s35><s36>></s36></s30>
<s20><s21><property</s21> <s22>name</s22>=<s23>"authenticationManager"</s23> <s24>ref</s24>=<s25>"authenticationManager"</s25> <s26>/></s26></s20>
<s27><s28></bean<s29>></s29></s28></s27>
<s30><s31><bean</s31> <s32>id</s32>=<s33>"preauthAuthProvider"</s33> <s34>class</s34>=<s35>"org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider"</s35><s36>></s36></s30>
Note that Apache::Session::Browseable::MySQL doesn't use MySQL locks.
Notez que Apache::Session::Browseable::MySQL n'utilise pas les verrous MySQL.
Before installing the packages, install <a0>dependencies</a0>.
Avant d'installer les paquets, installer les <a0>dépendances</a0>.
</<s15>Files</s15>>
</<s15>Files</s15>>
Example:
Exemple :
The AuthBasic Handler is a special Handler that will us AuthBasic to authenticate to a virtual host, and then play authorizations rules to allow access to the virtual host.
L'agent AuthBasic est un agent spécial qui utilise l'authentification web basique pour authentifier dans un hôte virtuel et qui utilise ensuite les règles d'autorisation pour valider les accès à l'hôte virtuel.
Exploitation
Exploitation
AuthCAS
AuthCAS
<s1>ServerName</s1> auth.example.com
<s1>ServerName</s1> auth.example.com
Professional Services
Services professionnel
../../../../media/documentation/liferay_2.png
../../../../media/documentation/liferay_2.png
Put all custom <a3>HTML</a3> code in the custom template files.
Mettre tous les codes <a3>HTML</a3> personnalisés dans les fichiers modèles personnalisés.
If <c0>OpenID login</c0> is not set, it uses <c1>General Parameters</c1> » <c2>Logs</c2> » <c3>REMOTE_USER</c3> data, which is set to <c4>uid</c4> by default
Si l'<c0>identifiant OpenID</c0> n'est pas renseigné, la donnée <c1>Paramètres généraux</c1> » <c2>Journalisation</c2> » <c3>REMOTE_USER</c3> est utilisée, mise à <c4>uid</c4> par défaut
mailLDAPFilter
mailLDAPFilter
<a0>DN</a0> of sessions branch
<a0>DN</a0> de la branche des sessions
LimeSurvey
LimeSurvey
<a0>LL::NG</a0> can act as an <a1>CAS</a1> server, that can allow to federate <a2>LL::NG</a2> with:
<a0>LL::NG</a0> peut agir en serveur <a1>CAS</a1>, ce qui permet de fédérer <a2>LL::NG</a2> avec :
is a cloud computing company.
est une entreprise d'infonuagique (cloud).
Eric GERMAN
Eric GERMAN
uid: the user login (it must correspond to the attribute set in whatToTrace parameter, uid by default), or the wildcard string (by default: <c0>allusers</c0>) if the notification should be displayed for every user.
uid : le nom de connexion de l'utilisateur (il doit correspondre à l'attribut utilisé dans le paramètre whatToTrace, uid par défaut), ou la carte blanche (par défaut : <c0>allusers</c0>) si la notification doit être affichée à tous les utilisateurs.
The
# host must be matched by a group named "host".
The
# host must be matched by a group named "host".
<s16>'full_name'</s16> <s17>=></s17> <s18>$_SERVER</s18><s19>[</s19><s20>'HTTP_AUTH_CN'</s20><s21>]</s21><s22>,</s22>
<s16>'full_name'</s16> <s17>=></s17> <s18>$_SERVER</s18><s19>[</s19><s20>'HTTP_AUTH_CN'</s20><s21>]</s21><s22>,</s22>
Subject for password mail
Sujet du message de changement de mot de passe
Use XForwardedFor for <a0>IP</a0>
Utiliser XForwardedFor comme <a0>IP</a0> cliente
<s0>+10y</s0>: ten years from session creation
<s0>+10y</s0> : dix ans après la création de la session
To configure requested attributes, edit <s0>Exported variables</s0> and define attributes:
Pour configurer les attributs à récupérer, éditer les <s0>Variables exportées</s0> et definir les attributs :
<s0>time_correction</s0> (optional): hours to add or to subtract
<s0>time_correction</s0> (optionnel) : heures à ajouter ou soustraire
su - postgres
createuser lemonldap-ng -P
su - postgres
createuser lemonldap-ng -P
<s0>type</s0> <s1>=</s1><s2> SOAP</s2>
<s3>proxy</s3> <s4>=</s4><s5> https://auth.example.com/index.pl/config</s5>
<s0>type</s0> <s1>=</s1><s2> SOAP</s2>
<s3>proxy</s3> <s4>=</s4><s5> https://auth.example.com/index.pl/config</s5>
logout_sso
logout_sso
Click on <c0>Metadata</c0>, and use the OpenID Connect configuration <a1>URL</a1> to load them: <a2>https://accounts.google.com/.well-known/openid-configuration</a2>.
Cliquer sur <c0>Métadonnées</c0>, et utiliser l'<a1>URL</a1> de configuration OpenID-Connect pour les charger : <a2>https://accounts.google.com/.well-known/openid-configuration</a2>.
Assertion decryption Certificate: choose a certificate only if you want to cipher your assertion.
Assertion decryption Certificate : choisir un certificat seulement si on veut chiffrer les assertions.
If you activate proxy mode, you must create the <a0>PGT</a0> file on your system, for example:
Si le mode proxy est activé, il faut créer le fichier <a0>PGT</a0> sur le système, par exemple :
Steps:
Étapes :
provide identities to other systems
fournir une identité à d'autres systèmes
If for an obscure reason, the WebSSO is not working and you want to access the Manager, remove the protection in <c0>lemonldap-ng.ini</c0>.
Si pour une quelconque raison le WebSSO ne fonctionne pas, pour accéder au manager, supprimer la protection dans <c0>lemonldap-ng.ini</c0>.
LemonLDAP::NG uses Safe jail to evaluate all expressions:
LemonLDAP::NG utilise une cage sécurisée pour évaluer toutes les expressions :
Go in <c0>Exported attributes</c0> to choose which attributes you want to collect.
Aller dans les <c0>attributs exportés</c0> pour choisir les attributs à collecter.
http://herve.vanmeerbeck.free.fr/?p=53
http://herve.vanmeerbeck.free.fr/?p=53
Soap
Soap
<s0><a1>SSO</a1> binding</s0>: force binding to use for <a2>SSO</a2> (http-redirect, http-post, etc.)
<s0>Méthode <a1>SSO</a1></s0> : force la méthode à utiliser pour le <a2>SSO</a2> (http-redirect, http-post, etc.)
../../../../media/applications/drupal_logo.png
../../../../media/applications/drupal_logo.png
http://www.linagora.com
http://www.linagora.com
<s0>Object class</s0>: objectClass of the groups (default: groupOfNames).
<s0>Classe d'object</s0>: objectClass du groupe (défaut: groupOfNames).
Cache backend options
Options du module du cache local
You can:
Vous pouvez :
Sympa mail session key
Clef de session mail pour Sympa
LDAPFilter
LDAPFilter
use any key name you want.
utiliser n'importe quel nom de clef.
