OID prefix Préfixe OID Go in Manager, General Parameters » Sessions » Store user password in session data and set to On. Aller dans le manager, paramètres généraux » Sessions » Stocker le mot-de-passe dans les données de session et le mettre à Activer. In Manager, click on notifications explorer and then on the Create button. Dans le manager, cliquer sur l'explorateur des notifications et ensuite sur le bouton Créer. Extract and build the module: Extraire et compiler le module: This parameter is used by SAML IDP to fill the NameID in authentication responses. Ce paramètre est utilisé par l'IdP SAML pour construire le NameID dans les réponses d'authentification. ../pages/documentation/1.1/federationproxy.html ../pages/documentation/1.1/federationproxy.html ^/index.php\?.*access=admin ^/index.php\?.*access=admin documentation:1.4:applications:mediawiki documentation:1.4:applications:mediawiki coudot coudot You can also use the internal proxy to replace Apache mod_proxy configuration. On peut aussi utiliser le proxy interne pour remplacer mod_proxy d'Apache. PerlInitHandler My::Handler PerlInitHandler My::Handler Persistent Session backend Backend des sessions persistantes Install all build dependencies (see BuildRequires in lemonldap-ng.spec) Installer toutes les dépendances de construction (voir BuildRequires dans lemonldap-ng.spec) default_sidebar default_sidebar This requires Perl OpenID consumer module with at least version 1.0. Ceci requiert le module client OpenID pour Perl, version au moins supérieure ou égale à 1.0. Perl expression: perl code snippet that returns 0 or 1 des expressions Perl : codes Perl qui renvoient 0 ou 1 Login field name in user table: name of user table column hosting login Nom du champ login dans la table utilisateur : nom de la colonne de la table utilisateur contenant le login CAS_proxiedServices CAS_proxiedServices authproxy authproxy This requires to configure LL::NG as an SAML Identity Provider. Ceci nécessite de configurer LL::NG comme fournisseur d'identité SAML. Allow only one session per IP address N'autoriser qu'une session par adresse IP ../media/screenshots/1.0/dark/portal.png?w=200&h=128 ../media/screenshots/1.0/dark/portal.png?w=200&h=128 Multi overridden parameters Paramètres surchargés pour "Multi" Provides identity if asked Fournit l'identitié si demandée Bugzilla is server software designed to help you manage software development. Bugzilla est un logiciel serveur conçu pour assister la gestion de développement logiciel. Sympa virtual host in Manager Hôte virtuel Sympa dans le manager documentation:1.4:extendedfunctions documentation:1.4:extendedfunctions documentation:1.4:status documentation:1.4:status Address: set one of Google Apps URL (all Google Apps product a distinct URL), for example http://www.google.com/calendar/hosted/mydomain.org/render Address : indiquer une des URL de Google Apps (chaque application Google Apps produit une URL distincte), par exemple http://www.google.com/calendar/hosted/mydomain.org/render SQL configuration backend (called RDBI or CDBI) Backend de configuration SQL (appelé RDBI ou CDBI) Session key containing mail address: name of the session key containing email address. Clef de session contenant l'adresse mail : nom de la clef de session contenant l'adresse de courriel. status status fastcgi fastcgi "url_logout" => "https://OBMURL/logout", "url_logout" => "https://OBMURL/logout", This schema shows the dependencies between modules: Ce schéma montre les dépendancesentre ces modules : Regexp::Assemble Regexp::Assemble It is targeted at developer teams, workgroups and small companies. Il est destiné aux équipes de développeurs, groupes de travail ou petites entreprises. 2 2 1 1 0 0 Functions list available Liste de fonctions disponibles If you disallow this, you should also disallow direct login form IDP, because proxy restriction is set in authentication requests. En interdisant ceci, on risque d'interdire aussi les authentification directe des IDP car la restriction est indiquée dans la requête d'authentification. CA file: CA certificate used to validate CAS server certificate Fichier CA : certificat de la CA utilisée pour valider le certificat du serveur CAS menu1 menu1 openIdSecret openIdSecret SAML 2.0 / Shibboleth SAML 2.0 / Shibboleth Now you have access to the IDP parameters list: Il est ensuite possible d'accéder à la liste des paramètre de l'IDP : Use rule comments to order your rules Utiliser les commentaires pour ordonner les règles Sub elements: Éléments subordonnés : Other modules must be installed only if you planned to use the related feature. Les autres modules ne doivent être installés que s'il est prévu d'utiliser les fonctionnalités associées. # Order deny,allow # Order deny,allow D D E E RHEL/CentOS 6 RHEL/CentOS 6 Local macros Macros locales Site Logo: Logo that will be displayed in the BrowserID login window. Logo du site : Logo qui sera affiché dans la fenêtre d'authentification BrowserID. F F G G RHEL/CentOS 5 RHEL/CentOS 5 A A DocumentRoot /usr/local/lemonldap-ng/htdocs/portal/ DocumentRoot /usr/local/lemonldap-ng/htdocs/portal/ B B The convertConfig utility reads 2 LL::NG configuration files (lemonldap-ng.ini): L'utilitaire convertConfig lit 2 fichiers de configuration LL::NG (lemonldap-ng.ini) : C C L L M M If you enable auto completion, authentication level will be decreased (-1) as you do not ask the user to type its password (it could be in browser passwords wallet). En activant l'auto-complétion, le niveau d'authentification est décru (-1) car on ne demande plus à l'utilisateur de taper son mot-de-passe (il peut être protégé dans le navigateur). N N O O H H SetEnvIfNoCase Auth-User "(.*)" PHP_AUTH_USER=$1   SetEnvIfNoCase Auth-User "(.*)" PHP_AUTH_USER=$1   I I World Wide Web World Wide Web J J Cookie name (optional): name of the cookie of internal portal, if different from external portal Nom du cookie (optionnel) : nom du cookie du portail interne s'il est différent de celui du portail externe 0.9.4_authentication_portal.png 0.9.4_authentication_portal.png U U T T /_detail/screenshots/0.9.3/lemonldap-ng-portal-appslist.png?id=screenshots /_detail/screenshots/0.9.3/lemonldap-ng-portal-appslist.png?id=screenshots W W V V The following sample parameters will be used: Les paramètres suivants sont utilisés pour l'exemple : Q Q GRANT SELECT,INSERT,UPDATE,LOCK TABLES ON lmConfig.* GRANT SELECT,INSERT,UPDATE,LOCK TABLES ON lmConfig.* By default, the main session module is used to store SAML temporary data (like relay-states), but SAML sessions need to use a session module compatible with the sessions restrictions feature. Par défautBy, le module de session principal est utilisé pour stocker les données temporaires SAML (tel les états de relais), mais les sessions SAML doivent disposer d'un module compatible avec les fonctionnalités de restrictions des sessions. P P Auto complete: allow the browser to remember the password (for password based authentication backends) Auto complétion : autorise le navigateur à retenir le mot-de-passe (pour les backends d'authentification basés sur des mots-de-passe) Issuer rewrite rules (requires mod_rewrite): Règles de réécriture pour la fourniture d'identité (requiert mod_rewrite): You just have to create error_zz and msg_zz subroutines (where zz is your international code, example: “fr” for France) by copying error_en and msg_en. Vous avez simplement à créer les fonctions error_zz et msg_zz (où zz est votre code international, exemple: “fr” pour le français) en copiant error_en et msg_en. Unifying authentications (federation) Unifier les authentifications (fédération) S S R R <Location /kerberos.pl> <Location /kerberos.pl> Z Z _cas_id _cas_id Yubikey authentication level Niveau d'authentification de Yubikey ../../download.html ../../download.html Facebook: Group / Page Facebook: Groupe / Page Access log: the issuer of each request is identified Journaux d'accès (AccessLog) : l'utilisateur de chaque requête est identifié http://schedule2012.rmll.info/Le-WebSSO-LemonLDAP-NG-presentation-et-nouveautes-de-la-version-1-2?lang=en http://schedule2012.rmll.info/Le-WebSSO-LemonLDAP-NG-presentation-et-nouveautes-de-la-version-1-2?lang=en 'delete_user' => $_SERVER['HTTP_AUTH_SUPERADMIN'], 'delete_user' => $_SERVER['HTTP_AUTH_SUPERADMIN'], Options Options documentation:1.3:upgrade documentation:1.3:upgrade basic($uid,$_password) basic($uid,$_password) Unable to clear local cache Unable to clear local cache Key: category identifier Clef : identifiant de catégorie Installation Installation Remote portal Portail distant Example: http://auth.example.com/?logout=1 Exemple: http://auth.example.com/?logout=1 APACHEUSER: user running Apache APACHEUSER : utilisateur de fonctionnement d'Apache If you need it, you can rebuild RPMs: Si besoin, on peut reconstruire les RPMs : 127.0.0.1:6379 127.0.0.1:6379 # Uncomment this to activate status module # Uncomment this to activate status module http://lasso.entrouvert.org/download/ http://lasso.entrouvert.org/download/ You can set the default access to: Il est possible de mettre l'accès par défaut à : Zimbra is open source server software for email and collaboration - email, group calendar, contacts, instant messaging, file storage and web document management. Zimbra est un logiciel serveur collaboratif et de messagerie open-source - messagerie, calendrier de groupe, contacts, messagerie instantanée, stockage de fichiers et gestion de documents web. If the user has these values inside its entry: Si l'utilisateur dispose de ces valeurs dans son entrée : ../pages/documentation/1.1/applications/phpldapadmin.html ../pages/documentation/1.1/applications/phpldapadmin.html liblemonldap-ng-manager-perl: Manager files liblemonldap-ng-manager-perl : fichiers du manager Macros and groups Macros et groupes HTTP Auth-Basic HTTP Auth-Basic Any OpenID consumer N'importe quel client OpenID Wildcard Carte blanche ../../documentation/1.4/authproxy.html ../../documentation/1.4/authproxy.html http://marcelhaise.com/rmll2009/#LemonLDAP http://marcelhaise.com/rmll2009/#LemonLDAP The Active Directory module is based on the LDAP module, with these features: Le module Active Directory est basé sur le module LDAP, avec ces caractéristiques : You can also use yum on local RPMs file: On peut aussi utiliser yum sur des fichiers RPMs locaux : grantSessionRule grantSessionRule ../pages/documentation/1.1/installtarball.html ../pages/documentation/1.1/installtarball.html # For MediaWiki < 1.13 $wgHooks['AutoAuthenticate'][] = array($wgAuth,'autoAuthenticate'); # For MediaWiki < 1.13 $wgHooks['AutoAuthenticate'][] = array($wgAuth,'autoAuthenticate'); Distinguished Name Distinguished Name basic basic This feature can be disabled in LDAP configuration. Cette fonctionnalité peut être désactivée dans la configuration LDAP. ../../documentation/1.4/changeconfbackend.html ../../documentation/1.4/changeconfbackend.html //"userobm_mail_server_hostname" => , //"userobm_mail_server_hostname" => , https://plus.google.com/u/0/101819048603406959766/ https://plus.google.com/u/0/101819048603406959766/ <title>: title to display: will be inserted in HTML page enclosed in <h2 class=“notifText”>… <title> : titre à afficher : sera inséré dans la page HTML encadré dans <h2 class=“notifText”>… A specific persistent session is created with this module, to store attribute values returned by Google. Une session persistente est créée avec ce module pour stocker les valeurs d'attribut renvoyées par Google. ../../documentation/1.0/ldapconfbackend.html ../../documentation/1.0/ldapconfbackend.html /_detail/documentation/liferay_6.png?id=documentation%3A1.4%3Aapplications%3Aliferay /_detail/documentation/liferay_6.png?id=documentation%3A1.4%3Aapplications%3Aliferay See prerequisites and dependencies chapter for more. Voir le chapître pré-requis et dépendances. The module can be found here. Le module peut être trouvé ici. Twitter use OAuth protocol to allow applications to reuse its own authentication process (it means, if your are connected to Twitter, other applications can trust Twitter and let you in). Twitter utilise le protocole OAuth pour autoriser les applications à réutiliser son propre processus d'authentification (ce qui signifie que si vous êtes connecté à Twitter, d'autres applications peuvent agréer Twitter et vous laisser entrer). unprotect: all is open, but authenticated users are seen as authenticated unprotect : tout est ouvert, mais les utilisateurs authentifiés sont vus comme tels ../pages/documentation/1.1/portalmenu.html ../pages/documentation/1.1/portalmenu.html As LL::NG works like classic WebSSO (like Siteminder™), many other applications are easy to integrate. Comme LL::NG fonctionne comme un WebSSO classique (tel Siteminder™), de nombreuses applications sont faciles à integrer. LimeSurvey is a web survey software written in PHP. LimeSurvey est un logiciel de surveillance écrit en PHP. country country Cache: cache for configuration and sessions Cache: cache pour la configuration et les sessions uid varchar(255) NOT NULL, uid varchar(255) NOT NULL, You need to know the technical name of configuration parameter to do this. Il est nécessaire de connaître le nom technique du paramètre de configuration pour le faire. Location: Access Point for SLO request. Location: Point d'accès pour les requêtes de SLO. customFunctions customFunctions start: Start date (GMT) start : date de début (GMT) Display change password module Affiche le module de changement de mot-de-passe protect the manager by LL::NG protéger le manager par LL::NG The file auth.keytab should then be copied (with a secure media) to the Linux server (for example in /etc/lemonldap-ng). Le fichier auth.keytab doit ensuite être copié (par un média sûr) sur le serveur Linux (par exemple dans /etc/lemonldap-ng). Custom XSLT file Fichier XSLT personnalisé If enabled, if the user group is a member of another group (group of groups), all parents groups will be stored as user's groups. Si activé et si le groupe de l'utilisateur est membre d'un autre groupe (groupes de groupes), tous les groupes parents seront considérés comme groupes de l'utilisateur. Portal host must be configured to use SSL and must ask for client certificate. L'hôte du portail doit être configuré pour utiliser SSL et doit demander un certificat client. Drupal virtual host in Manager Hôte virtuel Drupal dans le manager You can change the graphical aspect of the Manager, by clicking on the Menu style button. L'aspect graphique du manager peut être modifié en cliquant sur le bouton style de menu. The “default” access rule is used if no other access rule match the current URL. La règle d'accès “default” est utilisée si aucune règle ne correspond à l'URL courante. /index.php?access=admin&access=other /index.php?access=admin&access=other SetEnvIfNoCase Auth-User "(.*)" PHP_AUTH_USER=$1 SetEnvIfNoCase Auth-Password "(.*)" PHP_AUTH_PW=$1 SetEnvIfNoCase Auth-User "(.*)" PHP_AUTH_USER=$1 SetEnvIfNoCase Auth-Password "(.*)" PHP_AUTH_PW=$1 Magic authentication allows to mix standard Sympa authentication and SSO Magic authentication autorise l'utilisation de l'authentification Sympa et SSO DBI Authentication table Table d'authentification DBI increased (+1) if portal is protected by SSL (HTTPS) augmenté (+1) si le portail est protégé par SSL (HTTPS) UserName UserName SAML Session backend Module de stockage SAML Either checkout or export the SVN repository, or extract the SVN tarball to get the SVN files on your disk. Au choix, importer le dépôt SVN ou extraire l'archive SVN pour importer les fichiers. singleSession singleSession Then you can have different parameters for each stored in a Perl hash entry named multi: Ensuite on peut avoir différents paramètres pour chacun stockés dans une table de hachage Perl nommée multi: Crypt::OpenSSL::RSA Crypt::OpenSSL::RSA Signature Signature LL::NG needs a storage system to store its own configuration (managed by the manager). LL::NG a besoin d'un dispositif de stockage de sa propre configuration (gérée par le manager). Core modules must be installed on the system. Les modules "core" doivent être installés sur le système. _saml_id ProxyID _nameID _assert_id _art_id _session_id _saml_id ProxyID _nameID _assert_id _art_id _session_id Lasso identity dump Dump de l'identité Lasso Manager Manager Authentication table Table d'authentification This value will be used to know to which recipient the has to be sent (default: mail). Cette valeur peut être utilisée pour savoir à quel destinataire doit être envoyé le courriel (défaut : mail). <Files *.pl> <Files *.pl> installtarball installtarball ../../../media/documentation/manager-saml-sp-new.png ../../../media/documentation/manager-saml-sp-new.png Skin thème http://www.w3.org/wiki/WebID http://www.w3.org/wiki/WebID Multiple sessions, you can restrict the number of open sessions: Sessions multiples, on peut retreindre le nombre de sessions ouvertes : logout_app https://auth.example.com/ logout_app https://auth.example.com/ //"userobm_mail_ext_perms" => , //"userobm_mail_ext_perms" => , Please always try to find another solution to protect your application with LL::NG. Il est en général préférable de trouver une autre solution pour protéger les applications avec LL::NG. declare secondary portal in General Parameters » Advanced Parameters » Security » Trusted domains declarer le second portail dans Paramètres généraux » Paramètres avancés » Sécurité » Domaines approuvés For each variable, The first field is the name which will be used in rules, macros or headers and the second field is the name of the user database field. Pour chaque variable, le premier champ est le nom qui servira dans les règles, macros ou en-têtes et le second est le nom du champ dans la base de données utilisateurs. icons:lists.png icons:lists.png documentation:1.4:soapsessionbackend documentation:1.4:soapsessionbackend _url _url you've restart all Apache server after having change cookie name or domain tous les serveurs Apache ont été rechargés après un changement du nom de cookie ou du domaine For example, to override configured skin for portal: Par exemple, pour surcharger l'apparence du portail : default_access (optional): what result to return if start and end are empty default_access (optionnel) : resultat à retourner si start et end sont vides See How to change configuration backend to known how to change this. Voir Comment changer le backend de configuration. documentation:1.4:header_remote_user_conversion documentation:1.4:header_remote_user_conversion rbac rbac http://www.zimbra.com/ http://www.zimbra.com/ The transformation between notification XML content and HTML display is done with XSLT. La transformation entre le texte XML d'une notification et l'affichage HTML est faite par XSLT. Session expiration Expiration des sessions It will use the authentication level registered in user session to match the SAML authentication context. Il utilise le niveau d'authentification enregistré dans la session de l'utilisateur pour établir le contexte d'authentification SAML. SOAP::Lite SOAP::Lite documentation:1.4:applications:liferay ↵ documentation:1.4:applications:liferay ↵ Installation on Debian/Ubuntu with packages Installation sur Debian/Ubuntu avec les paquets LemonLDAP::NG is shipped with 3 skins: LemonLDAP::NG est fournit avec 3 thèmes : Each user has a ssoRoles attributes, which values are the DN of the corresponding roles. Chaque utilisateur a des attributs ssoRoles, dont les valeurs sont les DN des rôles correspondants. Mandatory: if set to “On”, then this attribute will be sent in authentication response. Obligatoire : si activé, cet attribut sera envoyé dans les réponses d'authentification. Wiki Wiki To update translations, ask to lemonldap-ng-dev@ow2.org to update your files. Pour télécharger les traductions, demandez à lemonldap-ng-dev@ow2.org pour les mettres en ligne. Format: optional, SAML attribute format. Format (optionnel) : format de l'attribut SAML. ../../../media/icons/lists.png ../../../media/icons/lists.png ../../documentation/1.4/internalproxy.html ../../documentation/1.4/internalproxy.html http://blog.zimbra.com/blog/archives/2010/06/using-saml-assertions-to-access-zimbra.html http://blog.zimbra.com/blog/archives/2010/06/using-saml-assertions-to-access-zimbra.html documentation:manager-saml-idp-new.png documentation:manager-saml-idp-new.png ../documentation/current/writingrulesand_headers.html#headers ../documentation/current/writingrulesand_headers.html#headers Read/Write functions (index.pl/adminSessions paths): Fonctions en lecture/écriture (chemin index.pl/adminSessions) : The reset password link must be activated, see portal customization. Le lien de réinitialisation de mot-de-passe doit être activé, voir la personnalisation du portail. <Perl> <Perl> MRTG configuration example: Exemple de configuration MRTG : ../media/screenshots/1.0/manager/tree_light.png?w=200&h=128 ../media/screenshots/1.0/manager/tree_light.png?w=200&h=128 icons:tux.png icons:tux.png _issuerDB _issuerDB You can use 0 or 1 to disable/enable the module, or use a more complex rule. On peut utiliser 0 ou 1 pour activer/désactiver chaque module ou utiliser une règle plus complexe. Leave blank to use Mozilla default verification URL (https://verifier.login.persona.org/verify) Laisser vide pour utiliser l'URL de vérification par défaut de Mozilla (https://verifier.login.persona.org/verify) LimeSurvey has a webserver authentication mode that allows to integrate it directly into LemonLDAP::NG. LimeSurvey dispose d'un mode d'authentification par serveur web qui permet de l'integrer directement dans LemonLDAP::NG. http://mail.ow2.org/wws/subscribe/lemonldap-ng-changes http://mail.ow2.org/wws/subscribe/lemonldap-ng-changes (o/n) n (o/n) n ../pages/documentation.html ../pages/documentation.html Session history is always visible in session explorer for administrators. L'historique des sessions est toujours visible dans l'explorateur de sessions pour les administrateurs. Auto login: a special LL::NG Handler will generate Sympa cookie (for Sympa 5 only !) Auto login: handler spécial de LL::NG qui génère le cookie Sympa (pour Symp 5 seulement !) You can then choose any other module for users and password. Vous pouvez ensuite choisir vos modules d'utilisateurs et de mots-de-passe. It can be configured to use SOAP instead of direct access to those databases (for remote servers). Il peut être configuré pour utiliser SOAP au lieu d'un accès direct à ces bases de données (pour les serveurs distants). Load “Lemonldap::NG::Common::CGI qw(fastcgi)“ before any other LL::NG library Charger “Lemonldap::NG::Common::CGI qw(fastcgi)“ avant toute autre librairie LL::NG ServerName phpldapadmin.example.com   ServerName phpldapadmin.example.com   Dokuwiki plugin Extension pour Dokuwiki persistentStorageOptions persistentStorageOptions Session explorer Explorateur de sessions Go to %_topdir Aller dans %_topdir http://coudot.blogs.linagora.com/index.php/post/2010/12/01/Sortie-de-LemonLDAP%3A%3ANG-10 http://coudot.blogs.linagora.com/index.php/post/2010/12/01/Sortie-de-LemonLDAP%3A%3ANG-10 ../pages/documentation/1.1/security.html ../pages/documentation/1.1/security.html LL::NG repository Dépôt LL::NG macros are used to extend (or rewrite) exported variables. les macros sont utilisées pour étendre (ou réécrire) les variables exportées. LL::NG can also request proxy tickets for its protected services. LL::NG peut également requérir des tickets de proxy pour les services qu'il protège. the portal le portail [manager] protection = manager [manager] protection = manager ../media/screenshots/1.1/mailreset/mailreset_step2.png?w=800&h=448 ../media/screenshots/1.1/mailreset/mailreset_step2.png?w=800&h=448 Portal URL URL du portail ~10 ~10 $givenName $givenName SSLProtocol all -SSLv2 SSLCipherSuite HIGH:MEDIUM SSLCertificateFile /etc/httpd/certs/ow2.cert SSLCertificateKeyFile /etc/httpd/certs/ow2.key SSLCACertificateFile /etc/httpd/certs/ow2-ca.cert SSLProtocol all -SSLv2 SSLCipherSuite HIGH:MEDIUM SSLCertificateFile /etc/httpd/certs/ow2.cert SSLCertificateKeyFile /etc/httpd/certs/ow2.key SSLCACertificateFile /etc/httpd/certs/ow2-ca.cert → Local cache cannot be cleard, check the localStorage and localStorageOptions or file permissions → Le cache local ne peut être effacé, regarder les options localStorage and localStorageOptions ou les droits associés à ces fichiers dbiChain dbiChain ssoName ssoName ../../../media/applications/grr_logo.png ../../../media/applications/grr_logo.png cond varchar(255) DEFAULT NULL, cond varchar(255) DEFAULT NULL, The portal of the secondary LL::NG structure is configured to delegate authentication to a remote portal. Le portail du système LL::NG secondaire est configuré pour déléguer l'authentification à un portail distant. Go in Manager, General Parameters » Cookies » Multiple domains and set to On. Aller dans le manager, Paramètres généraux » Cookies » Domaines multiples et sélectioonner "activer" http://www.google.com/apps/intl/en/business/index.html http://www.google.com/apps/intl/en/business/index.html ../../../../media/documentation/liferay_4.png ../../../../media/documentation/liferay_4.png documentation:1.4:ssocookie documentation:1.4:ssocookie ../pages/documentation/1.1/soapconfbackend.html ../pages/documentation/1.1/soapconfbackend.html Authentication request Requête d'authentification Bugzilla virtual host in Manager Hôte virtuel Bugzilla dans le manager ../documentation/1.0/portal.html ../documentation/1.0/portal.html Advantages: Avantages : Apache configuration files are in /etc/lemonldap-ng and linked in /etc/apache2/sites-available Les fichiers de configuration Apache se trouvent dans /etc/lemonldap-ng et liés dans /etc/apache2/sites-available Note that SAML protocol is more secured than OpenID, so when your partners are known, prefer SAML. Noter que le protocole SAML est plus securisé que OpenID, ainsi si les partenaires sont connus, preférer SAML. Compilation Compilation ln -s /usr/lib/perl5/vendor_perl/5.8.8/Lemonldap /usr/lib64/perl5/ ln -s /usr/lib/perl5/vendor_perl/5.8.8/auto/Lemonldap /usr/lib64/perl5/auto/ ln -s /usr/lib/perl5/vendor_perl/5.8.8/Lemonldap /usr/lib64/perl5/ ln -s /usr/lib/perl5/vendor_perl/5.8.8/auto/Lemonldap /usr/lib64/perl5/auto/ Portal Redirections Redirections du portail Set SAML end points Indiquer les points d'entrées SAML Authentication service of course Le service d'authentification bien sûr $_passwordDB $_passwordDB Digest::HMAC Digest::HMAC ../../../media/icons/xeyes.png ../../../media/icons/xeyes.png Response Location should be empty, as SOAP responses are directly returned (synchronous binding). Le point d'accès des réponses peut être vide car les réponses SOAP sont directement retournées (connexions synchrones). openIdAuthnLevel openIdAuthnLevel svn checkout svn+ssh://developername@svn.forge.objectweb.org/svnroot/lemonldap svn checkout svn+ssh://nomDuDeveloppeur@svn.forge.objectweb.org/svnroot/lemonldap AuthLDAPURL ldap://localhost:389/ou=users,dc=example,dc=com???(objectClass=inetOrgPerson) TLS AuthLDAPURL ldap://localhost:389/ou=users,dc=example,dc=com???(objectClass=inetOrgPerson) TLS Krb5KeyTab /etc/lemonldap-ng/auth.keytab Krb5KeyTab /etc/lemonldap-ng/auth.keytab An Apache restart will work, but LemonLDAP::NG offers the mean to reload them through an HTTP request. Un redémarrage d'Apache marchera, mais LemonLDAP::NG offre le moyen de les recharger via une requête HTTP. Go to My Account: Aller dans My account: ../media/screenshots/0.9.3/lemonldap-ng-portal-auth.png?w=200&h=155 ../media/screenshots/0.9.3/lemonldap-ng-portal-auth.png?w=200&h=155 So you can configure it to authenticate users using a federation protocol and simultaneously to provide identities using other(s) federation protocols. Ainsi on peut le configurer pour authentifier les utilisateurs en utilisant un protocole de fédération et simultanément pour fournir les identités en en utilisant en autre. [portal] userError = sub { my ($self, $message) = @_; ... } userNotice = sub { my ($self, $message) = @_; ... } [portal] userError = sub { my ($self, $message) = @_; ... } userNotice = sub { my ($self, $message) = @_; ... } # SSL parameters # SSL parameters http://grr.mutualibre.org/documentation/body.php?id=35 http://grr.mutualibre.org/documentation/body.php?id=35 LDAP server can force password change on first connection, and LL::NG portal will display a password change form before opening SSO session Le serveur LDAP peut imposer le changement de mot-de-passe à la première connexion et le portail LL::NG affichera le formulaire de changement de mot-de-passe avant d'ouvrir la session SSO ../media/screenshots/1.0/manager/tree_light.png?w=800&h=515 ../media/screenshots/1.0/manager/tree_light.png?w=800&h=515 </SPSSODescriptor> </md:EntityDescriptor> </SPSSODescriptor> </md:EntityDescriptor> It is also possible to redirect the user without using ErrorDocument: the Handler will not return 403, 500, 503 code, but code 302 (REDIRECT). Il est également possible de rediriger les utilisateurs sans utiliser ErrorDocument : l'agent ne retournera pas les codes 403, 500, 503 mais le code 302 (REDIRECT). manager-apache2.conf: Manager virtual host manager-apache2.conf : hôte virtuel du manager See how to change configuration backend. Voir comment changer de backend de configuration. Portal messages: all messages are grouped in lemonldap-ng/lib/Lemonldap/NG/Portal/_i18n.pm. Les messages du portail: tous les messages sont regroupés dans lemonldap-ng/lib/Lemonldap/NG/Portal/_i18n.pm. You need to set the PHP_AUTH_USER variable to have the Webserver authentication mode working. Il faut renseigner la variable PHP_AUTH_USER pour faire fonctionner le mode d'authentification par serveur web. Undefined: Default NameID format is used Undefined: le format de NameID par défaut est utilisé ldapPasswordResetAttribute ldapPasswordResetAttribute Configuration: where configuration is stored. Configuration: où est stocké la configuration. createdb -O lemonldap-ng lemonldap-ng createdb -O lemonldap-ng lemonldap-ng If you manage different timezones, you have to take the jetlag into account in ssoLogonHours values, or use the $_timezone parameter. Si plusieurs fuseaux sont utilisés, le jetlag doit être introduit dans le compte dans la valeur ssoLogonHours, ou utiliser le paramètre $_timezone. SMTP / Reset password by mail SMTP / réinitialisation de mot-de-passe par courriel Check XSS Attacks Recherche les attaques XSS Store password in session Stockage du mot-de-passe en session Name: Auth-Name Nom: Auth-Name Replace MySQL by Apache::Session::Flex Remplacer MySQL par Apache::Session::Flex SMTP password Mot-de-passe SMTP http://freshmeat.net/projects/lemonldapng http://freshmeat.net/projects/lemonldapng ../media/screenshots/1.0/pastel/portal.png?w=800&h=515 ../media/screenshots/1.0/pastel/portal.png?w=800&h=515 At least, check if it is not a known application, or try to adapt its source code. Ainsi, vérifier si l'application est connue ou essayer d'adapter le code source. Note that if the user is already authenticated on the first portal, all redirections are transparent. Noter que si l'utilisateur est déjà authentifié sur le premier portail, toutes les redirections sont transparentes. press.html press.html OBM OBM Skin: the name of the skin to use. Thème : le nom du thème à utiliser. ldapconfbackend ldapconfbackend email_http_header HTTP_MAIL email_http_header HTTP_MAIL Address: URL of application Adresse : URL de l'application If you upgrade from older versions, please follow first: Pour les mises à jour depuis des versions plus anciennes, suivre d'abord : "userobm_password" => "HTTP_OBM_USERPASSWORD", "userobm_password" => "HTTP_OBM_USERPASSWORD", ../pages/documentation/1.1/browseablesessionbackend.html ../pages/documentation/1.1/browseablesessionbackend.html //"userobm_status" => , //"userobm_status" => , http://www.solutionslinux.fr/animation_51_168_1611_p.html?cid=756 http://www.solutionslinux.fr/animation_51_168_1611_p.html?cid=756 You can then add the Manager as an application in the menu. On peut aussi ajouter le manager dans les applications du menu. Then, go in Choice Parameters: Ensuite, aller dans les paramètres Choice: ->uri('urn:Lemonldap::NG::Common::CGI::SOAPService') ->uri('urn:Lemonldap::NG::Common::CGI::SOAPService') When session is granted, the Handler will then check the authorizations like the standard Handler. Lorsque la session est validée, l'agent examine les autorisations comme un agent standard. Main LL::NG structure Système LL::NG principal Changes: lemonldap-ng-changes@ow2.org ( Subscribe | Archives ) Changements: lemonldap-ng-changes@ow2.org ( Souscrire | Archives ) Set GoogleApps as Service Provider name. Mettre GoogleApps comme nom de fournisseur de service. JDLL JDLL ../media/icons/terminal.png ../media/icons/terminal.png ../../../media/documentation/manager-menu-application-logo.png ../../../media/documentation/manager-menu-application-logo.png http://www.private.com http://www.private.com APACHEVERSION: Apache major version (default: 2) APACHEVERSION : version majeure d'Apache (défaut : 2) //"userobm_vacation_enable" => , //"userobm_vacation_enable" => , rpm-gpg-key-ow2 rpm-gpg-key-ow2 ../../../media/documentation/manager-saml-service-sp-slo.png ../../../media/documentation/manager-saml-service-sp-slo.png documentation:liferay_2.png documentation:liferay_2.png Artifact Resolution Résolution des artifacts "debug_level" => "NONE", // "debug_header_name" => "HTTP_OBM_UID", // "group_header_name" => "HTTP_OBM_GROUPS", "debug_level" => "NONE", // "debug_header_name" => "HTTP_OBM_UID", // "group_header_name" => "HTTP_OBM_GROUPS", Crypt::Rijndael Crypt::Rijndael Verify that: Verifier que : Path: keep ^/openidserver/ unless you have change Apache portal configuration file. Chemin : laisser ^/openidserver/ sauf si le fichier de configuration Apache du portail a été modifiée. The IDP name is asked, enter it and click OK. Le nom d'IDP est demandé, entrer-le et cliquer sur OK. Then edit rules and headers. Éditer ensuite les règles et en-têtes. Preauthentication key: the one you grab from zmprov command Clef de pré-authentification key : celle récupérée de la commande zmprov ../../documentation/1.4/samlservice.html#authentication_contexts ../../documentation/1.4/samlservice.html#authentication_contexts A CAS server with SAML authentication Un serveur CAS avec une authentification SAML ~50 ~50 documentation:1.4:selfmadeapplication ↵ documentation:1.4:selfmadeapplication ↵ You need to create yourself the directory and set write access to Apache user. Il faut créer soi-même le répertoire et y donner un accès en écriture pour l'utilisateur Apache. LockUserName LockUserName LemonLDAP::NG can be used as a proxy between those protocols LemonLDAP::NG peut être utilisé comme proxy entre ces protocoles You must register SP metadata here. Il faut enregistrer les métadatas du SP ici. Local documentation is open to all: La documentation locale est ouverte à tous : ../../documentation/1.4/authapache.html#use_kerberos_with_multiple_authentication_backend ../../documentation/1.4/authapache.html#use_kerberos_with_multiple_authentication_backend <user username="role1" password="tomcat" roles="role1"/> <user username="role1" password="tomcat" roles="role1"/> activedirectoryminihowto activedirectoryminihowto Several IDPs are allowed, in this case the user will choose the IDP he wants. Plusieurs IDPs peuvent être autorisés, dans ce cas l'utilisateur peut choisir l'IDP qu'il souhaite. documentation:1.4:securetoken documentation:1.4:securetoken Just set the authentication type to config and indicate DN and password inside the file config.php: Mettre juste le type d'authentification à config et indiquer le DN et le mot-de-passe dans le fichier config.php: Date of session creation Date et heure (timestamp) de la création de la session Groups Groupes http://search.cpan.org/perldoc?Apache::Session::Informix http://search.cpan.org/perldoc?Apache::Session::Informix The database password Le mot de passe de la base de données (?i) means case no sensitive. (?i) signifie insensible à la casse. documentation:1.0:fileconfbackend documentation:1.0:fileconfbackend //"userobm_delegation_target" => , //"userobm_delegation_target" => , } ); } ); /_detail/screenshots/1.0/pastel/password.png?id=screenshots /_detail/screenshots/1.0/pastel/password.png?id=screenshots # Your nice code here   # Le joli code ici :   As same for groups: a group rule may involve another, previously computed group. De même pour les groupes : une règle de groupe peut en utiliser une autre calculée précédemment. /_detail/documentation/manager-saml-idp-list.png?id=documentation%3A1.4%3Aauthsaml /_detail/documentation/manager-saml-idp-list.png?id=documentation%3A1.4%3Aauthsaml Download them here and install pre-required packages. Les télécharger ici et installer les paquets pre-requis. Can be used to secure another backend for remote servers. Peut être utilisé pour sécuriser un autre backend pour des serveurs distants. AuthLDAPBindDN "ou=websso,ou=applications,dc=example,dc=com" AuthLDAPBindDN "ou=websso,ou=applications,dc=example,dc=com" A start date and an end date (to open or close the service even the entry already exists) Des dates de début et de fin (pour restreindre l'accès aux services même si l'entrée existe) /_detail/logos/logo_ucanss.png?id=references /_detail/logos/logo_ucanss.png?id=references First, active SOAP in General parameters » Advanced parameters » SOAP. Premièrement, activer SOAP dans Paramètres généraux » Paramètres avancés » SOAP Portal URL: URL of internal portal URL du portail : URL du portail interne logos:logo_rbn.png logos:logo_rbn.png /_detail/screenshots/1.1/mailreset/mailreset_step4.png?id=documentation%3A1.4%3Aresetpassword /_detail/screenshots/1.1/mailreset/mailreset_step4.png?id=documentation%3A1.4%3Aresetpassword A Zimbra Handler is called Un handler Zimbra est appelé DocumentRoot /var/lib/lemonldap-ng/manager/ DocumentRoot /var/lib/lemonldap-ng/manager/ With YUM Avec YUM ERASECONFIG: set to 0 if you want to keep your configuration files (default: 1) ERASECONFIG : mettre à 0 pour conserver les fichiers de configuration (défaut : 1) SetHandler perl-script SetHandler perl-script ../media/screenshots/0.9.4/0.9.4_password_reset.png?w=200&h=133 ../media/screenshots/0.9.4/0.9.4_password_reset.png?w=200&h=133 exported variables collected from UserDB backend les variables exportées collectées depuis le backend utilisateur One IP only by user: a user can not open 2 sessions with different IP. Une IP par utilisateur : un utilisateur ne peut ouvrir 2 sessions avec différentes adresses IP. ../../documentation/1.4/extendedfunctions.html ../../documentation/1.4/extendedfunctions.html But you can make your own, see Skin customization below. On peut faire le sien, voir comment personnaliser le thème ci-dessous. 