<s0># rule</s0>
admin <s1>-></s1> <s2>$admin</s2> <s3>||=</s3> <s4>(</s4><s5>$uid</s5> <s6>eq</s6> <s7>'foo'</s7> <s8>or</s8> <s9>$uid</s9> <s10>eq</s10> <s11>'bar'</s11><s12>)</s12>
<s13># header</s13>
Display<s14>-</s14>Name <s15>-></s15> <s16>$displayName</s16> <s17>||=</s17> <s18>$givenName</s18><s19>.</s19><s20>" "</s20><s21>.</s21><s22>$surName</s22>
<s0># règle</s0>
admin <s1>-></s1> <s2>$admin</s2> <s3>||=</s3> <s4>(</s4><s5>$uid</s5> <s6>eq</s6> <s7>'foo'</s7> <s8>or</s8> <s9>$uid</s9> <s10>eq</s10> <s11>'bar'</s11><s12>)</s12>
<s13># en-tête</s13>
Display<s14>-</s14>Name <s15>-></s15> <s16>$displayName</s16> <s17>||=</s17> <s18>$givenName</s18><s19>.</s19><s20>" "</s20><s21>.</s21><s22>$surName</s22>
1 if user is authorizated to access to it
1 si l'utilisateur est autorisé à y accéder
../../../../media/documentation/liferay_3.png
../../../../media/documentation/liferay_3.png
CustomSOAPServices
CustomSOAPServices
In LDAP filters, $user is replaced by user login, and $mail by user email.
Dans les filtres LDAP, $user est remplacé par le nom du compte et $mail par l'adresse email.
Yubikey client ID
ID client Yubikey
Uniform Resource Locator
Uniform Resource Locator
In this case, you might want to disabling it.
Dans ces cas, on peut vouloir le désactiver.
http://www.slideshare.net/coudot/lemonldapng-un-websso-libre-en-perl
http://www.slideshare.net/coudot/lemonldapng-un-websso-libre-en-perl
You can use different dbiUser strings :
Plusieurs chaînes dbiUser sont utilisables :
A session key can be associated to more than one SREG attribute.
Une clef de session peut être associée à un ou plusieurs attributs SREG.
http://www.bugzilla.org
http://www.bugzilla.org
Debian
Debian
User clicks on the link <c0>Reset my password</c0>
L'utilisateur clique sur le lien <c0>Réinitialiser mon mot-de-passe</c0>
<a0>Memcached</a0> can be used with <a1>LL::NG</a1>, but some features will not work since Memcached doesn't provide any parsing system:
<a0>Memcached</a0> peut être utilisé avec <a1>LL::NG</a1>, mais quelques fonctionnalités ne marcheront pas car Memcached ne fournit pas de dispositif de parcours des données :
<a0>SAML</a0> IDP preselection
Préselection d'IDP <a0>SAML</a0>
The <a0>encode_base64</a0> subroutine
Fonction <a0>encode_base64</a0>
../documentation/1.0/applications.html
../documentation/1.0/applications.html
<<s0>Directory</s0> /usr/local/lemonldap-ng/htdocs/manager/>
<<s0>Directory</s0> /usr/local/lemonldap-ng/htdocs/manager/>
In the Manager, go in <c0>General Parameters</c0> » <c1>Issuer modules</c1> » <c2>OpenID</c2> and configure:
Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules fournisseurs</c1> » <c2>OpenID</c2> et configurer :
….
….
Windows
Windows
singleIP
singleIP
applications:obm_logo.png
applications:obm_logo.png
The content of the SVN tarball is not the same as the official tarball.
Le contenu de l'archive SVN n'est pas le même que l'officielle.
documentation:latest:start
documentation:latest:start
You have to use <c0>Multiple</c0> as authentication modul (this will also force <c1>Multiple</c1> for the users module).
Il faut utiliser <c0>Multiple</c0> comme module d'authentification (celà force <c1>Multiple</c1> pour le module utilisateur).
<s0>Key</s0>: internal session key, can be prefixed by <c1>!</c1> to make the attribute required
<s0>Clef</s0> : clef de session interne, peut être prefixé par <c1>!</c1> pour exiger ces attributs
JSON File configuration backend
Backend de configuration en fichier JSON
Now go in <c0>Options</c0>:
Aller ensuite dans <c0>Options</c0>:
http://mb-c.pro/fr/archives/1468
http://mb-c.pro/fr/archives/1468
Sebastien DIAZ
Sebastien DIAZ
For example <c1>{ldapPort}389</c1>.
Par exemple <c1>{ldapPort}389</c1>.
You can also add a rule for logout:
Il est possible d'ajouter une règle pour la déconnexion :
Toolinux
Toolinux
../../../../media/documentation/liferay_7.png
../../../../media/documentation/liferay_7.png
../../../media/applications/http_logo.png
../../../media/applications/http_logo.png
You can create these two headers to fill user name and mail (see extension configuration):
On peut créer ces 2 en-têtes pour qu'ils corresponde au nom d'utilisateur et a son adresse mail (voir la configuration de l'extension) :
Restart Apache:
Redémarrez Apache:
Often the redirection takes some time because it is user's first access to the protected app, so a new app session has to be created : JavaScript redirection improves user experience by informing that authentication is performed, and by preventing from clicking again on the button because it is too slow.
Souvent la redirection prend du temps car c'est le premier accès de l'utilisateur à l'application protégée et il faut créer la session applicative ; la redirection JavaScript améliore le ressenti utilisateur en l'informant que l'authentification est réussie et en évitant qu'il clique de nouveau sur le bouton.
The logout request will be sent even if the user did not use the application.
La requête de déconnexion est envoyée même si l'utilisateur ne s'est pas connecté à l'application.
Finally, configure for each user his Federation ID value.
Finalement, configurer pour chaque utilisateur son identifiant de fédération.
Categories and applications
Catégories et applications
/_detail/icons/flags/us.png?id=press
/_detail/icons/flags/us.png?id=press
Any <a0>CAS</a0> consumer
N'importe quel client <a0>CAS</a0>
<s0>Facebook application ID</s0>: the application ID you get
<s0>ID de l'application Facebook</s0> : l'identifiant d'application obtenu
The Basic Authentication relies on a specific HTTP header, as described above.
L'authentification basique est portée par un en-tête HTTP spécifique, tel que décrit ci-dessous.
Encoded characters
Caractères encodés
<s0>Gateways authentication</s0>: force transparent authentication on <a1>CAS</a1> server
<s0>Authentification des passerelles</s0> : force l'authentification transparente sur le serveur <a1>CAS</a1>
<s0>portal</s0>: parameters only for Portal
<s0>portal</s0> : paramètres réservés au portail
General options
Options générales
Use Apache::Session::Browseable
Utiliser Apache::Session::Browseable
LemonLDAP::NG
LemonLDAP::NG
Net::Twitter
Net::Twitter
This avoid to have to many datas stored.
Ce dispositif évite de stocker trop de données.
<s0>Default</s0>: will this binding be used by default for authentication response.
<s0>Défaut</s0> : déclaration utilisée par défaut pour les réponses d'authentification.
Tests
Tests
http://svn.forge.objectweb.org/cgi-bin/viewcvs.cgi/lemonldap/
http://svn.forge.objectweb.org/cgi-bin/viewcvs.cgi/lemonldap/
<s0>Password max age</s0> : number of seconds after the last password change, before it expires.
<s0>Âge macimum du mot-de-passe</s0> : nombre de secondes entre le changement de mot-de-passe et son expiration.
touch /tmp/pgt.txt
touch /tmp/pgt.txt
LemonLDAP::NG provides these packages:
LemonLDAP::NG fournit ces paquets :
To know more about the jail, check <a0>Safe module documentation</a0>.
Pour en savoir plus sur la cage, consulter la <a0>documentation du module Safe</a0>.
Solutions Linux
Solutions Linux
1.0 and 1.1
1.0 et 1.1
<a4>ldapsessionbackend</a4><br5/>
<a4>ldapsessionbackend</a4><br5/>
SOAP proxy mechanism
SOAP proxy mechanism
If needed, you can <a0>recompile the valve from the sources</a0>.
Si besoin, <a0>recompiler la valve depuis les sources</a0>.
You can install Lemonldap::NG using <a0>packages</a0> (rpm or deb) or by hand as described below.
Vous pouvez installer Lemonldap::NG en utilisant des <a0>paquets</a0> (rpm ou deb) ou à la main comme décrit ci-après.
http://www.solutionslinux.fr/
http://www.solutionslinux.fr/
Before transmission, the username and password are encoded as a sequence of base-64 characters.
Avant la transmission, le nom et le mot de passe sont encodés en base-64.
Password module
Module mots-de-passe
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html
Bugzilla administration
Administration de Bugzilla
Auth-Password => $_password
Auth-Password => $_password
../media/icons/tux.png
../media/icons/tux.png
Single Logout
Single Logout (SLO)
Install prerequisites
Installer les pré-requis
Login as administrator:
Se connecter comme administrateur:
<s0>Name</s0>: internal name
<s0>Name</s0>: nom interne
Configure phpLDAPadmin virtual host like other <a0>protected virtual host</a0>.
Configurer l'hôte virtuel phpLDAPadmin comme n'importe quel autre <a0>hôte virtuel protégé</a0>.
If not Go on Manager, and declare Manager as a new <a0>virtual host</a0>, for example <c1>manager.example.com</c1>.
Si non, aller dans le manager et déclarer le manager comme un nouvel <a0>hôte virtuel</a0>, par exemple <c1>manager.example.com</c1>.
Indeed, any <a0>Perl DBD driver</a0> can be used.
Ainsi, tout <a0>driver Perl DBD</a0> peut être utilisé.
<s18>Order</s18> <s19>deny</s19>,<s20>allow</s20>
<s18>Order</s18> <s19>deny</s19>,<s20>allow</s20>
SAML settings
Paramètres SAML
SOAP services
Services SOAP
_auth
_auth
Then, go in <c0>Facebook parameters</c0>:
Ensuite, aller dans les <c0>paramètres Facebook</c0>:
<s2># Load Zimbra Handler</s2>
<s2># Load Zimbra Handler</s2>
<a0>Lanyrd</a0> <br1/>
<a0>Lanyrd</a0> <br1/>
<s0><s1>[</s1>configuration<s2>]</s2></s0>
<s3>type</s3><s4>=</s4><s5>File</s5>
<s6>dirName</s6> <s7>=</s7><s8> /usr/local/lemonldap-ng/data/conf</s8>
<s0><s1>[</s1>configuration<s2>]</s2></s0>
<s3>type</s3><s4>=</s4><s5>File</s5>
<s6>dirName</s6> <s7>=</s7><s8> /usr/local/lemonldap-ng/data/conf</s8>
You should be redirected to <a0>LL::NG</a0> Portal.
On doit être redirigé vers le portail <a0>LL::NG</a0>.
You need to provide the callback URLs, for example <a0>https://auth.domain.com/?openidcallback=1</a0>.
Il faut fournir les URLs de rappel, par exemple <a0>https://auth.domain.com/?openidcallback=1</a0>.
<s0>Secured cookie</s0>: the cookie can only be sent over HTTPS
<s0>Cookie sécurisé</s0> : le cookie peut être envoyé via HTTPS
<s46>"userobm_login"</s46> <s47>=></s47> <s48>"HTTP_OBM_UID"</s48><s49>,</s49>
<s46>"userobm_login"</s46> <s47>=></s47> <s48>"HTTP_OBM_UID"</s48><s49>,</s49>
But you can forward this key if it is really needed:
Mais on peut le transmettre tout de même si nécessaire :
Handler Status
Page de statut de l'agent
<a0>LL::NG</a0> is compatible with the OpenID Authentication protocol <a1>version 2.0</a1> and <a2>version 1.0</a2>.
<a0>LL::NG</a0> est compatible avec le protocole d'authentification OpenID <a1>version 2.0</a1> et <a2>version 1.0</a2>.
http://www.slideshare.net/coudot/rmll2010-lemon-ldapngsaml
http://www.slideshare.net/coudot/rmll2010-lemon-ldapngsaml
<s0>Search base</s0>: <a1>DN</a1> of groups branch.
<s0>Base de recherche</s0> : <a1>DN</a1> de la branche des groupes.
<s0>Facebook application secret</s0>: the corresponding secret
<s0>Secret de l'application Facebook</s0> : le secret correspondant
In the Manager, select node <c0><a1>SAML</a1> identity providers</c0> and click on <c2>Add <a3>SAML</a3> IDP</c2>.
Dans le Manager, selectionner le noeud <c0>Fournisseurs d'identité <a1>SAML</a1></c0> et cliquer sur <c2>Ajouter un IdP <a3>SAML</a3></c2> :
Mediawiki
Mediawiki
<s0>Display name</s0>: Name of the application
<s0>Nom affiché</s0> : nom de l'application
<s0>dbiPassword</s0>: <a1>DBI</a1> password.
<s0>dbiPassword</s0> : mot-de-passe <a1>DBI</a1>.
http://tomcat.apache.org/
http://tomcat.apache.org/
<s0>Sign SLO message</s0>: sign SLO message
<s0>Signature des messages SLO</s0> : signe les messages de déconnexion SLO (single logout)
Do you we have to present <a0>Google</a0>?
Devons-nous présenter <a0>Google</a0> ?
sudo make configure STORAGECONFFILE=/etc/lemonldap-ng/lemonldap-ng.ini
sudo make configure STORAGECONFFILE=/etc/lemonldap-ng/lemonldap-ng.ini
Each module can be disabled using the <c0>Null</c0> backend.
Chaque module peut être désactivé en utilisant le backend <c0>Null</c0>.
<s17>-></s17><s18>proxy</s18><s19>(</s19><s20>'http://auth.example.com/index.pl/notification'</s20><s21>)</s21><s22>;</s22>
<s23>$r</s23> <s24>=</s24> <s25>$lite</s25><s26>-></s26><s27>deleteNotification</s27><s28>(</s28><s29>'foo.bar'</s29><s30>,</s30> <s31>'ABC'</s31><s32>)</s32><s33>;</s33>
<s34>if</s34> <s35>(</s35> <s36>$r</s36><s37>-></s37><s38>fault</s38> <s39>)</s39> <s40>{</s40>
<s17>-></s17><s18>proxy</s18><s19>(</s19><s20>'http://auth.example.com/index.pl/notification'</s20><s21>)</s21><s22>;</s22>
<s23>$r</s23> <s24>=</s24> <s25>$lite</s25><s26>-></s26><s27>deleteNotification</s27><s28>(</s28><s29>'foo.bar'</s29><s30>,</s30> <s31>'ABC'</s31><s32>)</s32><s33>;</s33>
<s34>if</s34> <s35>(</s35> <s36>$r</s36><s37>-></s37><s38>fault</s38> <s39>)</s39> <s40>{</s40>
<s0>Token expiration</s0>: time in seconds for token expiration (remove from Memcached server).
<s0>Expiration du jeton</s0> : délai en secondes pour l'expiration du jeton (effacement du serveur Memcached).
You need to forward the password, which can be the user main password (if <a0>password is stored in session</a0>, or any user attribute (if you keep secondary passwords in users database).
Il est nécessaire d'exporter le mot-de-passe, qui peut être le mot-de-passe principal de l'utilisateur (si <a0>le mot-de-passe est stocké dans la session</a0>, ou n'importe quel attribut utilisateur (si d'autres mots-de-passe sont stockés dans la base de données des utilisateurs).
Session backend options
Options du module de stockage des sessions
To protect a virtual host in Apache, the LemonLDAP::NG Handler must be activated (see <a0>Apache global configuration</a0>).
Pour protéger un hôte virtuel dans Apache, l'agent LemonLDAP::NG doit être activé (voir <a0>configuration globale d'Apache</a0>).
sample_notification.png
sample_notification.png
<s0>Activation</s0>: set to <c1>On</c1>.
<s0>Activation</s0> : mettre à <c1>Activé</c1>.