'failedLoginNumber' => '5', 'failedLoginNumber' => '5', Drupal module activation Activation du module Drupal # LemonLDAP::NG repository deb http://lemonldap-ng.org/deb squeeze main deb-src http://lemonldap-ng.org/deb squeeze main # LemonLDAP::NG repository deb http://lemonldap-ng.org/deb squeeze main deb-src http://lemonldap-ng.org/deb squeeze main pastel pastel MediaWiki is a wiki software, used by the well known Wikipedia. MediaWiki est un logiciel wiki utilisé par le très connu Wikipedia. Those macros are calculated only at the first usage and stored in the local session cache (only for this server) and only if the user access to the related applications. Ces macros sont calculées seulement à leur premier usage et stockées dans le cache local des sessions (uniquement pour ce serveur) et seulement si l'utilisateur accède à l'application relative. ../../documentation/1.4/writingrulesand_headers.html#rules ../../documentation/1.4/writingrulesand_headers.html#rules Yubikey Yubikey $description eq "LDAP administrator" $description eq "LDAP administrator" This works if the user has only one role per application. Ceci fonctionne si l'utilisateur a seulement un rôle par application. This can be used to protect applications relying on REMOTE_USER environment variable in reverse proxy mode. Ceci permet de protéger des applications nécessitant la variable d'environnement REMOTE_USER en mode reverse-proxy. require Lemonldap::NG::Portal::SharedConf; require Lemonldap::NG::Portal::SharedConf; ^/index.php\?logout ^/index.php\?logout User clicks on the logout link in Portal L'utilisateur clique sur le bouton déconnexion du portail Access rule in virtual host Règle d'accès à un hôte virtuel ErrorDocument 401 /login.pl ErrorDocument 401 /login.pl If you want to access to other datas, you have to use Google in General Parameters > Authentication modules > User module. Pour accéder aux autres données, utiliser Google in Paramètres generaux > Modules d'authentification > Modules d'utilisateurs. Then CAS service has to show a correct error when service ticket validation will fail. Ainsi le service CAS doit afficher une erreur lorsque la validation du ticket échoue. apacheAuthnLevel apacheAuthnLevel First step: create a rule to grant access only if the user has a role in the application: Première étape : créer une règle pour autoriser l'accès seulement si l'utilisateur dispose d'un rôle dans l'application: For example, a LL::NG server can be: Par exemple, un serveur LL::NG peut être : apt-get install libapache2-mod-auth-kerb apt-get install libapache2-mod-auth-kerb You can not start with an empty configuration, so read how to change configuration backend to convert your existing configuration into another one. On ne peut démarrer avec une configuration vide, il faut donc lire comment changer de backend de configuration pour convertir une configuration existante en une autre. ~1000 ~1000 Encryption key: key used to crypt some data, should not be known by other applications Clef de chiffrement : clef utilisée pour chiffrer certaines données, ne doit être connue d'aucune autre application You can change the default skin in Manager: General Parameters > Portal > Customization > Default skin. On peut changer le thème par défaut dans le manager : paramètres généraux > Portail > Personnalisation > Skin. You can use '*' character. On peut utiliser le caractère '*'. That is why it is important to set APACHEUSER variable when you launch “make install” C'est pourquoi il est important de renseigner la variable APACHEUSER lorsqu'on lance “make install” Logout user from Lemonldap::NG and redirect it to http://intranet/ Déconnecte l'utilisateur de Lemonldap::NG le redirige vers http://intranet/ "userobm_description" => "HTTP_OBM_DESCRIPTION", "userobm_description" => "HTTP_OBM_DESCRIPTION", Sympa shared secret Secret partagé de Sympa Then, go in CAS parameters: Aller ensuite dans Paramètres CAS : User rejected because VirtualHost XXXX has no configuration User rejected because VirtualHost XXXX has no configuration Server URL: CAS server URL (must use https://) URL du serveur : URL du serveur CAS (doit utiliser https://) Port Port By default, SSO cookie is hidden, so protected applications cannot get SSO session key. Par défaut, le cookie SSO est masqué, ainsi les applications protégées ne peuvent accéder à la clef de session SSO. Leave blank to deactivate the feature. Laissez vide pour désactiver cette fonctionnalité. Go to the Manager and create a new virtual host for Drupal. Aller dans le manager et créer un nouvel hôte virtuel pour Drupal. Modify the Apache virtual host to separate the Kerberos Authentication module: Modifier l'hôte virtuel Apache pour séparer le module d'authentification Kerberos : lemonldap-ng-portal: contains authentication portal and menu lemonldap-ng-portal : contient le portail d'authentification et le menu You will find here screenshots of the new features. On trouve ici les captures d'écran des nouvelles fonctionnalités. OBM_MAIL OBM_MAIL LL::NG portal is a modular component. Le portail LL::NG est un composant modulaire. Null Null Connection password Mot-de-passe de connexion # OpenID Issuer # Fournisseur d'identité OpenID press press Installation and configuration Installation et configuration http://search.cpan.org/perldoc?Apache::Session::File http://search.cpan.org/perldoc?Apache::Session::File Rules are used to protect applications, headers are HTTP headers added to the request to give datas to the application (for logs, profiles,…). Les règles sont utilisées pour protéger les applications, les en-têtes sont des en-têtes HTTP ajoutés pour transmettre des données à l'application (pour les journaux, profils,…). ../../css/print.css ../../css/print.css Apache Apache require Lemonldap::NG::Portal::Menu; require Lemonldap::NG::Portal::Menu; http://help.sap.com/saphelp_nw04/helpdata/en/94/695b3ebd564644e10000000a114084/content.htm http://help.sap.com/saphelp_nw04/helpdata/en/94/695b3ebd564644e10000000a114084/content.htm Oracle Oracle This will use email as login name (for accounting, session explorer,…). L'adresse email est utilisée comme nom de compte (pour la traçabilité, l'explorateur de session,…). If authentication is configured, Authen::SASL and MIME::Base64 modules are required Si l'authentification est configurée, les modules Authen::SASL and MIME::Base64 sont requis /_detail/documentation/googleapps-ssoconfig.png?id=documentation%3A1.4%3Aapplications%3Agoogleapps /_detail/documentation/googleapps-ssoconfig.png?id=documentation%3A1.4%3Aapplications%3Agoogleapps //"userobm_web_list" => , //"userobm_web_list" => , Display reset password form Affiche le module de réinitialisation de mot-de-passe Authen::SASL Authen::SASL /_detail/screenshots/1.0/impact/portal.png?id=screenshots /_detail/screenshots/1.0/impact/portal.png?id=screenshots We advice to deactivate other options, cause users will use LL::NG portal to modify or reset their password. Il est conseillé de désactiver les autres options, car les utilisateurs utiliseront le portail LL::NG pour modifier ou réinitialiser leur mot-de-passe. OpenID server Serveur OpenID … … So for Handler on different physical servers than the Portal, a user with an expired session can still be authorized still the cache expires. Ainsi pour les agents installés sur des serveurs physiquement différent de celui hébergeant le portail, un utilisateur dont la session a expiré peut toujours être autorisé jusqu'à expiration du cache. OpenID allowed domains Domaines autorisés pour OpenID </Location>   </Location>   Automatic REMOTE_USER Automatic REMOTE_USER absolute URL if it is run by handler (e.g. /admin/index.php?param=foo). l'URL absolue si elle est appelée par un agent (e.g. /admin/index.php?param=foo). documentation:status_standard.png documentation:status_standard.png Check configStorage and configStorageOptionsor file permissions. Vérifier les options configStorage and configStorageOptions ou les droits associés à ces fichiers. Choose one of the following method: Choisir l'une des méthodes suivantes : Sessions Sessions It will force conversion from UTF-8 to ISO-8859-1 of user and password data. Elle force la conversion de UTF-8 en ISO-8859-1 du nom de compte et du mot-de-passe. Trusted domains: domains on which the user can be redirected after login on portal. Domaines approuvés : domaines vers lesquels l'utilisateur peut être redirigé après authentification sur le portail. Allow from 192.168.142.0/24 Allow from 192.168.142.0/24 Developer access Accès développeurs cd portal/skins mkdir myskin mkdir myskin/css mkdir myskin/images cd portal/skins mkdir myskin mkdir myskin/css mkdir myskin/images password.png password.png RewriteEngine On RewriteEngine On One session only by user: a user can not open 2 sessions with the same account. Une session seulement par utilisateur : on ne peut ouvrir 2 sessions avec le même compte. NameVirtualHost *:80 NameVirtualHost *:80 ../../documentation/1.4/sqlsessionbackend.html#prepare_the_database ../../documentation/1.4/sqlsessionbackend.html#prepare_the_database Handlers have a session cache, with a default lifetime of 10 minutes. Les agents disposent d'un cache de session d'une durée de vie par défaut de 10 minutes. In Manager, click on SAML service providers and the button New service provider. Dans le manager, cliquer sur fournisseurs de service SAML puis sur le bouton Nouveau fournisseur de service. http://httpd.apache.org/docs/current/mod/mod_rewrite.html http://httpd.apache.org/docs/current/mod/mod_rewrite.html Personal Digital Assistant Assistant personnel numérique RewriteEngine On RewriteEngine On vi /etc/yum.repos.d/lemonldap-ng.repo vi /etc/yum.repos.d/lemonldap-ng.repo default => $ssoRoles =~ /ou=aaa,ou=roles/ default => $ssoRoles =~ /ou=aaa,ou=roles/ The Zimbra email and calendar server is available for Linux, Mac OS X and virtualization platforms. Le serveur de messagerie et calendrier Zimbra est disponible pour Linux, Mac OS X et les plateformes de virtualisation. http://packages.debian.org/search?keywords=lemonldap-ng http://packages.debian.org/search?keywords=lemonldap-ng ../pages/documentation/1.1/mrtg.html ../pages/documentation/1.1/mrtg.html http://openid.net/specs/openid-authentication-2_0.html http://openid.net/specs/openid-authentication-2_0.html http://www.facebook.com/home.php?#!/group.php?gid=205544862557 http://www.facebook.com/home.php?#!/group.php?gid=205544862557 perl-Lemonldap-NG-Handler: CPAN - Handler modules perl-Lemonldap-NG-Handler : CPAN - modules agent portalSkin => 'dark', portalSkin => 'dark', Password found from login process (only if password store in session is configured) Mot-de-passe fournit lors du processus d'authentification (seulement si le stockage du mot-de-passe dans la sessions est configuré) ../media/logos/logo_gn.png ../media/logos/logo_gn.png It is possible to store any additional session data. Il est possible de stocker d'autres données de session. Then on Linux server: Ensuite sur le serveur Linux : /_detail/documentation/googleapps-export-priv-key.png?id=documentation%3A1.4%3Aapplications%3Agoogleapps /_detail/documentation/googleapps-export-priv-key.png?id=documentation%3A1.4%3Aapplications%3Agoogleapps Check conditions: set to Off to disable conditions checking on authentication responses. Vérifier les conditions : active ou désactive, l'examen des conditions dans les réponses d'authentification. LL::NG Null backend is a transparent backend: Le backend Null de LL::NG est un backend transparent : It can be seen in system processes, for example: Il peut être vu dans les processus du système, par exemple : </Location>   </Location>   Edit lemonldap-ng.ini, and activate status in the handler section: Éditer lemonldap-ng.ini, et activer le statut dans la section handler : liblemonldap-ng-handler-perl: Handler files liblemonldap-ng-handler-perl : fichiers des agents A rule associates a regular expression to a Perl boolean expression or a keyword. Une règle associe une expression régulière à une expression booléenne Perl ou un mot-clef. Header names must contain only letters and ”-” character Les noms d'en-têtes ne doivent contenir que des lettres et le caractère ”-” Error messages Messages d'erreur In 1.3, LL::NG have a captcha feature which is used in this case. Dans la version 1.3, LL::NG dispose d'une fonctionnalité "captcha" qui est utilisée dans ce cas. ServerName basic.example.com   ServerName basic.example.com   icons:colors.png icons:colors.png If you are protecting Dokuwiki with LL::NG as reverse proxy, convert header into REMOTE_USER environment variable. Si Dokuwiki est protégé par un reverse-proxy LL::NG, convertir l'en-tête en variable d'environnement REMOTE_USER. User owns SSO cookies on the main domain (see Login kinematics) L'utilisateur dispose d'un cookie SSO dans le domaine principal (voir la cinématique de connexion) To allow this, use SOAP for configuration access, or use a network service like SQL database or LDAP directory. Pour contourner ce problème, utiliser SOAP pour l'accès à la configuration ou un service réseau tel une base de donnée SQL ou un annuaire LDAP. See Writing rules and headers chapter. Voir le chapître Écrire les règles et en-têtes. xml longblob NOT NULL, xml longblob NOT NULL, msmith msmith Upgrade from 1.3 Mise à jour depuis la version 1.3 <Valve className="org.lemonLDAPNG.SSOValve" userKey="AUTH-USER" roleKey="AUTH-ROLE" roleSeparator="," allows="127.0.0.1"/> <Valve className="org.lemonLDAPNG.SSOValve" userKey="AUTH-USER" roleKey="AUTH-ROLE" roleSeparator="," allows="127.0.0.1"/> ../../documentation/1.4/samlservice.html#saml_sessions_module_name_and_options ../../documentation/1.4/samlservice.html#saml_sessions_module_name_and_options upgrade upgrade Sébastien BAHLOUL Sébastien BAHLOUL ^/c/portal/logout => logout_sso ^/c/portal/logout => logout_sso Returns cookie(s) name and values Retourne nom(s) et valeur(s) du(des) cookie(s) soapSessionService soapSessionService accept: all authenticated users can pass accept: tout utilisateur authentifié est autorisé $_authChoice $_authChoice http://lasso.entrouvert.org/ http://lasso.entrouvert.org/ http://facebook.com http://facebook.com When using this module, LL::NG portal will be called only if Apache does not return “401 Authentication required”, but this is not the Apache behaviour: if the auth module fails, Apache returns 401. En utilisant ce module, le portail LL::NG est appelé uniquement si Apache ne retourne pas “401 Authentication required”, aucune bascule n'est donc possible. ../media/screenshots/1.0/manager/accordeon_light.png?w=200&h=128 ../media/screenshots/1.0/manager/accordeon_light.png?w=200&h=128 install_bin (/usr/local/lemonldap-ng/bin) install_bin (/usr/local/lemonldap-ng/bin) If you have more than one role for an application, you can join those roles with a separator (ex: ||): Si plusieurs rôles peuvent être donnés dans la même application, on peut joindre ces rôles avec un séparateur (ex : ||): For example to store authentication mode, you can set in Session data to store a new key $_auth with value Authentication mode. Par exemple pour stocker le mode d'authentification, on peut créer une nouvelle clef dans données de session à stocker nommée $_auth avec comme valeur mode d'authentification. For apache configuration, you may have to remove the old symbolic link, if not done by the RPM: Pour la configuration apache, il faut peut-être supprimer l'ancien lien symbolique si ce n'est pas fait par le RPM: documentation/current/start.html documentation/current/start.html <IfModule mod_rewrite.c> <IfModule mod_rewrite.c> Value: $uid Valeur : $uid ../../documentation/1.4/authad.html ../../documentation/1.4/authad.html Script files Fichiers de script SlideShare SlideShare See Form replay to learn how to configure form replay to POST data on protected applications. Voir Rejeu des formulaires pour savoir comment configurer le rejeu des formulaires pour poster des données à une applications protégée. Allow proxied authentication: allow an authentication response to be issued from another IDP that the one we register (proxy IDP). Authentification proxy autorisée : autorise qu'une réponse d'authentification soit issue d'un autre IDP que celui enregistré (proxy IDP). Timeout: server idle timeout. Timeout : délai maximum de connexion. Description Description Required attributes: Attibuts requis : Configuration key of IDP used for authentication Clef de configuration de l'IDP utilisé pour l'authentification Can be overridden by an LDAP URI in server host. Peut être surchargé par une URI dans le nom du serveur LDAP. http://deb.entrouvert.org/ http://deb.entrouvert.org/ DBI Connection user Nom de connexion DBI Authentication table and user table can be the same. Les tables d'authentification et utilisateurs peuvent être confondues. You can also pass parameters to the make install command, with this syntax: On peut aussi passer des paramètres à la commande make install, avec cette syntaxe : loginhistory loginhistory AuthType Kerberos AuthType Kerberos dn: cn=6fb7c4a170a04668771f03b0a4747f46,ou=sessions,dc=example,dc=com objectClass: top objectClass: applicationProcess cn: 6fb7c4a170a04668771f03b0a4747f46 description: [serialized data] dn: cn=6fb7c4a170a04668771f03b0a4747f46,ou=sessions,dc=example,dc=com objectClass: top objectClass: applicationProcess cn: 6fb7c4a170a04668771f03b0a4747f46 description: [serialized data] spring spring http://zimbra.example.com/zimbrasso http://zimbra.example.com/zimbrasso ../pages/wiki/dokuwiki.html ../pages/wiki/dokuwiki.html Configure Single Sign On cookie and portal URL Configurer le cookie SSO (Single Sign On) et l'URL du portail Your old Apache configuration should have been saved, you need to port your specificities in new Apache configuration files: L'ancienne configuration Apache devrait avoir été sauvée, il faut réporter les changements locaux dans le nouveau fichier de configuration Apache : highavailability highavailability Configuration objects use standard object class: applicationProcess. Les objets de configuration utilisent une classe d'objet standard : applicationProcess. In Manager, go in General Parameters > Authentication modules and choose Google for authentication module. Dans le manager, allez dans Paramètres generaux > Modules d'authentification et choisissez Google comme module d'authentication. You must also install a repository for non-core dependencies. Il faut également installer un dépôt pour les dépendances ne faisant pas partie du core. Portal provides also many other features (see portal for more) Le portail fournit également de nombreux autres services (voir portail pour plus d'informations) In Manager, set syslog facility in General Parameters > Logging > Syslog facility. Dans le manager, choisir la facilité syslog dans Paramètres généraux > Journalisation > Facilité syslog. The choosen backends will be registered in session: Les backends choisits enregistrent dans la session : Directory Directory Using Apache::Session::MySQL (if you choose this option, then read how to increase MySQL performances) Utiliser Apache::Session::MySQL (il est alors conseillé de lire comment améliorer les performances de MySQL) You can download the code here: http://github.com/oremj/mediawiki-http-auth/downloads Il est possible de télécharger le code ici : http://github.com/oremj/mediawiki-http-auth/downloads But you will rather prefer to use an Apache authentication module, like for example LDAP authentication module: Il est souvent souhaitable d'utiliser un module d'authentification Apache, tel par exemple le module d'authentification LDAP : managerprotection managerprotection Multi LDAP#Openldap; LDAP#ActiveDirectory Multi LDAP#Openldap; LDAP#ActiveDirectory ../pages/documentation/1.1/ldapminihowto.html ../pages/documentation/1.1/ldapminihowto.html Configuration overview Vue d'ensemble de la configuration mysqladmin create lemonldapng mysqladmin create lemonldapng There are two ways to configure SSO with Sympa: Il y a deux façons de configurer le SSO avec Sympa : All this work is transparent for the user, he cannot see what data are posted by LL::NG. Tout ce travail est transparent pour l'utilisateur et il ne peut voir ce qui est envoyé par LL::NG. Import custom functions in LemonLDAP::NG Importer les fonctions personnalisées dans LemonLDAP::NG customfooter.tpm : HTML code in the footer div customfooter.tpm : code HTML inséré dans le div de pied-de-page ../media/screenshots/1.2/authentication_portal_1340022238188.png?w=200&h=124 ../media/screenshots/1.2/authentication_portal_1340022238188.png?w=200&h=124 extendedfunctions extendedfunctions Since LemonLDAP::NG 1.2, the demonstration backend is configured by default. Depuis la version 1.2 de LemonLDAP::NG, le backend de démonstration est sélectionné par défaut. ../media/screenshots/1.0/dark/menu.png?w=200&h=128 ../media/screenshots/1.0/dark/menu.png?w=200&h=128 //"userobm_samba_logon_script" => , //"userobm_samba_logon_script" => , liferay liferay If a user does not comply with any condition, he is prompted a customized message. Si un utilisateur ne remplit pas une condition, il est averti par un message personnalisé. You may want to use the Mutliple authentication backend to fail back to another authentication for user without Kerberos ticket. On peut souhaiter utiliser le backend d'authentification multiple pour retomber sur un autre système d'authentification pour les utilisateurs sans ticket Kerberos. /index.php?Access=admin /index.php?Access=admin ../../documentation/1.4/highavailability.html ../../documentation/1.4/highavailability.html This mode must not be used for other purpose than test and demonstration! Ces mode ne doit pas être utilisé pour autre chose que des tests et démonstrations ! DocumentRoot /var/www/application   </VirtualHost> DocumentRoot /var/www/application   </VirtualHost> Windows 2003 server: Windows 2003 server : Spring Security (ACEGI) Sécurité Spring (ACEGI) Some characters are encoded in URLs by the browser (such as space,…). Certains caractères sont encodés dans les URLs par le navigateur (tels les espaces,…). jsonfileconfbackend jsonfileconfbackend Protected URLs: Regexp of URLs for which the secure token will be sent, separated by spaces URLs protégées : expressions régulières correspondant aux URLs pour lesquels un jeton sécurisé doit être envoyé, separées par des espaces The password can be in plain text, or encoded with a standard SQL method: Le mot-de-passe peut être stocké en clair ou encodé avec une méthode SQL standard : Fast CGI support Support FastCGI cp lemonldap.class.php inc/auth/ cp lemonldapuserdatabackend.class.php inc/auth/ cp lemonldap.class.php inc/auth/ cp lemonldapuserdatabackend.class.php inc/auth/ Auth-Admin Auth-Admin Use MySQL for Lemonldap::NG sessions Utiliser MySQL pour les sessions de Lemonldap::NG HTML::Template HTML::Template Of course, you need to store password in session to fill PHP_AUTH_PW. Bien sûr, il faut stocker le mot-de-passe dans la session pour renseigner PHP_AUTH_PW. /_detail/documentation/manager-portalskin.png?id=documentation%3A1.4%3Aportalcustom /_detail/documentation/manager-portalskin.png?id=documentation%3A1.4%3Aportalcustom An error occurs on server side: SERVER_ERROR (500) Une erreur est survenue côté serveur : SERVER_ERROR (500) <Directory /var/lib/lemonldap-ng/portal/> <Directory /var/lib/lemonldap-ng/portal/> on: always display on : toujours afficher icons:neotux.png icons:neotux.png #compilation #compilation #presentation #presentation /_detail/screenshots/1.1/manager/notifications_explorer_create.png?id=documentation%3A1.4%3Anotifications /_detail/screenshots/1.1/manager/notifications_explorer_create.png?id=documentation%3A1.4%3Anotifications LL::NG can be configured to provides 2 cookies: LL::NG peut être configuré pour fournir 2 cookies: Then fill the two fields; Renseigner ensuite les deux champs ; LinShare LinShare Variables: user information, macros and groups used to fill SSO session Variables : informations utilisateur, macros et groupes utilisés pour renseigner la session SSO Parameter list Liste des paramètres You can use the same Facebook access token in your applications. On peut réutiliser le même ticket d'accès Facebook dans les applications. This mechanism can only work with authentication backends using a login/password form (LDAP, DBI, …) Ce mécanisme peut seulement fonctionner avec un backend d'authentification utilisant un formulaire login/mot-de-passe (LDAP, DBI, …) So if the http cookie is stolen, sensitive applications stay secured. Ainsi, si le cookie http cookie est volé, les applications sensibles restent protégées. Value Service URL (CAS service identifier) Value Service URL (identifiant de service CAS) "auto_update_force_user" => true, "auto_update_force_user" => true, my $portal = Lemonldap::NG::Portal::SharedConf->new({ multi => { my $portal = Lemonldap::NG::Portal::SharedConf->new({ multi => { https://github.com/9h37/django-lemonldap https://github.com/9h37/django-lemonldap Just add this file to OpenLDAP schemas by including it in slapd.conf: Ajouter simplement ce fichier aux schémas OpenLDAP en l'incluant dans slapd.conf: <Location /wws/sso_login/lemonldapng> <Location /wws/sso_login/lemonldapng> ../../../media/documentation/status_standard.png ../../../media/documentation/status_standard.png User = lemonldap Password = mypassword # LWP::UserAgent parameters proxyOptions = { timeout => 5 } User = lemonldap Password = mypassword # Paramètres LWP::UserAgent proxyOptions = { timeout => 5 } Value: application logout URL Valeur : URL de déconnexion de l'application documentation:latest:ssocookie documentation:latest:ssocookie ../../../documentation/1.4/portalmenu.html#categories_and_applications ../../../documentation/1.4/portalmenu.html#categories_and_applications ../media/screenshots/1.0/dark/menu.png?w=800&h=515 ../media/screenshots/1.0/dark/menu.png?w=800&h=515 ../pages/documentation/1.1/authchoice.html ../pages/documentation/1.1/authchoice.html Zimbra can also be connected to LL::NG via SAML protocol (see Zimbra blog). Zimbra peut aussi être connecté à LL::NG via le protocole SAML (voir le blog de Zimbra). ../../../../media/applications/phpldapadmin_logo.png ../../../../media/applications/phpldapadmin_logo.png AuthLDAPFilter AuthLDAPFilter https://rpmrepo.org/ https://rpmrepo.org/ http://simplesamlphp.org/docs/1.6/simplesamlphp-googleapps http://simplesamlphp.org/docs/1.6/simplesamlphp-googleapps Translations Traductions CAS force authentication renewal Forcer le renouvellement d'authentification CAS ../../media/icons/flags/fr.png ../../media/icons/flags/fr.png They are available at the EntityID URL, by default: http://auth.example.com/saml/metadata. Elles sont disponibles à l'URL EntityID, par défaut : http://auth.example.com/saml/metadata. ../media/screenshots/1.2/lemonldap_ng_manager_1340022440100.png?w=200&h=124 ../media/screenshots/1.2/lemonldap_ng_manager_1340022440100.png?w=200&h=124 http://test1.example.com/status http://test1.example.com/status dbiAuthUser dbiAuthUser You must install them first. Vous devez les installer au préalable. ipAddr WHATTOTRACE ipAddr WHATTOTRACE Only current application is concerned by logout_app* targets. Seule l'application est concernée par les cibles logout_app*. Maintenance mode Mode maintenance documentation:1.4:soapminihowto documentation:1.4:soapminihowto ../documentation/current/sessions.html ../documentation/current/sessions.html ../media/screenshots/1.0/manager/accordeon_light.png?w=800&h=515 ../media/screenshots/1.0/manager/accordeon_light.png?w=800&h=515 applications:dokuwiki_logo.png applications:dokuwiki_logo.png If LL::NG is the only software installed in Apache, the virtual host feature may not have already been activated. Si LL::NG est le seul logiciel installé sur Apache, la fonctionnalité d'hôte virtuel peut ne pas avoir été activée. Menu organization: tree or accordion L'organisation du menu : arbre ou accordéon NameVirtualHost *:80 NameVirtualHost *:443 NameVirtualHost *:80 NameVirtualHost *:443 Facebook uses OAuth2 protocol to allow applications to reuse its own authentication process (it means, if your are connected to Facebook, other applications can trust Facebook and let you in). Facebook utilise le protocole OAuth2 pour autoriser les applications à réutiliser son propre prcessus d'authentification (ce qui signifie que si on est connecté à Facebook, d'autres applications peuvent agréer Facebook et accepter l'utilisateur). Template parameters Paramètres des modèles If you use Facebook as user database, declare values in exported variables : Si on utilise Facebook comme base de données utilisateurs, déclarer les valeurs dans les « variables exportées » : /_detail/documentation/liferay_4.png?id=documentation%3A1.4%3Aapplications%3Aliferay /_detail/documentation/liferay_4.png?id=documentation%3A1.4%3Aapplications%3Aliferay Bugtracker, Service Management Bugtracker, gestion de services /_detail/documentation/manager_access_rule.png?id=documentation%3A1.4%3Asecurity /_detail/documentation/manager_access_rule.png?id=documentation%3A1.4%3Asecurity [portal] globalStorage = Apache::Session::File globalStorageOptions = { 'Directory' => '/var/lib/lemonldap-ng/sessions/', 'LockDirectory' => '/var/lib/lemonldap-ng/sessions/lock/', } [portal] globalStorage = Apache::Session::File globalStorageOptions = { 'Directory' => '/var/lib/lemonldap-ng/sessions/', 'LockDirectory' => '/var/lib/lemonldap-ng/sessions/lock/', } MediaWiki virtual host in Apache Hôte virtuel Mediawiki dans le manager For example, to proxy https://www.public.com to http://www.private.com: Par exemple, pour relayer https://www.public.com en http://www.private.com: ../pages/documentation/1.1/upgrade.html ../pages/documentation/1.1/upgrade.html LemonLDAP::NG does not manage Apache configuration LemonLDAP::NG ne gère pas la configuration d'Apache → Your browser loops between portal and handler, it is probably a cookie problem. → le navigateur boucle entre le portail et l'agent, il s'agit probablement d'un problème. Config::IniFiles Config::IniFiles mailConfirmBody mailConfirmBody You should change the Allow directive to match administration IP, or use another Apache protection mean. On peut changer la directive Allow pour réserver l'adresse IP d'administration, ou utiliser une autre protection. Cookie expiration time: by default, SSO cookie is a session cookie, which mean it will be destroyed when the browser is closed. Durée de vie du cookie : par défaut, le cookie SSO est un cookie de session, ce qui signifie qu'il n'est pas conservé lorsque le navigateur est clos. Web sites install : Installer les sites web : <IfModule auth_kerb_module> <IfModule auth_kerb_module> //"userobm_address2" => , //"userobm_address2" => , This does not include Apache configuration which is not managed by LemonLDAP::NG Ceci n'inclue pas la configuration propre d'Apache qui n'est pas gérée par LemonLDAP::NG This will provide the auxiliary object class ssoUser with attributes: Il fournit les classes auxiliaires ssoUser avec les attributs : caPath caPath vi /etc/lemonldap-ng/apache2.conf.rpmsave vi /etc/lemonldap-ng/apache2.conf.rpmsave Apache rewrite rules must have been activated in Apache portal configuration: Le module Rewrite d'Apache doit être activé dans la configuration Apache du portail: Default NameID format: if no NameID format is requested, or the NameID format undefined, this NameID format will be used. Format de NameID par défaut : si aucun fiormat de NameID n'est demandé, ou si le format n'est pas défini, ce format de NameID sera utilisé. Proxy Proxy /_detail/screenshots/1.1/mailreset/mailreset_step4.png?id=screenshots /_detail/screenshots/1.1/mailreset/mailreset_step4.png?id=screenshots The Handler must be loaded before any protected virtual host. L'agent doit être chargé avant tout hôte virtuel à protéger. PerlSetVar LmCookieDomainToReplace private.com,public.com </VirtualHost> PerlSetVar LmCookieDomainToReplace private.com,public.com </VirtualHost> http://coudot.blogs.linagora.com/index.php/post/2011/07/21/Sortie-de-LemonLDAP%3A%3ANG-11 http://coudot.blogs.linagora.com/index.php/post/2011/07/21/Sortie-de-LemonLDAP%3A%3ANG-11 Source RPM RPM sources ProxyPassReverse / http://private-name/ ProxyPassReverse / http://private-name/ SAML Identity Provider Fournisseur d'identité SAML Encryption mode: set the encryption mode for this IDP (None, NameID or Assertion). Mode de chiffrement : fixe le mode de chiffrement pour cet IDP (None, NameID ou Assertion). /_detail/screenshots/1.0/manager/tree_light.png?id=screenshots /_detail/screenshots/1.0/manager/tree_light.png?id=screenshots _lassoIdentityDump _lassoIdentityDump documentation:1.4:fileconfbackend documentation:1.4:fileconfbackend The first rule that matches is applied. La première règle qui correspond est appliquée. Headers sent En-têtes envoyés dwho@badwolf.org dwho@badwolf.org documentation:1.4:applications:zimbra documentation:1.4:applications:zimbra See also Debian/Ubuntu installation documentation. Voir aussi la documentation d'installation Debian/Ubuntu. ../../media/documentation/lemonldap-ng-architecture.png ../../media/documentation/lemonldap-ng-architecture.png Prepare your new lemonldap-ng.ini file Preparer le nouveau lemonldap-ng.ini file Memcached session backend Backend de session Memcached Create a symlink on portal/index.pl to define the kerberos authentication end point: Créer un lien symbolique vers portal/index.pl pour définir le point final d'authentification kerberos : You may use the securedCookie options to avoid session hijacking. Vous devriez utilisez les options securedCookie pour éviter le vol de session. Restart Apache and try to log on Manager. Redémarrer Apache et tenter de se connecter au manager. This user will not be available anymore if you configure a new authentication backend! Cet utilisateur n'est plus disponible si on change de backend d'authentification ! ldapVersion ldapVersion ^/forum/ ^/forum/ Restrict access to the directories only to the Apache server. Restreindre l'accès à ces répertoires au seul utilisateur Apache. http://en.wikipedia.org/wiki/Model%E2%80%93View%E2%80%93Controller http://fr.wikipedia.org/wiki/Mod%C3%A8le-Vue-Contr%C3%B4leur Passive authentication: set IsPassive flag in authentication request Authentification passive : positionne le drapeau IsPassive dans la requête d'authentification Core Core → LemonLDAP::NG uses a key to crypt/decrypt some datas. → LemonLDAP::NG utilise une clef pour chiffrer/déchiffrer certaines données. Browseable session backend (Apache::Session::Browseable) works exactly like Apache::Session::* corresponding module but add indexes that increase session explorer and session restrictions performances. Le backend de session explorable (Apache::Session::Browseable) fonctionne exactement comme le module Apache::Session::* correspondant mais ajoute des index qui améliore les performances de l'explorateur de session et les restrictions de sessions. In particular, it use Apache2 threads capabilities so to optimize performances, prefer using mpm-worker. En particulier, il utilise les capacités multi-threads d'Apache-2, donc pour optimiser les performances, utilisez de préférence mpm-worker. documentation:1.0:sqlconfbackend documentation:1.0:sqlconfbackend <security:custom-authentication-provider /> <security:custom-authentication-provider /> URL: optional, can be used to redirect on another URL (for example https://authssl.example.com). URL : optionnel, peut être utilisée pour rediriger l'utilisateur vers une autre URL (par exemple https://authssl.example.com). Authentication Authorization Accounting Authentification Autorisation Traçabilité FPW FPW Authentication: select row in authentication table matching user and password Authentification : selectionne la ligne de la table d'authentification contenant l'utilisateur et le mot-de-passe portalDisplayResetPassword portalDisplayResetPassword Crypt::OpenSSL::Bignum Crypt::OpenSSL::Bignum http://httpd.apache.org/docs/current/mod/mod_authnz_ldap.html http://httpd.apache.org/docs/current/mod/mod_authnz_ldap.html documentation:1.4:applications:spring documentation:1.4:applications:spring Install packages Installer les paquets ldapAuthnLevel ldapAuthnLevel http://www.linux-ha.org/wiki/Heartbeat http://www.linux-ha.org/wiki/Heartbeat You can define keys for SAML message signature and encryption. Vous pouver définir des clefs pour la signature et le chiffrement des messages SAML. ../pages/wiki/syntax.html ../pages/wiki/syntax.html Protect the Manager by Apache Protéger le Manager par Apache <VirtualHost *:80> <VirtualHost *:80> It is recommended to use ModPerl::Registry instead of using cgi-script as described in Apache configuration file example (portal-apache2.conf): Il est recommendé d'utiliser ModPerl::Registry au lieu d'utiliser le dispositif "cgi-script" tel qu'indiqué dans les fichiers de configuration d'Apache proposés en exemple (portal-apache2.conf): SOAP server location (URL) Emplacement du serveur SOAP (URL) DBI Password hash Hachage de mot-de-passe DBI Notification uid for all users Nom de compte de notification pour tous les utilisateurs documentation:manager-portalskin.png documentation:manager-portalskin.png documentation:manager-authchoice.png documentation:manager-authchoice.png Documentation for latest stable version Documentation for latest stable version action=logout$ action=logout$ # SOAP functions for sessions management (disabled by default) <Location /index.pl/adminSessions> # SOAP functions for sessions management (disabled by default) <Location /index.pl/adminSessions> For example, for a full access, excepted week-end: Par exemple, pour un accès total excepté le week-end: documentation:1.4:redirections documentation:1.4:redirections Then, go in Twitter parameters: Allez ensuite dans Paramètres Twitter : URI of the server URI du serveur Declare custom functions Declarer les fonctions personnalisées It is set in LemonLDAP::NG utilities directory (convertConfig). Il se traouve dans le répertoire des utilitaires LemonLDAP::NG (convertConfig). If you have run the Debian/Ubuntu install command, just use: Pour la commande d'installation Debian/Ubuntu, utiliser simplement : Restrict network access to the database. Restreindre l'accès réseau à la base de données. SSO logout: the request is not forwarded to