<s0># SOAP functions for notification insertion (disabled by default)</s0>
<<s1>Location</s1> /index.pl/notification>
<s0># SOAP functions for notification insertion (disabled by default)</s0>
<<s1>Location</s1> /index.pl/notification>
<s164>//"userobm_location" => ,</s164>
<s164>//"userobm_location" => ,</s164>
<s0>New</s0>: to write all configuration history
<s0>New</s0> : pour écrire l'historique de la configuration
<s0>.js</s0>: Javascript
<s0>.js</s0>: Javascript
documentation/quickstart.html
documentation/quickstart.html
Lemonldap::NG manage applications by their hostname (Apache's virtualHosts).
Lemonldap::NG gère les applications par leurs noms d'hôtes(hôtes virtuels d'Apache).
dbiAuthPasswordHash
dbiAuthPasswordHash
firewalls (but be careful if more than 1 server is behind the firewall)
pare-feux (attention toutefois si plus d'une application se trouve derrière le pare-feu)
Else it just will be sent trough an attribute response, if explicitly requested in an attribute request.
Sinon, il ne sera envoyé dans les réponses que s'il est explicitement demandé dans les requêtes d'attributs.
Require old password (change)
Impose la présentation de l'ancien mot-de-passe dans les changements
<s0>//==================================</s0>
<s1>// WebSSO</s1>
<s2>//==================================</s2>
<s3>$useWebserverAuth</s3> <s4>=</s4> <s5>true</s5><s6>;</s6>
<s7>$WebserverAuth_autocreateUser</s7> <s8>=</s8> <s9>true</s9><s10>;</s10>
<s11>$WebserverAuth_autouserprofile</s11> <s12>=</s12> <a13><s14>Array</s14></a13><s15>(</s15>
<s0>//==================================</s0>
<s1>// WebSSO</s1>
<s2>//==================================</s2>
<s3>$useWebserverAuth</s3> <s4>=</s4> <s5>true</s5><s6>;</s6>
<s7>$WebserverAuth_autocreateUser</s7> <s8>=</s8> <s9>true</s9><s10>;</s10>
<s11>$WebserverAuth_autouserprofile</s11> <s12>=</s12> <a13><s14>Array</s14></a13><s15>(</s15>
<s0>deleteNotification</s0>: delete notification(s) for a user (see <a1>Notifications system</a1> for more)
<s0>deleteNotification</s0> : efface une ou plusieurs notifications d'un utilisateur (voir le <a1>système des notifications</a1>)
http://ow2.org/view/OW2Con-2012/Session_OW2_Project_Spotlight
http://ow2.org/view/OW2Con-2012/Session_OW2_Project_Spotlight
configStorage
configStorage
User enters his email (or another information) in the password reset form
L'utilisateur entre son adresse de courriel (ou une autre information) dans le formulaire de réinitialisation
radiusAuthnLevel
radiusAuthnLevel
Hosted application
Application hébergée
# Fail2Ban configuration file
#
# Author: Adrien Beudin
#
# $Revision: 2 $
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failure messages in the logfile.
# Fail2Ban configuration file
#
# Author: Adrien Beudin
#
# $Revision: 2 $
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failure messages in the logfile.
http://search.cpan.org/perldoc?Apache::Session::Memcached
http://search.cpan.org/perldoc?Apache::Session::Memcached
<s11>RewriteRule</s11> ^/cas/.* /index.pl
<s11>RewriteRule</s11> ^/cas/.* /index.pl
http://forge.ow2.org/project/showfiles.php?group_id=274
http://forge.ow2.org/project/showfiles.php?group_id=274
User authenticates on Portal
L'utilisateur d'authentifie sur le portail
<s0>Token endpoint authentication method</s0>: Choice between <c1>client_secret_post</c1> and <c2>client_secret_basic</c2>
<s0>Méthode d'authentification du point d'accès du jeton</s0> : choisir entre <c1>client_secret_post</c1> et <c2>client_secret_basic</c2>
_samlToken
_samlToken
Packages from <a0>Debian repository</a0> may not be up to date.
Les paquets du <a0>dépôt Debian</a0> peuvent ne pas être à jour.
icons:tutorials.png
icons:tutorials.png
http://www.php.net/array
http://www.php.net/array
screenshots.html
screenshots.html
Required parameters
Paramètres exigés
You can change default parameters using the “notificationStorage” and “notificationStorageOptions” parameters with the same syntax as configuration storage parameters.
On peut changer les paramètres par défaut en utilisant les paramètres “notificationStorage” et “notificationStorageOptions” avec la même syntaxe que les paramètres de stockage de la configuration.
Use SOAP for Lemonldap::NG configuration
Utiliser SOAP pour la configuration Lemonldap::NG
<a0>LL::NG</a0> has a logout forward mechanism, that will add a step in logout process, to send logout requests (indeed, GET requests on application logout <a1>URL</a1>) inside hidden iframes.
<a0>LL::NG</a0> dispose d'un dispositif de propagation de déconnexion qui ajoute une étape à ce processus pour envoyer des requêtes de déconnexion (en pratique, des requêtes GET vers des <a1>URL</a1> de déconnexion) dans des iframes cachées.
You have to grant read/write access for the manager component.
Il faut autoriser l'accès en lecture et écriture pour le manager.
If you upgraded <a0>LL::NG</a0>, check all <a1>upgrade notes</a1>.
Pour mettre à jour <a0>LL::NG</a0>, lisez toutes les <a1>notes de mise à jour</a1>.
<a0>Apache Tomcat</a0> is an open source software implementation of the Java Servlet and JavaServer Pages technologies.
<a0>Apache Tomcat</a0> est une implémentation libre des technologies Java Servlet et JavaServer Pages.
<s0>Developers</s0> : <a1>lemonldap-ng-dev@ow2.org</a1> ( <a2>Subscribe</a2> | <a3>Archives</a3> )
<s0>Développeurs</s0> : <a1>lemonldap-ng-dev@ow2.org</a1> ( <a2>Souscrire</a2> | <a3>Archives</a3> )
<s133>//"userobm_web_perms" => ,</s133>
<s133>//"userobm_web_perms" => ,</s133>
If this attribute is missed all hosts are allowed.
Si cet attribut est manquant, toutes les adresses seront autorisées.
If you set <c0>useLocalConf</c0> to 1 in lemonldap-ng.ini (section [Portal]), the portal will use only a cached configuration.
En mettant <c0>useLocalConf</c0> à 1 dans lemonldap-ng.ini (section [Portal]), le portail utilisera la configuration cachée.
dbiUserTable
dbiUserTable
This concerns all parameters for the Service Provider metadata section:
Ceci concerne tous les paramètres de la section « fournisseur de service » des metadatas :
http://search.cpan.org/~mart/Net-OpenID-Consumer/
http://search.cpan.org/~mart/Net-OpenID-Consumer/
Use the following form: <a0>https://doc.integ01.dev-franceconnect.fr/inscription</a0>.
Utiliser le formulaire suivant : <a0>https://doc.integ01.dev-franceconnect.fr/inscription</a0>.
User can now access to the protected application
L'utilisateur peut maintenant accéder aux applications
../../../media/applications/mediawiki_logo.png
../../../media/applications/mediawiki_logo.png
Protect your application
Protéger une application
<s0>setAttributes(cookieValue,hashtable)</s0>: update a session
<s0>setAttributes(cookieValue,hashtable)</s0> : met à jour une session
../pages/press.html
../pages/press.html
http://www.jcos.fr
http://www.jcos.fr
dob
dob
You have to include them in Apache main configuration, for example:
Il faut les inclure dans la configuration d'Apache, par exemple :
documentation
documentation
You can also use WebID as user database.
On peut également utiliser WebID comme base de données utilisateurs.
When status feature is activated, Handlers and portal will collect statistics and save them in their local cache.
Lorsque la fonctionnalité "status" est activée, les agents et le portail collectent des statistiques et les sauvegardent dans le cache local
http://www.dokuwiki.org/
http://www.dokuwiki.org/
Handler detects <a0>URL</a0> parameter and create a <a1>SSO cookies</a1> on its domain, with session ID as value
L'agent détecte le paramètre d'<a0>URL</a0> et crée le <a1>cookie SSO</a1> dans son domaine, avec la valeur de l'identifiant de session
This mode is not compatible with a lot of browsers which block pop-ups.
Ce mode n'est pas compatible avec de nombreux navigateurs qui bloquent les pop-ups.
The <a0>SSO</a0> cookie is build by the portal (as described in the <a1>login kinematic</a1>), or by the Handler for cross domain authentication (see <a2>CDA kinematic</a2>).
Le cookie <a0>SSO</a0> est construit par le portail (tel que décrit dans la <a1>cinématique de connexion</a1>) ou par l'agent (handler) lors des authentification inter-domaines (voir <a2>la cinématique de l'authentification inter-domaine</a2>).
When you change cookie expiration time, it is written on the user hard disk unlike session cookie
Lorsqu'on change la durée de vie du cookie, il est écrit sur le disque dur de l'utilisateur contrairement à un cookie de session
Cross Domain Authentication (CDA)
Authentification inter-domaines (CDA)
Sympa
Sympa
Rules can also be used to intercept logout <a0>URL</a0>:
Les règles peuvent également être utilisées pour intercepter les <a0>URL</a0> de déconnexion :
For each attribute, you can set:
Pour chaque attribut, on peut indiquer :
<s0>UTF8 metadata conversion</s0>: set to On to force partner's metadata conversion.
<s0>Conversion des métadatas un UTF8</s0> : mettre à « activé » pour forcer la conversion des métadata des partenaires.
You need to get an client ID and a secret key from Yubico.
Un identifiant client et une clef secrète doivent être obtenues auprès de Yubico.
<a0>LL::NG</a0> is a web single-sign-on system, but unlike some systems it can manage rights on applications based on regular expressions on <a1>URL</a1>.
<a0>LL::NG</a0> est un système d'authentification web unique (WebSSO), mais contrairement à d'autres, il peut gérer les droits d'accès en utilisant des expressions rationnelles sur les <a1>URL</a1> demandées.
Configure the <a0>access rules</a0> and define the following <a1>headers</a1>:
Configurer les <a0>règles d'accès</a0> et definir les <a1>en-têtes</a1> suivants :
dark
dark
../../../media/applications/googleapps_logo.png
../../../media/applications/googleapps_logo.png
login
login
Applications
Applications
http://perldoc.perl.org/functions/return.html
http://perldoc.perl.org/functions/return.html
/_detail/screenshots/1.1/notifications/sample_notification.png?id=screenshots
/_detail/screenshots/1.1/notifications/sample_notification.png?id=screenshots
User: can answer to surveys
User : peut répondre aux surveillances
<s0>Authentication level</s0>: authentication level for Radius module
<s0>Niveau d'authentification</s0> : niveau d'authentification pour Radius
samlStorage
samlStorage
Then go in <c0>Options</c0> to define:
Aller ensuite dans <c0>Options</c0> pour définir :
The integration with <a0>LL::NG</a0> is the following:
L'intégration avec <a0>LL::NG</a0> est la suivante :
Key steps :
Etapes clefs :
maintenance
maintenance
http://en.wikipedia.org/wiki/INI_file
http://en.wikipedia.org/wiki/INI_file
You can add a rule for logout:
Il est possible d'ajouter une règle pour la déconnexion :
http://openid.net/specs/openid-simple-registration-extension-1_0.html
http://openid.net/specs/openid-simple-registration-extension-1_0.html
Authentication with login/password
Authentification par nom-de-compte/mot-de-passe
<s0>Key name</s0>: name of the key in LemonLDAP::NG session (for example “uid” will then be used as $uid in access rules)
<s0>Nom de clef</s0> : nom de la clef dans la session LemonLDAP::NG (par exemple “uid” équivaut à $uid dans les règles d'accès)
Now ldapgroups contains “admin su”
Maintenant, ldapgroups contient “admin su”
Disabling it can lead to security issues.
La désactiver peut engendrer des trous de sécurité.
Dokuwiki
Dokuwiki
You may also create these macros to manage OBM administrator account (<c0>Variables</c0> » <c1>Macros</c1>):
Il est également possible de créer ces macros pour gérer le compte administrateur OBM (<c0>Variables</c0> » <c1>Macros</c1>):
documentation:googleapps-sso.png
documentation:googleapps-sso.png
Install and launch a <a0>Memcached server</a0>.
Installer et lancer un <a0>serveur Memcached</a0>.
Gender
Gender
For GLPI >= 0.71, it is a simple configuration in GLPI: Setup → Authentication.
Pour GLPI >= 0.71, une simple configuration de GLPI suffit : Setup → Authentication.
If you use the binary value (Active Directory), use this:
Si une valeur binaire est utilisée (Active Directory) :
You just have to configure a directory writable by Apache user and set it in [configuration] section in your lemonldap-ng.ini file:
Il suffit de configurer un répertoire accessible en écriture à l'utilisateur Apache et l'indiquer dans la section [configuration] du fichier lemonldap-ng.ini :
If you want to require that a field is set, add “!” before the key name :
Pour imposer qu'une valeur soit renseignée, ajouter un ”!” devant le nom de clef :
<a0>CAS</a0> authentication level
Niveau d'authentification <a0>CAS</a0>
macro and groups
les macro et groupes
<a0>CAS</a0> proxied services
Services mandatés de <a0>CAS</a0>
Redirect user to the asked <a0>URL</a0> or display menu
Redirige l'utilisateur vers l'<a0>URL</a0> demandée ou affiche le menu
<s4>RewriteRule</s4> ^/saml/metadata /metadata.pl
<s4>RewriteRule</s4> ^/saml/metadata /metadata.pl
<s45><s46><bean</s46> <s47>id</s47>=<s48>"userDetailsServiceWrapper"</s48> <s49>class</s49>=<s50>"org.springframework.security.userdetails.UserDetailsByNameServiceWrapper"</s50><s51>></s51></s45>
<s45><s46><bean</s46> <s47>id</s47>=<s48>"userDetailsServiceWrapper"</s48> <s49>class</s49>=<s50>"org.springframework.security.userdetails.UserDetailsByNameServiceWrapper"</s50><s51>></s51></s45>
Skin files
Fichiers thèmes
../documentation/current/start.html#sessions_database
../documentation/current/start.html#sessions_database
LemonLDAP::NG portal menu has 4 modules:
Le menu du portail LemonLDAP::NG est composé de 4 modules :
<s59><s60></bean<s61>></s61></s60></s59>
<s59><s60></bean<s61>></s61></s60></s59>
http://mail.ow2.org/wws/subscribe/lemonldap-ng-users
http://mail.ow2.org/wws/subscribe/lemonldap-ng-users
Enable protection on Manager, by editing <c0>lemonldap-ng.ini</c0>:
Activer la protection du manager, en éditant <c0>lemonldap-ng.ini</c0>:
<s0>Activation in password reset by mail form</s0>: set to 1 to display captcha in password reset by mail form
<s0>Activation dans le formulaire de réinitialisation de mot-de-passe</s0> : mettre à 1 pour activer le captcha dans ce formulaire
<a0>DBI</a0> UserDB connection chain
Chaîne de connexion UserDB <a0>DBI</a0>
whatToTrace
whatToTrace
Browseable (SQL, Redis or LDAP)
Browseable (SQL, Redis ou LDAP)
<a0>RoundCube</a0> webmail is a browser-based multilingual IMAP client with an application-like user interface.
Le webmail <a0>RoundCube</a0> est un client IMAP web multilingue une interface riche type application.
List of columns to query to fill user session.