application, only the SSO session is closed Déconnexion SSO: la requête n'est pas transmise à l'application, seule la session SSO est fermée documentation:1.4:applications:tomcat ↵ documentation:1.4:applications:tomcat ↵ Launch that: Lancer ceci : Then creating a notification for alluserscustom will display the notification for all users. Ainsi, créer une notification pour alluserscustom affichera la notification à tous les utilisateurs. Documentation is available for configuration backends : Cette documentation est valable pour les backends de configuration : Then a user that try to access to one of the following will be granted ! Alors l'utilisateur qui tente d'accéder à l'une des URL suivantes sera autorisé ! authorize: check if user is authorizated to access to this URL authorize : vérifie si l'utilisateur est autorisé à accèder à cette URL ../../documentation/1.4/error.html ../../documentation/1.4/error.html ServerName dokuwiki.example.com   ServerName dokuwiki.example.com   HTTP Auth HTTP Auth You can also use the binary value from the logonHours attribute of Active Directory La valeur binaire de l'attribut logonHours d'Active Directory peut également être utilisée If your LDAP server do not manage this objectClass, you have to extend your schema. Si le serveur LDAP ne gère pas cette classe d'objet, il faut étendre le schéma. SOAP functions are protected by Apache, you can change this in Apache portal configuration: Les fonctions SOAP sont protégées par Apache, on peut le changer dans la configuration Apache du portail: ../../css/all.css ../../css/all.css http://drupal.org/project/Webserver_auth http://drupal.org/project/Webserver_auth Custom functions allow to extend LL::NG, they can be used in headers, rules or form replay data. Les fonctions personnalisées permettent d'étendre LL::NG, elles peuvent être utilisées dans les règles, les en-têtes et les données à rejouer dans les formulaires. It means that if the IDP propose to close session earlier than the default LemonLDAP::NG timeout, the session _utime will be modified so that session is erased at the date indicated by the IDP. Celà signifie que si l'IDP propose de clore la session au-delà de la durée de vie par défaut dans LemonLDAP::NG, la valeur de _utime sera modifiée afin que la session ne soit effacée qu'au moment indiqué par l'IDP. ../media/screenshots/1.1/mailreset/mailreset_step2.png?w=200&h=112 ../media/screenshots/1.1/mailreset/mailreset_step2.png?w=200&h=112 # Redirect admin pages # Rediriger les pages d'administration <Location /index.pl/adminSessions> <Location /index.pl/adminSessions> This requires Perl CAS module. Ceci nécessite un module Perl CAS. unprotect: no authentication will be asked to access surveys unprotect : aucune authentification n'est nécessaire pour accéder aux surveillances ../index.html ../index.html The Django connector is available on GitHub: https://github.com/9h37/django-lemonldap Le connecteur Django est disponible sur GitHub : https://github.com/9h37/django-lemonldap authcas authcas Portal URL: remote portal URL Portail URL: URL du portail distant Account: DN used to connect to LDAP server. Compte : DN à utiliser pour se connecter au serveur LDAP. ../../../documentation/1.4/rbac.html ../../../documentation/1.4/rbac.html authapache authapache User has no access authorization: FORBIDDEN (403) L'utilisateur ne dispose pas de droits d'accès : FORBIDDEN (403) ../../documentation/1.0/fileconfbackend.html ../../documentation/1.0/fileconfbackend.html Headers En-têtes Since MySQL performances are very bad using this, if you want to store sessions in a MySQL database, prefer one of the following Ceci dégrade fortement les performances de MySQL, si vous voulez stocker les sessions dans une base de données MySQL, utilisez l'une des solutions suivantes http://www.mediawiki.org/wiki/Extension:AutomaticREMOTE_USER http://www.mediawiki.org/wiki/Extension:AutomaticREMOTE_USER ad.example.com: DNS of Active Directory ad.example.com : nom DNS du serveur Active Directory soapconfbackend soapconfbackend lastname lastname Command Line Interface (CLI) Interface en ligne de commande (CLI) -I/etc/apache2 -e &Lemonldap::NG::Handler::Status::run(Cache::FileCache,{? -I/etc/apache2 -e &Lemonldap::NG::Handler::Status::run(Cache::FileCache,{? ../../documentation/1.4/logs.html ../../documentation/1.4/logs.html <OrganizationName xml:lang="en">Example</OrganizationName> <OrganizationName xml:lang="en">Exemple</OrganizationName> Choose one of the following: Choisir l'une des options suivantes : To use custom files, delete links and copy them into your skin folder: Pour utiliser des fichiers personnalisés, effacer les liens et copier les fichiers dans le répertoire du thème : /_detail/screenshots/1.0/sessionsexplorer/accordeon_dark.png?id=screenshots /_detail/screenshots/1.0/sessionsexplorer/accordeon_dark.png?id=screenshots Magic authentication Authentification magique https://verifier.login.persona.org/verify https://verifier.login.persona.org/verify They use LemonLDAP::NG! Ils utilisent LemonLDAP::NG! portalUserAttr portalUserAttr http://repo.cyrus-project.org/centos5-i386/RPMS.cyrus-extras/ http://repo.cyrus-project.org/centos5-i386/RPMS.cyrus-extras/ casAttr casAttr You can set them the same way: On peut les renseigner par la même voie : documentation:1.4:ldapminihowto documentation:1.4:ldapminihowto Documentation: use OmegaT to translate offline documentation and configure it: Documentation: utilisez OmegaT pour traduire la dcumentation hors-ligne et configurez le : ../pages/documentation/1.1/authcas.html ../pages/documentation/1.1/authcas.html On CentOS/RHEL: Sur CentOS/RHEL : ../../../media/applications/bugzilla_logo.png ../../../media/applications/bugzilla_logo.png In this case, you can choose a different module to manage SAML sessions. Dans ce cas, vous devez utiliser un module différent pour gérer les sessions SAML. You can manage roles with the RBAC model or by using groups. On peut gérer les rôles avec le modèle RBAC ou en utilisant les groupes. Null authentication level Niveau d'authentification de Null icons:knewsticker.png icons:knewsticker.png ^/pub/ ^/pub/ Password change: form to change the password Changement de mot-de-passe : formulaire de changement de mot-de-passe phpldapadmin phpldapadmin </Directory>   </VirtualHost> </Directory>   </VirtualHost> (&(mail=$mail)(objectClass=person)) (&(mail=$mail)(objectClass=person)) default => $ssoRoles =~ /ou=bbb,ou=roles/ default => $ssoRoles =~ /ou=bbb,ou=roles/ /_detail/logos/logo_ministere_justice.jpg?id=references /_detail/logos/logo_ministere_justice.jpg?id=references PHP PHP You can set a custom logo by choosing My logo, set the logo file name, and copy the logo file in portal applications logos directory On peut sélectionner un logo personnalisé en choisissant Mon logo, en indiquant le nom du fichier et en le copiant dans le répertoire des logos des applications https://forge.indepnet.net/projects/glpi/wiki/GLPI-SSO https://forge.indepnet.net/projects/glpi/wiki/GLPI-SSO http://www.slideshare.net/coudot/lemonldapng-et-le-support-saml2 http://www.slideshare.net/coudot/lemonldapng-et-le-support-saml2 documentation:1.4:applications:sympa documentation:1.4:applications:sympa service_name Centralized auth service service_name Centralized auth service User tries to access to an application in the secondary LL::NG structure without having a session in this area Un utilisateur essaie d'accéder à une application du système LL::NG secondaire sans avoir de session dans cette aire Redirect on error: use 302 instead 500 or 503 Redirection pour les erreurs : utilise 302 au lieu de 500 ou 503 ../../documentation/1.4/security.html ../../documentation/1.4/security.html This is simple because you can send the role to the application by creating a HTTP header (for example Auth-Role) with the concatenated values (';' is the concatenation string): C'est simple car on peut envoyer le rôle à l'application en créant un en-tête HTTP (par exemple Auth-Role) en concaténat les valeurs (avec ';' en séparateur) : Name: SAML attribute name. Nom: Nom de l'attribut SAML. portal/skins/common/mail_confirm.tpl portal/skins/common/mail_confirm.tpl [libdefaults] [libdefaults] LDAP extended SetPassword modify Active la modification étendue de mot-de-passe LDAP (SetPassword) LL::NG is able to transfer (trough SOAP) authentication credentials to another LL::NG portal, like a proxy. LL::NG peut transferer (en utilisant SOAP) les éléments d'authentification à un autre portail LL::NG, comme un proxy. LL::NG can propose a password reset form, for users who loose their password (this kind of application is also called a self service password interface). LL::NG peut proposer un formulaire de réinitialisation de mot-de-passe pour les utilisateurs qui ont perdu leur mot-de-passe (ce type d'application est également appelée interface de mot-de-passe self-service). Security parameters Paramètres de sécurité Handler use the default Apache error code for the following cases: Les agents utilisent le code d'erreur d'Apache dans les cas suivants : This valve will check an HTTP header to set the authenticated user on the J2EE container. Cette valve examine les en-têtes HTTP pour désigner l'utilisateur authentifié au conteneur J2EE. The whole Location value is replaced, including the scheme (http or https), which can help to manage redirections below SSL hardware equipments La valeur complète de Location est remplacée, y compris le schéma (http or https), ce qui peut aider à gérer les redirections derrière des équipements SSL matériels logos:logo_linagora.png logos:logo_linagora.png Master's IP address: the IP addresses of servers which are accredited to authenticate user. Adresse IP du maître : les adresses IP des serveurs autorisés à authentifier les utilisateurs. An application name (to allow access by applications and not by group of users) Un nom d'application (pour autoriser l'accès aux applications sans utiliser les groupes) You have to use “Multi” as authentication module. Il est possible d'utiliser le module d'authentification “Multi”. documentation:1.4:start documentation:1.4:start ../media/screenshots/1.0/impact/password.png?w=800&h=515 ../media/screenshots/1.0/impact/password.png?w=800&h=515 You cannot use the unprotect rule because Drupal navigation is based on query strings (?q=admin, ?q=user, etc.), and unprotect rule only works on URL patterns. Vous ne pouvez pas utiliser la règle unprotect car la navigation Drupal est basée sur des requêtes basées sur des attributs (?q=admin, ?q=user, etc.), et la règle unprotect ne fonctionne que sur des correspondances d'URL. The portal URL must be inside SSO domain. L'URL du portail doit être dans le domaine SSO. done datetime DEFAULT NULL, done datetime DEFAULT NULL, authslave authslave tar zxvf lemonldap-ng-*.tar.gz cd lemonldap-ng-* tar zxvf lemonldap-ng-*.tar.gz cd lemonldap-ng-* Portal: the portal redirect on itself in many cases (credentials POST, SAML, etc.) le portail : le portail redirige vers lui-même dans plusieurs cas (POST d'authentification, SAML, etc...) LemonLDAP::NG provides a script to change configuration backend easily keeping history. LemonLDAP::NG fournit un script pour changer aisément de backend de configuration en conservant l'historique. So you can have a full AAA protection for your web space as described below. Vous vouvez ainsi avoir une protection AAA complète pour votre espace web tel qu'indiqué ci-dessus. zimbra zimbra Theme (jQuery UI theme). Thème (thème jQuery-UI). nullAuthnLevel nullAuthnLevel install_site (all sites including install_doc_site) install_site (all sites including install_doc_site) authbrowserid authbrowserid Fill $releasever and $basearch with the correct values to get packages for your environment, for example http://repo.cyrus-project.org/centos5-i386/RPMS.cyrus-extras/ Adapter $releasever et $basearch avec la valeur correcte pour obtenir les paquets correspondant à votre environnement, par exemple http://repo.cyrus-project.org/centos5-i386/RPMS.cyrus-extras/ SQL configuration Configuration SQL Service configuration Configuration du service Attribute Service Service d'attribut netid_http_header HTTP_AUTH_USER netid_http_header HTTP_AUTH_USER Twitter application secret Secret d'application Twitter documentation:1.4:internalproxy documentation:1.4:internalproxy Since version 1.90 of Apache::Session, you can use Apache::Session::MySQL::NoLock instead Depuis la version 1.90 d'Apache::Session, on peut utiliser Apache::Session::MySQL::NoLock à la place Portal creates SSO cookies with session key as value Le portail crée le cookie SSO avec la clef de la session comme valeur mysqlminihowto mysqlminihowto For security reasons, the password is not shown in sessions explorer. Pour des raisons de sécurité, le mot-de-passe n'est pas affiché dans l'explorateur de sessions. <IfModule mod_rewrite.c> <IfModule mod_rewrite.c> It can be upgraded using buildPortalWSDL script. Il peut être mis à jour en utilisant le script buildPortalWSDL. uidR uidR Can't locate /usr/share/lemonldap-ng/configStorage.pl Can't locate /usr/share/lemonldap-ng/configStorage.pl make debian-install make debian-install LemonLDAP::NG Portal Portail LemonLDAP::NG OBM includes Groupware, messaging server, CRM, LDAP, Windows Domain, smartphone and PDA synchronization… OBM inclut un groupware, un serveur de messagerie, un CRM, un annuaire LDAP, un domaine Windows, un dispositif de synchronisation pour smartphone et PDA… Notifications trough SOAP Notifications via SOAP <security:custom-filter position="PRE_AUTH_FILTER" /> <security:custom-filter position="PRE_AUTH_FILTER" /> Reporting a bug Rapporter un bogue Install Authen::Radius Installer Authen::Radius This function will check the day and the hour of current request, and compare it to allowed days and hours. Cette fonction examine le jour et l'heure de la requête courante et la compare aux jours et heures autorisés. /_detail/documentation/manager-saml-idp-attribute.png?id=documentation%3A1.4%3Aauthsaml /_detail/documentation/manager-saml-idp-attribute.png?id=documentation%3A1.4%3Aauthsaml checkXSS checkXSS authChoiceParam authChoiceParam Self service reset (send a mail to the user with a to change the password) Self-service de réinitialisation (envoie un mail à l'utilisateur pour changer son mot-de-passe) $uid eq "dwho" $uid eq "dwho" LDAP main search filter Filtre de recherche LDAP principal sudo ln -s /usr/local/lemonldap-ng/etc/cron.d/* /etc/cron.d/ sudo ln -s /usr/local/lemonldap-ng/etc/cron.d/* /etc/cron.d/ http://www.linuxpicnic.org/ http://www.linuxpicnic.org/ Version: LDAP protocol version. Version : version du protocole LDAP. ../media/logos/logo_linagora.png ../media/logos/logo_linagora.png HTTP POST HTTP POST DBI Connection password Mot-de-passe de connexion DBI ../../documentation/1.4/soapconfbackend.html ../../documentation/1.4/soapconfbackend.html You can share your configuration over the network using SOAP proxy system. On peut partager la configuration à travers le réseau en utilisant le système mandataire SOAP. #a #a #b #b #f #f #e #e #d #d The file name default separator is _, this can be a problem if you register notifications for users having _ in their login. Le séparateur par défaut des noms de fichiers est _, ce qui peut poser problème si on enregistre des notifications pour des utilsateur ayant un caractère _ dans leur nom de connexion. #c #c Target attribute: name of the attribute in the groups storing the link to the user (default: member). Attribut cible : nom de l'attribut du groupe stockant le lien vers l'utilisateur (défaut: member). #j #j #i #i ErrorLog /var/log/apache2/proxysite_error.log ErrorLog /var/log/apache2/proxysite_error.log #h #h ../../documentation/1.4/authyubikey.html ../../documentation/1.4/authyubikey.html #g #g #n #n Then create the keytab. Créer ensuite le fichier keytab. #m #m #l #l /_detail/documentation/manager_access_rule.png?id=documentation%3A1.4%3Awritingrulesand_headers /_detail/documentation/manager_access_rule.png?id=documentation%3A1.4%3Awritingrulesand_headers Go in the Manager and set the LDAP session module (Apache::Session::LDAP) in General parameters » Sessions » Session storage » Apache::Session module and add the following parameters (case sensitive): Aller dans le manager et mettre le module de session (Apache::Session::LDAP) dans Paramètres généraux » Sessions » Stockage des sessions » Module Apache::Session et ajouter les paramètres suivant (sensible à la casse) : #r #r <md:EntityDescriptor entityID="google.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"> <md:EntityDescriptor entityID="google.com" xmlns="urn:oasis:names:tc:SAML:2.0:metadata" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"> #q #q #p #p #o #o #u #u notifyOther notifyOther #v #v [portal] portalSkin = dark [portal] portalSkin = dark #s #s Even if LL:NG can catch logout URL trough virtual host rules, you can have the need to forward a logout to other applications, to close their local sessions. Même si LL:NG peut intercepter les URL de déconnexion via les règles de d'hôte virtuel, on peut avoir besoin de propager la déconnexion à d'autres applications, pour clore leurs sessions locales. It can inspect HTTP headers to replace on the fly the Location and Set-Cookie headers. Il peut inspecter les en-têtes HTTP pour remplacer à la volée les en-têtes Location et Set-Cookie. This method requires to execute a command on the Active Directory server, and then transfer the keytab on Linux server. Cette méthode nécessite d'exécuter une commande sur le serveur Active Directory et ensuite de transférer le fichier keytab sur le serveur Linux. #t #t With OpenLDAP, you can use the memberof overlay to do it automaticaly. Avec OpenLDAP, vous pouvez utiliser memberof overlay qui le fera automatiquement. #z #z LINAGORA LINAGORA #w #w <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://www.google.com/a/mydomain.org/acs" index="1" /> <AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://www.google.com/a/mydomain.org/acs" index="1" /> The new password is sent to user Le nouveau mot-de-passe est envoyé à l'utilisateur Go in the Manager and set the session module (for example Apache::Session::Postgres for PostgreSQL) in General parameters » Sessions » Session storage » Apache::Session module and add the following parameters (case sensitive): Aller dans le Manager et choisir le module de session (par exemple Apache::Session::Browseable::Postgres pour PostgreSQL) dans Paramètres généraux » Sessions » Stockage des sessions » Module Apache::Session et ajouter les paramètres suivants (sensible à la casse): In “Apache::Session module” field, set ”Apache::Session::Flex” and use the following parameters: Dans le champ “Module Apache::Session”, indiquez ”Apache::Session::Flex” et utilisez les paramètres suivants : handler-apache2.conf : Handler declaration, reload and sample virtual hosts handler-apache2.conf : déclaration du handler, rechargement et exemple d'hôte virtuel documentation:1.4:logs documentation:1.4:logs There are packages available here: http://deb.entrouvert.org/. Les paquets sont disponibles ici : http://deb.entrouvert.org/. SOAP end points (inactivated by default): Points d'accès SOAP (désactivés par défaut) : insert a label “LMAUTH” ahead of the loop insérer le label “LMAUTH” en tête de la boucle 'LDAP#ActiveDirectory' => { 'LDAP#ActiveDirectory' => { CAS_gateway CAS_gateway a_session blob, a_session blob, http://wiki.zimbra.com/index.php?title=Preauth#Preparing_a_domain_for_preauth http://wiki.zimbra.com/index.php?title=Preauth#Preparing_a_domain_for_preauth OBM Apache configuration must be loaded after LL::NG Apache configuration. La configuration du serveur Apache d'OBM doit être chargée après celle de LL::NG. ../../documentation/1.4/applications/authbasic.html ../../documentation/1.4/applications/authbasic.html You also need to know the technical name of configuration parameter to do this. Il est également nécessaire de connaître le nom technique du paramètre de configuration pour le faire. ../../documentation/1.4/idpopenid.html#shared_attributes_sreg ../../documentation/1.4/idpopenid.html#shared_attributes_sreg applications:http_logo.png applications:http_logo.png handler: parameters only for Handler manager : paramètres réservés aux agents JCOS JCOS SetHandler perl-script SetHandler perl-script AuthBasicProvider ldap AuthBasicProvider ldap if you use “CDBI” or “RDBI” system, the notifications will be stored in the same database as configuration and in a table called “notifications”. si “CDBI” ou “RDBI” est utilisé, les notifications sont stockées dans la même base de données que la configuration et la table est nommée “notifications”. Install Installation ../media/screenshots/0.9.4/0.9.4_application_menu.png?w=800&h=534 ../media/screenshots/0.9.4/0.9.4_application_menu.png?w=800&h=534 //"userobm_nomade_dateend" => , //"userobm_nomade_dateend" => , ../media/screenshots/1.1/manager/notifications_explorer_create.png?w=800&h=519 ../media/screenshots/1.1/manager/notifications_explorer_create.png?w=800&h=519 Logout rule (for example logout_app_sso) Règle de déconnexion (par exemple logout_app_sso) applications:limesurvey_logo.png applications:limesurvey_logo.png ../../documentation/current/ssocookie.html#sso_cookie ../../documentation/current/ssocookie.html#sso_cookie Allow from 127.0.0.0/8 192.168.100.0/32 Allow from 127.0.0.0/8 192.168.100.0/32 Then, go in Null parameters: Aller ensuite dans les paramètres Null: Force HTTPS in redirection Indicateur HTTPS pour les redirections LemonLDAP::NG configuration is build around Apache virtual hosts. La configuration de LemonLDAP::NG est construite autour des hôtes virtuels Apache. http://wiki.sbay.org/ http://wiki.sbay.org/ Search user: select row in user table matching user Recherche de l'utilisateur : selectionne la ligne de la table utilisateurs correspondant à l'utilisateur Indeed, a virtual host can contain several applications (http://vhost.example.com/appli1, http://vhost.example.com/appli2). En effet, un hôte virtuel peut contenir plusieurs applications (http://vhost.example.com/appli1, http://vhost.example.com/appli2). ../../../media/icons/warehause.png ../../../media/icons/warehause.png ldapGroupAttributeNameSearch ldapGroupAttributeNameSearch Proxy tickets will be collected at authentication phase and stored in user session under the form: Les tickets de proxy seront collectés lors de la phase d'authentification et stockés dans la session utilisateur sous la forme : roleKey: key in the HTTP header containing roles. roleKey : nom de l'en-tête HTTP contenant les rôles. ✔ ✔ SAML authentication and issuer Authentification ou fourniture d'identité SAML Category and application key can have a digit as first character, which will allow to display categories in the right order (categories and applications are displayed in alphabetical order). Les clefs des categories et des applications peuvent commencer par un chiffre ce qui permet de les afficher dans le bon ordre (catégories et applications sont affichées dans l'ordre alphabétique). http://auth.ucanss.fr/ http://auth.ucanss.fr/ //"userobm_password_type" => , //"userobm_password_type" => , In the manager: set ”Apache::Session::File” in “General parameters » Sessions » Session storage » Apache::Session module” and add the following parameters (case sensitive): Dans le manager : indiquez Apache::Session::File dans Paramètres généraux » Sessions » Stockage des sessions » Module Apache::Session et ajoutez les paramètres suivant (sensibles à la casse): #functions_list #functions_list ~500 ~500 ../../../documentation/1.4/header_remote_user_conversion.html ../../../documentation/1.4/header_remote_user_conversion.html logout_url http://sympa.example.com/wws/logout logout_url http://sympa.example.com/wws/logout Portal menu Menu du portail The portal is the main component of LL::NG. Le portail est le principal composant de LL::NG. Database must be prepared exactly like in SQL session backend except that a field must be added for each data to index. La base de donnée doit être préparée exactement comme celle du backend de session SQL si ce n'est qu'un champ doit être ajouté pour chaque donnée à indexer. the portal is in the declared domain le portail est dans le domaine déclaré ref varchar(255) NOT NULL, ref varchar(255) NOT NULL, /var/lib/lemonldap-ng/sessions/lock /var/lib/lemonldap-ng/sessions/lock documentation:ha-apache.png documentation:ha-apache.png User database: where collect user information Base de données utilisateurs : où collecter les informations utilisateurs MediaWiki MediaWiki ldapGroupAttributeNameUser ldapGroupAttributeNameUser To protect the manager by LL::NG, you just have to set this in lemonldap-ng.ini configuration file (section [manager]): Pour protéger le manager par LL::NG, il suffit de mettre ceci dans le fichier de configuration lemonldap-ng.ini (section [manager]) : Be sure that mod_rewrite is installed and that SAML2 rewrite rules are activated in Apache portal configuration: Assurez-vous que mod_rewrite est installé et que les règles de réécriture SAML2 sont activées dans la configuration Apache du portail: SAML identity providers: Registered IDP Fournisseurs d'identité SAML : IDP enregistrés Sessions module: set Lemonldap::NG::Common::Apache::Session::SOAP for SOAP session backend. Module de sessions : mettre Lemonldap::NG::Common::Apache::Session::SOAP pour le backend de session SOAP. ProxyPass / http://hiddenappl1.example.com/ ProxyPass / http://hiddenappl1.example.com/ Local macros is a special feature of handler that permit to have macros useable localy only. Les macros locales sont une fonctionnalité spéciale des agents qui permettent d'avoir des macros utilisables localement seulement. "auto_update" => true, "auto_update" => true, Perl-CAS module installation Installation du module Perl-CAS yum localinstall lemonldap-ng-* perl-Lemonldap-NG-* yum localinstall lemonldap-ng-* perl-Lemonldap-NG-* Key: Service ID Clef : Service ID ../pages/documentation/1.1/applications/drupal.html ../pages/documentation/1.1/applications/drupal.html If the packages are stored in a yum repository: Si les paquets sont stockés dans un dépôt yum : ../documentation/presentation.html#login ../documentation/presentation.html#login You have to install HttpAuthPlugin.php in the extensions/ directory of your MediaWiki installation: Il faut installer HttpAuthPlugin.php dans le répertoire extensions/ de MediaWiki : session_start();   $_SERVER['PHP_AUTH_USER'] = $_SERVER['REMOTE_USER'];   if ((!empty($_SERVER['PHP_AUTH_USER']) && !empty($_SERVER['REMOTE_USER'])) || $_COOKIE[$wgDBserver . 'UserID']) { session_start();   $_SERVER['PHP_AUTH_USER'] = $_SERVER['REMOTE_USER'];   if ((!empty($_SERVER['PHP_AUTH_USER']) && !empty($_SERVER['REMOTE_USER'])) || $_COOKIE[$wgDBserver . 'UserID']) { user; admin user; admin ../media/screenshots/1.0/impact/menu.png?w=800&h=523 ../media/screenshots/1.0/impact/menu.png?w=800&h=523 DBI UserDB connection user Compte de connexion UserDB DBI The default value of this wilcard is allusers, but you can change it if allusers is a known identifier in your system. La valeur par défaut de cette carte blanche est allusers, mais on peut la changer si allusers est un nom d'utilisateur. Site Name: Name that will be displayed in the BrowserID login window Nom du site : Nom qui sera affiché dans la fenêtre d'authentification BrowserID //"userobm_fax2" => , //"userobm_fax2" => , 'default_expires_in' => 600,? 'default_expires_in' => 600,? using external identity provider (SAML, OpenID, CAS, Twitter, other LL::NG system, …) utilisant un fournisseur d'identité externe (SAML, OpenID, CAS, Twitter, autres systèmes LL::NG, …) In Manager, go in General Parameters > Authentication modules and choose Radius for authentication. Dans le manager, aller dans Paramètres généraux > Modules d'authentification et choisir Radius pour l'authentification. ../pages/documentation/1.1/authslave.html ../pages/documentation/1.1/authslave.html ../../documentation/1.4/installdeb.html ../../documentation/1.4/installdeb.html </IfModule>   </IfModule>   First name Prénom lemonldap_ng_manager_1340022440100.png lemonldap_ng_manager_1340022440100.png ServerName admindrupal.example.com   ServerName admindrupal.example.com   If you plan to forward user's password to OBM, then you have to keep the password in session. S'il est prévu de transmettre le mot-de-passe utilisateur à OBM, conserver le mot-de-passe dans la session. Auth-SuperAdmin Auth-SuperAdmin documentation:1.4:idpcas documentation:1.4:idpcas ); ); 0.9.4_logout_menu.png 0.9.4_logout_menu.png Bordeaux Bordeaux ../../documentation/1.4/ldapsessionbackend.html ../../documentation/1.4/ldapsessionbackend.html passThrough (optional): Allow anonymous access or not. passThrough (optionnel) : Autorise ou non l'accès anonyme. ProxyPass / http://APPLICATION_IP/   ProxyPass / http://APPLICATION_IP/   LL::NG Slave backend relies on HTTP headers to retrieve user login and/or attributes. Le backend Slave de LL::NG utilise les en-têtes HTTP pour récupérer le nom d'utilisateur et/ou les attributs. dirName: directory where notifications are stored. dirName : répertoire dans lequel sont stockées les notifications. Change rights on keytab file: Changer les droits sur le fichier keytab : The tag "<HOST>" can # be used for standard IP/hostname matching and is only an alias for # (?:::f{4,6}:)?(?P<host>[\w\-.^_]+) # Values: TEXT # failregex = Lemonldap\:\:NG \: .* was not found in LDAP directory \(<HOST>\) The tag "<HOST>" can # be used for standard IP/hostname matching and is only an alias for # (?:::f{4,6}:)?(?P<host>[\w\-.^_]+) # Values: TEXT # failregex = Lemonldap\:\:NG \: .* was not found in LDAP directory \(<HOST>\) /_detail/screenshots/1.0/manager/tree_dark.png?id=screenshots /_detail/screenshots/1.0/manager/tree_dark.png?id=screenshots my $cgi = new CGI; ... my $cgi = new CGI; ... Some applications need the REMOTE_USER environment variable to get the connected user, which is not set in reverse-proxy mode. Certaines applications ont besoin de la variable d'environnement REMOTE_USER pour connaître le nom d'utilisateur connecté, qui n'est pas renseignée en mode reverse-proxy. KrbMethodK5Passwd Off KrbMethodK5Passwd Off # Uncomment this line if you use Lemonldap::NG menu # Décommenter cette ligne si le menu Lemonldap::NG est utilisé First configuration steps Premiers pas de configuration ../../documentation/1.4/applications/mediawiki.html ../../documentation/1.4/applications/mediawiki.html In General Parameters > Authentication modules, set: Dans Paramètres généraux > Modules d'authentification, choisir : documentation:manager-saml-idp-attribute.png documentation:manager-saml-idp-attribute.png Issuer databases use rules les règles d'utilisation des bases de données des fournisseur d'identité applications applications Configure Multiple authentication backend (for example: Apache;LDAP) Configurer le backend d'authentification multiple (par exemple : Apache;LDAP) Note that you have to use UTF-8 characters Notez que vous devez utiliser des caractères UTF-8 Drupal is a CMS written in PHP. Drupal est un CMS écrit en PHP. Choose for example http://zimbra.example.com/zimbrasso as SSO URL and set it in application menu. Choisir par exemple http://zimbra.example.com/zimbrasso comme URL SSO et insérer la dans le menu application. ldapServer ldapServer Transient: NameID is generated Transient: le NameID est généré So write your rules using normal characters. Il faut donc écrire les règles en utilisant les caractères normaux. SSLEngine On SSLEngine On You can simply checkout sources with the following command: Utilisez simplement la commande suivante pour télécharger les sources : ../../../media/applications/django_logo.png ../../../media/applications/django_logo.png Portal translation Traduction du portail ../media/screenshots/0.9.4/0.9.4_logout_menu.png?w=800&h=534 ../media/screenshots/0.9.4/0.9.4_logout_menu.png?w=800&h=534 ../pages/documentation/1.1/parameterlist.html ../pages/documentation/1.1/parameterlist.html http://perldoc.perl.org/functions/print.html http://perldoc.perl.org/functions/print.html LL::NG portal provides SOAP end points for sessions management: Le portail de LL::NG fournit des terminaisons SOAP pour la gestion des sessions : Real session backend Backend de session réel ../pages/documentation/1.4/authwebid.html ../pages/documentation/1.4/authwebid.html "userobm_fax" => "HTTP_OBM_FACSIMILETELEPHONENUMBER", "userobm_fax" => "HTTP_OBM_FACSIMILETELEPHONENUMBER", __PACKAGE__->init( __PACKAGE__->init( To stack several times the same module, use ”#name” with different names. Pour empiler plusieurs fois le même module, utiliser ”#nom” avec différents noms. The Basic Authentication relies on a specific HTTP header, as described above. L'authentification basique est portée par un en-tête HTTP spécifique, tel que décrit ci-dessous. Identity provider Fournisseur d'identité remoteGlobalStorageOptions remoteGlobalStorageOptions As administrator, go in Google Apps control panel and click on Advanced tools: Comme administrateur, aller dans le panneau de contrôle Google Apps et cliquer sur les outils avancés click (Advanced tools) : Allow only one session per user N'autoriser qu'une session par utilisateur Lasso Lasso SSLCertificateKeyFile: Server private key SSLCertificateKeyFile : clef privée du serveur An access rule Une règle d'accès Then, go in Slave parameters: Ensuite, aller dans les paramètres Slave: Forbidden and Server error Accès interdits et erreurs du serveur Other Autres Alias /limesurvey /var/www/html/limesurvey Alias /limesurvey /var/www/html/limesurvey phpLDAPadmin local configuration Configuration locale phpLDAPadmin The PasswordDBDemo will allow you to change the password with some basic checks, but as the data are hard coded, the password will never be really changed. PasswordDBDemo permet de changer de mot-de-passe avec quelques tests de base, mais comme les données sont codées en dur, le mot-de-passe ne sera jamais réellement changé. Non secured cookie: the cookie can be sent over HTTP and HTTPS connections Cookie non sécurisé : le cookie peut être envoyé via des connexions HTTP et HTTPS Applications protection Protection des applications mailreset_step5.png mailreset_step5.png notificationWildcard notificationWildcard download.html download.html The configuration can be changed in etc/manager-apache2.conf, for example to restrict the IP allowed to access the Manager: Cette configuration peut être changée dans etc/manager-apache2.conf, par exemple pour restreindre les adresses IP autorisées à accéder au manager : /_detail/icons/personal.png?id=documentation%3A1.4%3Astart /_detail/icons/personal.png?id=documentation%3A1.4%3Astart Admin Magazin Admin Magazin You can modify the default behavior for people without value in ssoLogonHours. Il est possible de modifier le comportement par défaut pour les utilisateurs ne disposant pas d'une valeur ssoLogonHours. Password database: where change password Base de données des mots-de-passe : où changer le mot-de-passe Configuration interface access is not protected by Apache but by LemonLDAP::NG itself (see lemonldap-ng.ini): L'accès à l'interface de configuration n'est pas protégée par Apache mais par LemonLDAP::NG lui-même (voir lemonldap-ng.ini) : "userobm_town" => "HTTP_OBM_L", "userobm_town" => "HTTP_OBM_L", Daniel RIVIERE Daniel RIVIERE <Location /reload> <Location /reload> } ); } ); http://httpd.apache.org/docs/current/howto/auth.html http://httpd.apache.org/docs/current/howto/auth.html Then: Ensuite : URL pattern: default Expression sur l'URL : default Example for macros: Exemples de macros: We recommend using EPEL repository. Nous recommandons l'emploi du dépôt EPEL. Apache configuration file on LL::NG reverse proxy (hosting LL::NG Handler): le fichier de configuration d'Apache sur le reverse-proxy LL::NG (celui qui héberge l'agent LL::NG): $ENV{REMOTE_ADDR} =~ /^192\.168/ $ENV{REMOTE_ADDR} =~ /^192\.168/ filesessionbackend filesessionbackend Build: Build: [portal] multi = {'LDAP#Openldap'=>{ldapServer=>'ldap1.example.com',LDAPFilter=>'(uid=$user)'},'LDAP#ActiveDirectory'=>{ldapServer=>'ldaps://ad.example.com',LDAPFilter=>'(&(sAMAccountName=$user)(objectClass=person))'}} [portal] multi = {'LDAP#Openldap'=>{ldapServer=>'ldap1.example.com',LDAPFilter=>'(uid=$user)'},'LDAP#ActiveDirectory'=>{ldapServer=>'ldaps://ad.example.com',LDAPFilter=>'(&(sAMAccountName=$user)(objectClass=person))'}} Access control possible by creating one user for Manager (write) and another for portal and handlers (read) Contrôle d'accès possible en créant un compte pour le manager (écriture) et un autre pour le portail et les agents (lecture) Sessions are stored as files in a single directory. Les sessions sont stockées dans des fichiers dans un unique répertoire. Proxy session SOAP end point Point mandataire SOAP de sessions Net::SMTP Net::SMTP portalDisplayLogout portalDisplayLogout ldapGroupRecursive ldapGroupRecursive encode_base64($givenName." ".$surName) encode_base64($givenName." ".$surName) To add these attributes, go in Manager, Variables » Exported Variables. Pour ajouter ces attributs, aller dans le manager, Variables » Variables exportées. A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z We can distinguish several kind of variables: On peut distinguer plusieurs types de variables : Lemonldap-ng.ini parameters Paramètres lemonldap-ng.ini You must register IDP metadata here. Il faut enregistrer les métadatas de l'IDP ici. For example, we will use 3 roles: Par exemple, en utilisant 3 rôles : https://developer.mozilla.org/en-US/docs/Mozilla/Persona https://developer.mozilla.org/en-US/docs/Mozilla/Persona documentation:manager-menu-application-logo.png documentation:manager-menu-application-logo.png CAS_renew CAS_renew http://forge.ow2.org/project/download.php?group_id=274&file_id=11045 http://forge.ow2.org/project/download.php?group_id=274&file_id=11045 authdbi authdbi lemonldap-ng-portal-auth.png lemonldap-ng-portal-auth.png Give the uid (for accounting) Donne l'uid (pour la traçabilité) ../pages/documentation/1.1/portalcustom.html ../pages/documentation/1.1/portalcustom.html Name of IDP used for authentication Nom de l'IDP utilisé pour l'authentification ../../../media/applications/tomcat_logo.png ../../../media/applications/tomcat_logo.png </Directory> </Directory> Common domain: Name of the common domain (where common cookie is available). Domaine commun : Nom du domaine commun (où le cookie commun est disponible). documentation:1.4:installrpm documentation:1.4:installrpm Hyper Text Transfer Protocol Hyper Text Transfer Protocol http://code.google.com/googleapps/domain/sso/saml_reference_implementation.html http://code.google.com/googleapps/domain/sso/saml_reference_implementation.html Real name Real name proxyOptions proxyOptions Define here: Definir ici : Activation Activation Lemonldap::NG::Handler Lemonldap::NG::Handler You can define more than one form replay URL per virtual host. Il est possible de définir plusieurs URL de rejeu de formulaires par hôte virtuel. ../pages/documentation/1.1/customfunctions.html ../pages/documentation/1.1/customfunctions.html Convert existing configuration Convertir la configuration existante Lanyrd Lanyrd Apache configuration file on application server (hosting the application): le fichier de configuration d'Apache sur le serveur d'application (celui qui héberge l'application): ldapServer => 'ldap1.example.com', ldapServer => 'ldap1.example.com', Activate auto accept timer Activer le compte-à-rebours d'acceptation automatique → Some URL parameters contain forbidden characters. → Certains paramètres de l'URL contiennent des caractères interdits. Dedicated to administrators Dédié aux administrateurs documentation/current/installrpm.html#yum_repository documentation/current/installrpm.html#yum_repository TO lemonldap-ng@manager.host IDENTIFIED BY 'mypassword'; GRANT SELECT ON lmConfig.* TO lemonldap-ng@manager.host IDENTIFIED BY 'mypassword'; GRANT SELECT ON lmConfig.* General performances Performances générales Authorizated domain: Domaines autorisés : Applications listed bellow are known to be easy to integrate in LL::NG. Les applications listées ci-dessous sont connues pour être faciles à intégrer à LL::NG. my $res = $r->result(); my $res = $r->result(); Binding Méthode Date of session last modification Date de la dernière modification de la session Old sessions are deleted by a cron script. Les anciennes sessions sont effacées par un script cron. LL::NG will operate some SQL queries: LL::NG exécutera quelques requêtes SQL : Commit Commit LL::NG can be configured to restrict OpenID exchange using a white or a black list of domains. LL::NG peut être configuré pour restreindre les échanges OpenID en utilisant les listes blanches ou noires de domaines. ../../documentation/1.4/formreplay.html ../../documentation/1.4/formreplay.html 22 22 #local_file #local_file documentation:manager-saml-service-sp-slo.png documentation:manager-saml-service-sp-slo.png Password field name: name of authentication table column hosting password Nom du champ mot-de-passe : nom de la colonne de la table d'authentification contenant le mot-de-passe Clément “KPTN” OUDOT: project leader, lead developer, graphics, documentation, community management Clément “KPTN” OUDOT : Leader du projet, développeur principal, graphisme, documentation, gestion de la communauté ldapServer: LDAP URL. ldapServer : URL du serveur LDAP. Rules Règles Facebook Facebook https://metacpan.org/module/Apache::Session::Flex https://metacpan.org/module/Apache::Session::Flex You need to give access to status path in the Handler Apache configuration: Il faut autoriser l'accès au chemin du statut dans le configuration Apache de l'agent : remotePortal remotePortal URL parameter: parameter name used to set choice value (default: lmAuth) Paramètres d'URL : nom du paramètre utilisé pour stocker la valeur du choix (défaut: lmAuth) Key name: Text displayed on choice tab. Nom de clef : Texte à afficher sur l'onglet. #!/usr/bin/perl use Lemonldap::NG::Common::CGI qw(fastcgi); use Lemonldap::NG::Portal::SharedConf; # ... LMAUTH: while ( my $portal = Lemonldap::NG::Portal::SharedConf->new({}) ) { #!/usr/bin/perl use Lemonldap::NG::Common::CGI qw(fastcgi); use Lemonldap::NG::Portal::SharedConf; # ... LMAUTH: while ( my $portal = Lemonldap::NG::Portal::SharedConf->new({}) ) { ssoRoles: ou=admin,ou=aaa,ou=roles,dc=acme,dc=com ssoRoles: ou=user,ou=bbb,ou=roles,dc=acme,dc=com ssoRoles: ou=admin,ou=aaa,ou=roles,dc=acme,dc=com ssoRoles: ou=user,ou=bbb,ou=roles,dc=acme,dc=com Be careful with URL parameters Attention aux paramètres des URL Linux Tag Linux Tag 31 31 if($cgi->testUri('http://test3.example.com/') { if($cgi->testUri('http://test3.example.com/') { Go to Portal » Settings: Aller dans Portal » Settings: Deny from all Deny from all Registered users on Google Apps with the same email than those used by LL::NG (email will be the NameID exchanged between Google Apps and LL::NG) Enregistrer les utilisateurs dans Google Apps avec la même adresse mail que celle utilisée dans LL::NG (l'adresse mail sera le NameID échangé entre Google Apps et LL::NG) Headers are associations between an header name and a perl expression that returns a string. Les en-têtes sont des associations entre un nom d'en-tête et une expression perl qui retourne une chaîne. Indeed, in most of the cases, it is not stored in clear text in the backend (LDAP or database). Donc dans la plupart des cas, il n'est pas stocké en clair dans le backend (LDAP ou base de données). As passwords will not be managed by LL::NG, you can disable menu password module. Comme les mots-de-passe ne sernt pas gérés par LL::NG, il est possile de désactiver le module mots-de-passe du menu. When portal is installed, a file named portal.wsdl is created. Lorsque le portail est installé, un fichier nommé portal.wsdl est créé. You might want to display different skin depending on the URL that was called before being redirected to the portal, or the IP address of the user. On peut vouloir utiliser différents thèmes en fonction de l'URL demandée avant la redirection au portail ou en fonction de l'adresse IP de l'utilisateur. For Active Directory, the default authentication filter is: Pour Active Directory, le filtre d'authentification par défaut est : Zimbra preauthentication URL URL de pré-authentification Zimbra LL::NG can be used to prompt users with a message. LL::NG peut être utilisé pour présenter des messages aux utilisateurs. One Time Use: set the OneTimeUse flag in authentication response. Usage unique : active le drapeau OneTimeUse dans les réponses d'authentification. With LDAP, login, mail, first name and last name are required attributes. Avec LDAP, login, mail, nom et prénom dont des attributs exigés. You can show them using Facebook Graph API explorer On peut les voir en utilisant l'explorateur de l'API Graph de Facebook This works with every LDAP v2 or v3 server, including Active Directory. Ceci fonctionne avec tout serveur LDAP v2 ou v3, dont Active Directory. #google_apps_control_panel #google_apps_control_panel 20 20 ^/minig ^/minig Options +ExecCGI Options +ExecCGI example.com = EXAMPLE.COM example.com = EXAMPLE.COM ldapminihowto ldapminihowto 'templatelist' => 'default,basic,MyOrgTemplate', 'templatelist' => 'default,basic,MyOrgTemplate', [portal]   # Custom template parameters tpl_myparam = world [portal]   # Custom template parameters tpl_myparam = world http://lemonldap.ow2.org/NG/devel-doc/ http://lemonldap.ow2.org/NG/devel-doc/ accept: all authenticated users will access surveys accept : tous les utilisateurs authentifiés peuvent accéder aux surveillances The status page can be read by MRTG using the script lmng-mrtg that can be found in manager example directory. La page de statut peut être lue par MRTG en utilisant le script lmng-mrtg qui peut être trouvé dans le répertoire "example" du manager. /_detail/documentation/exportedvars.png?id=documentation%3A1.4%3Aexportedvars /_detail/documentation/exportedvars.png?id=documentation%3A1.4%3Aexportedvars ../../../media/documentation/configuration-ldap.png ../../../media/documentation/configuration-ldap.png Real session backend will be configured in lemonldap-ng.ini, in portal section (the portal hosts the SOAP service for sessions, and will do the link between SOAP requests and real sessions). Le backend de session réel est configuré dans lemonldap-ng.ini dans la section portal (le portail héberge le service SOAP de sessions et fera le lien entre les requêtes SOAP et les sessions réelles). API documentation Documentation de l'interface de programmation (API) Select the key, and export it (button Download this file): Selectionner la clef, et l'exporter (bouton Download this file): /_detail/applications/mediawiki_logo.png?id=documentation%3A1.4%3Aapplications%3Amediawiki /_detail/applications/mediawiki_logo.png?id=documentation%3A1.4%3Aapplications%3Amediawiki As J2EE servlet container, Tomcat provides standard security feature, like authentication: the application deployed in Tomcat can delegate its authentication to Tomcat. Comme conteneur de servlet J2EE, Tomcat fournit les fonctionnalités de sécurité standards, telles l'authentification : une application déployée dans Tomcat peut déléguer son authentification à Tomcat. The choice will concern three backends: Ce choix concerne 3 backends: ../pages/documentation/1.4/authgoogle.html ../pages/documentation/1.4/authgoogle.html LL::NG can act as an SAML 2.0 Identity Provider, that can allow to federate LL::NG with: LL::NG peut agir en fournisseur d'identité SAML 2.0, ce qui permet de fédérer LL::NG avec : Example with the portal: Exemple avec le portail : Extensible Markup Language Extensible Markup Language Language Langue https://authssl.example.com https://authssl.example.com Restart Apache to purge it. Redémarrer Apache pour le purger. DEB bundle Paquets DEB IP of the user (can be the X Forwarded For IP if trusted proxies are configured) IP de l'utilisateur (peut être celle de l'en-tête X-Forwarded-For si des proxies agréés ont été configurés) http://www.mediawiki.org/wiki/Extension:Siteminder_Authentication http://www.mediawiki.org/wiki/Extension:Siteminder_Authentication Allow from 127.0.0.0/8 Allow from 127.0.0.0/8 ../../documentation/1.4/authfacebook.html ../../documentation/1.4/authfacebook.html You can add this YUM repository to get recent packages: Ajouter ces dépôts YUM pour obtenir les paquets récents : LemonLDAP::NG Handler Agent LemonLDAP::NG (handler) "auto_update_force_group" => false, "auto_update_force_group" => false, 'LDAP#ActiveDirectory' => { 'LDAP#ActiveDirectory' => { translations traductions Main differences with mod_proxy: Principales différences avec mod_proxy : authentication_portal_1340022238188.png authentication_portal_1340022238188.png By default, a user can open several sessions. Par défaut, un utilisateur peut ouvrir plusieurs sessions. $authenticationLevel > 2 $authenticationLevel > 2 documentation:1.4:applications:authbasic documentation:1.4:applications:authbasic Try http://test1.example.com or http://test2.example.com Essayez http://test1.example.com ou http://test2.example.com Your database must have a specific table to host sessions. Il faut dédier une table pour héberger les sessions. Memcached servers: addresses of Memcached servers, separated with spaces. Serveurs Memcached : adresses des serveurs Memcached, separés par des espaces. Handler build the preauth request and redirect user on Zimbra preauth URL Le handler construit la requête de pré-authentification et redirige l'utilisateur sur l'URL de pré-authentification de Zimbra Here are some examples for main databases servers. Quelques exemples pour les serveurs principaux. You can now the upload the certificate (cert.pem) on Google Apps. Télécharger ensuite le certificat (cert.pem) dans Google Apps. /_detail/screenshots/1.1/mailreset/mailreset_step5.png?id=screenshots /_detail/screenshots/1.1/mailreset/mailreset_step5.png?id=screenshots By hand in Liferay administration screens À la main dans les écrans d'administration de Liferay DirectoryIndex index.php   DirectoryIndex index.php   http://en.wikipedia.org/wiki/Perl_Compatible_Regular_Expressions http://en.wikipedia.org/wiki/Perl_Compatible_Regular_Expressions SAML 2 Service: SAML metadata administration Service SAML : administration des métadonnées SAML ../media/screenshots/0.9.3/lemonldap-ng-testpage.png?w=800&h=622 ../media/screenshots/0.9.3/lemonldap-ng-testpage.png?w=800&h=622 DocumentRoot /var/www/localsite   DocumentRoot /var/www/localsite   CAS_pgtFile CAS_pgtFile Category parameters: Paramètres des catégories : ../../../../media/documentation/googleapps-export-priv-key.png ../../../../media/documentation/googleapps-export-priv-key.png Apache SetEnvIf module will let you transform the Auth-User HTTP header in REMOTE_USER environment variable: Le module SetEnvIf d'Apache peut transformer l'en-tête HTTP Auth-User en variable d'environnement REMOTE_USER : An authorization is defined by: Une autorisation est définie pas : Body for password mail Corps du message de changement de mot-de-passe http://forge.ow2.org/project/download.php?group_id=274&file_id=13166 http://forge.ow2.org/project/download.php?group_id=274&file_id=13166 Modify Manager protection Modifier la protection du manager IssuerDB IssuerDB SVN access Accès au dépôt SVN twitterKey twitterKey So, to keep user password in session, you cannot just export the password variable in session. Donc pour conserver le mot-de-passe utilisateur dans la session, on ne peut seulement exporter la variable mot-de-passe dans la session. Success mail content (optional): Content of mail sent when password is changed Contenu du message (optionnel) : contenu du courriel envoyé lorsque le mot-de-passe est changé jre > 1.4 jre > 1.4 OBM_UID OBM_UID _password _password menu.png menu.png Use rule: a rule to allow user to use this module, set to 1 to always allow. Règle d'utilisation : une règle pour autoriser l'usage de ce module, mettre 1 pour toujours l'autoriser. Form replay allows you to open a session on a protected application by replaying the form POST without asking anything to the user. Le rejeu de formulaire permet d'ouvrir une session dans une application protégée par un formulaire POST sans rien demander à l'utilisateur. ../documentation/current/writingrulesand_headers.html ../documentation/current/writingrulesand_headers.html Server hostname: this is the hostname or IP address of the Radius server Nom d'hôte du serveur : le nom d'hôte ou l'adresse IP du serveur Radius You can do it either by uploading the file, or get it from SP metadata URL (this require a network link between your server and the SP). Ceci peut être fait soit en téléchargeant le fichier, soit en l'obtenant par l'URL de métadatas du SP (à condition d'avoir un lien réseau entre le serveur et le SP): $uid $uid http://www.mediawiki.org http://www.mediawiki.org Configuration database Base de données de la configuration update-alternatives --config editor update-alternatives --config editor ../pages/documentation/1.1/applications/obm.html ../pages/documentation/1.1/applications/obm.html [manager]   # Manager protection: by default, the manager is protected by a demo account. [manager]   # Manager protection: by default, the manager is protected by a demo account. portal.png portal.png These errors can be catch trough Apache ErrorDocument directive, to redirect user on a specific page: Ces erreurs peuvent être interceptées via la directive ErrorDocument d'Apache pour rediriger les utilisateurs vers une page spécifique : You can also use a FastCGI server using index.fcgi given in portal examples. On peut utiliser un serveur FastCGI en utilisant le fichier index.fcgi disponible dans les exemples du portail. This should be set as Default. Peut être défini par défaut. ../download.html ../download.html If you need to add a template parameter for your customization, then add to lemonldap-ng.ini: Pour ajouter un paramètre de modèle, l'ajouter dans lemonldap-ng.ini: ../pages/documentation/1.1/portal.html ../pages/documentation/1.1/portal.html http://search.cpan.org/search?query=DBD%3A%3A&mode=module http://search.cpan.org/search?query=DBD%3A%3A&mode=module ../../documentation/presentation.html#login ../../documentation/presentation.html#login ../../documentation/1.4/idpopenid.html#security ../../documentation/1.4/idpopenid.html#security You can then choose any other module for users and password but if you want to totally delegate authentication to BrowserID, choose None for users and password. On peut ensuite choisir n'importe quel autre module de gestion des utilisateurs et des mots-de-passe mais pour déléguer totalement l'authentification à BrowserID, choisir None pour la gestion des utilisateurs et des mots de passe. ../pages/documentation/1.1/filesessionbackend.html ../pages/documentation/1.1/filesessionbackend.html /_detail/screenshots/1.1/mailreset/mailreset_step5.png?id=documentation%3A1.4%3Aresetpassword /_detail/screenshots/1.1/mailreset/mailreset_step5.png?id=documentation%3A1.4%3Aresetpassword Access rule: $groups =~ /\badministrators\b/ Règle d'accès : $groups =~ /\badministrators\b/ Nick name Nick name Oliver BOIREAU Oliver BOIREAU Multi values separator Séparateur des multiples valeurs authentication_portal_1340022292201.png authentication_portal_1340022292201.png Content Management System Système de gestion de contenu Optimized for session explorer and single session features. Optimisé pour l'explorateur de sessions et les fonctionnalités de session unique. </Location> </Location> one secured (SSL only) for sensitive applications un sécurisé (SSL seulement) pour les applications sensibles <user username="both" password="tomcat" roles="tomcat,role1"/> </tomcat-users> <user username="both" password="tomcat" roles="tomcat,role1"/> </tomcat-users> First parameter passed to the custom function is the requested URL, that is Le premier paramètre passé à la fonction personnalisée est l'URL demandée, c'est à dire Nb users Nb d'utilisateurs Databases (DBI) Bases de données (DBI) Quick start tutorial Tutoriel rapide "server_ip_address" => "localhost", "server_ip_address" => "localhost", mailto:lemonldap-ng-dev@ow2.org mailto:lemonldap-ng-dev@ow2.org An URL pattern (or default to match other URLs) Une expression sur l'URL (ou default pour les URLs ne correspondant pas aux règles) In this case you will have two Apache configuration files: Dans ce cas 2 fichiers de configuration Apache doivent être renseignés : logout_sso http://intranet/ logout_sso http://intranet/ documentation:latest:logs documentation:latest:logs ../../documentation/1.4/performances.html#macros_and_groups ../../documentation/1.4/performances.html#macros_and_groups ../pages/documentation/1.4/loginhistory.html ../pages/documentation/1.4/loginhistory.html /_detail/documentation/remote-interoperability.png?id=documentation%3A1.4%3Aauthremote /_detail/documentation/remote-interoperability.png?id=documentation%3A1.4%3Aauthremote Mail session key: session field where to find user mail (by default: mail) Clef de session mail : champ de session pour trouver l'adresse mail des utilisateurs (par défaut : mail) FOSDEM FOSDEM } [domain_realm] } [domain_realm] Warning: key is not defined, set it in the manager ! Warning: key is not defined, set it in the manager ! ../../../media/screenshots/1.1/notifications/sample_notification.png ../../../media/screenshots/1.1/notifications/sample_notification.png Give a non ascii data Done une valeur non-ascii Password reset Réinitialisation de mots-de-passe accept accept IssuerDB use Utilisation de IssuerDB Order deny,allow Order deny,allow /_detail/applications/obm_logo.png?id=documentation%3A1.4%3Aapplications%3Aobm /_detail/applications/obm_logo.png?id=documentation%3A1.4%3Aapplications%3Aobm documentation:1.4:changeconfbackend documentation:1.4:changeconfbackend Install the package lemonldap-ng-conf on all server which contains one of those packages. Installer le paquet lemonldap-ng-conf sur tous les serveurs qui contiennent un de ces paquets. Sessions will be stored as LDAP entries, like this: Les sessions sont stockées dans des entrées LDAP comme suit : LDAP timeout Délai de connexion maximal LDAP KEY _whatToTrace (_whatToTrace), KEY _whatToTrace (_whatToTrace), portalRequireOldPassword portalRequireOldPassword Shared attributes (SREG) Attributs partagés (SREG) Options +ExecCGI +FollowSymLinks Options +ExecCGI +FollowSymLinks Allow only one IP address per user N'autoriser qu'une adresse IP par utilisateur ../../documentation/1.4/soapminihowto.html ../../documentation/1.4/soapminihowto.html SAML can use different NameID formats. SAML peut utiliser plusieurs formats de NameID. documentation:1.4:authslave documentation:1.4:authslave http://github.com/oremj/mediawiki-http-auth/downloads http://github.com/oremj/mediawiki-http-auth/downloads In Manager, go in General Parameters > Authentication modules and choose OpenID for authentication and/or users. Dans le manager, aller dans Paramètres généraux > Modules d'authentification et choisir OpenID pour les modules authentification, utilisateurs et/ou mots-de-passe. iso2unicode($name) iso2unicode($name) Default Défaut Restart all your Apache servers Redémarrer tous vos serveurs Apache Then, set Lemonldap::NG::Common::Apache::Session::SOAP in General parameters » Sessions » Session storage » Apache::Session module and add the following parameters (case sensitive): Ensuite, mettre Lemonldap::NG::Common::Apache::Session::SOAP dans Paramètres généraux » Sessions » Stockage des sessions » Module Apache::Session et ajouter les paramètres suivants (sensibles à la casse) : See Writing rules and headers for more. Voir Écrire les règles et en-têtes pour plus d'informations. CAS force gateway authentication Forcer l'authentification de passerelle CAS Deny access to /config/ directory Interdire l'accès au répertoire /config/ c:/my hardisk/tomcat/ c:/my hardisk/tomcat/ ###################################################################### # Multi Router Traffic Grapher -- Sample Configuration File ###################################################################### # This file is for use with mrtg-2.5.4c   # Global configuration WorkDir: /var/www/mrtg WriteExpires: Yes   Title[^]: Traffic Analysis for   # 128K leased line # ---------------- #Title[leased]: a 128K leased line #PageTop[leased]: Our 128K link to the outside world #Target[leased]: 1:public@router.localnet #MaxBytes[leased]: 16000 Target[test.example.com]: `/etc/mrtg/lmng-mrtg 172.16.1.2 https://test.example.com/status OK OK` Options[test.example.com]: nopercent, growright, nobanner, perminute PageTop[test.example.com]: Requests OK from test.example.com MaxBytes[test.example.com]: 1000000 YLegend[test.example.com]: hits/minute ShortLegend[test.example.com]: &nbsp; hits/mn LegendO[test.example.com]: Hits: LegendI[test.example.com]: Hits: Legend2[test.example.com]: Hits per minute Legend4[test.example.com]: Hits max per minute Title[test.example.com]: Hits per minute WithPeak[test.example.com]: wmy ###################################################################### # Multi Router Traffic Grapher -- Sample Configuration File ###################################################################### # This file is for use with mrtg-2.5.4c   # Global configuration WorkDir: /var/www/mrtg WriteExpires: Yes   Title[^]: Traffic Analysis for   # 128K leased line # ---------------- #Title[leased]: a 128K leased line #PageTop[leased]: Our 128K link to the outside world #Target[leased]: 1:public@router.localnet #MaxBytes[leased]: 16000 Target[test.example.com]: `/etc/mrtg/lmng-mrtg 172.16.1.2 https://test.example.com/status OK OK` Options[test.example.com]: nopercent, growright, nobanner, perminute PageTop[test.example.com]: Requests OK from test.example.com MaxBytes[test.example.com]: 1000000 YLegend[test.example.com]: hits/minute ShortLegend[test.example.com]: &nbsp; hits/mn LegendO[test.example.com]: Hits: LegendI[test.example.com]: Hits: Legend2[test.example.com]: Hits per minute Legend4[test.example.com]: Hits max per minute Title[test.example.com]: Hits per minute WithPeak[test.example.com]: wmy How do users authenticate?: by login How do users authenticate?: by login documentation:googleapps-manager-application.png documentation:googleapps-manager-application.png Notifications: prompt users with a message if found in the notification database Notifications : interrompt les utilisateurs avec un message s'il est trouvé dans la base de données des notifications configuration: where configuration is stored configuration : où la configuration est stockée Cookie name: name of the cookie, can be changed to avoid conflicts with other LemonLDAP::NG installations Nom de cookie : nom du cookie, peut être changé pour éviter les conflits avec d'autres installations LemonLDAP::NG ServerName liferay.example.com   ServerName liferay.example.com   MIME::Base64 MIME::Base64 LL::NG can use a lot of databases as authentication, users and password backend: LL::NG peut utiliser de nombreuses bases de données comme backend d'authentification, d'utilisateurs et de mots de passe : Check XSS Attacks: Set to 'Off' to disable XSS checks. Contrôler les attaques XSS : mettre à 'désactivé' pour désactiver la détection des attaques XSS. print STDERR "SOAP Error: " . $r->fault->{faultstring}; } else { print STDERR "SOAP Error: " . $r->fault->{faultstring}; } else { https://upgrade.yubico.com/getapikey/ https://upgrade.yubico.com/getapikey/ "userobm_ext_id" => "HTTP_OBM_SERIALNUMBER", "userobm_ext_id" => "HTTP_OBM_SERIALNUMBER", applications:googleapps_logo.png applications:googleapps_logo.png The portal is the visible part of LemonLDAP::NG, all user interactions are displayed on it. Le portail est la partie visible de LemonLDAP::NG, toutes les interactions utilisateurs y sont affichées. language language Metadata Métadata ../media/screenshots/1.1/mailreset/mailreset_step5.png ../media/screenshots/1.1/mailreset/mailreset_step5.png Disable all signature flags in Options » Signature, except Sign SSO message which should be to On Désactiver toutes les cases dans Options » Signature, excepté Signer les messages SSO qui doit être activée Enable Notifications SOAP service in Apache configuration: Activer le service SOAP de notifications dans la configuration Apache : /_detail/documentation/liferay_1.png?id=documentation%3A1.4%3Aapplications%3Aliferay /_detail/documentation/liferay_1.png?id=documentation%3A1.4%3Aapplications%3Aliferay Code snippet Exemple de code MediWiki local configuration Configuration locale MediaWiki documentation:latest:portalcustom documentation:latest:portalcustom Order your rules Ordonner les règles # Reverse-Proxy # Reverse-Proxy //"userobm_photo_id" => , //"userobm_photo_id" => , Local groups Groupes locaux ../pages/documentation/1.1/activedirectoryminihowto.html ../pages/documentation/1.1/activedirectoryminihowto.html This concerns all parameters for the Organization metadata section: Ceci concerne tous les paramètres de la section "organization" des métadatas : Reset value: value to set in reset attribute to activate password reset (default: TRUE). Valeur de reset : valeur à mettre dans l'attribut reset pour activer la réinitialisation du mot-de-passe (défaut : TRUE). Check if URL asked is valid Vérifie que l'URL demandée est validée DNSDOMAIN: Main DNS domain (default: example.com) DNSDOMAIN : domaine DNS proncipal (défaut : example.com) ../../documentation/1.4/authchoice.html ../../documentation/1.4/authchoice.html Hypertext Preprocessor Pré-processeur hypertext //"userobm_nomade_local_copy" => , //"userobm_nomade_local_copy" => , Available bindings are: Les déclarations disponibles sont : You can for example set up a fail-over cluster with Heartbeat and HAproxy, like this: Par exemple on peut créer un cluster avec Heartbeat et HAproxy : my $res = $r->result(); my $res = $r->result(); ../../documentation/1.4/installrpm.html ../../documentation/1.4/installrpm.html → Check grantSessionRule parameter. → Vérifier le paramètre grantSessionRule. LL::NG uses Apache SSL module, like any other Apache authentication module, with extra features: LL::NG utilise le module SSL d'Apache, comme n'importe quel module d'authentification d'Apache avec quelques fonctionnalités supplémentaires : http://www.switch.ch/aai/support/tools/wayf.html http://www.switch.ch/aai/support/tools/wayf.html GLib GLib //"userobm_samba_home" => , //"userobm_samba_home" => , documentation:manager-formreplay-newurl.png documentation:manager-formreplay-newurl.png SMTP User: SMTP user if authentication is required utilisateur SMTP : utilisateur SMTP si une authentification est requise Trusted domains Domaines agréés ../media/icons/flags/ua.png ../media/icons/flags/ua.png If OpenID is used as users database, attributes will be requested to the server with SREG extention. Si OpenID est utilisé comme base d'utilisateurs, les attributs sont demandés en utilisant l'extension SREG d'OpenID. http://phpldapadmin.sourceforge.net http://phpldapadmin.sourceforge.net Import or generate security keys Importer ou generer les clefs de securité You need to register a new application on Twitter to get API key and API secret. Vous devez enregistrer votre nouvelle application dans Twitter pour obtenir la clef de l'API et son secret. Parameters for DBI backend are the same as DBI configuration backend. Les paramètres pour le backend DBI sont les mêmes que ceux du backend de configuration DBI. syslog syslog → The host is not known by LemonLDAP::NG. → L'hôte n'est pas connu de LemonLDAP::NG. IDP resolution cookie name: by default, it's the LL::NG cookie name suffixed by idp, for example: lemonldapidp. Nom du cookie de résolution de l'IDP: par défaut, c'est le nom du cookie LL::NG auquel est adjoint idp, par exemple: lemonldapidp. Backends Backends /_detail/applications/zimbra_logo.png?id=documentation%3A1.4%3Aapplications%3Azimbra /_detail/applications/zimbra_logo.png?id=documentation%3A1.4%3Aapplications%3Azimbra RBAC model Modèle RBAC To use a SQL backend, configure your lemonldap-ng.ini file (section configuration) : Pour utiliser un backend SQL, configurer le fichier lemonldap-ng.ini (section configuration) : screenshots:1.1:mailreset:mailreset_step2.png screenshots:1.1:mailreset:mailreset_step2.png default_access (optional): what result to return if logon_hours is empty default_access (optionnel) : resultat à retourner si logon_hours est vide By default, configuration is stored in files, so access trough network is not possible. Par défaut, la configuration est stockée dans des fichiers, donc l'accès par le réseau n'est en général pas possible. Port: port of the application (by default, 80 for http, 443 for https) Port : port de l'application (par défaut, 80 pour http, 443 pour https) LL::NG can use SAML2 to get user identity and grab some attributes defined in user profile on its Identity Provider (IDP). LL::NG peut utiliser SAML2 pour obtenir l'identité et d'autres attributs definis dans le profil utilisateur défini chez son fournisseur d'identité (IDP). default_realm = EXAMPLE.COM [realms] default_realm = EXAMPLE.COM [realms] With this organization, you can set roles to user within specific application. Avec cette organisation, on peut définir les rôles de l'utilisateur au sein de chaque application. documentation:liferay_1.png documentation:liferay_1.png LL::NG use cron jobs to: LL::NG utilise des tâches planifiées pour : documentation:1.4:sessions documentation:1.4:sessions decreased (-1) if the portal autocompletion is allowed (see portal customization) diminué (-1) si l'autocompletion est autorisée sur le portail (voir Personnalisation du portail) #!/usr/bin/perl use CGI ':cgi-lib'; use strict; use MIME::Base64; use CGI::Carp 'fatalsToBrowser'; my $uri = $ENV{"REDIRECT_QUERY_STRING"}; print CGI::header(-Refresh => '0; URL=http://auth.example.com/?'.$uri); exit(0); #!/usr/bin/perl use CGI ':cgi-lib'; use strict; use MIME::Base64; use CGI::Carp 'fatalsToBrowser'; my $uri = $ENV{"REDIRECT_QUERY_STRING"}; print CGI::header(-Refresh => '0; URL=http://auth.example.com/?'.$uri); exit(0); DBI user Utilisateur DBI ../../../../css/all.css ../../../../css/all.css ../pages/documentation/1.1/authldap.html ../pages/documentation/1.1/authldap.html This means that if several Handlers are deployed, each will manage its own statistics. Donc si plusieurs agents sont déployés, chacun gère ses propres statistiques. Sessions are deleted by a scheduled task. Les sessions sont effacées par des tâches planifiées. LL::NG can also act as OpenID server, that allows to interconnect two LL::NG systems. LL::NG peut également agir en serveur OpenID, ce qui permet également d'interconnecter deux systèmes LL::NG. ../../../../media/documentation/googleapps-ssoconfig.png ../../../../media/documentation/googleapps-ssoconfig.png 'create_survey' => $_SERVER['HTTP_AUTH_ADMIN'] || $_SERVER['HTTP_AUTH_SUPERADMIN'], 'create_survey' => $_SERVER['HTTP_AUTH_ADMIN'] || $_SERVER['HTTP_AUTH_SUPERADMIN'], A request to the main session database is done (trough SOAP session backend) to be sure that the session exists. Une requête à la base de données des sessions principale est effectuée (via le backend de session SOAP) pour être sûr que la session existe. KrbMethodNegotiate On KrbMethodNegotiate On Jean-Thomas CHECCO Jean-Thomas CHECCO ../pages/documentation/1.1/applications/liferay.html ../pages/documentation/1.1/applications/liferay.html cat /usr/local/lemonldap-ng/etc/lemonldap-ng/for_etc_hosts >> /etc/hosts cat /usr/local/lemonldap-ng/etc/lemonldap-ng/for_etc_hosts >> /etc/hosts A login is considered as successful if user get authenticated and is granted a session; as failed, if he fails to authenticate or if he is not allowed to open a session. Une connexion est considérée comme réussie si l'utilisateur est authentifié et autorisé à ouvrir une session ; comme échouée, sinon. Authentication process main steps are: Les étapes du processus d'authentication sont : drupal drupal portal portail Portal creates a session to store user data Le portail crée une session et y stocke les données ../pages/documentation/1.1/idpopenid.html ../pages/documentation/1.1/idpopenid.html If you choose to use MySQL, read how to increase MySQL performances. Si MySQL est choisi, lire comment augmenter les performances de MySQL. _openid_id _openid_id sessions sessions icons:jabber_protocol.png icons:jabber_protocol.png The main portal is configured to use CDA. Le portail principal est configuré pour utiliser le CDA. GRR GRR Translators that want to help us are welcome ! Les traducteurs qui veulent nous aider sont les bienvenus ! auth_env_realname: HTTP_AUTH_CN auth_env_realname: HTTP_AUTH_CN ../media/screenshots/0.9.4/0.9.4_authentication_portal.png?w=800&h=534 ../media/screenshots/0.9.4/0.9.4_authentication_portal.png?w=800&h=534 Display other sessions Affiche les autres sessions lemonldap-ng-portal-password.png <lemonldap-ng-portal-password.png Remote cookie name Nom du cookie distant memcachedsessionbackend memcachedsessionbackend We will explain how to use the latest: HTTP Auth. Nous expliquons ici comment utiliser le dernier : HTTP Auth. documentation:1.4:authremote documentation:1.4:authremote LDAP server Serveur LDAP By default, Apache configuration files will be installed in /usr/local/lemonldap-ng/etc/. Par défaut les fichiers de configuration d'Apache seront installés dans /usr/local/lemonldap-ng/etc/. applications:spring_logo.png applications:spring_logo.png </Directory>   </Directory>   Advanced configuration Configuration avancée LemonLDAP::NG is a modular WebSSO (Single Sign On) based on Apache::Session modules. LemonLDAP::NG est en WebSSO (Single Sign On) modulaire basé sur les modules Apache::Session. Portal gets the session key Le portail récupère la clef de session SOAP configuration backend proxy le proxy de backend de configuration SOAP SOAP configuration backend Backend de configuration SOAP Get the tarball Récupérer l'archive Code to replace: Code à remplacer : 'key' => 'q`e)kJE%<&wm>uaA', 'key' => 'q`e)kJE%<&wm>uaA', checkDate($ssoStartDate, $ssoEndDate) checkDate($ssoStartDate, $ssoEndDate) selfmadeapplication selfmadeapplication François-Xavier DELTOMBE: developer, tester François-Xavier DELTOMBE : developeur, testeur Configure the Apache server that host the portal to use the Apache Kerberos authentication module Configurer le serveur Apache qui héberge le portail utilisant le module d'authentification Kerberos d'Apache ssocookie ssocookie /_detail/documentation/manager-saml-service-authn-contexts.png?id=documentation%3A1.4%3Asamlservice /_detail/documentation/manager-saml-service-authn-contexts.png?id=documentation%3A1.4%3Asamlservice internal_email_by_netid 1 internal_email_by_netid 1 OpenID login: the session key used to match OpenID login. Identificant OpenID : la clef de session utilisée pour correspondre au login OpenID. ProxyPreserveHost on   ProxyPreserveHost on   Convert HTTP header into environment variable Convertir les en-têtes HTTP en variables d'environnement logos:logo_abuledu.png logos:logo_abuledu.png Thomas CHEMINEAU Thomas CHEMINEAU EPEL repository, you can activate this repository: http://fedoraproject.org/wiki/EPEL/FAQ#howtouse le dépôt EPEL, pour activer ce dépôt : http://fedoraproject.org/wiki/EPEL/FAQ#howtouse <Location /index.pl/sessions> <Location /index.pl/sessions> lemonldap-ng-handler: contains Apache Handler implementation (agent) lemonldap-ng-handler : contient l'implémentation de l'agent pour Apache (handler) DocumentRoot /var/www/html/drupal/ DocumentRoot /var/www/html/drupal/ notification notification SLO binding: force binding to use for SLO (http-redirect, http-post, etc.) Méthode SLO : force la méthode à utiliser pour le SLO (http-redirect, http-post, etc.) ou=sessions,dc=example,dc=com ou=sessions,dc=example,dc=com Authorized domains: white list or black list of OpenID client domains (see below). Domaines autorisés : liste blanche ou noire des domaines clients OpenID (voir ci-dessous). applications:zimbra_logo.png applications:zimbra_logo.png To manage the other way (LL::NG → Google Apps), you can add a dedicated logout forward rule: Pour gérer l'autre voie (LL::NG → Google Apps), ajouter une règle de redirection après déconnexion: Makes authentication optional, but authenticated users are seen as such (that is, user data are sent to the app through HTTP headers) Rendre l'authentification optionnelle, mais les utilisateurs authentifiés sont vus comme tel (ce qui signifie que les données utilisateurs sont envoyées via les en-têtes HTTP) deleteSession: delete a session deleteSession : efface une session 'configurator' => $_SERVER['HTTP_AUTH_SUPERADMIN'], 'configurator' => $_SERVER['HTTP_AUTH_SUPERADMIN'], ../media/logos/logo_bpi.png ../media/logos/logo_bpi.png ../../documentation/1.4/authapache.html ../../documentation/1.4/authapache.html roleSeparator (optional): role values separator. roleSeparator (optionnel) : séparateur des valeurs de rôle. Contact Contact install_handler_libs install_handler_libs SVN nightly builds Extraction nocturne du dépôt SVN ../../../media/icons/personal.png ../../../media/icons/personal.png Options: redirection port and protocol Des options : port de redirection et protocole Datas around the authentication process. Données concernant le processus d'authentification. Alias /doc/ /usr/local/lemonldap-ng/htdocs/doc/ Alias /doc/ /usr/local/lemonldap-ng/htdocs/doc/ baseurl=http://lemonldap-ng.org/rpm6/ baseurl=http://lemonldap-ng.org/rpm6/ Manager virtual host is used to serve configuration interface and local documentation. L'hôte virtuel du manager est utilisé pour servir l'interface de configuration et la documentation locale. Exceptions: allow anonymous access for specific URLs (connectors, etc.) Exceptions : autoriser l'accès anonyme pour les URLs spécifiques (connecteurs, etc.) /_detail/icons/terminal.png?id=documentation /_detail/icons/terminal.png?id=documentation /_detail/applications/spring_logo.png?id=documentation%3A1.4%3Aapplications%3Aspring /_detail/applications/spring_logo.png?id=documentation%3A1.4%3Aapplications%3Aspring Verification URL: URL used to verifiy the BrowserID assertion. URL de vérification : URL utilisée pour vérifier l'assertion BrowserID. To do this in Manager, go in General Parameters > Advanced Parameters > Notifications. pour ce faire dans le manager, aller dans Paramètres généraux > Paramètres avancés > Notifications. $_auth eq LDAP or $_auth eq DBI $_auth eq LDAP or $_auth eq DBI The conditions are checked in alphabetical order of comments. Les conditions sont examinées dans l'ordre alphabétique des commentaires. For CentOS/RHEL: Pour CentOS/RHEL : RDBI RDBI Standard virtual host directives, to serve portal pages: Directives standard d'hôte virtuel pour servir les pages du portail : Allow from all Allow from all RewriteRule ^/saml/.