Liste de colonnes à interroger pour trouver la session utilisateur.
Internal portal
Portail interne
Access rules
Règles d'accès
../../../../media/applications/sympa_logo.png
../../../../media/applications/sympa_logo.png
http://obm.org
http://obm.org
(&(sAMAccountName=$user)(objectClass=person))
(&(sAMAccountName=$user)(objectClass=person))
An enterprise account
un compte entreprise
<s0>Sessions module options</s0>:
<s0>Options du module de sessions</s0> :
<a0>LL::NG</a0> configured as <a1>SAML Identity Provider</a1>
<a0>LL::NG</a0> configuré comme <a1>fournisseur d'identité SAML</a1>
yum install mod_ssl
yum install mod_ssl
Destination directory = <e0>[path/to/trunk/build/lemonldap-ng]</e0>/po-doc/zz (where zz is your international code, example: “fr” for France)
Répertoire de destination = <e0>[chemin/vers/trunk/build/lemonldap-ng]</e0>/po-doc/zz (où zz est votre code international, exemple: “fr” pour le français)
SQL configuration backends
Backends de configuration SQL
<s0>Proxied services</s0>: list of services for which a proxy ticket is requested:
<s0>Services Proxifiés</s0> : liste des services pour lesquels un ticket de proxy est requis :
This part is based on <a0>SimpleSAMLPHP documentation</a0>.
Cette section est basée sur la <a0>documentation SimpleSAMLPHP</a0>.
<s0>Callback GET parameter</s0>: name of GET parameter used to intercept callback (default: openidconnectcallback)
<s0>Paramètres GET de rappel</s0> : nom du paramètre GET utilisé pour intercepter le rappel (défaut: openidconnectcallback)
Set '*' to accept all.
Mettre '*' pour tout accepter.
Display deleted sessions
Affiche les sessions effacées
Zimbra use a specific <a0>preauthentication protocol</a0> to provide <a1>SSO</a1> on its application.
Zimbra utilise un <a0>protocole de pré-authentification</a0> pour s'intégrer à un <a1>SSO</a1>.
Google
Google
User module
Module utilisateurs
<s15><s16><role</s16> <s17>rolename</s17>=<s18>"role1"</s18><s19>/></s19></s15>
<s15><s16><role</s16> <s17>rolename</s17>=<s18>"role1"</s18><s19>/></s19></s15>
Create a database if necessary:
Créer une base de données si nécessaire :
Selected by default during installation.
Sélectionné par défaut lors de l'installation.
Create new notifications with notifications explorer
Créer de nouvelles notifications avec l'explorateur des notifications
So, if the user is not recognized or HTTP headers not present, a 403 error is sent.
Donc, si l'utilisateur n'est pas reconnu ou si l'en-tête HTTP n'est pas présent, une erreur 403 est retournée.
<s9>RewriteEngine</s9> <s10>On</s10>
<s9>RewriteEngine</s9> <s10>On</s10>
<s0>OTP public ID part size</s0>: Part of Yubikey OTP that will be used as the media identifier (default: 12)
<s0>Taille de la partie publique de l'OTP</s0> : Partie du mot-de-passe unique Yubikey utilisée pour identifier les matériels (défaut: 12)
Mailing lists
Mailing lists
documentation:latest:sessions
documentation:latest:sessions
<s0><s1><SPSSODescriptor<s2>></s2></s1></s0>
<s0><s1><SPSSODescriptor<s2>></s2></s1></s0>
Handler sends the response to user
Celui-ci la renvoie à l'utilisateur
For example, to preselect this IDP for users coming from 129.168.0.0/16 network:
Par exemple, pour pré-sélectionner cet IDP pour les utilisateurs provenant dui réseau 129.168.0.0/16 :
<a4>references</a4><br5/>
<a4>références</a4><br5/>
Manager (configuration management)
Manager (gestion de la configuration)
<<s0>IfModule</s0> mod_rewrite.c>
<<s0>IfModule</s0> mod_rewrite.c>
<s165>//"userobm_education" => ,</s165>
<s165>//"userobm_education" => ,</s165>
http://www.slideshare.net/coudot/jdll-2010-lemonldapng100preview
http://www.slideshare.net/coudot/jdll-2010-lemonldapng100preview
This function will check the date of current request, and compare it to a start date and an end date.
Cette fonction examine la date de la requête en cours et la compare avec une date de début et de fin.
Configuration and sessions in LDAP
Configuration et sessions dans LDAP
In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Null for authentication, users or password module.
Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir <a2>Null</a2>) pour les modules authentification, utilisateurs et/ou mots-de-passe.
Update translations
Télécharger les traductions
The notifications module uses a wildcard to manage notifications for all users.
Le module de notifications utilise une carte blanche pour gérer les notifications destinées à tous les utilisateurs.
Authorizations are defined inside a virtualhost and takes effect only on it.
Les autorisations sont définies à l'intérieur d'un hôte virtuel (virtualhost) et n'ont d'effet que sur lui.
Configure the virtual host like other <a0>protected virtual host</a0> but use Secure Token Handler instead of default Handler.
Configurer l'hôte virtuel Sympa comme n'importe quel autre <a0>hôte virtuel protégé</a0> mais utiliser l'agent jeton sécurisé au lieu de l'agent par défaut.
Send mail on password change
Envoyer des courriels lors des changements de mots-de-passe
HTTP Basic Authentication
Authentification basique HTTP
cn=admin,dc=example,dc=password
cn=admin,dc=example,dc=password
You can also use different user/password for your servers by overriding parameters <c0>globalStorage</c0> and <c1>globalStorageOptions</c1> in lemonldap-ng.ini file.
On peut utiliser différent login/mot-de-passe pour les serveurs en surchargeant les paramètres <c0>globalStorage</c0> et <c1>globalStorageOptions</c1> dans le fichier lemonldap-ng.ini.
PerlModule Lemonldap::NG::Handler::Proxy
PerlModule Lemonldap::NG::Handler::Proxy
perl-Lemonldap-NG-Common: CPAN - Shared modules
perl-Lemonldap-NG-Common : CPAN - modules partagés
ldapGroupAttributeName
ldapGroupAttributeName
<s0>Authentication level</s0>: level of authentication to associate to this module
<s0>Niveau d'authentification</s0> : niveau d'authentification associé à ce module
These options override service signature options (see <a0>SAML service configuration</a0>).
Ces options surchargent les options de signature du service (voir la <a0>configuration du service SAML</a0>).
Those capabilities can be used simultaneously or separately.
Ces capacités peuvent être utilisées simultanément ou séparemment.
These options can then be overridden for each Identity Provider.
Ces options peuvent être surchargées pour chaque fournisseur d'identité.