* /index.pl </IfModule> RewriteRule ^/saml/.* /index.pl </IfModule> ProxyPass / http://private-name/ ProxyPass / http://private-name/ Password -> ... Password -> ... documentation:1.4:rbac documentation:1.4:rbac Lightweight Directory Access Protocol Lightweight Directory Access Protocol rm -f /etc/lemonldap-ng/auth.keytab msktutil -c -b "cn=COMPUTERS" -s HTTP/auth.example.com -h auth.example.com -k /etc/lemonldap-ng/auth.keytab --computer-name portalsso --upn HTTP/auth.example.com --server ad.example.com --verbose rm -f /etc/lemonldap-ng/auth.keytab msktutil -c -b "cn=COMPUTERS" -s HTTP/auth.example.com -h auth.example.com -k /etc/lemonldap-ng/auth.keytab --computer-name portalsso --upn HTTP/auth.example.com --server ad.example.com --verbose http://www.cpantesters.org/distro/L/Lemonldap-NG-Manager.html http://www.cpantesters.org/distro/L/Lemonldap-NG-Manager.html The chosen logo file must be in portal applications logos directory (portal/skins/common/apps/). Le logo choisi doit se trouver dans le répertoire des logos des applications (portal/skins/common/apps/). documentation:1.4:managerprotection documentation:1.4:managerprotection You need Web::ID package. Le paquet Web::ID est nécessaire. yum install lemonldap-ng yum install lemonldap-ng http://www.youtube.com/watch?v=OJGB6jdN34Q http://www.youtube.com/watch?v=OJGB6jdN34Q Apache is not configured to authenticate users ! Apache is not configured to authenticate users ! Order of categories in the menu Ordre des catégories dans le menu You can allow these users instead of reject them: On peut autoriser ces utilisateurs au lieu de les rejeter : http://search.cpan.org/~massyn/Auth-Yubikey_WebClient/ http://search.cpan.org/~massyn/Auth-Yubikey_WebClient/ formreplay formreplay clean Handler cache nettoyer le cache des agents ../media/screenshots/1.0/pastel/menu.png?w=200&h=128 ../media/screenshots/1.0/pastel/menu.png?w=200&h=128 ServerName zimbra.example.com   ServerName zimbra.example.com   user login nom de connexion notice for good authentications or external exchange (SAML, OpenID,…) notice pour les authentifications réussies et les échanges externes (SAML, OpenID,…) Mail headers: En-têtes de courriel : Install it to trust packages: L'installer pour certifier les paquets : This is the only service to configure, and it accept only the SOAP binding. C'est le seul service à configurer et il n'accepte que les connexions SOAP. Application list: display categories and applications allowed for the user Liste des applications : affiche les catégories et applications autorisée pour l'utilisateur portalSkin portalSkin Its SOAP API can also be used to dialog directly with your custom applications. Son API SOAP peut être utilisée pour dialoguer directement avec des applications spécifiques. ldapPpolicyControl ldapPpolicyControl LL::NG can delegate authentication to Apache, so it is possible to use any Apache authentication module, for example: LL::NG peut déléguer l'authentification à Apache, ainsi il est possible d'utiliser tous les modules d'authentification Apache, par exemple: Confirmation mail subject: Subject of mail sent when password change is asked (default: [LemonLDAP::NG] Password reset confirmation) Sujet du message de confirmation : sujet du courriel envoyé lorsque le changement de mot-de-passe est demandé (défaut: [LemonLDAP::NG] Password reset confirmation) ../media/screenshots/1.1/manager/notifications_explorer_create.png?w=200&h=129 ../media/screenshots/1.1/manager/notifications_explorer_create.png?w=200&h=129 Build your packages Construire les paquets SOAP based for client-server software, specific development, … Basé sur SOAP pour les logiciels client-serveur, les développements spécifiques, … Advanced features Fonctionnalités avancées Application name (optional): Application name (visible in Twitter) Nom d'application (optionel) : nom de l'application (visible dans Twitter) Main internal databases are: Les principales bases de données internes sont : nickname nickname Performances Performances LL::NG can use a white list or a black list to filter allowed OpenID domains. LL::NG peut utiliser une liste blanche ou noire pour filtrer les domaines OpenID autorisés. /_detail/icons/kmultiple.png?id=documentation%3A1.4%3Astart /_detail/icons/kmultiple.png?id=documentation%3A1.4%3Astart ../media/screenshots/0.9.4/0.9.4_application_menu.png?w=200&h=133 ../media/screenshots/0.9.4/0.9.4_application_menu.png?w=200&h=133 Reload virtual host Recharger l'hôte virtuel URL: URL of your society URL: URL de votre organisation Informix Informix LDAP groups objectClass ObjectClass des groupes LDAP _whatToTrace ipAddr _whatToTrace ipAddr PerlResponseHandler ModPerl::Registry </Files> PerlResponseHandler ModPerl::Registry </Files> Allow login from IDP: allow a user to connect directly from an IDP link. Authentification depuis le fournisseur autorisée : autorise l'utilisateur à se connecter directement depuis un lien de l'IDP. Path: keep ^/cas/ unless you have change Apache portal configuration file. Chemin : laisser ^/cas/ sauf si le fichier de configuration Apache du portail a été modifiée. Options +ExecCGI   Options +ExecCGI   Then, go in WebID parameters: Ensuite, aller dans les paramètres WebID: Header name: name of the HTTP header carrying the secure token. Nom d'en-tête : nom de l'en-tête HTTP véhiculant le jeton sécurisé. authChoiceModules authChoiceModules /_detail/icons/wizard.png?id=documentation /_detail/icons/wizard.png?id=documentation translation memory directory = [path/to/trunk/build/lemonldap-ng]/omegat.files/zz/tm/ Répertoire des mémoires de traduction = [chemin/vers/trunk/build/lemonldap-ng]/omegat.files/zz/tm/ Zimbra preauth key Clef de pré-authentification Zimbra applications:bugzilla_logo.png applications:bugzilla_logo.png package SSOExtensions;   sub function1 { package SSOExtensions;   sub function1 { LemonLDAP::NG allows to store user logins and login attempts in their persistent session. LemonLDAP::NG permet de stocker les connexions et tentatives dans les sessions persistantes. All lemonldap-ng tools are in /usr/share/lemonldap-ng/bin/ Tous les outils lemonldap-ng se trouvent dans /usr/share/lemonldap-ng/bin/ ../../../../media/documentation/liferay_6.png ../../../../media/documentation/liferay_6.png Store user password in session data: see password store documentation. Stocker le mot-de-passe de l'utilisateur dans les données de session : voir la documentation sur le stockage du mot-de-passe. If the rule evaluation is true, the corresponding skin is applied. Si la règle correspond, le thème correspondant est appliqué. DocumentRoot /usr/local/lemonldap-ng/htdocs/manager/ DocumentRoot /usr/local/lemonldap-ng/htdocs/manager/ The configuration is done in Apache, in a virtual host. La configuration est effectuée dans Apache, dans les hôtes virtuels. documentation:1.4:authapache documentation:1.4:authapache ../pages/documentation/1.1/managerprotection.html ../pages/documentation/1.1/managerprotection.html This module is also available on GitHub. Ce module est également disponible sur GitHub. ../pages/documentation/1.1/fileconfbackend.html ../pages/documentation/1.1/fileconfbackend.html LDAP mail search filter Filtre de recherche LDAP pour le courriel HTML templates: in <lang> tags, add your translation, they will be automaticaly used Les modèles HTML: dans les balises <lang>, ajoutez vos traductions, elles seront automatiquement utilisées DBI Pivot from user table Pivot DBI pour la table utilisateur Authorization Autorisations This scheme expect a parameter, which is the authentication chain. Ce dispositif nécessite un paramètre : la chaîne d'authentification. Identity provider: how forward user identity Fournisseur d'identité : comment transférer l'identité You can create your own XSLT file and store in another place, for example /etc/lemonldap-ng. On peut créer son propre fichier XSLT et le stocker à un autre endroit, par exemple /etc/lemonldap-ng. Timestamp of session creation Date et heure (timestamp) de la création de la session Mandatory: if set to On, then session will not open if this attribute is not given by IDP. Obligatoire : si activé, les sessions ne seront ouvertes que si l'attribut est fourni par l'IDP. Key: application name Key : nom d'application http://static.springsource.org/spring-security/site/ http://static.springsource.org/spring-security/site/ headers_map: map OBM internal field to LL::NG header headers_map: établit la correspondance entre les champs internes d'OBM et les en-têtes LL::NG MySQL MySQL 'directory_umask' => '007',? 'directory_umask' => '007',? Notification send function (index.pl/notification): Fonction d'envoi de notifications (index.pl/notification): A computer with a GNU/Linux or recent UNIX system Un serveur équipé d'un GNU/Linux ou d'un système UNIX récent LL::NG is designed using Model–View–Controller software architecture, so you just have to change HTML/CSS files to custom portal. LL::NG a été conçu en utilisant l'architecture logicielle Modèle–Vue–Controlleur, ainsi vous avez juste à modifier les fichiers HTML/CSS pour personnaliser son portail. To learn more about using Apache as reverse-proxy, see Apache documentation. Pour en savoir plus sur l'utilisation d' Apache en reverse-proxy, consultez la documentation d'Apache. This needs some hacking because the Apache Kerberos authentication module do not work if require valid-user is not set. Ceci requiert quelques astuces car le module d'authentification Kerberos d'Apache ne fonctionne pas si require valid-user n'est pas indiqué. See the README to know how install and configure it. Voir le README pour l'installer et le configurer. ErrorLog /var/log/apache2/proxysite_error.log ErrorLog /var/log/apache2/proxysite_error.log # Allow from 127.0.0.0/8 # Allow from 127.0.0.0/8 firstname firstname Bibliothèque Publique d'Information Bibliothèque Publique d'Information Known problems Problèmes connus secureTokenExpiration secureTokenExpiration The configuration is the same as the LDAP module. La configuration est la même que mour le module LDAP. documentation:1.4:fastcgi documentation:1.4:fastcgi DBI Password column Colonne du mot-de-passe DBI ../pages/playground/playground.html ../pages/playground/playground.html }?); }?); You have to change it to match your admin user (or use other conditions like group membership, or any other rule based on a session variable). Il faut la changer pour correspondre au nouvel administrateur (ou utiliser une autre conditions telle l'appartenance aux groupes ou tout autre règle basée sur des variables de session). This protocol does not define any attributes exchange mechanism, so only authentication is managed. Ce protocole ne définit aucun mécanisme d'échange d'attribut, donc seule l'authentification est gérée. LemonLDAP::NG is also able to catch logout request on protected applications, with different behavior: LemonLDAP::NG peut également intercepter les requêtes de déconnexion des applications protégées, avec différent comportements : dbiAuthChain dbiAuthChain The menu is displayed if authentication is successful. Le menu est affiché si l'authentification est réussie. Certificate authorities file Fichiers des autorités de certification Handler status page Page de statut de l'agent AuthName "LL::NG Manager" AuthName "LL::NG Manager" ../media/screenshots/0.9.4/0.9.4_password_menu.png?w=800&h=534 ../media/screenshots/0.9.4/0.9.4_password_menu.png?w=800&h=534 dwho dwho ../../../../media/documentation/googleapps-menu.png ../../../../media/documentation/googleapps-menu.png DirectoryIndex index.php   DirectoryIndex index.php   Local cache Cache local vi LocalSettings.php vi LocalSettings.php You can add this repository to have recent packages: Ajouter ce dépôt pour avoir les paquets les plus récents : Each module can be activated trough a rule, using user session information. Chaque module peut être activé via une règle en utilisant les informations de session de l'utilisateur. You have to create the branch by yourself Il faut toutefois créer manuellement la branche SMTP Password: SMTP password if authentication is required Mot-de-passe SMTP : mot-de-passe SMTP si une authentification est requise authtwitter authtwitter documentation:1.4:logoutforward documentation:1.4:logoutforward install_libs (all Perl libraries) install_libs (toutes les librairies Perl) print "Connected user: ".$_SERVER{HTTP_AUTH_USER}; print "Connected user: ".$_SERVER{HTTP_AUTH_USER}; Configure MediaWiki virtual host like other protected virtual host. Configurer l'hôte virtuel Mediawiki comme n'importe quel autre hôte virtuel protégé. When writing rules and headers, you can use Perl expressions that will be evaluated in a jail, to prevent bad code execution. En écrivant des règles et en-têtes, on peut utiliser des expressions Perl qui seront évaluées dans une cage pour prévenir les codes malveillants. ../pages/contact.html ../pages/contact.html Use our own YUM repository. Utiliser votre propre dépôt YUM. ../../../css/print.css ../../../css/print.css managerTreeAutoClose managerTreeAutoClose appsListOrder appsListOrder Secondary LL::NG structure Systèe LL::NG secondaire Configuration text editor Éditeur de configuration en mode text Stack multiple backends (AuthMulti) Empiler de multiples backends (AuthMulti) Django is a high-level Python Web framework that encourages rapid development and clean, pragmatic design. Django est un framework web de haut niveau écrit en Python qui favorise le développement rapide et propre et un design pragmatique. Home Accueil To activate SOAP on the portal: Pour activer SOAP sur le portal : When you use the multiple sessions restriction parameters, sessions are parsed for each authentication unless you use an Apache::Session::Browseable module. Lorsque sont activées les paramètres de restriction d'ouverture de session, celles-ci sont toutes examinées à chaque nouvelle authentification sauf lorsqu'un module de la famille Apache::Session::Browseable est utilisé. Then the second rule will be applied first, so every authenticated user will access to /pub/admin directory. Alors la seconde règle est appliquée en premier, donc tous les utilisateurs authentifiés pourront accéder au répertoire /pub/admin. "\@example.com" "\@example.com" protect the manager by Apache configuration protéger le manager par configuration d'Apache documentation:1.0:applications documentation:1.0:applications A day has 24 hours, and a week 7 days, so the value contains 168 bits, converted into 42 hexadecimal characters. Un jour a 24 heures et une semaine 7 jours, donc la valeur contient 168 bits, convertie en 42 caractères hexadécimaux. ../documentation/current/installrpm.html ../documentation/current/installrpm.html Such configuration can have some security problems: Une telle configuration peut engendrer des problèmes de sécurité : ../../documentation/1.4/portalcustom.html ../../documentation/1.4/portalcustom.html It is recommended to use optional_no_ca since WebID doesn't use certificate authorities : Il est recommandé d'utiliser « optional_no_ca » car WebID n'utilise pas d'autorité de certification : <OrganizationDisplayName xml:lang="en">Example</OrganizationDisplayName> <OrganizationDisplayName xml:lang="en">Exemple</OrganizationDisplayName> documentation:remote-principle.png documentation:remote-principle.png The configuration name is the same that files, so lmConf-1, lmConf-2, etc. Le nom de la configuration est le même que pour File : lmConf-1, lmConf-2, etc... Install the module: Installer le module : An OpenID server with CAS authentication Un serveur OpenID avec une authentification CAS pages/contact.html pages/contact.html Options +ExecCGI Options +ExecCGI ../pages/documentation/1.1/safejail.html ../pages/documentation/1.1/safejail.html Want Assertions Signed: set to On to require that received assertions are signed. Exiger des assertions signées : mettre à « activé » pour exiger de recevoir des assertions signées. /_detail/documentation/manager-menu-application-logo.png?id=documentation%3A1.4%3Aportalmenu /_detail/documentation/manager-menu-application-logo.png?id=documentation%3A1.4%3Aportalmenu /_detail/icons/access.png?id=documentation%3A1.4%3Astart /_detail/icons/access.png?id=documentation%3A1.4%3Astart You can add, delete or modify a virtual host here. Il est possible d'ajouter, effacer ou modifier un hôte virtuel ici. Google Apps can use SAML to authenticate users, behaving as an SAML service provider, as explained here. Les applications Google peuvent utiliser SAML pour authentifier les utilisateurs, en se comportant comme des fournisseurs de service SAML, tel qu'expliqué ici. Yubikey secret key Clef secrète Yubikey Configure LemonLDAP::NG to use MySQL as main database Configurer LemonLDAP::NG pour utiliser MySQL comme base de données principale name nom They will be tested in the specified order. Ils seront testés dans l'ordre indiqué. HTTPS HTTPS documentation:1.4:applications:googleapps ↵ documentation:1.4:applications:googleapps ↵ /_detail/documentation/manager-saml-private-key.png?id=documentation%3A1.4%3Asamlservice /_detail/documentation/manager-saml-private-key.png?id=documentation%3A1.4%3Asamlservice Gendarmerie Nationale Gendarmerie Nationale 'manage_template' => $_SERVER['HTTP_AUTH_SUPERADMIN'], 'manage_template' => $_SERVER['HTTP_AUTH_SUPERADMIN'], Use Safe jail: set to 'Off' to disable Safe jail. Utiliser la cage sécurisée : mettre à 'Désctivé' pour désactiver la cage sécurisée (Safe). ../../documentation/quickstart.html#apache ../../documentation/quickstart.html#apache ../media/screenshots/1.1/mailreset/mailreset_step1.png?w=800&h=458 ../media/screenshots/1.1/mailreset/mailreset_step1.png?w=800&h=458 Facebook is a famous social network service. Facebook est un célèbre réseau social. [handler] # Set status to 1 if you want to have the report of activity (used for # example to inform MRTG) status = 1 [handler] # Set status to 1 if you want to have the report of activity (used for # example to inform MRTG) status = 1 ref: a reference that can be used later to know what has been notified and when ref : une référence qui peut être utilisée plus tard pour connaître ce qui a été notifié et quand Template parameters are defined in source code. Des paramètres modèles sont définis dans le code source. Current: to extract all configuration history Current : pour extraire tout l'historique de la configuration A name Un nom managerCss managerCss Lanyrd Lanyrd Apache authentication module will set the REMOTE_USER environment variable, which will be used by LL::NG to get authenticated user. Les modules d'authentification Apache renseignent la variable d'environnement REMOTE_USER, qui sera utilisée par LL::NG pour obtenir le nom d'utilisateur authentifié. domain => 'acme.com', domain => 'acme.com', Users Utilisateurs // ---- Unused values ? // ---- Unused values ? ../media/icons/xfmail.png ../media/icons/xfmail.png screenshots:1.1:mailreset:mailreset_step3.png screenshots:1.1:mailreset:mailreset_step3.png https://developer.mozilla.org/en-US/docs/Mozilla/Persona/FAQ?redirectlocale=en-US&redirectslug=Persona%2FFAQ#How_does_Persona_compare_to_OpenID.3F https://developer.mozilla.org/en-US/docs/Mozilla/Persona/FAQ?redirectlocale=en-US&redirectslug=Persona%2FFAQ#How_does_Persona_compare_to_OpenID.3F 'superadmin' => $_SERVER['HTTP_AUTH_SUPERADMIN'], 'superadmin' => $_SERVER['HTTP_AUTH_SUPERADMIN'], Deny from all Deny from all prereq prereq Configure local cache first. Configurer d'abord le cache local. Dailymotion Dailymotion lemonldap-ng-users@ow2.org lemonldap-ng-users@ow2.org You need to use Apache 2 with mod_perl 2, even if some simple configuration can run under Apache 1.3 Il est nécessaire d'utiliser Apache 2 avec mod_perl 2, même si une configuration simple peut fonctionner avec Apache 1.3 documentation:1.4:sqlconfbackend documentation:1.4:sqlconfbackend It can be used just to share authentication or to share user's attributes following the OpenID Simple Registration Extension 1.0 (SREG) specification. Ce peut être utilisé pour partager l'authentification et pour partager les attributs utilisateurs en suivant les spécifications OpenID Simple Registration Extension 1.0 (SREG). Security recommendation Recommendation de sécurité Writing rules and headers Écrire les règles et en-têtes ../media/screenshots/1.2/lemonldap_ng_sample_protected_application_1340022329086.png?w=200&h=125 ../media/screenshots/1.2/lemonldap_ng_sample_protected_application_1340022329086.png?w=200&h=125 To allow the Login History tab in Menu, configure it in General Parameters > Portal > Menu > Modules (see portal menu configuration). Pour activer l'onglet de l'historique de connexion dans le menu, le configurer dans Paramètres généraux > Portail > Menu > Modules (voir la configuration du menu du portail). Order deny,allow Order deny,allow /_detail/icons/bug.png?id=contact /_detail/icons/bug.png?id=contact Liferay virtual host in Apache Hôte virtuel Liferay dans le manager ../pages/documentation/1.4/jsonfileconfbackend.html ../pages/documentation/1.4/jsonfileconfbackend.html Configuration and sessions in MySQL Configuration et sessions dans MySQL BrowserID (Mozilla Persona) BrowserID (Mozilla Persona) http://search.cpan.org/perldoc?Apache::Session::MySQL http://search.cpan.org/perldoc?Apache::Session::MySQL ../../documentation/1.4/prereq.html ../../documentation/1.4/prereq.html Note that variables designed by $xx correspond to the name of the exported variables or macro names. Noter que les variables designées par $xx correspondent au nom de variables exportées ou de noms de macro. exportedHeaders exportedHeaders documentation:1.4:browseablesessionbackend documentation:1.4:browseablesessionbackend Please see the next chapter to learn how build an official tarball from SVN files. Voir le chapître suivant pour savoir comment construire une archive officielle depuis les fichiers SVN. make dist make dist my-profile.eu my-profile.eu Deletion example in Perl Exemple d'effacement en Perl Entry Identifier Identifiant d'entrée 'notificationWildcard' => 'allusers', 'notificationWildcard' => 'allusers', http://mail.ow2.org/wws/arc/lemonldap-ng-changes http://mail.ow2.org/wws/arc/lemonldap-ng-changes <Organization> <Organization> ../../documentation/1.4/authgoogle.html ../../documentation/1.4/authgoogle.html https://metacpan.org/module/Apache::Session::Browseable::Redis https://metacpan.org/module/Apache::Session::Browseable::Redis Handler does not see SSO cookies (because it is not in main domain) and redirects user on Portal L'agent n'intercepte pas de cookie SSO (car il n'est pas dans le même domaine) et redirige l'utilisateur vers le portail http://www.php.net/session_start http://www.php.net/session_start dbiUserPassword dbiUserPassword Kerberos client for Linux Client Kerberos pour Linux ../../../download.html#contributions ../../../download.html#contributions For the certificate, you can build it from the signing private key registered in Manager. Pour le certificate, vous pouvez le construire en signant la clef privée enregistrée dans le Manager. ldapGroupBase ldapGroupBase # Common error page and security parameters ErrorDocument 403 http://auth.example.com/?lmError=403 ErrorDocument 500 http://auth.example.com/?lmError=500 ErrorDocument 503 http://auth.example.com/?lmError=503 # Common error page and security parameters ErrorDocument 403 http://auth.example.com/?lmError=403 ErrorDocument 500 http://auth.example.com/?lmError=500 ErrorDocument 503 http://auth.example.com/?lmError=503 Choose “Apache” as authentication module (“General Parameters » Authentication modules » Authentication module”) Choisir “Apache” comme module d'authentification (“Paramètres généraux » Modules d'authentification » Module d'authentification”) managerPassword managerPassword applications:drupal_logo.png applications:drupal_logo.png get user attributes obtenir les attributs utilisateurs An apache virtual host protected by LemonLDAP::NG Handler must be registered in LemonLDAP::NG configuration. Un hôte virtuel apache protégé par un agent LemonLDAP::NG doit être enregistré dans la configuration LemonLDAP::NG. PRIMARY KEY (date, uid,ref) ) PRIMARY KEY (date, uid,ref) ) documentation:liferay_6.png documentation:liferay_6.png Set macros: compute configured macros Installe les macros : calcule les macros demandées DocumentRoot /var/www/html/drupal/ DocumentRoot /var/www/html/drupal/ Access rule Règle d'accès //"userobm_delegation" => , //"userobm_delegation" => , dbiPasswordMailCol dbiPasswordMailCol RewriteRule ^/openidserver/.* /index.pl RewriteRule ^/openidserver/.* /index.pl Grant LemonLDAP::NG access Autoriser l'accès pour LemonLDAP::NG http://www.lambdaprobe.org http://www.lambdaprobe.org proxy: SOAP sessions end point (see SOAP session backend documentation) proxy: point d'accès SOAP (voir la documentation du backend de session SOAP) The prefix 1.3.6.1.4.1.10943 is owned by LINAGORA (See http://www.iana.org/assignments/enterprise-numbers). Le préfixe 1.3.6.1.4.1.10943 est propriété de LINAGORA (Voir http://www.iana.org/assignments/enterprise-numbers). http://www.wikipedia.org http://www.wikipedia.org apt-get update apt-get update ldapBindDN ldapBindDN The log level can be set with Apache LogLevel parameter. Le niveau de journalisation peut être configuré via le paramètre LogLevel d'Apache. /_detail/documentation/remote-principle.png?id=documentation%3A1.4%3Aauthremote /_detail/documentation/remote-principle.png?id=documentation%3A1.4%3Aauthremote ../pages/documentation/1.1/exportedvars.html ../pages/documentation/1.1/exportedvars.html openssl req -new -key lemonldap-ng-priv.key -out cert.csr openssl x509 -req -days 3650 -in cert.csr -signkey lemonldap-ng-priv.key -out cert.pem openssl req -new -key lemonldap-ng-priv.key -out cert.csr openssl x509 -req -days 3650 -in cert.csr -signkey lemonldap-ng-priv.key -out cert.pem Rule: a Perl expression (you can use %ENV hash to get environment variables, or $_url to get URL called before redirection, or $ipAddr to use user IP address). Règle : expression Perl (on peut utiliser %ENV pour obtenir les variables d'environnement, $_url pour l'URL demandée avant la redirection ou $ipAddr pour l'adresse IP de l'utilisateur). For security reason, a cookie provided for a domain cannot be sent to another domain. Pour des raisons de sécurité, un cookie fournit par un domaine ne peut être transmit à un autre. Cache::Cache Cache::Cache print "$res notification(s) have been deleted\n"; } print "$res notification(s) have been deleted\n"; } You can also use Facebook as user database. On peut également utiliser Facebook comme base de données utilisateurs. Activation: Set to On to enable Common Domain Cookie support. Activation : mettre à « activé » pour activer le support du domaine commun de cookie. http://modauthkerb.sourceforge.net/ http://modauthkerb.sourceforge.net/ Logout user from current application and from Lemonldap::NG and redirect it to http://intranet/ Déconnecte l'utilisateur de l'application courante et de Lemonldap::NG le redirige vers http://intranet/ → User session has expired or handler does not have access to the same Apache::Session database than the portal → La session de l'utilisateur a expiré ou l'agent n'a pas accès à la même base de données Apache::Session que le portail ../pages/documentation/1.4/internalproxy.html ../pages/documentation/1.4/internalproxy.html # SSO protection # Protection SSO The portal must be configured to accept SOAP authentication requests. Ce portail doit être configuré pour accepter les requêtes d'authentification SOAP. To configure it, SOAP session backend will be set trough Manager in global configuration (used by all Hanlders), and the real session backend will be configured for local components in lemonldap-ng.ini. Pour le configurer, le backend de session SOAP est défini via le manager dans la configuration globale (utilisée par tous les agents) et le backend de session réel est configuré pour les composants locaux dans lemonldap-ng.ini. For example, to forward login ($uid) and password ($_password if password is stored in session): Par exemple, pour exporter l'identifiant ($uid) et le mot-de-passe ($_password si le mot-de-passe est stocké dans la session): /_detail/documentation/manager-saml-service-sp-ac.png?id=documentation%3A1.4%3Asamlservice /_detail/documentation/manager-saml-service-sp-ac.png?id=documentation%3A1.4%3Asamlservice Authentication contexts Contextes d'authentification By default, anonymous bind is used. Par défaut, une connexion anonyme est utilisée. ../../documentation/1.4/applications/googleapps.html ../../documentation/1.4/applications/googleapps.html phpLDAPadmin will connect to the directory with a static DN and password, and so will not request authentication anymore. phpLDAPadmin se connecte au serveur avec un DN et un mot-de-passe statique et ne requiert ainsi aucune authentification. Use MySQL for Lemonldap::NG configuration Utiliser MySQL pour la configuration de Lemonldap::NG $givenName.” ”.$surName $givenName.” ”.$surName All Perl modules are in the VENDOR perl directory Tous les modules Perl se trouvent dans le répertoire VENDOR de Perl Session lifetime for cronjob Durée de vie des sessions pour la tâche planifiée Include LemonLDAP::NG configuration in your main Apache configuration: Incluez la configuration LemonLDAP::NG dans celle d'Apache : The Handler will send a WWW-Authenticate header to the client, to request user and password, and then check the credentials using SOAP getCookies web service. L'agent envoie un en-tête WWW-Authenticate au client pour demander le couple compte-mot-de-passe et ensuite le vérifie en utilisant le service web SOAP getCookies. Choice of any certificate attribute as user main login Choix de n'importe quel attribut du certificat comme nom d'utilisateur principal rpmbuild -ta SOURCES/lemonldap-ng-VERSION.tar.gz rpmbuild -ta SOURCES/lemonldap-ng-VERSION.tar.gz Apache based protection allow to be independent from WebSSO, so Manager will always be reachable even if WebSSO configuration is corrupted. Une protection basée sur Apache permet d'être indépendant du WebSSO, ainsi le manager est toujours accessible même si la configuration du WebSSO est corrompue. Access to configuration Accès à la configuration http://mb-c.pro/en/archives/7657 http://mb-c.pro/en/archives/7657 You can create a special virtual host and use Apache rewrite module to switch between open and protected hosts: Vous pouvez créer un hôte virtuel particulier et utiliser le module rewrite d'Apache pour choisir entre le site ouvert et le protégé : Fail2ban Fail2ban Select Metadata, and unprotect the field to paste the following value: Selectionner Metadata, et déprotéger le champ pour y mettre : # Change "Location" header in redirections # Changer les en-têtes "Location" dans les redirections Regular expression Expression régulière Authenticate: contact authentication database to check credentials Authentifie : contacte le dispositif d'authentication pour vérification Stack multiple backends Empiler de multiples backends css/screen.css css/screen.css cp ValveLemonLDAPNG.jar server/lib/ cp ValveLemonLDAPNG.jar server/lib/ Install cron jobs Installer les tâches planifiées (cron) Allowed modules: click on New choice to add a choice. Modules autorisés : cliquer sur Nouveau choix pour ajouter un choix. Virtual host Hôte virtuel SOAP activation Activation SOAP ... </IDPSSODescriptor> ... </IDPSSODescriptor> HTTP Artifact Artifact HTTP translations traductions header_remote_user_conversion header_remote_user_conversion portalDisplayAppslist portalDisplayAppslist ldapConfBase: Notifications branch DN. ldapConfBase : DN de la branche des notifications. icons:flags:fr.png icons:flags:fr.png checkLogonHours($ssoLogonHours, '', '', '1') checkLogonHours($ssoLogonHours, '', '', '1') 1_admin 1_admin User choice done if authentication choice was used Choix de l'utilisateur si le backend d'authentification Choice a été utilisé A virtual host contains: Un hôte vituel contient : Role Based Access Control (RBAC) Contrôle d'accès basé sur les rôles (RBAC) Manager menu organization Organisation du menu du manager ../pages/documentation/1.1/authnull.html ../pages/documentation/1.1/authnull.html Any SAML Service Provider, for example: Tout fournisseur de service SAML, par exemple: To achieve this, you can create a rule in the Manager: select General Parameters > Portal > Customization > Skin display rules on click on “New key”. Pour le réaliser, il faut créer une règle dans le manager : choisir paramètres généraux > Portail > Personnalisation > Règle d'affichage du thème et cliquer sur “Nouvelle clef”. Remote LL::NG LL::NG distant User: where collect user data Utilisateurs: où trouver les données utilisateurs authenticate users authentifier les utilisateurs Handler gets session get from cookie and gets session L'agent récupère la session en utilisant la valeur du cookie ^/obm-sync ^/obm-sync Roles as simple values of a user attribute Rôles comme simple valeur d'attribut utilisateur Here are some advices: Il y a deux avis : So you have just to declare this header for the virtual host in Manager. Il suffit donc de déclarer cet en-tête pour l'hôte virtuel dans le manager. POST URL: /login.php URL POST: /login.php # SOAP functions for configuration access (disabled by default) # Fonctions SOAP pour accéder à la configuration (désactivées par défaut) Install dependencies on your system Installer les dépendances sur le système Using Redis, you just have to prepare Redis database. Pour utiliser Redis, il faut preparer la base de données. It simplifies the build of a protected area with a few changes in the application. Il simplifie la construction d'une aire protégée avec peu d'impact sur les applications. notifications_explorer_create.png notifications_explorer_create.png http://test1.example.com http://test1.example.com Twitter application key Clef d'application de Twitter If you define mail contents in Manager, HTML templates will not be used. Si les contenus sont définis dans le manager, les modèles HTML ne sont pas utilisés. SAML service providers: Registered SP Fournisseurs de service SAML : SP enregistrés portalDisplayChangePassword portalDisplayChangePassword For each IDP, you can configure attributes that are collected. Pour chaque IDP, il faut configurer les attributs à collecter. /_detail/applications/tomcat_logo.png?id=documentation%3A1.4%3Aapplications%3Atomcat /_detail/applications/tomcat_logo.png?id=documentation%3A1.4%3Aapplications%3Atomcat It should works on every browser: Ça doit marcher avec tous les navigateurs : apt-cache search lemonldap-ng apt-cache search lemonldap-ng By default, the manager is restricted to the user 'dwho' (default backend is Demo). Par défaut, l'accès au manager est restreint à l'utilisateur "dwho" (le backend par défaut est Demo). Password: password to used to connect to LDAP server. Mot-de-passe : mot-de-passe à utiliser pour se connecter au serveur LDAP. If no value, disable group searching. La recherche des groupes est désactivé si cette valeur est vide. Notifications: messages displayed to connected users Notifications: messages à afficher aux utilisateurs connectés ../../../media/screenshots/1.1/mailreset/mailreset_step3.png ../../../media/screenshots/1.1/mailreset/mailreset_step3.png SSLCertificateFile: Server certificate SSLCertificateFile : certificat serveur ../css/screen.css ../css/screen.css ServerName localsite.example.com   ServerName localsite.example.com   The path to the lock directory Le chemin du répertoire des verrous samlservice samlservice ../../../media/documentation/ha-apache.png ../../../media/documentation/ha-apache.png It is advised to use separate session backends for standard sessions, SAML sessions and CAS sessions, in order to manage index separately. Il est préférable d'utiliser des bases de sessions séparées pour les sessions standard, SAML et CAS afin de gérer séparemment les index. http://linuxfr.org/news/sortie-de-lemonldapng-11 http://linuxfr.org/news/sortie-de-lemonldapng-11 /usr/share/lemonldap-ng/bin/lemonldap-ng-cli /usr/share/lemonldap-ng/bin/lemonldap-ng-cli File session backend Backend de sessions File Server host: LDAP server hostname or URI (by default: localhost). Serveur : nom du serveur LDAP ou URI (par défaut : localhost). If no value, will use first NameID Format activated in metadata. Si aucune valeur n'est indiquée, le premier format de NameID activé dans les métadatas sera utilisé. documentation:1.4:cda documentation:1.4:cda Mail filter: Filter to find user from its mail (default: (&(mail=$mail)(objectClass=inetOrgPerson))) Filtre mail : filtre pour trouver l'utilisateur à partir de son mail (défaut: (&(mail=$mail)(objectClass=inetOrgPerson))) XML::Simple XML::Simple AuthType Kerberos AuthType Kerberos CAS login: the session key used to fill user login (value will be transmitted to CAS clients). Identifiant CAS : la clef de session à utiliser pour compléter le login (valeur transmise au clients CAS). This includes the application list which is now set in the applicationList parameter from [portal] section, for example: Ceci inclut la liste des applications qui se trouve désormais dans le paramètre applicationList de la section [portal], par exemple: http://search.cpan.org/perldoc?Apache2::URI#unescape_url http://search.cpan.org/perldoc?Apache2::URI#unescape_url authenticate: check if user is authenticated; if not, redirect it to the portal authenticate : vérifie que l'utilisateur est authentifié ; sinon, il est redirigé vers le portail Nov 2011: LINUXOID - Единая аутентификация для веб-приложений с LemonLDAP::NG Nov 2011 : LINUXOID - Единая аутентификация для веб-приложений с LemonLDAP::NG "userobm_perms" => "HTTP_OBM_PERMS", "userobm_perms" => "HTTP_OBM_PERMS", Next, configure SOAP for your remote servers Ensuite, configurer SOAP pour les serveurs distants → The specified virtual host was not configured in Manager. → L'hôte virtuel utilisé n'est pas configuré dans le manager. ../../../media/applications/drupal_logo.png ../../../media/applications/drupal_logo.png 2 kind of files may be translated: 2 types de fichiers peuvent être traduits : By default, mail content are empty in order to use HTML templates: Par défaut, les messages sont vides afin d'utiliser les modèles HTML : _whatToTrace varchar(255), _whatToTrace varchar(255), Then, go in Yubikey parameters: Ensuite, aller dans les paramètres Yubikey: KrbVerifyKDC Off KrbVerifyKDC Off Restart Apache Redémarrer Apache googleapps googleapps Then click on New POST data and add all data with their values, for example: Cliquer ensuite sur Nouvelle donnée POST et ajouter chaque donnée avec sa valeur, par exemple : LemonLDAP::NG wiki uses Dokuwiki! Le wiki LemonLDAP::NG est un Dokuwiki ! /_detail/documentation/manager-saml-namid-formats.png?id=documentation%3A1.4%3Asamlservice /_detail/documentation/manager-saml-namid-formats.png?id=documentation%3A1.4%3Asamlservice authenticationLevel authenticationLevel Deny from all Deny from all Put LemonLDAP::NG tarball in %_topdir/SOURCES Mettre l'archive LemonLDAP::NG dans %_topdir/SOURCES Berlin Berlin This module is not part of LL::NG distibution, and can be found on CPAN: Apache::Session::LDAP. Ce module ne fait pas partie de la distribution LL::NG, et se trouve sur le CPAN : Apache::Session::LDAP. Hash schema: SQL method for hashing password. Schéma de hachage : méthode SQL pour hacher les mots-de-passe. dbiUser dbiUser ../pages/screenshots.html ../pages/screenshots.html /_detail/icons/colors.png?id=documentation%3A1.4%3Astart /_detail/icons/colors.png?id=documentation%3A1.4%3Astart The secondary portal is declared in the Manager of the main LL::NG structure (else user will be rejected). Le portail secondaire est declaré dans le Manager du système LL::NG principal comme une application (sinon les utilisateurs seront rejetés). Distinguished name Nom distinct (distinguished name) error error To protect the manager, you have to choose one or both of : Pour protéger le manager, il faut choisir l'une où les deux solutions : ../../documentation/1.4/customfunctions.html ../../documentation/1.4/customfunctions.html ../../../media/icons/utilities.png ../../../media/icons/utilities.png Certificate Certificat Use packages provided by Debian. Utiliser les paquets fournis par Debian. screenshots:1.1:mailreset:mailreset_step5.png screenshots:1.1:mailreset:mailreset_step5.png ../pages/documentation/1.1/logoutforward.html ../pages/documentation/1.1/logoutforward.html CMS, Portal CMS, Portail http://en.wikipedia.org/wiki/Central_Authentication_Service http://fr.wikipedia.org/wiki/Central_Authentication_Service You can also add some other parameters On peut également ajouter quelques autres paramètres SMTPServer SMTPServer For example with this rule on the access parameter: Par exemple avec cette règle sur le paramètre access : a2enmod perl a2enmod perl These parameters are not mandatory to run SAML service, but can help to customize it: Ces paramètres ne sont pas obligatoires pour faire fonctionner le service SAML, mais peuvent aider à leur personnalisation : 'loginHistoryEnabled' => '1', 'loginHistoryEnabled' => '1', User tries to access protected application, his request is catched by Handler Lorsqu'un utilisateur tente d'accéder à une application protégée, il est intercepté par l'agent (handler) Variables that can be used in rules and headers Variables qui peuvent être utilisées dans les règles et en-têtes 'email' => $_SERVER['HTTP_AUTH_MAIL'], 'email' => $_SERVER['HTTP_AUTH_MAIL'], Catch error pages: Capture des pages d'erreur : This page do not reference all error messages, but only the frequentest Cette page ne référence pas tous les messages d'erreur, mais simplement les plus fréquents http://search.cpan.org/perldoc?Apache::Session::Oracle http://search.cpan.org/perldoc?Apache::Session::Oracle STORAGECONFFILE: location of default storage configuration file (default: /usr/local/lemonldap-ng/etc/lemonldap-ng.ini) STORAGECONFFILE : emplacement du du fichier de configuration du stockage par défaut (défaut : /usr/local/lemonldap-ng/etc/lemonldap-ng.ini) An example is given under the source tree : lemonldap-ng-portal/example/index.fcgi Un exemple est disponible dans l'arborescence des sources : lemonldap-ng-portal/example/index.fcgi nothing here... rien ici... For example, to allow only users with a strong authentication level: Par exemple, pour n'autoriser que les utilisateurs authentifiés fortement : Then, go in SSL parameters: Aller ensuite dans Paramètres SSL : proxy proxy Extensible Stylesheet Language Transformations Extensible Stylesheet Language Transformations Allow from 192.168.2.0/24 </Location> Allow from 192.168.2.0/24 </Location> It can works with external modules to extends its functionalities. Il peut utiliser des modules externes pour étendre ses fonctionnalités. This function convert a string from ISO-8859-1 to UTF-8. Cette fonction convertit une chaîne ISO-8859-1 en UTF-8. Authentication level: authentication level for this module. Niveau d'authentification : niveau d'authentification accordé à ce module. Only the condition is not mandatory. Seule la condition n'est pas exigée. Then in exported variables, you can ask only for : Ensuite dans les « variables exportées », on ne peut demander que : Recursive: activate recursive group functionality (default: 0). Récursivité : active la fonctionnalité récursive (défaut: 0). HyperText Markup Language HyperText Markup Language Set local groups: compute configured groups Installe les groupes locaux : calcule les groupes demandés par la configuration ../../documentation/1.4/managerprotection.html ../../documentation/1.4/managerprotection.html admin_server = ad.example.com admin_server = ad.example.com Sympa configuration Configuration Sympa Connection settings can be configured differently for authentication process and user process. Les paramètres de connexion peuvent être configurés différemment pour les processus d'authentification et de recherche d'utilisateur. /_detail/documentation/liferay_3.png?id=documentation%3A1.4%3Aapplications%3Aliferay /_detail/documentation/liferay_3.png?id=documentation%3A1.4%3Aapplications%3Aliferay By default, login time and IP address are stored in history, and the error message prompted to the user for failed logins. Par défaut, le tampon de date et l'adresse IP sont stockés dans l'historique et le message d'erreur affiché à l'utilisateur en cas d'échec. +1h: one hour from session creation +1h : une heure après la création de la session overload any LL::NG parameter when a specific backend is used surcharger n'importe quel paramètre LL::NG en fonction du backend utilisé Extract form info: get login/password, certificate, environment variable (depending on authentication module) Extrait les informations du formulaire: récupère le couple compte/mot-de-passe, le certificat, une variable d'environnement (suivant le module d'authentification) Order deny,allow Order deny,allow This configuration is usable if you want to expose your internal SSO portal to another network (DMZ). Cette configuration est utilisable l'on soujaite exposer un portail SSO interne à une autre réseau (DMZ). An HTTP header is defined by: Un en-tête HTTP est défini par : Default rule: who can access to the application Règle default : qui peut accéder à l'application http://auth.example.com/saml/metadata http://auth.example.com/saml/metadata </IfModule>   </IfModule>   So instead of using LDAP groups recovery, you just have to store “memberOf” field in your exported variables. Ainsi au lieu d'utiliser la récupération des groupes LDAP, vous avez juste à stocker le champ “memberOf” dans vos variables exportées. Example: http://auth.example.com/saml/singleSignOn Exemple: http://auth.example.com/saml/singleSignOn /_detail/icons/flags/ua.png?id=press /_detail/icons/flags/ua.png?id=press ../documentation/current/notifications.html ../documentation/current/notifications.html TLS client Client TLS Change password: update password column in authentication table matching user Changement de mot-de-passe : met à jour le champ mot-de-passe de la table d'authentification correspondant à l'utilisateur # Perl script # Perl script DokuWiki offline version DokuWiki version hors-ligne One notification XML document can contain several notifications messages. Un document XML de notification peut contenir plusieurs messages de notification. Full access control Contrôle d'accès complet Demonstration backend has hard coded user accounts: Le backend de démonstration dispose de compte codés en dur : Generic articles Articles génériques Allow only users with a LimeSurvey role Autorise seulement les utilisateurs avec un rôle LimeSurvey /_detail/icons/jabber_protocol.png?id=documentation%3A1.4%3Astart /_detail/icons/jabber_protocol.png?id=documentation%3A1.4%3Astart http://linuxfr.org/news/sortie-de-lemonldapng-version-10 http://linuxfr.org/news/sortie-de-lemonldapng-version-10 print "Connected user: ".$ENV{HTTP_AUTH_USER}; print "Connected user: ".$ENV{HTTP_AUTH_USER}; XML::LibXSLT XML::LibXSLT Inside this jail, you can access to: Dans cette cage, on peut accéder aux éléments suivants : LDAP bind dn Dn de connexion LDAP By default, default values are used. Sauf modification, les valeurs par défaut sont utilisées. Log with the dwho account and go on http://manager.example.com Connectez-vous avec le compte dwho sur http://manager.example.com ../media/icons/personal.png ../media/icons/personal.png Display Name: should be displayed on IDP, this is often your society name Nom affiché (display name) : peut être affiché par le fournisseur d'identité (IDP), this is often your society name Create a redirection script, called login.pl: Créer un script de redirection, appelé login.pl: ../../documentation/1.4/authwebid.html ../../documentation/1.4/authwebid.html <VirtualHost> <VirtualHost> none: no access control, the server will answer without checking if the user is authorized for the service (this is the default) none : pas de contrôle d'accès, le serveur répond sans contrôler si l'utilisateur est autorisé à accéder au service (c'est la valeur par défaut) To avoid having group dn stored in sessions datas, you can use a macro to rewrite memberOf: Pour éviter de stocker les dn dans votre base de sessions, vous pouvez utiliser une macro pour réécrire memberOf : Outlook Web App Outlook Web App http://search.cpan.org/dist/Apache-Session-LDAP/ http://search.cpan.org/dist/Apache-Session-LDAP/ PerlResponseHandler ModPerl::Registry PerlResponseHandler ModPerl::Registry valeur valeur ^/logout ^/logout The GPG key can be downloaded here: rpm-gpg-key-ow2 La clef GPG peut être téléchargée ici : rpm-gpg-key-ow2 Change as user: enable to perform password modification with credentials of connected user. Change comme utilisateur : active la modification du mot-de-passe avec les éléments d'authentification de l'utilisateur connecté. → You tried to activate Status module without localStorage. → Le module Status est activé sans localStorage. SOAP SOAP Authentication: how check user credentials Authentification : comment examiner les données utilisateur d'authentification ldapBase ldapBase Radius authentication level Niveau d'authentification de Radius LL::NG can delegate authentication to an OpenID server. LL::NG peut deleguer l'authentification à un serveur OpenID. _casPTserviceID = Proxy ticket value _casPTserviceID = Proxy ticket value LDAP session backend Backend de sessions LDAP icons:chat.png icons:chat.png }, }, For example, macro “macro1” will be computed before macro “macro2”: so, expression of macro2 may involve value of macro1. Par exemple, la macro “macro1” sear calculée avant la macro “macro2” : donc l'expression de macro2 peut utiliser la valeur $macro1. Signed Authentication Request: set to On to always sign authentication request. Requête d'authentification signée : mettre à « activé » pour toujours signer les requêtes d'authentifications. If the message contains check boxes, the user has to check all of them else he can not access to the portal and get his session cookie. Si le message contient des cases à cocher, l'utilisateur doit toutes les cocher, sinon il ne peut obtenir de cookie de session. Test::POD Test::POD Attributes and macros Attributs et macros documentation:1.4:installtarball documentation:1.4:installtarball Manager translation Traduction du manager You should grab some informations: Il faut récolter quelques informations: Default use case: Cas général: New notifications can be insert using SOAP request (described in the WSDL file generated by buildPortalWSDL tool). Les nouvelles notifications peuvent être insérées en utilisant des requêtes SOAP (décrites dans le fichier WSDL généré par l'utilitaire buildPortalWSDL). Before, you have to create the virtual host manager.your.domain in the manager and set a rules, else access to the manager will be denied. Avant, il faut créer l'hôte virtuel manager.your.domain dans le manager et mettre une règle, sinon l'accès au manager sera interdit. #<Location /status> #<Location /status> PerlOutputFilterHandler Lemonldap::NG::Handler::Menu PerlOutputFilterHandler Lemonldap::NG::Handler::Menu A little floating menu can be added to application with this simple Apache configuration: Un petit menu flottant peut être ajouté aux applications par une seimple configuration Apache : Then each parameter is one value of the attribute description, prefixed by its key. Ensuite, chaque paramètre est une valeur de l'attribut description, prefixé par sa clef. Apache virtual host Hôte virtuel Apache : Multi modules display Affichage des modules de Multi ../../documentation/1.4/loginhistory.html ../../documentation/1.4/loginhistory.html icons:utilities.png icons:utilities.png 'manage_label' => $_SERVER['HTTP_AUTH_SUPERADMIN'] ); 'manage_label' => $_SERVER['HTTP_AUTH_SUPERADMIN'] ); → The cache has been created by another user than Apache's user. → Le cache a été créé par un autre utilisateur que celui d'Apache. Writer URL: URL used by SAML IDP to write the cookie. URL d'écriture : URL utilisée par l'IdP SAML pour écrire le cookie. It is done by creating the correct HTTP header: C'est fait en créant l'en-tête HTTP correct : ../media/icons/wizard.png ../media/icons/wizard.png Javascript protection: set httpOnly flag, to avoid cookie been caught by javascript code Protection Javascript : active le drapeau httpOnly pour éviter que le cookie ne soit accessible par code javascript To allow the manager to reload the configuration, register the reload virtual host name in the hosts of the server: Pour autoriser le manager à recharger la configuration, enregistrer le nom d'hôte virtuel de rechargement dans le fichier hosts du serveur : ../media/screenshots/1.1/mailreset/mailreset_step3.png ../media/screenshots/1.1/mailreset/mailreset_step3.png This page can be browsed for example by MRTG using the MRTG monitoring script. Cette page peut être parcourue par exemple par MRTG en utilisant le script de surveillance MRTG. Some Perl optimizations: Quelques optimisations Perl : Display-Name Display-Name Time to test L'heure est aux tests <notification> element(s) : élément(s) <notification> : Attribute Authority Autorité d'attributs Changelog Journal des changements You have to install the corresponding Perl module. Il faut installer le module Perl correspondant. sudo apachectl configtest sudo apachectl restart sudo apachectl configtest sudo apachectl restart There is 3 types of SQL configuration backends for LemonLDAP::NG : Il y a 3 types de backends de configuration SQL pour LemonLDAP::NG : sudo make install sudo make install You can customize logs by redefining userNotice() and userError() methods, directly in lemonldap-ng.ini On peut personnaliser les fonctions de journalisation en redéfinissant les méthodes userNotice() et userError(), directement dans lemonldap-ng.ini User ID User ID Send login in Auth-User: Envoi de l'identifiant dans Auth-User: Redirection to the remote type portal Redirection vers le portail de type remote Montreal Montréal screenshots:1.1:notifications:sample_notification.png screenshots:1.1:notifications:sample_notification.png install_portal_libs install_portal_libs documentation:1.4:authldap documentation:1.4:authldap OW2 Con OW2 Con The faster. Le plus rapide. In this case, see how convert header into environment variable. Dans ce cas, voir comment convertir les en-têtes en variable d'environnement. Users module: SAML Module utilisateurs : SAML http://www.slideshare.net/coudot/cas-openid-saml-concepts-diffrences-et-exemples-10219360 http://www.slideshare.net/coudot/cas-openid-saml-concepts-diffrences-et-exemples-10219360 Zimbra Handler parameters Paramètres du handler Zimbra Note that groups are computed after macros, so a group rule may involve a macro value. Noter que les groupes sont calculés après les macros, donc une règle de groupe peut utiliser une valeur issue d'une macro. http://zimbra.lan/service/preauth http://zimbra.lan/service/preauth After configuring SAML Service, you can export metadata to your partner Service Provider. Après avoir configuré le service SAML, exporter les métadonnéesvers le fournisseur de service partenaire. ../media/logos/logo_ucanss.png ../media/logos/logo_ucanss.png Your EntityID, often use as metadata URL, by default #PORTAL#/saml/metadata. Votre EntityID, souvent utilisé comme URL des métadatas, par défaut #PORTAL#/saml/metadata. ), ), authgoogle authgoogle LL::NG is compatible with the CAS protocol versions 1.0 and 2.0. LL::NG est compatible avec le protocole CAS versions 1.0 et 2.0. Multiple domains: enable cross domain mechanism (without this, you cannot extend SSO to other domains) Domaines multiples : active le mécanisme inter-domaines (sans ceci, on ne peut pas étendre le SSO aux autres domaines) Put your own files instead of ow2.cert, ow2.key, ow2-ca.cert: Placer vos propres fichiers au lieu de ow2.cert, ow2.key, ow2-ca.cert: Kerberos Kerberos ../pages/references.html ../pages/references.html You can also find on this page the SVN tarball if you want to test latest features. On peut aussi trouver sur cette page l'archive SVN pour tester les dernières évolutions. Custom SOAP Services Services SOAP personnalisés Change the base URL for EL6 packages: Changer l'URL de base pour les paquets EL6 : documentation:1.0:portal documentation:1.0:portal Allow from 192.168.2.0/24 </Location>   # SOAP functions for sessions access (disabled by default) <Location /index.pl/sessions> Allow from 192.168.2.0/24 </Location>   # SOAP functions for sessions access (disabled by default) <Location /index.pl/sessions> ldapPwdEnc ldapPwdEnc documentation:1.4:error documentation:1.4:error ../pages/default_sidebar.html ../pages/default_sidebar.html International Organization for Standardization International Organization for Standardization Logging application access Trace des accès aux applications Freshmeat Freshmeat Starting performances Performances au démarrage ldapBindPassword ldapBindPassword API key: API key from Twitter Clef d'API: clef d'API donnée par Twitter documentation:1.4:configvhost documentation:1.4:configvhost To edit SSO cookie parameters, go in Manager, General Parameters > Cookies: Pour modifier les paramètres du cookie SSO, aller dans le manager, Paramètres généraux > Cookies : tomcat tomcat 'portalSkin' => 'pastel', 'portalSkin' => 'pastel', ^/(?i)index.php\?.*access.*access ^/(?i)index.php\?.*access.*access SetEnvIfNoCase Auth-User "(.*)" REMOTE_USER=$1   SetEnvIfNoCase Auth-User "(.*)" REMOTE_USER=$1   Header name Nom d'en-tête Restrict /admin to administrators group Restreint /admin au groupe des administrateurs You must allow access to Manager IP. Il faut autoriser l'accès à l'adresse IP du manager. documentation:conferences documentation:conferences For example, to configure the File configuration backend: Par exemple, pour configurer le backend de configuration File : lemonldap-ng-dev@ow2.org lemonldap-ng-dev@ow2.org Configure your DNS server to resolve names with your server IP. Configurer le serveur DNS pour résoudre les noms avec l'adresse IP de votre serveur. Browseable session backend Backend de session explorable Configure the Auth-User header. Configurer l'en-tête Auth-User. Heidelberg Heidelberg Anti iframe protection: will kill parent frames to avoid some well known attacks Protection anti-iframe : ferme la frame parente pour éviter des attaques bien connues Internal SOAP server used by SOAP configuration backend and usable for specific development (see SOAP services for more) Serveur SOAP interne utilisé par le backend de configuration SOAP et utilisable pour des développements spécifiques (voir les services SOAP) Mpm-worker works faster and LemonLDAP::NG use the thread system for best performance. Mpm-worker est plus rapide et LemonLDAP::NG utilise le système de threads pour de meilleures performances. Timezone of the user, set with javascript from standard login form (will be empty if other authentication methods are used) Timezone de l'utilisateur, renseignée par javascript dans le formulaire d'authentification (vide si une autres méthode d'authentification est utilisée) CustomLog /var/log/apache2/proxysite_access.log combined </VirtualHost> CustomLog /var/log/apache2/proxysite_access.log combined </VirtualHost> https://gist.github.com/njh/2432427 https://gist.github.com/njh/2432427 Authentication: how authenticate users Authentification: comment authentifier les utilisateurs Export sAMAccountName in a variable declared in exported variables Exporter sAMAccountName dans la liste des variables exportées documentation:latest:notifications documentation:latest:notifications Must be secured by network access control. Doit être securisé par un contrôle d'accès réseau. Apache authentication level Niveau d'authentification d'Apache unprotect unprotect Form replay parameters Paramètres de rejeu de formulaires logout_app_sso http://intranet/ logout_app_sso http://intranet/ Demonstration Démonstration If CAS login is not set, it uses General Parameters » Logs » REMOTE_USER data, which is set to uid by default Si le login CAS n'est pas défini, la donnée Paramètres généraux » Journalisation » REMOTE_USER est utilisée, mise à uid par défaut ../media/screenshots/1.0/sessionsexplorer/accordeon_dark.png?w=200&h=128 ../media/screenshots/1.0/sessionsexplorer/accordeon_dark.png?w=200&h=128 }; }; You can change it quick with a sed command. On peut le changer rapidement par une commande sed. ../documentation/current/prereq.html ../documentation/current/prereq.html Lemonldap\:\:NG \: Bad password for .* \(<HOST>\) # Option: ignoreregex # Notes.: regex to ignore. Lemonldap\:\:NG \: Bad password for .* \(<HOST>\) # Option: ignoreregex # Notes.: regex to ignore. http://www.openldap.org/doc/admin24/overlays.html#Reverse%20Group%20Membership%20Maintenance http://www.openldap.org/doc/admin24/overlays.html#Reverse%20Group%20Membership%20Maintenance In Manager, go in General Parameters > Authentication modules and choose Apache for authentication. Dans le manager, aller dans Paramètres généraux > Modules d'authentification et choisir Apache pour l'authentification. dn: uid=foo,dmdName=people,dc=example,dc=com ... memberOf: cn=admin,dmdName=groups,dc=example,dc=com memberOf: cn=su,dmdName=groups,dc=example,dc=com dn: uid=foo,dmdName=people,dc=example,dc=com ... memberOf: cn=admin,dmdName=groups,dc=example,dc=com memberOf: cn=su,dmdName=groups,dc=example,dc=com ../pages/documentation/1.1/error.html ../pages/documentation/1.1/error.html LDAP server or Net::LDAP connexion string Serveur LDAP ou chaîne de connexion Net::LDAP 000000FFFFFFFFFFFFFFFFFFFFFFFFFFFFFF000000 000000FFFFFFFFFFFFFFFFFFFFFFFFFFFFFF000000 ../media/screenshots/1.0/impact/menu.png?w=200&h=130 ../media/screenshots/1.0/impact/menu.png?w=200&h=130 For remote servers, you can use SOAP session backend in cunjunction to increase security for remote server that access through an unsecure network Pour les serveurs distants, vous pouvez utiliser le module SOAP d'accès aux sessions en complément pour augmenter la sécurité de ces serveurs qui accèdent aux sessions au travers d'un réseau non sûr Parameters: Paramètres: Update your /etc/hosts to map SSO URLs to localhost: Mettez à jour votre /etc/hosts pour faire correspondre les URLs du SSO à votre machine : LDAPFilter => '(&(sAMAccountName=$user)(objectClass=person))', LDAPFilter => '(&(sAMAccountName=$user)(objectClass=person))', This backend allows to chain authentication method, for example to failback to LDAP authentication if Remote authentication failed… Ce backend permet de chaîner des méthodes d'authentification, par exemple pour basculer sur une authentification LDAP si l'authentification amont a échouée… In Manager, go in General Parameters > Authentication modules and choose SSL for authentication. Dans le manager, aller dans Paramètres généraux > Modules d'authentification et choisir SSL pour l'authentification. checkLogonHours checkLogonHours To see available actions, do: Pour connaître les actions possibles, lancer : This is also true for: C'est disponible pour : RPMs are available at http://repo.cyrus-project.org/centos$releasever-$basearch/RPMS.cyrus-extras/ Les RPMs sont disponibles sur http://repo.cyrus-project.org/centos$releasever-$basearch/RPMS.cyrus-extras/ if many hidden applications are on the same private network, if one is corrupted (by SQL injection, or another attack), the hacker will be able to access to other applications without using reverse-proxies so it can bypass LL::NG protection Si de nombreuses applications se situent sur le même réseau privé et que l'un est corrompue (par SQL injection, ou toute autre attaque), le pirate peut accéder aux autres applications sans passer par les proxies inverses et donc contourner la protection LL::NG LL::NG can delegate authentication to a CAS server. LL::NG peut déléguer l'authentification à un serveur CAS. Installation from the tarball Installation depuis l'archive Sandro CAZZANIGA: developer, tester Sandro CAZZANIGA : developeur, testeur https://metacpan.org/release/Net-Facebook-Oauth2 https://metacpan.org/release/Net-Facebook-Oauth2 <Files *.pl> <Files *.pl> FastCGI support Support FastCGI "admin0\@global.virt" : $uid "admin0\@global.virt" : $uid Mod Perl must be loaded before LL::NG Apache configuration. Mod Perl doit être chargé avant la configuration Apache de LL::NG. https://auth.sso.sbay.org/ https://auth.sso.sbay.org/ User is redirected on protected application, with his new cookie L'utilisateur est redirigé vers l'application demandée avec son nouveau cookie CAS authentication will automatically add a logout forward rule on CAS server logout URL in order to close CAS session on LL::NG logout. L'authentification CAS ajoute automatiquement une règle de renvoi après déconnexion sur l'URL de déconnexion du serveur CAS afin de clore la session CAS lors de la déconnexion LL::NG. By default, Tomcat provides a file called users.xml to manage authentication: Par défaut, Tomcat fournit un fichier nommé users.xml pour gérer l'authentification : Handler Agent (Handler) Register partner Service Provider on LemonLDAP::NG Enregistrer le fournisseur de service dans LemonLDAP::NG Press Presse customhead.tpl : HTML header markups (like CSS, js inclusion) customhead.tpl : en-têtes HTML (tels les inclusions CSS, js) # Uncomment this to activate status module # Uncomment this to activate status module ../media/logos/sgs_white_small.jpg ../media/logos/sgs_white_small.jpg /_detail/logos/logo_bpi.png?id=references /_detail/logos/logo_bpi.png?id=references [lemonldap-ng] enabled = true port = http,https filter = lemonldap action = iptables-multiport[name=lemonldap, port="http,https"] logpath = /var/log/apache*/error*.log maxretry = 3 [lemonldap-ng] enabled = true port = http,https filter = lemonldap action = iptables-multiport[name=lemonldap, port="http,https"] logpath = /var/log/apache*/error*.log maxretry = 3 ../../../documentation/1.4/logoutforward.html ../../../documentation/1.4/logoutforward.html Using Apache::Session::Browseable::MySQL (recommended for best performances) Utiliser Apache::Session::Browseable::MySQL (recommandé pour de meilleures performances) /_detail/screenshots/1.0/sessionsexplorer/tree_light.png?id=screenshots /_detail/screenshots/1.0/sessionsexplorer/tree_light.png?id=screenshots Logout Déconnexion PREFIX: installation directory (default: /usr/local) PREFIX : répertoire d'installation (défaut : /usr/local) Architecture Architecture LDAP binary attributes Attributs binaires LDAP Force port in redirection Force le port dans les redirections This mechanism can be used to secure access for remote servers that cross an unsecured network to access to LL::NG databases. Ce mécanisme peut être utilisé pour sécuriser l'accès des serveurs distants qui traversent des réseaux non sécurisés pour accéder aux bases de données de LL::NG. Protect the Manager Protéger le manager Authentication level Niveau d'authentification documentation:1.1:upgrade documentation:1.1:upgrade These options are only here to override default values. Ces options ne sont à utiliser que pour surcharger les valeurs par défaut. See SOAP session backend documentation. Voir la documentation du backend SOAP. ../pages/documentation/1.1/authsaml.html ../pages/documentation/1.1/authsaml.html ../pages/documentation/1.1/applications/zimbra.html ../pages/documentation/1.1/applications/zimbra.html Configuration can be stored in several formats (SQL, File, LDAP) but must be shared over the network if you use more than 1 server. La configuration peut être stockée sous plusieurs formats (SQL, File, LDAP) mais doit être partégée via le réseau si on utilise plus d'un serveur. # Load Sympa Handler # Load Sympa Handler For example, if you are using AD as authentication backend, you can use sAMAccountName for the Windows NameID format. Par exemple, si vous utilisez Active-Directory comme système d'authentification, vous pouvez utiliser sAMAccountName come format de NameID Windows. You can choose other Makefile targets: On peut choisir d'autres cibles du Makefile : To do this, use the Manager, and go in Virtual Hosts branch. Pour ce faire, utiliser le manager, et aller dans la branche Virtual Hosts. getAttributes(cookieValue): get elements stored in session getAttributes(cookieValue) : retourne les éléments stockés dans la session passwordDB passwordDB insert a loop around the HTML printing, starting with the object creation (→new) insérer une boucle autour de l'affichage HTML, démarrant avec la création de l'objet (→new) To create a variable, you've just to map a user attributes in LL::NG using Variables » Exported variables. Pour créer une variable, il faut simplement associer des attributs utilisateurs dans LL::NG en utilisant Variables » Variables exportées. ../../../media/icons/gpg.png ../../../media/icons/gpg.png Users: collect data transfered in HTTP headers by the “master”. Utilisateurs : collecte les données transférées par en-tête HTTP par le “maître”. Storage Stockage Authorization is controlled only by Handlers. Les autorisations sont vérifiées seulement par les agents (handlers). Apache::Session Apache::Session CDBI / RDBI CDBI / RDBI If you are using packages, they should have done the upgrade process for you, but you can check here that all is in order. Lorsqu'on utilise les paquets, ils doivent faire d'eux-même la mise à jour, mais on peut vérifier ici que tout est en ordre. Identity provider proxy: LL::NG can be used as proxy translator between systems talking SAML, OpenID, CAS, … Proxy de fournisseurs d'identités : LL::NG peut être utilisé comme traducteur mandataire entre systèmes comprenant SAML, OpenID, CAS, … Error messages are defined in source code. Les messages d'erreur sont définis dans le code source. $mailR $mailR bbbRole => ((grep{/ou=bbb/} split(';',$ssoRoles))[0] =~ /ou=(.*),ou=bbb/)[0] bbbRole => ((grep{/ou=bbb/} split(';',$ssoRoles))[0] =~ /ou=(.*),ou=bbb/)[0] Three options: Trois options : Since MySQL does not have always transaction feature, Apache::Session::MySQL has been designed to use MySQL locks. Comme MySQL ne dispose pas toujours de dispositif de transaction, Apache::Session::MySQL a été conçu en utilisant les verrous MySQL. <IfModule auth_kerb_module> <IfModule auth_kerb_module> notificationStorage notificationStorage Configure the access rules. Configurer les règles d'accès. Secure configuration access Securiser l'accès à la configuration Before installing the packages, install all dependencies. Avant d'installer les paquets, installer toutes les dépendances. LmCookieDomainToReplace: string to replace in Set-Cookie header LmCookieDomainToReplace : chaîne à remplacer dans l'en-tête Set-Cookie /_detail/icons/xfmail.png?id=contact /_detail/icons/xfmail.png?id=contact ../../../documentation/1.4/configlocation.html#apache ../../../documentation/1.4/configlocation.html#apache Chain: DBI chain, including database driver name and database name (for example: dbi:mysql:database=lemonldapng;host=localhost). Chaîne : chaîne DBI, contenant le nom de driver et le nom de la base de données (par exemple : dbi:mysql:database=lemonldapng;host=localhost). See how configure logging in Tomcat . Voir how configure logging in Tomcat . RPMs are available on the Download page. Les paquets RPM sont disponibles sur la page de téléchargement. ... </AttributeAuthorityDescriptor> ... </AttributeAuthorityDescriptor> //"userobm_archive" => , //"userobm_archive" => , See Debian Lenny upgrade. Voir la mise à jour de Debian Lenny. Portal checks authentication Le portail examine les données d'authentification ../../documentation/1.4/browseablesessionbackend.html ../../documentation/1.4/browseablesessionbackend.html See https://developers.facebook.com/apps on how to do that. Voir https://developers.facebook.com/apps pour en savoir plus. Regexp for password generation: Regular expression used to generate the password (default: [A-Z]{3}[a-z]{5}.\d{2}) Regexp pour la génération de mot-de-passe : expression régulière utilisée pour générer le mot-de-passe (défaut : [A-Z]{3}[a-z]{5}.