Nb protected applications
Nb d'applications protégées
Django
Django
“static-value”
“static-value”
ldapGroupObjectClass
ldapGroupObjectClass
one with just read rights for other servers
une avec seulement des droits en lecture pour les autres serveurs
<s1>ServerName</s1> www.public.com
<s1>ServerName</s1> www.public.com
The value will be use in metadata main markup:
Cette valeur est utilisé dans les metadatas :
checkLogonHours($ssoLogonHours, '', '+2')
checkLogonHours($ssoLogonHours, '', '+2')
Known supported applications
Applications connues pour être supportées
Sympa virtual host in Apache
Hôte virtuel Sympa dans le manager
<s34>'htmleditormode'</s34> <s35>=></s35> <s36>'inline'</s36><s37>,</s37>
<s34>'htmleditormode'</s34> <s35>=></s35> <s36>'inline'</s36><s37>,</s37>
http://tomcat.apache.org/tomcat-5.5-doc/logging.html
http://tomcat.apache.org/tomcat-5.5-doc/logging.html
<s0>newNotification(xmlString)</s0>: insert a notification for a user (see <a1>Notifications system</a1> for more)
<s0>newNotification(xmlString)</s0> : insert une notification pour un utilisateur (voir le <a1>système de notifications</a1> pour plus d'information)
Change the user attribute to store in Apache logs <e0>(“General Parameters » Logs » REMOTE_USER”)</e0>: use the variable declared above
Changer l'attribut utilisateur à stocker dans les journaux d'Apache <e0>(“Paramètres généraux » Journaux » REMOTE_USER”)</e0> : utiliser la variable ci-dessus
tar zxvf lemonldap-ng-*.tar.gz
tar zxvf lemonldap-ng-*.tar.gz
<check>: paragraph to display with a checkbox: will be inserted in <a0>HTML</a0> page enclosed in <p class=“notifCheck”><input type=“checkbox” />…</p>
<check> : paragraphe à afficher avec une case à cocher : sera inséré dans la page <a0>HTML</a0> encadré dans <p class=“notifCheck”><input type=“checkbox” />…</p>
→ User does not have Lemonldap::NG cookie, handler redirect it to the portal
→ L'utilisateur ne dispose pas d'un cookie Lemonldap::NG, l'agent le redirige vers le portail
If using <a0>LL::NG</a0> as reverse proxy, configure the <c1>Auth-User</c1> <a2>header</a2>, else no headers are needed.
Si <a0>LL::NG</a0> est utilisé par reverse-proxy, configurer l'<a2>en-tête</a2> <c1>Auth-User</c1>, aucun autre en-tête n'est utile.
Load Handler in Apache memory:
Charger l'agent dans la mémoire d'Apache :
sudo make install PARAM=VALUE PARAM=VALUE ...
sudo make install PARAM=VALUE PARAM=VALUE ...
contact.html
contact.html
The Tomcat Valve is only available for tomcat 5.5 or greater.
La valve Tomcat est uniquement disponible pour les versions 5.5 et supérieures de Tomcat.
../../../media/documentation/remote-principle.png
../../../media/documentation/remote-principle.png
http://www.slideshare.net/coudot/ldapcon-2011-the-lemonldapng-project
http://www.slideshare.net/coudot/ldapcon-2011-the-lemonldapng-project
secureTokenAllowOnError
secureTokenAllowOnError
This module is a <a0>LL::NG</a0> specific identity federation protocol.
Ce module fournit un protocole de fédération d'identité spécifique à <a0>LL::NG</a0>.
<s0>Enabled</s0>: Yes
<s0>Enabled</s0>: Yes
../../media/icons/flags/us.png
../../media/icons/flags/us.png
Click on a column header to sort table.
Cliquez sur un en-tête de colonne pour trier le tableau.
<a8>playground</a8><br9/>
<a8>playground</a8><br9/>
RHEL/CentOS/Fedora
RHEL/CentOS/Fedora
screenshots:1.1:mailreset:mailreset_step4.png
screenshots:1.1:mailreset:mailreset_step4.png
../pages/documentation/features.html
../pages/documentation/features.html
Follow the <a0>next steps</a0>.
Suivre les <a0>étapes suivantes</a0>.
In Bugzilla administration interface, go in <c0>Parameters</c0> » <c1>User authentication</c1>
Dans l'interface d'administration, allez dans <c0>Parameters</c0> » <c1>User authentication</c1>
<s0>Location</s0>: Access Point for <a1>SSO</a1> request and response.
<s0>Location</s0>: Point d'accès des requêtes et réponses <a1>SSO</a1>.
<s0><s1>[</s1>portal<s2>]</s2></s0>
<s3>notification</s3> <s4>=</s4><s5> 1</s5>
<s0><s1>[</s1>portal<s2>]</s2></s0>
<s3>notification</s3> <s4>=</s4><s5> 1</s5>
Then you need to construct the Ajax page, for example in /index/bouton.html.
Il faut ensuite construire la page Ajax, par exemple dans /index/bouton.html.
httpOnly
httpOnly
dbiAuthPassword
dbiAuthPassword
<s24># SOAP functions for notification insertion (disabled by default)</s24>
<s24># Fonctions SOAP pour insérer des notifications (désactivées par défaut)</s24>
<s0>+10m</s0>: ten minutes from session creation
<s0>+10m</s0> : dix minutes après la création de la session
http://www.google.com/calendar/hosted/mydomain.org/render
http://www.google.com/calendar/hosted/mydomain.org/render
*.partner.com
*.partenaire.com
Then you can take any virtual host, and simply add this line to protect it:
Ainsi n'importe quel hôte virtuel peut être protégé en ajoutant cette ligne :
We use <a0>OW2 JIRA</a0> to list bugs and features.
Nous utilisons <a0>OW2 JIRA</a0> pour tous les bogues et fonctionnalités.
A cup of coffee (or tea, we are open minded)
Une tasse de café (ou de thé, nous sommes ouverts)
For <a0>Active Directory</a0>, choose <c1>Active Directory</c1> instead of <c2>LDAP</c2>.
Pour <a0>Active Directory</a0>, choisir <c1>Active Directory</c1> au lieu de <c2>LDAP</c2>.
/_detail/screenshots/0.9.4/0.9.4_password_menu.png?id=screenshots
/_detail/screenshots/0.9.4/0.9.4_password_menu.png?id=screenshots
<s0>RelayState session timeout</s0>: timeout for RelayState sessions.
<s0>Durée de vie d'une session RelayState</s0> : durée de vie d'une session RelayState.
tchemineau
tchemineau
You can intercept the logout with this rule: <c0>^/share/page/dologout ⇒ logout_app_sso</c0>
On peut intercepter les déconnexions avec cette règle : <c0>^/share/page/dologout ⇒ logout_app_sso</c0>
<s0>User table</s0>: user table name
<s0>Table utilisateurs</s0> : nom de la table utilisateurs
Do not allow several users for 1 <a0>IP</a0>
Ne pas autoriser plusieurs utilisateurs venant de la même adresse <a0>IP</a0>
password
password
impact
impact
../../../../css/screen.css
../../../../css/screen.css
It can not be used to share sessions between different servers except if you share directories (with NFS,…) or if you use <a0>SOAP proxy</a0>.
Il ne peut être utilisé pour partager les sessions entre serveurs sauf si les répertoires sont partagés (avec NFS,…) ou en utilisant le <a0>proxy SOAP</a0>.
trustedDomains
trustedDomains
^/limesurvey/admin/
^/limesurvey/admin/
You need to disable default Manager protection in lemonldap-ng.ini to rely only on Apache:
Il faut alors désactiver la protection du manager dans lemonldap-ng.ini pour la confier à Apache :
In this case, you can add in the Apache authentication module:
Dans ce cas, il faut ajouter dans la configuratio du module Apache :
../../documentation/1.0/sqlconfbackend.html
../../documentation/1.0/sqlconfbackend.html
Since version 1.9 of LLNG, old Auto-Login feature has been removed since it works only with Sympa-5 which has been deprecated
Depuis la version 1.9 of LLNG, la fonctionnalité de connexion automatique a été supprimée car elle ne fonctionnait qu'avec la version 5 de Sympa, elle-même dépréciée
Logging portal access
Trace des authentification
Handler inform Apache of connected user (parameter <c0>whatToTrace</c0>), so you can see user login in Apache access logs.
L'agent fournit à Apache l'identifiant de l'utilisateur (paramètre <c0>whatToTrace</c0>), ainsi vous pouvez voir l'identifiant dans les journaux d'accès d'Apache.
You can use one or a combination of:
On peut utiliser un ou plusieurs solution :
Authentication: will check user login in a header and create session without prompting any credentials (but will register client <a0>IP</a0> and creation date)
Authentification : recherche le nom d'utilisateur dans un en-tête et crée la session sans exiger de mot-de-passe (mais enregistre l'adresse <a0>IP</a0> cliente et la date)
/_detail/icons/chat.png?id=contact
/_detail/icons/chat.png?id=contact
<<s17>Location</s17> /index.pl/config>
<<s17>Location</s17> /index.pl/config>
casAccessControlPolicy
casAccessControlPolicy
documentation:googleapps-export-priv-key.png
documentation:googleapps-export-priv-key.png
managerCssTheme
managerCssTheme
Copy en subroutine to zz <e1>(where zz is your international code, example: “fr” for France)</e1> then translate messages.
Copiez la fonction en en zz <e1>(où zz est votre code international, exemple: “fr” pour le français)</e1> et traduisez ensuite les messages.
PerlSetVar LmLocationToReplace http://www.private.com/,https://www.public.com
PerlSetVar LmLocationToReplace http://www.private.com/,https://www.public.com
Apache (Kerberos, NTLM, OTP, ...)
Apache (Kerberos, NTLM, OTP, ...)
All other elements will be removed including <a0>HTML</a0> elements like <b>.
Tous les autres éléments seront supprimés y compris les balises <a0>HTML</a0> telles <b>.
/_detail/screenshots/1.1/manager/notifications_explorer_create.png?id=screenshots
/_detail/screenshots/1.1/manager/notifications_explorer_create.png?id=screenshots
Write session path is needed only if you use a remote session explorer or a remote portal
Le chemin d'écriture de session n'est nécessaire que si on utilise un explorateur de session ou un portail distant
<a0>DBI</a0> Login column
Colonne de nom de connexion <a0>DBI</a0>
default
default
Other NameID formats are automatically managed:
Les autres formats de NameID sont automatiquement gérés :
Signing Certificate: choose a certificate for SP signature.
Signing Certificate : choisir un certificat pour la signature du SP.
MySQL example (suppose that our servers are in 10.0.0.0/24 network):
Exemple MySQL (on suppose que les serveurs sont sur le réseau 10.0.0.0/24):
Session restrictions
Resctriction d'ouverture de session
<s7># CAS Issuer</s7>
<s7># Fournisseur d'identité CAS</s7>
<s0>Control existing session</s0>: detect <a1>SSO</a1> session, apply configured constraints (1 session per user, 1 session per <a2>IP</a2>, …)
<s0>Recherche d'une session valide</s0> : détecte les sessions <a1>SSO</a1>, applique les contraintes configurées (1 session par utilisateur, 1 session par <a2>IP</a2>, …)
If you run Debian testing or unstable, the packages are directly installable:
Pour les utilisateurs de Debian testing ou unstable, les paquets sont directement installables :
In the <c1><endpoint></c1>, change <c2><connector-id></c2> value to <c3>alfrescoHeader</c3> and change the <c4><userHeader></c4> value to <c5>Auth-User</c5>:
Dans le "<c1><endpoint></c1>", changer la valeur de <c2><connector-id></c2> en <c3>alfrescoHeader</c3> et changer la valeur de <c4><userHeader></c4> en <c5>Auth-User</c5> :
It can deal with both SP and IdP initiated modes.
Il peut utiliser les modes initiés par le SP ou l'IdP.
By alphabetical order:
Par ordre alphabétique :
<s0>$VAR1</s0> <s1>=</s1> <s2>{</s2>
<s0>$VAR1</s0> <s1>=</s1> <s2>{</s2>
Internet Protocol
Internet Protocol
Connection
Connexion
PerlHandler Lemonldap::NG::Handler::Proxy
PerlHandler Lemonldap::NG::Handler::Proxy
The Secure Token Handler is a special Handler that create a token for each request and send it to the protected application.
L'agent jeton sécurisé est un agent particulier qui crée un jeton pour chaque requête et l'envoie à l'application protégée.
Mail reset request timeout
Délai maximal des requêtes de réinitialisation des mails
https://github.com/coudot/apache-session-ldap
https://github.com/coudot/apache-session-ldap
Now we will add CSOD as a new <a0>SAML</a0> Service Provider:
Ajouter CSOD comme nouveau fournisseur de service <a0>SAML</a0> :
How to change configuration backend
Comment changer le backend de configuration
<s0>my</s0> <s1>$cgi</s1> <s2>=</s2> Lemonldap<s3>::</s3><s4>NG</s4><s5>::</s5><s6>Handler</s6><s7>::</s7><s8>CGI</s8><s9>-></s9><s10>new</s10> <s11>(</s11><s12>{</s12><s13>}</s13><s14>)</s14><s15>;</s15>
<s16>$cgi</s16><s17>-></s17><s18>authenticate</s18><s19>(</s19><s20>)</s20><s21>;</s21>
<s22>$cgi</s22><s23>-></s23><s24>authorize</s24><s25>(</s25><s26>)</s26><s27>;</s27>
<s28>...</s28>
<s0>my</s0> <s1>$cgi</s1> <s2>=</s2> Lemonldap<s3>::</s3><s4>NG</s4><s5>::</s5><s6>Handler</s6><s7>::</s7><s8>CGI</s8><s9>-></s9><s10>new</s10> <s11>(</s11><s12>{</s12><s13>}</s13><s14>)</s14><s15>;</s15>
<s16>$cgi</s16><s17>-></s17><s18>authenticate</s18><s19>(</s19><s20>)</s20><s21>;</s21>
<s22>$cgi</s22><s23>-></s23><s24>authorize</s24><s25>(</s25><s26>)</s26><s27>;</s27>
<s28>...</s28>
<s0>State session timeout</s0>: duration of a state session (used to keep state information between autentication request and authentication response) in seconds (default: 600)
<s0>Durée de vie de la session d'état</s0> : délai durant lequel la session d'état (utilisée pour conserver l'état entre la requête d'authentification et la réponse) en secondes (défaut : 600)
<s0>Store</s0>: store user info in session database
<s0>Stocke</s0>: stocke les données utilisateurs dans la base de données des sessions
<a0>LL::NG</a0> can act as an OpenID Connect Relying Party (RP) towards multiple OpenID Connect Providers (OP).
<a0>LL::NG</a0> peut agir comme un serveur « OpenID-Connect Relying Party » (RP), ce qui permet de fédérer <a1>LL::NG</a1> avec :
File
File
../pages/menu1.html
../pages/menu1.html
GRR has a <a0>SSO</a0> configuration page in its administration panel.
GRR dispose d'une page de configuration du <a0>SSO</a0> dans son panneau de configuration.
<a0>LL::NG</a0> is compatible with <a1>LDAP password policy</a1>:
<a0>LL::NG</a0> est compatible avec <a1>la politique de mots-de-passe LDAP</a1> :
So on each main portal, internal users can access normally, and users issued from the other organization have just to click on the link:
Ainsi sur chacun des portails principaux, les utilisateurs internes peuvent accéder normalement et les utilisateurs de l'autre organisation n'ont qu'à cliquer sur le lien :
mailBody
mailBody
perl-Lemonldap-NG-Portal: CPAN - Portal modules
perl-Lemonldap-NG-Portal : CPAN - modules portail
../media/icons/flags/us.png
../media/icons/flags/us.png
vi /etc/sympa/auth.conf
vi /etc/sympa/auth.conf
We call “database” a backend where we can read or write a data.
Nous appelons “base de données” un dispositif dans lequel nous pouvons lire et écrire des données.
SAML2
SAML2
Register on Google
S'enregistrer chez Google
administrator
administrator
Handler check access rule and send headers to protected applications
L'agent vérifie les droits d'accès à l'application et envoie des en-têtes HTTP à l'application protégée
http://jira.ow2.org/browse/LEMONLDAP?selectedTab=com.atlassian.jira.plugin.system.project%3Aroadmap-panel
http://jira.ow2.org/browse/LEMONLDAP?selectedTab=com.atlassian.jira.plugin.system.project%3Aroadmap-panel
icons:flags:ua.png
icons:flags:ua.png
../../../media/icons/colors.png
../../../media/icons/colors.png