\d{2}) Redirect on forbidden: use 302 instead 403 Redirections pour les accès interdits : utilise 302 au lieu de 403 Password backend Module de gestion de mots-de-passe Each field can be filled with static values or data from user's session. Chaque champ peut être construit avec des valeurs statiques ou des données issues de la session utilisateur. checkLogonHours($ssoLogonHours, 'octetstring') checkLogonHours($ssoLogonHours, 'octetstring') Resolution Rule: rule that will be applied to preselect an IDP for a user. Règle de résolution : règle à appliquer pour pré-sélectionner cet IDP. authldap authldap If not set, the secret token is calculated using the general encryption key. S'il n'est pas renseigné, le jeton secret est calculé en utilisant la clef de chiffrement générale. The plugin will check the REMOTE_USER environment variable to get the connected user. Ce plugin utilise la variable d'environnement REMOTE_USER pour récupérer le nom d'utilisateur connecté. ../../../media/documentation/manager-authchoice.png ../../../media/documentation/manager-authchoice.png Compatible password modification Compatibilité des modifications de mots-de-passe perl-Lemonldap-NG-Manager: CPAN - Manager modules perl-Lemonldap-NG-Manager : CPAN - modules manager This concerns all parameters for the Attribute Authority metadata section Ceci concerne tous les paramètres de la section « autorité d'attributs » des métadatas http://search.cpan.org/perldoc?Apache::Session::Redis http://search.cpan.org/perldoc?Apache::Session::Redis generic_sso generic_sso Common Domain Cookie is also know as WAYF Service. Le domaine commun de cookie est également connu comme service WAYF. http://vhost.example.com/appli1 http://vhost.example.com/appli1 http://vhost.example.com/appli2 http://vhost.example.com/appli2 Delete other session Efface les autres sessions (session unique par utilisateur) Contrary to multiple backend stacking, backend choice will present all available authentication methods to users, who will choose the one they want. Contrairement au dispositif de multiples backends, le dispositif de choix de backend présente à l'utilisateur toutes les méthodes d'authentification disponibles pour qu'il puisse choisir. documentation:1.4:safejail documentation:1.4:safejail You can configure here which field of LL::NG session will be associated to a NameID format. Vous pouvez indiquer ici l'attribut de session de LL::NG qui sera associé au format du NameID. Perl auto-protected CGI CGI aito-protégée Perl Configuration of LemonLDAP::NG Configuration de LemonLDAP::NG Options +ExecCGI Options +ExecCGI Name Nom Filters Filters //"userobom_phone2" => , //"userobom_phone2" => , https://developers.facebook.com/tools/explorer https://developers.facebook.com/tools/explorer To use Active Directory as LDAP backend, you must change few things in the manager : Pour utiliser Active Directory comme serveur LDAP, vous devez effectuer quelques modifications dans le manager : ../pages/documentation/1.1/nosqlsessionbackend.html ../pages/documentation/1.1/nosqlsessionbackend.html logos:logo_bpi.png logos:logo_bpi.png user user ValveLemonLDAPNG.jar is created under /dist directory. ValveLemonLDAPNG.jar est créé dans le répertoire /dist. 2009 2009 Configuration is not saved if errors occur. La configuration n'est pas sauvée en cas d'erreur. Use “Active Directory” as authentication, userDB and passwordDBbackends, Utiliser “Active Directory” comme systèmes d'authentification, de gestion des utilisateurs et des mots-de-passe, LDAP Bind DN DN de connexion LDAP ../media/logos/logo-ul.png ../media/logos/logo-ul.png stack several times the same module with a different name empiler plusieurs fois le même module avec un nom différent LemonLDAP::NG is used to protect access to intranet. LemonLDAP::NG est utilisé pour protéger l'accès à l'Intranet. Only with UserDB LDAP. Seulement avec une base utilisateurs LDAP. LemonLDAP::NG provide a script that allows to edit configuration without graphical interface, this script is called lmConfigEditor and is stored in the LemonLDAP::NG bin/ directory, for example /usr/share/lemonldap-ng/bin: LemonLDAP::NG fournit un script qui permet d'éditer la configuration sans interface graphique, ce script se nomme lmConfigEditor et se trouvedans le répertoire bin/ de LemonLDAP::NG, par exemple /usr/share/lemonldap-ng/bin : Edit /etc/fail2ban/jail.conf Editer /etc/fail2ban/jail.conf //"userobm_mail_perms" => , //"userobm_mail_perms" => , Sources are currently available on OW2. Les sources sont disponibles sur OW2. In Debian/Ubuntu, install the library through apt-get command Pour Debian/Ubuntu, installer la librairie via la commande apt-get You can also get the LemonLDAP::NG archive and make the package yourself: On peut également construire les paquets à partir de l'archive LemonLDAP::NG : Handler: Apache modules used to protect applications Agent (Handler): module Apache utilisé pour protéger les applications Easy to customize Facile à personnaliser icons:bug.png icons:bug.png http://search.cpan.org/perldoc?Apache::Session::Sybase http://search.cpan.org/perldoc?Apache::Session::Sybase references Références Mail content: Contenu du courriel : ../media/screenshots/1.0/manager/accordeon_dark.png?w=200&h=128 ../media/screenshots/1.0/manager/accordeon_dark.png?w=200&h=128 //"userobm_samba_home_drive" => , //"userobm_samba_home_drive" => , Go to Configuration » Authentication: Aller dans Configuration » Authentication: Protected sites: Sites protégés: http://auth.example.com/saml/singleSignOn http://auth.example.com/saml/singleSignOn Change configuration in lemonldap-ng.ini : Changer la configuration dans lemonldap-ng.ini : 2012 2012 2011 2011 Connection login Login de connexion 2010 2010 auth.example.com: DNS of the portal auth.example.com : nom DNS du portail uid: coudot uid: coudot <bean id="LemonLDAPNGFilter" class= "org.springframework.security.web.authentication.preauth.header.RequestHeaderPreAuthenticatedProcessingFilter"> <bean id="LemonLDAPNGFilter" class= "org.springframework.security.web.authentication.preauth.header.RequestHeaderPreAuthenticatedProcessingFilter"> Older versions Versions précédentes Authentication level: authentication level for this module Niveau d'authentification : niveau d'authentification pour ce module Now you have access to the SP parameters list. Il est ensuite possible d'accéder à la liste des paramètre du SP : Exemple with MySQL: Exemple avec MySQL : Key: application identifier Clef : identifiant d'application /_detail/documentation/manager-menu-application.png?id=documentation%3A1.4%3Aportalmenu /_detail/documentation/manager-menu-application.png?id=documentation%3A1.4%3Aportalmenu "" : ($mail =~ /^([^@]+)/)[0] . "" : ($mail =~ /^([^@]+)/)[0] . Country Country Cookie name (optional): name of the cookie of primary portal, if different from secondary portal Nom du cookie (optionnel) : nom du cookie du portail primaire, s'il est différent de celui du portail secondaire 6 avril 2012: Configurer LemonLDAP::NG comme serveur CAS 6 avril 2012 : Configurer LemonLDAP::NG comme serveur CAS xguimard xguimard Adapt session lifetime: session lifetime will be adapted from SessionNotOnOrAfter value found in authentication response. Adaptation de la durée de vie de la session : la durée de vie de la session sera adaptée sur la base de la valeur de SessionNotOnOrAfter dans les réponses d'authentification. You may rather use standards protocols like SAML, OpenID or CAS. Il est préférable d'utiliser des protocoles standards tels SAML, OpenID ou CAS. in the value field, set the field name. dans le champ valeur, mettre le nom du champ. Just remember its DN for LemonLDAP::NG configuration. Il faut juste retenir le DN pour la configuration de LemonLDAP::NG. Do not forget to add OBM in applications menu. Ne pas oblier d'ajouter OBM dans le menu des applications. Index Index Packages and archives Paquets et archives Email Email checkLogonHours($ssoLogonHours) checkLogonHours($ssoLogonHours) Example of a protected virtual host for a local application: Exemple d'hôte virtuel protégé pour une application locale : Macros Macros ../../documentation/1.4/variables.html ../../documentation/1.4/variables.html ../pages/documentation/1.1/configvhost.html ../pages/documentation/1.1/configvhost.html When Choice is selected for authentication, values for Users and Password modules are not used anymore. Lorsque Choice est selectionné pour l'authentification, les valeurs pour les modules utilisateur et mots-de-passe ne sont plus utilisées. To get more information on user (name, mail, etc.), you have to read HTTP headers. Pour obtenir plus d'information sur l'utilisateur (nom, adresse de courriel, etc...), il faut lire les en-têtes HTTP. documentation:1.4:authproxy documentation:1.4:authproxy See security chapter to learn more about writing good rules. Voir le chapître sécurité pour apprendre comment écrire de bonnes règles. ../media/screenshots/0.9.3/lemonldap-ng-testpage.png?w=200&h=155 ../media/screenshots/0.9.3/lemonldap-ng-testpage.png?w=200&h=155 de fr Another LL::NG system configured with SAML authentication Un autre système LL::NG configuré avec authentification SAML Issuer module (can be multivalued) Module fournisseur (peut-être multivalué) http://jira.ow2.org http://jira.ow2.org When LL::NG is configured as OpenID identity provider, users can share their authentication using [PORTAL]/openidserver/[login] where: Lorsque LL::NG est configuré en fournisseur d'identité OpenID, les utilisateurs peuvent partager leur authentification en utilisant [PORTAIL]/openidserver/[login] où : domain domain Users can see their own history in menu, if menu module Login history is enabled. Les utilisateurs peuvent voir leur historique dans le menu, si le module historique de connexion est activé. +30s: 30 seconds from session creation +30s : 30 secondes après la création de la session NoSQL (Redis) NoSQL (Redis) If LDAP backend is used, and LDAP password policy is enabled, the 'password reset flag is set to true when password is generated, so that the user is forced to change his password on next connection. Si le backend LDAP est utilisé et que la politique de mot-de-passe LDAP est activée, le drapeau de réinitialisation de mot-de-passe est activé lorsque le mot-de-passe est généré, ce qui force l'utilisateur à le changer à la prochaine connexions. In Manager, go in General Parameters > Authentication modules and choose Choice for authentication. Dans le manager, aller dans Paramètres généraux > Modules d'authentification et choisir Choice pour l'authentification. dn dn Handler performance Performance des agents (handlers) documentation/current/installdeb.html#llng_repository documentation/current/installdeb.html#llng_repository Then it creates the session (with attribute filter) Il crée la sessions (avec le filtre d'attributs) Access Control List Liste de contrôle d'accès Install rpm-build package Install rpm-build package ErrorDocument 403 http://auth.example.com/?lmError=403 ErrorDocument 500 http://auth.example.com/?lmError=500 ErrorDocument 503 http://auth.example.com/?lmError=503 ErrorDocument 403 http://auth.example.com/?lmError=403 ErrorDocument 500 http://auth.example.com/?lmError=500 ErrorDocument 503 http://auth.example.com/?lmError=503 One user by IP address: 2 users can not open a session with the same IP. Un utilisateur par adresse IP : 2 utilisateurs ne peuvent ouvrir de sessions avec la même adresse IP. ../../documentation/1.4/configlocation.html#portal ../../documentation/1.4/configlocation.html#portal ldapSetPassword ldapSetPassword skip: all is open! skip : tout est ouvert ! Easy import/export through LDIF files Import/export facilité via les fichiers LDIF dbi:mysql:dbname=sessions dbi:mysql:dbname=sessions Just run the tar command: Lancer implement la commande tar : name => foaf:name nom => foaf:name LDAP group link attribute name Nom d'attribut de lien de groupe LDAP (récursivité) Syslog facility Facilité syslog Advanced Avancé You can then set the access rule. Définir ensuite les règles d'accès. Central Authentication Service Central Authentication Service quickstart Démarrage rapide en fr Tomcat Tomcat RPM RPM ldapGroupAttributeNameGroup ldapGroupAttributeNameGroup Liferay can use LL::NG as an SSO provider but you have to manage how users are created: Liferay peut utiliser LL::NG comme fournisseur SSO mais il faut gérer la création des comptes utilisateurs : Authentication module: SAML Module d'authentification : SAML Required : Requis : You can change this behavior and set a cookie duration, for example: On peut changer ce comportement et mettre une durée de vie, par exemple : And fill it: et le remplir : http://www.slideshare.net/coudot/lemonldapng-un-websso-libre-confoo-2010 http://www.slideshare.net/coudot/lemonldapng-un-websso-libre-confoo-2010 limesurvey limesurvey /_detail/icons/tux.png?id=contact /_detail/icons/tux.png?id=contact Require old password: used only in the password changing module of the menu, will check the old password before updating it Exige l'ancien mot-de-passe : utilisé seulement dans le module de changement du mot-de-passe du menu, vérifie l'ancien mot-de-passse avant de le changer Dokuwiki local configuration Configuration locale Dokuwiki .css: CSS (styles) .css: CSS (styles) to the configuration backend au système de stockage de la configuration ../media/screenshots/0.9.3/lemonldap-ng-portal-appslist.png?w=800&h=622 ../media/screenshots/0.9.3/lemonldap-ng-portal-appslist.png?w=800&h=622 Authentication Authentification Date of validation of the notification id Date de validation de la notification id Fields: Champs : Manager skin Thème du manager This proxy use LWP Perl module to relay HTTP request. Ce proxy utilise le modue LWP de Perl pour relayer les requêtes HTTP. All Perl scripts/pages are in /var/lib/lemonldap-ng/ Tous les scripts/pages Perl se trouvent dans /var/lib/lemonldap-ng/ Enable Single Sign-On: check the box. Enable Single Sign-On: sélectionner. Zimbra preauthentication key Clef de pré-authentification Zimbra ../pages/documentation/1.1/applications/mediawiki.html ../pages/documentation/1.1/applications/mediawiki.html Configure Bugzilla virtual host like other protected virtual host. Configurer l'hôte virtuel Bugzilla comme n'importe quel autre hôte virtuel protégé. Exported variables Variables exportées ant ant LemonLDAP::NG Common Fichiers communs LemonLDAP::NG Edit the file “auth.conf”, for example: Éditer le fichier “auth.conf” de Sympa, par exemple : Choice modules Modules de "Choice" managerSkin managerSkin Here are some screenshots of 1.2 new features. Ici se trouvent quelques captures d'écran illustrant les nouvelles fonctionnalités de la version 1.2. mailCharset mailCharset Multi CAS;LDAP Multi CAS;LDAP It is a Single Sign On protocol similar to OpenID, but based on user email address rather than a URL. C'est un protocole d'authentification unique (Single Sign On) similaire à OpenID, mais basé sur l'adresse emailde l'utilisateur au lieu d'une URL. cfgNum int not null primary key, cfgNum int not null primary key, By default, you will have a manager virtual host define in configuration. Par défaut, il existe un hôte virtuel défini dans la configuration. LL::NG can use two tables: LL::NG peut utiliser deux tables : Bugzilla can authenticate a user with HTTP headers, and auto-create its account with a few information: Bugzilla peut authentifier un utilisateur par en-tête HTTP et créer automatiquement un compte avec peu d'informations : sympa sympa 0.9.4_application_menu.png 0.9.4_application_menu.png documentation:quickstart documentation:quickstart manager: parameters only for Manager manager : paramètres réservés au manager If they really do not please you, override them! S'ils ne conviennent pas, il peuvent être surchargés. //"userobm_mail_server_id" => , //"userobm_mail_server_id" => , ldap.auth.enabled=true ldap.auth.enabled=true It provides many features: Il fournit de nombreuses fonctionnalités : You should use an extended LDAP schema (or any users database extension), but this can works with standard attributes. Il est préférable d'utiliser un schéma LDAP étendu (ou toute extension de base de données utilisateur), mais ça peut fonctionner avec les attributs standard. Apache logging Journaux d'Apache Clément OUDOT's blog Blog de Clément OUDOT ../../css/screen.css ../../css/screen.css //"userobm_expresspostal" => , //"userobm_expresspostal" => , ipAddr ipAddr the manager (for internal use only) le manager (à usage interne seulement) yum install mod_auth_kerb yum install mod_auth_kerb { { DBI connection string Chaîne de connexion DBI To post user's password, you must enable password storing. Pour envoyer le mot-de-passe utilisateur, il faut activer le stockage du mot-de-passe. If your application is based on Perl CGI package, you can simply replace CGI by Lemonldap::NG::Handler::CGI Si l'application est basée sir le paquet CGI de Perl, il suffit de remplacer CGI par Lemonldap::NG::Handler::CGI documentation:1.4:mrtg documentation:1.4:mrtg Of course, standard LDAP attributes can be used to store these data, but LL::NG also provides an LDAP schema extension to manage them. Bien sûr, les attributs LDAP standard peuvent être utilisés pour stocker ces données, mais LL::NG fournit aussi une extension de schéma LDAP pour les gérer. URL of sessions SOAP end point URL de la terminaison SOAPdes sessions → You do not use the new configuration syntax for application list. → La nouvelle syntaxe de configuration de la liste des applications n'est pas utilisée. SREG permit the share of 8 attributes: SREG permet le partage de 8 attributs : LL::NG can also act as CAS server, that allows to interconnect two LL::NG systems. LL::NG peut également agir en serveur CAS, ce qui peut servir à connecter deux systèmes LL::NG. This mechanism allow to do SSO on application with an unsafe link between Handler and the application, but with a safe link with the Memcached server. Ce mécanisme permet de faire du SSO sur une application sans lien sécurisé entre l'agent et l'application, mais avec un lien sûr avec le serveur Memcached. Example 2: single table Example 2: single table http://2011.rmll.info/CAS-OpenID-Shibboleth-SAML-un-WebSSO-pour-les-gouverner-tous http://2011.rmll.info/CAS-OpenID-Shibboleth-SAML-un-WebSSO-pour-les-gouverner-tous As this may be a security hole, password store in session is not activated by default Comme ce peut être un trou de sécurité, ce stockage en session n'est pas activé par défaut Liferay Liferay LL::NG can act as an OpenID 2.0 Server, that can allow to federate LL::NG with: LL::NG peut agir comme un serveur OpenID 2.0, ce qui permet de fédérer LL::NG avec : my $url = shift; my $url = shift; Choose DBI type (RDBI, CDBI or DBI) Choisir le type DBI (RDBI, CDBI or DBI) http://oss.oetiker.ch/mrtg/ http://oss.oetiker.ch/mrtg/ Easy to integrate Facile à intégrer You can use LemonLDAP::NG in an heterogeneous world: the authentication portal and the manager can work in any version of Apache even if mod_perl is not compiled, with ModPerl::Registry or not,… or behind any web server able to launch CGIs. On peut utiliser LemonLDAP::NG dans un monde hétérogène : le portail d'authentification et le manager peuvent fonctionner sur n'importe quelle version d'Apache même si mod_perl n'est pas compilé, avec ModPerl::Registry ou non,… ou derrière n'importe quel serveur apte à lancer des CGIs. Google proposes to allow applications to reuse its own authentication process using OpenID protocol (it means, if your are connected to Google, other applications can trust Google and let you in). Google propose d'autoriser les applications à réutiliser son propre processus d'authentification en utilisant le protocole OpenID (ce qui signifie que si on est connecté à Google, d'autres applications peuvent agréer Google et accepter l'utilisateur). documentation:liferay_4.png documentation:liferay_4.png ../media/screenshots/1.0/manager/tree_dark.png?w=800&h=515 ../media/screenshots/1.0/manager/tree_dark.png?w=800&h=515 ../../../media/screenshots/1.1/mailreset/mailreset_step4.png ../../../media/screenshots/1.1/mailreset/mailreset_step4.png rm -f /etc/lemonldap-ng/auth.keytab msktutil -c -b "cn=COMPUTERS" -s HTTP/auth.example.com -h auth.example.com -k /etc/lemonldap-ng/auth.keytab --computer-name portalsso --upn HTTP/auth.example.com --server ad.example.com --verbose --enctypes 28 rm -f /etc/lemonldap-ng/auth.keytab msktutil -c -b "cn=COMPUTERS" -s HTTP/auth.example.com -h auth.example.com -k /etc/lemonldap-ng/auth.keytab --computer-name portalsso --upn HTTP/auth.example.com --server ad.example.com --verbose --enctypes 28 dbiAuthTable dbiAuthTable You must provide a full URI (for example /skins/common/lemonldap-ng_square.png) and use HTTPS on the portal Il faut fournir une URI complète (par exemple /skins/common/lemonldap-ng_square.png) et utiliser HTTPS pour le portail SSLAuthnLevel SSLAuthnLevel LDAP Port Port LDAP http://www.ohloh.net/p/lemonldap-ng http://www.ohloh.net/p/lemonldap-ng a_session blob a_session blob storePassword storePassword ../documentation/current/start.html#authentication_users_and_password_databases ../documentation/current/start.html#authentication_users_and_password_databases Lyon Lyon Access rules values can be: Les valeurs des règles d'accès peuvent être : by IP par adresses IP See Writing rules and headers to learn how to configure access control and HTTP headers sent to application by LL::NG. Voir Écrire des règles et des en-têtes pour savoir comment configurer le contrôle d'accès et les en-têtes HTTP transmis à l'application par LL::NG. ../../documentation/1.4/portal.html ../../documentation/1.4/portal.html securetoken securetoken Secret token: used to check integrity of OpenID response. Secret token : utilisé pour vérifier l'integrité des réponses OpenID. SMTP user Utilisateur SMTP a2ensite manager-apache2.conf a2ensite portal-apache2.conf a2ensite handler-apache2.conf a2ensite test-apache2.conf a2ensite manager-apache2.conf a2ensite portal-apache2.conf a2ensite handler-apache2.conf a2ensite test-apache2.conf _authChoice _authChoice ../../documentation/1.4/authdbi.html ../../documentation/1.4/authdbi.html 20090301000000Z 20090301000000Z You need to adapt some parameters: Certains paramètres doivent être adaptés : ../media/screenshots/1.0/sessionsexplorer/tree_light.png?w=800&h=514 ../media/screenshots/1.0/sessionsexplorer/tree_light.png?w=800&h=514 /_detail/icons/tutorials.png?id=documentation /_detail/icons/tutorials.png?id=documentation Deny from all Deny from all http://jira.ow2.org/browse/LEMONLDAP-176 http://jira.ow2.org/browse/LEMONLDAP-176 With aptitude Avec aptitude http://video.rmll.info/videos/permalink/v124cb7b8e410b3db28b/ http://video.rmll.info/videos/permalink/v124cb7b8e410b3db28b/ Some-Thing Some-Thing Edit /etc/krb5.conf: Editer /etc/krb5.conf: OBM_USERPASSWORD OBM_USERPASSWORD http://www.daasi.de/ldapcon2011/index.php?site=lemonldap http://www.daasi.de/ldapcon2011/index.php?site=lemonldap http://openid.net/specs/openid-authentication-1_1.html http://openid.net/specs/openid-authentication-1_1.html LDAP performances Performances LDAP Do not forget to save your changes! Ne pas oublier de sauvegarder les changements ! Login History Historique de connexion Secure Token expiration Expiration du jeton sécurisé <Directory /usr/local/lemonldap-ng/htdocs/doc/> <Directory /usr/local/lemonldap-ng/htdocs/doc/> /_detail/screenshots/1.1/mailreset/mailreset_step2.png?id=documentation%3A1.4%3Aresetpassword /_detail/screenshots/1.1/mailreset/mailreset_step2.png?id=documentation%3A1.4%3Aresetpassword http://freeradius.org/mod_auth_radius/ http://freeradius.org/mod_auth_radius/ This is mandatory if you want to use an Apache authentication module, which is run by Apache before showing the LemonLDAP::NG portal page. Obligatoire toutefois si on veut utiliser un module d'authentification Apache, qui sont lancés par Apache avant d'afficher la page du portail LemonLDAP::NG. ../pages/documentation/1.1/mysqlminihowto.html ../pages/documentation/1.1/mysqlminihowto.html Authentication table: where login and password are stored La table d'authentification : où les logins and et mots-de-passe sont stockés As Handlers keep configuration in cache, when configuration change, it should be updated in Handlers. Comme les agents gardent leur configuration en cache, lorsque la configuration est changée elle doit être mise à jour dans les agents. Net::LDAP Net::LDAP REMOTE_USER environment variable (with local Handler or SetEnvIf trick) la variable d'environnement REMOTE_USER (avec un agent local ou une conversion SetEnvIf) //"userobm_samba_perms" => , //"userobm_samba_perms" => , //"userobm_kind" => , //"userobm_kind" => , Functions parameters: Paramètres de la fonction : zimbraSsoUrl zimbraSsoUrl Modify password if asked Modifie le mot-de-passe si demandé documentation:manager-saml-service-sp-ac.png documentation:manager-saml-service-sp-ac.png /_detail/applications/phpldapadmin_logo.png?id=documentation%3A1.4%3Aapplications%3Aphpldapadmin /_detail/applications/phpldapadmin_logo.png?id=documentation%3A1.4%3Aapplications%3Aphpldapadmin The upgrade process will also have migrate old configuration files into /etc/lemonldap-ng/lemonldap-ng.ini. Le processus de mise-à-jour va également migrer les anciens fichiers de configuration dans /etc/lemonldap-ng/lemonldap-ng.ini. Opening conditions: rules which are evaluated before granting session. Conditions d'ouverture : règles à évaluer avant d'autoriser l'ouverture de session. http://code.google.com/p/redis/ http://code.google.com/p/redis/ Configure LemonLDAP::NG to use SOAP proxy mechanism Configurer LemonLDAP::NG pour utiliser le mécanisme mandataire SOAP http://auth.example.com/openidserver/foo.bar http://auth.example.com/openidserver/foo.bar echo "127.0.0.1 reload.example.com" >> /etc/hosts echo "127.0.0.1 reload.example.com" >> /etc/hosts documentation:1.4:parameterlist documentation:1.4:parameterlist To test this, you can build your own WebID certificate using one of : Pour tester ceci, on peut se construire son propre certificat WebID en utilisant au choix : http://www.slideshare.net/coudot/websso-and-access-management-with-lemonldapng http://www.slideshare.net/coudot/websso-and-access-management-with-lemonldapng "userobm_lastname" => "HTTP_OBM_SN", "userobm_lastname" => "HTTP_OBM_SN", documentation:1.4:configlocation documentation:1.4:configlocation OpenID OpenID The AuthDemo and UserDBDemo will allow you to log in and get the standard attributes (uid, cn and mail). AuthDemo et UserDBDemo permettent de se connecter et d'avoir les attributs standards (uid, cn et mail). Password protected transport Transport protégé du mot-de-passe //"userobm_email_nomade" => , //"userobm_email_nomade" => , Upgrade Mise à jour DocumentRoot /usr/share/obm/php   DocumentRoot /usr/share/obm/php   How to choose? Comment choisir ? Internal Proxy Proxy interne CREATE TABLE notifications ( CREATE TABLE notifications ( The database username Le login de la base de données If no SMTP server is configured, the mail will be sent via the local sendmail program. Si aucun serveur SMTP n'est configuré, le courriel est envoyé via la commande locale sendmail. All environment variables (trough %ENV) Toutes les variables d'environnement (via %ENV) You can find all suitable information here: http://static.springsource.org/spring-security/site/docs/3.0.x/reference/preauth.html Les informations appropriées se trouvent ici : http://static.springsource.org/spring-security/site/docs/3.0.x/reference/preauth.html mailConfirmSubject mailConfirmSubject ../media/screenshots/1.1/notifications/sample_notification.png?w=800&h=339 ../media/screenshots/1.1/notifications/sample_notification.png?w=800&h=339 ../../documentation/1.4/mrtg.html ../../documentation/1.4/mrtg.html /_detail/documentation/manager-saml-sp-new.png?id=documentation%3A1.4%3Aidpsaml /_detail/documentation/manager-saml-sp-new.png?id=documentation%3A1.4%3Aidpsaml Transaction Summary =================================================== Install 82 Package(s) Upgrade 0 Package(s)   Total download size: 18 M Is this ok [y/N]: y Transaction Summary =================================================== Install 82 Package(s) Upgrade 0 Package(s)   Total download size: 18 M Is this ok [y/N]: y Session explorer will not work L'explorateur de session ne fonctionne pas https://metacpan.org/module/Web::ID::Certificate::Generator https://metacpan.org/module/Web::ID::Certificate::Generator This can be useful to allow an third party application to access a virtual host with users credentials by sending a Basic challenge to it. Ce peut être pratique pour autoriser une application cliente à accéder à un hôte virtuel avec un authentifiant en envoyant un en-tête basique. Download Téléchargement LL::NG rely on a session mechanism with the session ID as a shared secret between the user (in SSO cookie) and the session database. LL::NG utilise un mécanisme de session basé sur un identifiant de session secret partagé entre l'utilisateur (dans un cookie SSO) et la base des sessions. ... </EntityDescriptor> ... </EntityDescriptor> This is not the case of Memcached for example. C'est par exemple le cas de Memcached. JSON JSON ../../../media/documentation/manager_access_rule.png ../../../media/documentation/manager_access_rule.png LL::NG try to find the user in users database with the given information LL::NG tente de trouver l'utilisateur dans la base de données avec l'information donnée ../media/icons/tutorials.png ../media/icons/tutorials.png screenshots:1.1:mailreset:mailreset_step1.png screenshots:1.1:mailreset:mailreset_step1.png pages/documentation.html pages/documentation.html Portal (pastel theme) Portail (thème pastel) ../../documentation/1.4/safejail.html ../../documentation/1.4/safejail.html SSLVar SSLVar Try also to create a global notification (to the uid “allusers”), and connect with any user, the message will be prompted. Essayer alors de créer une notification globale (à l'utilisateur “allusers”), et se connecter avec n'importe quel compte, le message sera affiché. Memcached servers Serveurs memcached Path: keep ^/saml/ unless you have change SAML end points suffix in SAML service configuration. Chemin : laisser ^/saml/ sauf si les suffixes des points d'accès SAML ont été modifiés sans la configuration du service SAML. Deny from all Deny from all documentation:dia_dit_roles.png documentation:dia_dit_roles.png This parameter is used by SAML IDP to fill the authentication context in authentication responses. Ce paramètre est utilisé par l'IdP SAML pour renseigner le contexte d'authentification dans les réponses. condition: condition to display the notification, can use all session variables. condition : condition pour afficher la notification, peut utiliser toutes les variables de session. # You can protect it : # * by Apache itself, # * by the parameter 'protection' which can take one of the following # values : # * authenticate : all authenticated users can access # * manager : manager is protected like other virtual hosts: you # have to set rules in the corresponding virtual host # * rule: <rule> : you can set here directly the rule to apply # * none : no protection # You can protect it : # * by Apache itself, # * by the parameter 'protection' which can take one of the following # values : # * authenticate : all authenticated users can access # * manager : manager is protected like other virtual hosts: you # have to set rules in the corresponding virtual host # * rule: <rule> : you can set here directly the rule to apply # * none : no protection casStorage casStorage Use Safe Jail Utiliser la cage sécurisée URI of the page which receive POST data (optional if it is the same as the page holding the form) L'URI de la page qui reçoit les données POST (optionnel s'il s'agit de la même que celle qui héberge le formulaire) yum install perl-Authen-Radius yum install perl-Authen-Radius → The configuration cannot be loaded. → La configuration ne peut être chargée. You need to get a preauth key from Zimbra server. Il est nécessaire de récupérer une clef de pré-authentification auprès du serveur Zimbra. Specific default values for filters to match AD schema Valeurs spécifiques par défaut des filtres pour correspondre au schéma AD ... </SPSSODescriptor> ... </SPSSODescriptor> "userobm_service" => "HTTP_OBM_OU", "userobm_service" => "HTTP_OBM_OU", /_detail/documentation/liferay_7.png?id=documentation%3A1.4%3Aapplications%3Aliferay /_detail/documentation/liferay_7.png?id=documentation%3A1.4%3Aapplications%3Aliferay As DBI is a login/password based module, the authentication level can be: Comme DBI est un module de type login/mot-de-passe, le niveau d'authentification peut être : Région Basse-Normandie Région Basse-Normandie Using this feature, you don't have to use virtual host protection: protection is embedded in Lemonldap::NG::Handler::CGI. En utilisant cette fonctionnalité, il n'est pas nécessaire d'utiliser la protection de l'hôte virtuel : la protection est embarquée dans Lemonldap::NG::Handler::CGI. # DocumentRoot # DocumentRoot Handler stores user data in its cache Il stocke ces données dans son cache documentation/conferences.html documentation/conferences.html To do it, uncomment the NameVirtualHost line in /etc/httpd/conf.d/z-lemonldap-ng-handler.conf: Pour ce faire, décommenter la ligne NameVirtualHost dans /etc/httpd/conf.d/z-lemonldap-ng-handler.conf : http://www.cpantesters.org/distro/L/Lemonldap-NG-Portal.html http://www.cpantesters.org/distro/L/Lemonldap-NG-Portal.html You will need to install a Dokuwiki plugin, available on download page. Il faut installer le plugin Dokuwiki disponible sur la page de téléchargement. Use it Les utiliser Datas concerning the first connection to the portal Données concernant la première connexion au portail value valeur ../pages/documentation/1.4/authradius.html ../pages/documentation/1.4/authradius.html accordeon_dark.png accordeon_dark.png Variable name Nom de Variable Authentication table: authentication table name Table d'authentification : nom de la table d'authentification Configure user and password Configurer le nom de compte et le mot-de-passe Cookie expiration Expiration du cookie http://perldoc.perl.org/MIME/Base64.html http://perldoc.perl.org/MIME/Base64.html The authentication level given to users authenticated with this module. Le niveau d'authentification accordé aux utilisateurs authentifiés par ce module. ../documentation/current/installdeb.html ../documentation/current/installdeb.html Ministère de la Justice Ministère de la Justice User tries to access a protected application in a different domain L'utilisateur tente d'accéder à une application protégée d'un autre domaine KrbServiceName HTTP/auth.example.com KrbServiceName HTTP/auth.example.com Handler: user is redirected if he has no SSO cookie (or in CDA mode) les agents (handlers) : l'utilisateur y est redirigé s'il n'a pas de cookie SSO (ou en mode CDA) print '<a href="http://test3.example.com/">click here</a>'; } print '<a href="http://test3.example.com/">click here</a>'; } /_detail/applications/dokuwiki_logo.png?id=documentation%3A1.4%3Aapplications%3Adokuwiki /_detail/applications/dokuwiki_logo.png?id=documentation%3A1.4%3Aapplications%3Adokuwiki Prerequisites and dependencies Pré-requis et dépendances NameID format: force NameID format here (email, persistent, transient, etc.). Format du NameID : force le format du NameID (email, persistent, transient, etc.). ../../documentation/1.4/start.html#configuration_database ../../documentation/1.4/start.html#configuration_database syntax syntax SQL session backend Backend de sessions SQL Statistics are displayed when calling the status path on an Handler (for example: http://test1.example.com/status). Les statistiques sont affichées lors des appels au chemin du statut sur un agent (par exemple : http://test1.example.com/status). require Lemonldap::NG::Portal::Menu; require Lemonldap::NG::Portal::Menu; [login] is the user login (or any other session information, see below) [login] est le nom de connexion (ou tout autre information de session, voir ci-dessous) XML menu configuration is deprecated. XML menu configuration is deprecated. login: $uid (uid of the user) login: $uid (uid de l'utilisateur) A value Une valeur Else, you will lock access to Manager and will never access it anymore. Sinon, on risque de verrouiller l'accès au manager et ne plus pouvoir y accéder. In Manager, go in General Parameters > Authentication modules and choose Slave for authentication or users module. Dans le manager, aller dans Paramètres généraux > Modules d'authentification et choisir Slave) pour les modules authentification ou utilisateurs. documentation:1.4:activedirectoryminihowto documentation:1.4:activedirectoryminihowto _passwordDB _passwordDB LDAP groups base Base des groupes LDAP All fields name and values Tous les noms de champs et leurs valeurs LimeSurvey virtual host in Apache Hôte virtuel LimeSurvey dans Apache ../media/screenshots/0.9.4/0.9.4_authentication_portal.png?w=200&h=133 ../media/screenshots/0.9.4/0.9.4_authentication_portal.png?w=200&h=133 tree_light.png tree_light.png Documentation Documentation Functioning Fonctionnement start.html start.html soapminihowto soapminihowto SlideShare SlideShare The messages are stored with the levels : Les messages sont stockés avec les niveaux : See Twitter FAQ on how to do that:. Reportez-vous à la FAQ Twitter pour en savoir plus. id id AuthType Basic AuthType Basic Download the latest version: Télécharger la dernière version : ../media/screenshots/1.2/authentication_portal_1340022238188.png?w=800&h=496 ../media/screenshots/1.2/authentication_portal_1340022238188.png?w=800&h=496 Build cookie: build SSO cookies with session ID Construit les cookies: construit les cookies SSO avec l'identifiant de session Documentation below explains how set index on ipAddr and _whatToTrace; Adapt it to configure the index you need. La documentation ci-dessous explique comment fixer les index à ipAddr et _whatToTrace; à adapter pour configurer les index nécessaires. Virtual host in Apache Hôte virtuel dans Apache mrtg mrtg Regular expression for random password Expression rationnelle pour la génération aléatoire des mots-de-passe Create OBM virtual host (for example obm.example.com) in LL::NG configuration: Virtual Hosts » New virtual host. Créer l'hôte virtuel OBM (par exemple obm.example.com) dans la configuration LL::NG : Hôtes virtuels » Nouvel hôte virtuel. Goal But http://www.slideshare.net/xguimard/lemonldapng-opensource-websso-of-the-french-administrations-1394404 http://www.slideshare.net/xguimard/lemonldapng-opensource-websso-of-the-french-administrations-1394404 LockPassword LockPassword Example for MySQL : Exemple pour MySQL : _session_id _session_id ../../documentation/1.4/idpcas.html ../../documentation/1.4/idpcas.html # Best performance under ModPerl::Registry # Uncomment this to increase performance of Portal <Perl> # Meilleures performances sous ModPerl::Registry # A décommenter pour augmenter les performances du portail <Perl> Video Vidéo See full parameters list Voir la liste complète des paramètres Spring Security is the new ACEGI name. Spring Security est le nouveau nom d'ACEGI. LL::NG can easy talk to other authentication systems using SAML, OpenID, CAS. LL::NG peut aisément dialoguer avec d'autres systèmes d'authentification en utilisant SAML, OpenID, CAS. By default, DNS domain is example.com. Par défaut, le domaine DNS est example.com. This documentation explains how configure SAML service in LL::NG, in particular: Cette documentation explique comment configurer le service SAML dans LL::NG, en particulier : ../../../media/screenshots/1.1/mailreset/mailreset_step1.png ../../../media/screenshots/1.1/mailreset/mailreset_step1.png dirName dirName Password: where change the password Mots-de-passe: où changer les mots-de-passe Name: display text Nom : texte à afficher Configuration backend Stockage de la configuration Open links in new window Ouvre les liens dans une nouvelle fenêtre ../../documentation/1.4/installtarball.html ../../documentation/1.4/installtarball.html You can choose to install only one component by choosing the package lemonldap-ng-portal, lemonldap-ng-handler or lemonldap-ng-manager. On peut n'installer qu'un seul composant en choisissant le paquet lemonldap-ng-portal, lemonldap-ng-handler ou lemonldap-ng-manager. Date of birth Date of birth SSL authentication level Niveau d'authentification SSL samlStorageOptions samlStorageOptions useRedirectOnError useRedirectOnError This attribute is set by LemonLDAP::NG when password was reset by mail and the user choose to generate the password (default: enabled). Cet attribut est activé par LemonLDAP::NG lorsque le mot-de-passe a été réinitialisé par mail et que l'utilisateur a choisi de générer le mot-de-passe (défaut : activé). ../media/screenshots/0.9.3/lemonldap-ng-portal-password.png?w=800&h=622 ../media/screenshots/0.9.3/lemonldap-ng-portal-password.png?w=800&h=622 Example with EPEL: Exemple avec EPEL: %_topdir /home/user/build %dist .el5 %rhel 5 %_topdir /home/user/build %dist .el5 %rhel 5 This function is not compliant with Safe jail, you will need to disable the jail to use it. Cette fonction n'est pas compatible avec la cage saine, il faut désactiver la mise en cage. <role rolename="tomcat"/> <role rolename="tomcat"/> ../pages/documentation/1.1/sqlsessionbackend.html ../pages/documentation/1.1/sqlsessionbackend.html ../../documentation/1.4/mysqlminihowto.html ../../documentation/1.4/mysqlminihowto.html ../pages/documentation/1.4/fastcgi.html ../pages/documentation/1.4/fastcgi.html Xavier GUIMARD: historic project leader, developer, Debian packager, administrator of big Lemonldap::NG instances Xavier GUIMARD : Leader historique du projet, developpeur, empaqueteur Debian, administrateur de grosses installations de Lemonldap::NG Logout user from current application and redirect it to the menu Déconnecte l'utilisateur de l'application courante et le redirige vers le menu /_detail/applications/bugzilla_logo.png?id=documentation%3A1.4%3Aapplications%3Abugzilla /_detail/applications/bugzilla_logo.png?id=documentation%3A1.4%3Aapplications%3Abugzilla AuthName "Lemonldap::NG manager" AuthName "Lemonldap::NG manager" etc. etc... Development Développement mailTimeout mailTimeout accordeon_light.png accordeon_light.png This How To explains how change this default behavior to protect Manager with other rules. Ce document explique comment changer ce comportement par défaut pour protéger le manager avec d'autres règles. yubikeyAuthnLevel yubikeyAuthnLevel ServerName test2.example.com   ServerName test2.example.com   LWP::UserAgent LWP::UserAgent icons:xfmail.png icons:xfmail.png But sometimes other data are needed (in particular to use extended functions): Parfois d'autres données sont nécessaire (en particulier pour utiliser les fonctions étendues): Bugzilla virtual host in Apache Hôte virtuel Apache hébergeant Bugzilla If you are protecting Drupal with LL::NG as reverse proxy, convert header into REMOTE_USER environment variable. Si Drupal est protégé par un reverse-proxy LL::NG, convertir l'en-tête en variable d'environnement REMOTE_USER. For example: Par exemple : ../../documentation/1.4/logoutforward.html ../../documentation/1.4/logoutforward.html Allow only admin and superadmin roles Autorisé seulement pour les rôles admin et superadmin Get the packages Obtenir ces paquets /_detail/screenshots/1.0/pastel/menu.png?id=screenshots /_detail/screenshots/1.0/pastel/menu.png?id=screenshots logos:sgs_white_small.jpg logos:sgs_white_small.jpg notificationStorageOptions notificationStorageOptions /_detail/logos/logo-ul.png?id=references /_detail/logos/logo-ul.png?id=references http://portal/index.pl/sessions http://portal/index.pl/sessions Go to the Manager and create a new virtual host for phpLDAPadmin. Aller dans le manager et créer un nouvel hôte virtuel pour phpLDAPadmin. SSLOptions: set to +StdEnvVars to get certificate fields in environment variables SSLOptions : mettre à +StdEnvVars pour obtenir les champs du certificat dans les variables d'environnement In Manager, go in General Parameters » Authentication modules and choose Remote for authentication and users. Dans le manager, aller dans Paramètres généraux > Modules d'authentification et choisir Remote pour les modules authentification et utilisateurs. User backend Module utilisateurs Download the plugin and copy the files in dokuwiki inc/auth/ directory: Télécharger le plugin et le copier dans le répertoire dokuwiki inc/auth/ : You can modify location of default storage configuration file in configure target: On peut modifier l'emplacement du fichier de configuration du stockage par défaut dans la cible configure : http://httpd.apache.org/docs/2.2/mod/core.html#loglevel http://httpd.apache.org/docs/2.2/mod/core.html#loglevel dokuwiki dokuwiki The access to phpLDAPadmin will be protected by LemonLDAP::NG with specific access rules. L'accès à phpLDAPadmin sera protégé par LemonLDAP::NG avec une règle particulière d'accès. Lemonldap::NG::Portal::SharedConf->compile( Lemonldap::NG::Portal::SharedConf->compile( Besides, macros and groups are computed in alphanumeric order, that is, in the order they are displayed in the manager. Egalement, les macros et groupes sont calculés dans l'ordre alpha-numerique, c'est à dire dans l'ordre d'affichage dans le manager. If you configure form replay with LL::NG, the Handler will catch configured POST URL and send a POST query to the target page (which can be different of the caught page). En configurant le rejeu de formulaire avec LL::NG, l'agent intercepte les URL configurées et envoie une requête POST à la page cible (qui peut être différente de la première). http://search.cpan.org/perldoc?DBI http://search.cpan.org/perldoc?DBI zimbraAccountKey zimbraAccountKey ../../documentation/1.4/ldapconfbackend.html ../../documentation/1.4/ldapconfbackend.html Authentication portal Portails d'authentification Use SOAP for Lemonldap::NG sessions Utiliser SOAP pour les sessions Lemonldap::NG Not shareable between servers except if used in conjunction with SOAP configuration backend or with a shared file system (NFS,…). Pas partageable entre serveurs sauf si utilisé avec le backend de configuration SOAP ou un système de partage de fichiers (NFS,…). <Location /var/www/html/index.php> PerlOutputFilterHandler Lemonldap::NG::Handler::Menu </Location> <Location /var/www/html/index.php> PerlOutputFilterHandler Lemonldap::NG::Handler::Menu </Location> writingrulesand_headers writingrulesand_headers documentation:1.4:filesessionbackend documentation:1.4:filesessionbackend Structured Query Language Structured Query Language ../media/screenshots/1.0/impact/portal.png?w=800&h=515 ../media/screenshots/1.0/impact/portal.png?w=800&h=515 Disabling Safe jail Désactiver la cage sécurisée See Apache::Session::Memcached for optional parameters. Voir Apache::Session::Memcached pour les paramètres optionnels. SAP SAP Portal does not store any data outside the session database, so you can have many portal servers using the same HTTP host name Le portail ne stocke aucune donnée en dehors de la base de données des sessions, ainsi on peut avoir plusieurs serveurs utilisant le même nom d'hôte HTTP CAS_authnLevel CAS_authnLevel You just have to load LL::NG FastCGI support and write a loop in the CGI. Il suffit de charger le support FastCGI de LL::NG et d'écrire une boucle dans la CGI. When you use SOAP sessions backend, it is recommended to use read-only URL (http://portal/index.pl/sessions). Lorsqu'on utilise le backend de session SOAP, il est recommandé d'utiliser l'URL en lecture seule (http://portal/index.pl/sessions). Logout rule: catch OBM logout Règle logout : intercepter la déconnexion OBM <EntityDescriptor entityID="http://auth.example.com/saml/metadata"> <EntityDescriptor entityID="http://auth.example.com/saml/metadata"> Searched attributes: name(s) of the attribute storing the name of the group, spaces separated (default: cn). Attributs recherchés : nom(s) de l'attribut stocké dans le nom du groupe, séparés par des virgules (défaut: cn). /_detail/logos/logo_abuledu.png?id=references /_detail/logos/logo_abuledu.png?id=references And the mail filter is: Et le filtre d'adresse mail est : If so, you can redirect users to a HTML page that explain that it is safe to close browser after disconnect. Dans ce cas, il faut rediriger les utilisateurs vers une page HTML qui explique qu'il est préférable de clore son navigateur après déconnexion. Connection between Linux and Active Directory - method 2 Connexion entre Linux et Active Directory - méthode 2 Access control policy: define if access control should be done on CAS service. Politique de contrôle d'accès : definit si le contrôle d'accès doit être fait sur le service CAS. CAS server URL URL du serveur CAS ../../../media/documentation/lasso.png ../../../media/documentation/lasso.png Identity provider: LL::NG is able to provide identity service using: Fournisseur d'identité : LL::NG peut fournir un service d'identité en utilisant : AuthBasic Handler Agent AuthBasic singleUserByIP singleUserByIP You need Auth::Yubikey_WebClient package. Le paquet Auth::Yubikey_WebClient est nécessaire. LDAP attribute Attribut LDAP # SOAP functions for configuration access (disabled by default) <Location /index.pl/config> # SOAP functions for configuration access (disabled by default) <Location /index.pl/config> Connection between Linux and Active Directory - method 1 Connexion entre Linux et Active Directory - méthode 1 Use comment to correct this: Utiliser des commentaires pour corriger ça : Application Programming Interface Interface de programmation SSLCACertificateFile: CA certificate to validate client certificates SSLCACertificateFile : certificat d'autorité pour valider les certificats clients SOAP functions are not accessible by network by default. Les fonctions SOAP ne sont pas accessible par le réseau par défaut. http://www.yubico.com http://www.yubico.com field champ Cross Domain Authentication Authentification inter-domaines You can create a SOAP only portal by setting “soapOnly = 1” in lemonldap-ng.ini (section PORTAL) On peut créer un portail uniquement SOAP en positionnant “soapOnly = 1” dans lemonldap-ng.ini (section PORTAL) kinit ssokerberos@EXAMPLE.COM kinit ssokerberos@EXAMPLE.COM Imagine you've set your directory schema to store roles as values of ssoRoles, an attribute of the user. On suppose que le schéma d'annuaire a été prévu pour stocker les rôles comme valeur de ssoRoles, un attribut utilisateur. </Location> </Location> string chaîne LockDataSource LockDataSource APT-GET APT-GET Edit Dokuwiki local configuration (conf/local.php) and set lemonldap as authentication type: Éditer la configuration locale Dokuwiki (conf/local.php) et indiquer lemonldap comme type d'authentification : rtyler@badwolf.org rtyler@badwolf.org Other parameters Autres paramètres Auth-Cn: $cn Auth-Cn: $cn CustomLog /var/log/apache2/localsite_access.log combined   </VirtualHost> CustomLog /var/log/apache2/localsite_access.log combined   </VirtualHost> CustomLog /var/log/httpd/drupal-access.log combined </VirtualHost> <VirtualHost *:80> CustomLog /var/log/httpd/drupal-access.log combined </VirtualHost> <VirtualHost *:80> Integrating applications in LL::NG is easy since its dialog with applications is based on customizable HTTP headers. Integrer des applications dans LL::NG est facile car leur dialogue est basé sur des en-têtes HTTP personnalisables. Exported variables are the variables available to write rules and headers. Les variables exportées sont des variables disponibles pour écrire des règles d'accès et des en-têtes. ~7500 ~7500 The location URL end is based on the service_id defined in Sympa apache configuration. La fin de l'URL est construite à partir du service_id defini dans la configuration Apache de Sympa. Require ldap-user coudot xguimard tchemineau Require ldap-user coudot xguimard tchemineau Header for user login: header that contains the user main login En-tête identifiant l'utilisateur : en-tête contenant le nom de connexion http://www.yubico.com/yubikey http://www.yubico.com/yubikey Here is the list of Perl modules used in LemonLDAP::NG. Ci-dessous la liste des modules Perl utilisés dans LemonLDAP::NG. Other components needs just a read access. Les autres composants n'ont besoin que d'un accès en lecture. With RPM Avec RPM KrbVerifyKDC Off KrbVerifyKDC Off Reset password by mail Réinitialisation des mots-de-passe par courriel Session Session cat /etc/lemonldap-ng/for_etc_hosts >> /etc/hosts cat /etc/lemonldap-ng/for_etc_hosts >> /etc/hosts /_detail/screenshots/0.9.3/lemonldap-ng-portal-password.png?id=screenshots /_detail/screenshots/0.9.3/lemonldap-ng-portal-password.png?id=screenshots Example: interoperability between 2 organizations Exemple : interoperabilité entre 2 organisations Multi Remote $ENV{REMOTE_ADDR}=~/^192/;LDAP $ENV{REMOTE_ADDR}!~/^192/' Multi Remote $ENV{REMOTE_ADDR}=~/^192/;LDAP $ENV{REMOTE_ADDR}!~/^192/' http://lanyrd.com/2011/rmll-2/sffqx/ http://lanyrd.com/2011/rmll-2/sffqx/ This requires to configure LL::NG as an SAML Identity Provider. Ceci nécessite de configurer LL::NG comme fournisseur d'identité SAML. Account type: for Zimbra this can be name, id or foreignKey (by default: id) Type de compte : pour Zimbra, ce peut être name, id ou foreignKey (par défaut : id) Extended functions Fonctions étendues /_detail/icons/flags/fr.png?id=documentation%3Aconferences /_detail/icons/flags/fr.png?id=documentation%3Aconferences http://en.wikipedia.org/wiki/OAuth2 http://en.wikipedia.org/wiki/OAuth2 When receiving the request, the real authentication context will be mapped ton an internal authentication level (see how configure the mapping), that you can check to allow or deny session creation. À la réception de la requête, le contexte d'authentification réel est traduit en un niveau d'authentification interne (voir comment configurer la translation), utilisable pour accorder ou non la création de session. Liferay is an enterprise portal. Liferay est un portail d'entreprise. sn sn Require user rbowen Require user rbowen No IRC client? Pas de client IRC ? One remote portal that delegates authentication to the second organization (just an other file on the same server) Un portail distant qui délègue l'authentification à la seconde organisation (juste un autre fichier sur le même serveur) Sessions timeout: Maximum lifetime of a session. Durée de vie maximale des sessions : durée de vie maximale des sessions. ../../../../media/applications/mediawiki_logo.png ../../../../media/applications/mediawiki_logo.png mailreset_step3.png mailreset_step3.png documentation:1.4:applications documentation:1.4:applications css/print.css css/print.css If the user is not created, or can not be created via LDAP import, the connection to Liferay will be refused. Si le compte n'est pas créé ou ne peut être créé par un import LDAP, la connexion à Liferay sera refusée. The Manager let you define comments in rules, to order them: Le manager permet de définir des commentaires de règles, ce qui permet de les ordonner : ../pages/documentation/1.1/installrpm.html ../pages/documentation/1.1/installrpm.html Databases Bases de données The reload target is managed in Apache configuration, inside a virtual host protected by LemonLDAP::NG Handler, for example: La cible reload est gérée dans la configuration d'Apache, dans un hôte virtuel protégé par LemonLDAP::NG Handler, par exemple: AbulEdu AbulEdu Create user and role: Créer un utilisateur et un rôle : ../../documentation/1.4/sessions.html ../../documentation/1.4/sessions.html In other cases which result on impossibility to authenticate user, to retrieve data or to create a session, nothing is stored. Dans les autres cas résultant de l'impossibilité d'authentifier l'utilisateur ou de récupérer les données pour créer la session, rien n'est stocké. index/alphabetical.html index/alphabetical.html After configuration is saved by Manager, LemonLDAP::NG will try to reload configuration on distant Handlers by sending an HTTP request to the servers. Lorsque la configuration est sauvegardée par le manager, LemonLDAP::NG tente de recharger la configuration des agents distants en envoyant une requête HTTP aux serveurs. Secure reverse-proxies Securiser les proxies inverses Friendly Name: optional, SAML attribute friendly name. Nom alternatif: optionnel, nom alternatif de l'attribut SAML. documentation:1.4:portalmenu documentation:1.4:portalmenu Enable LL::NG sites Activer les sites LL::NG loginHistory loginHistory Zimbra virtual host in Apache Hôte virtuel Zimbra dans le manager //"userobm_vacation_datebegin" => , //"userobm_vacation_datebegin" => , For now, ldapgroups contains “cn=admin,dmdName=groups,dc=example,dc=com cn=su,dmdName=groups,dc=example,dc=com” Pour l'instant, ldapgroups contient “cn=admin,dmdName=groups,dc=example,dc=com cn=su,dmdName=groups,dc=example,dc=com” exportedAttr exportedAttr coudot@example.com coudot@example.com ../../../../media/documentation/liferay_1.png ../../../../media/documentation/liferay_1.png Configuration parameters are: Les paramètres de configuration sont : http://httpd.apache.org/docs/2.2/misc/perf-tuning.html#compiletime http://httpd.apache.org/docs/2.2/misc/perf-tuning.html#compiletime <VirtualHost *> <VirtualHost *> This tutorial will guide you into a minimal installation and configuration procedure. Ce tutoriel vous guidera pour réaliser une installation et une configuration minimale. Note that if you use FastCGI, you must restart Apache to enable changes. Noter que si on utilise FastCGI, il faut redémarrer Apache pour activer les changements. LemonLDAP::NG configuration is stored in a backend that allows all modules to access it. La configuration de LemonLDAP::NG est stockée dans un backend permettant à tous les modules d'y accéder. In this case, authentication is not a response to an issued authentication request, and we have less control on conditions. Dans ce cas, l'authentification n'est pas une réponse à une requête d'authentification ce qui diminue les capacités de contrôle. MediaWiki virtual host in Manager Hôte virtuel Mediawiki dans le manager remember: '1' (checked box) remember: '1' (une case à cocher) Using LemonLDAP::NG with Active-Directory Utiliser Lemonldap::NG avec Active-Directory Want Authentication Request Signed: set to On to require that received authentication request are signed. Exiger des requêtes d'authentification signées : mettre à « activer » pour exiger de recevoir des requêtes d'authentification signées. deny deny documentation:1.4:writingrulesand_headers documentation:1.4:writingrulesand_headers Roles as entries in the directory Rôles comme entrée d'annuaire handlerauthbasic handlerauthbasic System Système $conf[authtype] = lemonldap; $conf[authtype] = lemonldap; The request on logout URL will be sent after user is disconnected, so you should unprotect this URL if it is protected by an LL::NG Handler. Cette requête vers l'URL de déconnexion est envoyée après la déconnexion de l'utilisateur, il faut donc déprotéger cette URL si elle est protégée par un agent LL::NG. Users search base: Base of search in the LDAP directory. Base de recherche des utilisateurs : base de recherche de l'annuaire LDAP. mediawiki mediawiki ../pages/documentation/1.1/prereq.html ../pages/documentation/1.1/prereq.html Due to a conflict between LL::NG form replay and Apache mod_proxy (see issue), you cannot use form replay on proxied applications, unless you use LL::NG internal proxy: Suite à un conflit entre le rejeu de formulaires LL::NG et mod_proxy d'Apache (voir les problèmes), on ne peut utiliser le rejeu de formulaires sur des applications derrière un proxy sauf si on utilise le proxy interne de LL::NG : <VirtualHost *:443> <VirtualHost *:443> sympaMailKey sympaMailKey HTTP: Service name HTTP : nom du service qw(delete header cache read_from_client cookie redirect unescapeHTML)); qw(delete header cache read_from_client cookie redirect unescapeHTML)); However, certificate will not be really validated by other SAML components (expiration date, common name, etc.), but will just be a public key wrapper. Toutefois, le certificat ne sera pas réellement validé par les autres composants SAML (date d'expiration, nom commun, etc.), mais simplement vu comme un conteneur de clef publique. Install it to trust RPMs: L'installer pour certifier les RPMs: Spring Security provides a default pre-authentication mechanism that can be used to connect your J2EE application to LL::NG. Spring Security fournit un mécansime de pre-authentification par défaut qui peut être utilisé pour connecter une application J2EE à LL::NG. ../media/screenshots/0.9.4/0.9.4_password_reset.png?w=800&h=534 ../media/screenshots/0.9.4/0.9.4_password_reset.png?w=800&h=534 Secondary portal check if remote session is available. Le portail secondaire vérifie que la session distante est valable. Web::ID::Certificate::Generator Web::ID::Certificate::Generator https://auth.abuledu.net/ https://auth.abuledu.net/ Attributes from user backend Attributs récupérés du module utilisateur install_portal_site (/usr/local/lemonldap-ng/htdocs/portal) install_portal_site (/usr/local/lemonldap-ng/htdocs/portal) employeeNumber employeeNumber Register partner Identity Provider on LemonLDAP::NG Enregistrer le fournisseur d'identité partenaire dans LemonLDAP::NG ../../documentation/1.4/applications/zimbra.html ../../documentation/1.4/applications/zimbra.html LogLevel warn LogLevel warn ../../documentation/1.4/nosqlsessionbackend.html ../../documentation/1.4/nosqlsessionbackend.html Deny from all Deny from all zimbraUrl zimbraUrl Packages are available on the Download page. Les paquets sont disponibles sur la page de téléchargement. ../pages/documentation/1.1/changeconfbackend.html ../pages/documentation/1.1/changeconfbackend.html "userobm_datebegin" => "HTTP_OBM_DATEBEGIN", "userobm_datebegin" => "HTTP_OBM_DATEBEGIN", Session activity timeout requires Handlers to have a write access to sessions database. Le délai d'expiration des sessions nécessite que les agents aient un accès en écriture à la base des sessions. Display deleted sessions: display deleted sessions on authentication phase. Afficher les sessions effacées : affiche les sessions effacées lors de la phase d'authentification. To achieve this, follow these steps: Pour le réussir, suivre ces étapes : Restrict network access to the redis server. Restreignez l'accès réseau au serveur Redis. ../pages/documentation/1.4/authad.html ../pages/documentation/1.4/authad.html Allow from all Allow from all ../../documentation/1.4/configlocation.html#apache ../../documentation/1.4/configlocation.html#apache ../../../media/documentation/manager-saml-idp-metadata.png ../../../media/documentation/manager-saml-idp-metadata.png “myfield ⇒ firstname” can be ”” “mavariable ⇒ firstname” peut valoir ”” yubikeyClientID yubikeyClientID dbiTable dbiTable RPM bundle Paquets RPM Active Directory Active Directory documentation:configuration-ldap.png documentation:configuration-ldap.png Google+ Google+ If this regex matches, the line is ignored. Si cette expression régulière correspond, la ligne est ignorée. You have to run this command on Active Directory: Il faut lancer cette commande dans Active Directory: LemonLDAP::NG is highly scalable, so easy to insert behind a load-balancer: LemonLDAP::NG est hautement scalable, donc facile à insérer derière un répartisseur de charge : ServerName obm.example.com   ServerName obm.example.com   Core team Équipe prinicpale ../pages/documentation/1.1/status.html ../pages/documentation/1.1/status.html Force UTF-8: this will force UTF-8 conversion of attributes values collected from IDP. Forcer l'UTF-8 : force la conversion UTF-8 des valeurs d'attributs collectées depuis l'IDP. ../documentation/current/authdemo.html ../documentation/current/authdemo.html LemonLDAP::NG configuration can be managed in a local file with INI format. La configuration LemonLDAP::NG peut être gérée par un fichier local au format INI. ldapBindDN: LDAP user. ldapBindDN : utilisateur LDAP. DirectoryIndex index.pl index.html DirectoryIndex index.pl index.html Comment Commentaire http://search.cpan.org/~mmims/Net-Twitter/ http://search.cpan.org/~mmims/Net-Twitter/ /_detail/icons/flags/fr.png?id=press /_detail/icons/flags/fr.png?id=press There are no global authorizations except the right to open a session in the portal. Il n'y a pas d'autorisation globale, à l'exception de la règle accordant l'ouverture de session dans le portail. Lanyrd Lanyrd If you use TLS, you can set any of the Net::LDAP start_tls() sub like ldap+tls://server/verify=none&capath=/etc/ssl. En utilisant TLS, il est possible d'utiliser toutes les options de la fonction start_tls() Net::LDAP telle ldap+tls://server/verify=none&capath=/etc/ssl. Logs settings Journalisation all together (based on user choice, rules, …) tous en même temps (basé sur le choix utilisateur, les règles, …) API client ID: API client ID from Yubico Identifiant client de l'API : identifiant client de l'API obtenu auprès de Yubico authopenid authopenid Not shareable between servers except if used in conjunction with SOAP session backend or with a shared file system (NFS,…). Pas partageable entre serveurs sauf si utilisé avec le backend de configuration SOAP ou un système de partage de fichiers (NFS,…). OpenLDAP schema Schéma OpenLDAP </property> </bean>   <security:authentication-manager alias="authenticationManager" /> </property> </bean>   <security:authentication-manager alias="authenticationManager" /> dbiAuthnLevel dbiAuthnLevel _user _user Lemonldap::NG::Portal Lemonldap::NG::Portal Allow from all Allow from all See performances to know how to use macros and groups in rules. Voir performances pour comprendre l'intérêt des macros et groupes dans les règles. Manager tree autoClose Auto-fermeture de l'arbre du manager ../../documentation/1.3/upgrade.html ../../documentation/1.3/upgrade.html You have to create the table by yourself: Il faut créer soi-même la table : Lock files are stored in another directory. Les fichiers verrous sont stockés dans un autre répertoire. ../pages/documentation/1.4/authbrowserid.html ../pages/documentation/1.4/authbrowserid.html "headers_map" => Array( "headers_map" => Array( a15a18c8bb17e6f67886a9af1898c018b9f5a072 a15a18c8bb17e6f67886a9af1898c018b9f5a072 Create a protocol proxy (SAML to OpenID, CAS to SAML ,…) Créer un proxy de protocoles (SAML vers OpenID, CAS vers SAML ,…) See Redis session backend. Voir backend de session Redis. documentation/current/prereq.html#apt-get documentation/current/prereq.html#apt-get contact contact Enable SSL in Apache Activer SSL dans Apache CGI::Session CGI::Session </IfModule> </IfModule> documentation:googleapps-ssoconfig.png documentation:googleapps-ssoconfig.png New window: open menu links in new window Nouvelle fenêtre : ouvre les liens du menu dans de nouvelles fenêtres auto: display only if the user can access it auto : n'afficher que si l'utilisateur peut y accéder ../../../documentation/1.4/writingrulesand_headers.html#headers ../../../documentation/1.4/writingrulesand_headers.html#headers Optional attributes: Attributs optionnels : Please refer to Liferay documentation to enable LDAP provisionning. Se reporter à la documentation Liferay pour activer l'alimentation LDAP. ../../documentation/1.4/authradius.html ../../documentation/1.4/authradius.html Main DNS domain Domaine DNS principal These rules can be set trough Manager: General Parameters > Portal > Menu > Modules activation. Ces règles peuvent être modifiées via le manager : Paramètres généraux > Portail > Menu > Activation des modules. Frameworks Frameworks http://search.cpan.org/~speeves/Apache2-AuthenNTLM-0.02/AuthenNTLM.pm http://search.cpan.org/~speeves/Apache2-AuthenNTLM-0.02/AuthenNTLM.pm 0 if not 0 sinon //"userobm_web_all" => , //"userobm_web_all" => , Yubikey public ID size Taille de l'ID public Yubikey The team L'équipe /_detail/icons/utilities.png?id=documentation%3A1.4%3Astart /_detail/icons/utilities.png?id=documentation%3A1.4%3Astart managerTreeJqueryCss managerTreeJqueryCss Wordpress, GLPI, OBM, Dokuwiki, … Wordpress, GLPI, OBM, Dokuwiki, … LL::NG can restrict this: LL::NG peut restreindre cet usage : ProxyPass / http://APPLICATION_IP/ ProxyPass / http://APPLICATION_IP/ Auth-Cn Auth-Cn Users: will not collect any data (but you can still register environment variables in session) Utilisateurs : ne collecte aucune donnée (mais il est possible d'enregistrer des variables d'environement dans la session) If no binding defined, the default binding in IDP metadata will be used. Si aucune méthode n'est définie, la méthode par défaut des métadatas de l'IDP sera utilisée. To have a stronger integration, we will configure LimeSurvey to autocreate unknown users and use HTTP headers to fill name, mail and roles. Pour une meilleure integration, LimeSurvey doit être configuré pour créer automatiquement les utilisateurs inconnus et utiliser les en-têtes HTTP pour remplir le nom, le mail et les rôles. LL::NG Manager has a session explorer module that can be used to browse opened sessions: Le gestionnaire de LL::NG dispose d'un explorateur de sessions qui peut être utilisé pour parcourir sessions ouvertes : You will configure Zimbra virtual host like other protected virtual host but you will use Zimbra Handler instead of default Handler. Configurer l'hôte virtuel Zimbra comme n'importe quel autre hôte virtuel protégé mais utiliser le handler Zimbra au lieu du handler par défaut. XML::LibXML XML::LibXML portal-apache2.conf: Portal virtual host, with SOAP and Issuer end points portal-apache2.conf : hôte virtuel du portail, incluant les points d'accès SOAP et fournisseur d'identité ../../documentation/1.4/idpsaml.html ../../documentation/1.4/idpsaml.html LDAP sever can block brute-force attacks, and LL::NG will display that account is locked Le serveur LDAP peut bloquer les attaques par force brute et LL::NG affichera que le compte est bloqué require valid-user require valid-user "userobm_zipcode" => "HTTP_OBM_POSTALCODE", "userobm_zipcode" => "HTTP_OBM_POSTALCODE", ../pages/documentation/1.1/ldapconfbackend.html ../pages/documentation/1.1/ldapconfbackend.html $auth_kind = 'LemonLDAP';   $lemonldap_config = Array( $auth_kind = 'LemonLDAP';   $lemonldap_config = Array( CAS attribute for login Attribut CAS pour le nom de connexion The DBI string La chaîne DBI using own database (LDAP, SQL, …) utilisant une base de données propre (LDAP, SQL, …) Zimbra account session key Clef de session de compte Zimbra Mot de passe pour l'utilisateur lemonldap-ng : [...] lemonldap-ng=> create table sessions ( id char(32) not null primary key, a_session text ); lemonldap-ng=> q Mot de passe pour l'utilisateur lemonldap-ng : [...] lemonldap-ng=> create table sessions ( id char(32) not null primary key, a_session text ); lemonldap-ng=> q ../../../../media/applications/liferay_logo.png ../../../../media/applications/liferay_logo.png Double cookie for single session: as same, two cookies are delivered, but only one session is written in session database Double cookie pour session unique : de même, deux cookies sont délivrés, mais une seule session n'est écrite dans la base de données HTTP headers: forge information sent to protected applications Des en-têtes HTTP : construit l'information à envoyer aux applications protégées ASF-WS ASF-WS phpLDAPadmin virtual host in Apache Hôte virtuel phpLDAPadmin dans le manager In Manager, go in General Parameters > Authentication modules and choose WebID for authentication module. Dans le manager, aller dans Paramètres generaux > Modules d'authentification et choisir WebID comme module d'authentication. CAS issuer Fourniture d'identité CAS documentation:1.4:applications:obm documentation:1.4:applications:obm authsaml authsaml AuthApache authentication Authentification AuthApache unicode2iso($name) unicode2iso($nom) Timestamp of last authentication time Date et heure (timestamp) de la dernière authentification ~3 ~3 ~5 ~5 YUM YUM Extracted certificate field: field of the certificate affected to $user internal variable Champ extrait du certificat : champ du certificat affecté à la variable interne $user Examples with a configured header named 'Auth-User': Exemples avec un en-tête configuré nommé 'Auth-User': Location: Access Point for SSO request. Location: Point d'accès pour les requêtes SSO. documentation:1.4:authopenid documentation:1.4:authopenid Mini howtos Mini howtos Screenshots Captures d'écran LDAP LDAP allows (optional): Define allowed remote IP (use ”,” separator for multiple IP). allows (optionnel) : Definit les adresses IP autorisées (ustiliser le séparateur ”,” pour de multiples IP). /_detail/logos/logo_linagora.png?id=references /_detail/logos/logo_linagora.png?id=references LL::NG can use federation protocols (SAML, CAS, OpenID) independently to: LL::NG peut utiliser des protocoles de fédération (SAML, CAS, OpenID) indépendamment pour : Lemonldap::NG::Handler::SharedConf: No cookie found Lemonldap::NG::Handler::SharedConf: No cookie found /_detail/applications/sympa_logo.png?id=documentation%3A1.4%3Aapplications%3Asympa /_detail/applications/sympa_logo.png?id=documentation%3A1.4%3Aapplications%3Asympa ErrorLog /var/log/httpd/drupal-error.log ErrorLog /var/log/httpd/drupal-error.log # Uncomment this line if you use Lemonldap::NG menu # Décommentez cette ligne si vous utilisez le menu Lemonldap::NG ../../media/documentation/lemonldapng-sso.png ../../media/documentation/lemonldapng-sso.png iso2unicode iso2unicode → You use the Apache authentication backend, but Apache is not or bad configured (no REMOTE_USER send to LemonLDAP::NG). → Le backend d'authentification Apache est utilisé, mais Apache n'est pas ou mal configuré (la variable d'environnement REMOTE_USER n'est pas envoyée à LemonLDAP::NG). <?xml version="1.0" encoding="UTF-8" standalone="no"?> <root> <notification uid="foo.bar" date="2009-01-27" reference="ABC"> <title>You have new authorizations</title> <subtitle>Application 1</subtitle> <text>You have been granted to access to appli-1</text> <subtitle>Application 2</subtitle> <text>You have been granted to access to appli-2</text> <subtitle>Acceptation</subtitle> <check>I know that I can access to appli-1 </check> <check>I know that I can access to appli-2 </check> </notification> <notification uid="allusers" date="2009-01-27" reference="disclaimer" condition="$ipAddr =~ /^192/"> <title>This is your first access on this system</title> <text>Be a nice user and do not break it please.</text> <check>Of course I am not evil!</check> </notification> </root> <?xml version="1.0" encoding="UTF-8" standalone="no"?> <root> <notification uid="foo.bar" date="2009-01-27" reference="ABC"> <title>Vous avez de nouvelles autorisations</title> <subtitle>Application 1</subtitle> <text>Vous êtes autorisé à accéder à appli-1</text> <subtitle>Application 2</subtitle> <text>Vous êtes autorisé à accéder à appli-2</text> <subtitle>Acceptation</subtitle> <check>Je reconnais savoir que je peux accéder à appli-1 </check> <check>Je reconnais savoir que je peux accéder à appli-2 </check> </notification> <notification uid="allusers" date="2009-01-27" reference="disclaimer" condition="$ipAddr =~ /^192/"> <title>Ceci est votre premier accès à ce système</title> <text>Soyez sage et ne le cassez pas.</text> <check>Bien sûr, je ne suis pas méchant !</check> </notification> </root> So he is “user” on application “BBB” and “admin” on application “AAA”. Ainsi, il est “user” sur l'application “BBB” et “admin” sur l'application “AAA”. Main features Fonctionnalités principales </Location>   </VirtualHost> </Location>   </VirtualHost> documentation:manager-saml-idp-list.png documentation:manager-saml-idp-list.png ../../documentation/1.4/activedirectoryminihowto.html ../../documentation/1.4/activedirectoryminihowto.html RBAC stands for Role Based Access Control. RBAC signifie contrôle d'accès basé sur les rôles (Role Based Access Control). IRC IRC 0_bad 0_bad require SOAP::Lite; </Perl> require SOAP::Lite; </Perl> It means that if you modify some settings here, you will have to share again the metadata with other providers. Ceci signifie que si vous modifiez quelque chose ici, vous devez ré-exporter les metadatas aux autres fournisseurs. convertConfig --current=/etc/lemonldap-ng/lemonldap-ng.ini --new=/new/lemonldap-ng.ini convertConfig --current=/etc/lemonldap-ng/lemonldap-ng.ini --new=/new/lemonldap-ng.ini applications:phpldapadmin_logo.png applications:phpldapadmin_logo.png Notification format Format des notifications For application BBB: Pour l'application BBB : css/all.css css/all.css cd myskin ln -s ../pastel/*.tpl . cd myskin ln -s ../pastel/*.tpl . $_password $_password # DocumentRoot # DocumentRoot mailUrl mailUrl documentation:1.4:exportedvars documentation:1.4:exportedvars http://www.jdll.org/content/lemonldapng-100-en-avant-premi%C3%A8re http://www.jdll.org/content/lemonldapng-100-en-avant-premi%C3%A8re /_detail/screenshots/1.1/mailreset/mailreset_step1.png?id=documentation%3A1.4%3Aresetpassword /_detail/screenshots/1.1/mailreset/mailreset_step1.png?id=documentation%3A1.4%3Aresetpassword References are listed in alphabetic order. Les références sont listées dans l'ordre alphabétique. Do this in the control panel or in the configuration file: Faire ceci dans le panneau de contrôle ou dans le fichier de configuration : authbasic authbasic icons:warehause.png icons:warehause.png # boolean macro isAdmin -> $uid eq 'foo' or $uid eq 'bar' # other macro displayName -> $givenName." ".$surName   # Use a boolean macro in a rule ^/admin -> $isAdmin # Use a string macro in a HTTP header Display-Name -> $displayName # macro booléenne isAdmin -> $uid eq 'foo' or $uid eq 'bar' # autre macro displayName -> $givenName." ".$surName   # Utiliser une macro booléenne dans une règle ^/admin -> $isAdmin # Utiliser une macro chaîne dans un en-tête HTTP Display-Name -> $displayName ../../documentation/1.4/memcachedsessionbackend.html ../../documentation/1.4/memcachedsessionbackend.html If your function is not compliant with Safe jail, you will need to disable the jail. Si la fonction n'est pas compatible avec la cage saine, il faut désactiver la mise en cage. Backend choice by users Backend choisit par l'utilisateur Data to store as REMOTE_USER (used also in Apache logs) Donnée à utiliser comme REMOTE_USER (également utilisée dans les journaux d'Apache) specification spécification An enterprise Google Apps account Un compte applicatif Google entreprise secret secret Just set the LL::NG Handler IP on this attribute in order to add more security. Indiquer seulement l'adresse IP du handler LL::NG dans cet attribut pour ajouter plus de sécurité. ProxyPreserveHost on ProxyPreserveHost on All SSL options are documented in Apache mod_ssl page. Toutes les options SSL sont documentées dans la page mod_ssl d'Apache. info for user actions info pour les actions utilisateurs documentation:1.4:notifications documentation:1.4:notifications Web based for normal users: Basé sur du web pour les utilisateurs normaux : /_detail/applications/drupal_logo.png?id=documentation%3A1.4%3Aapplications%3Adrupal /_detail/applications/drupal_logo.png?id=documentation%3A1.4%3Aapplications%3Adrupal ErrorLog /var/log/httpd/admindrupal-error.log ErrorLog /var/log/httpd/admindrupal-error.log HTTPS: use https as protocol HTTPS : utilise https comme protocole LDAP activate recursive groups Activer les groupes récursifs LDAP This objectClass is included in every core schemas. Cet objectClass est inclus dans tous les schémas de base. Display: Affichage : DBI UserDB table Table UserDB DBI ../media/screenshots/1.0/impact/portal.png?w=200&h=128 ../media/screenshots/1.0/impact/portal.png?w=200&h=128 /_detail/screenshots/0.9.3/lemonldap-ng-testpage.png?id=screenshots /_detail/screenshots/0.9.3/lemonldap-ng-testpage.png?id=screenshots install_manager_libs install_manager_libs See mod_proxy and mod_rewrite documentation for more about configuring Apache reverse-proxies. Voir les documentation de mod_proxy et mod_rewrite pour plus d'information sur la configuration du proxy inverse d'Apache. This can happend when you use lmConfigEditor or launch cron files with a different user than Apache process. Ceci peut arriver lorsqu'on utilise lmConfigEditor ou lorsqu'on lance les fichiers cron avec un utilisateur différent de celui du processus Apache. IBM Lotus iNotes IBM Lotus iNotes Sympa Handler parameters Paramètres du handler Sympa Joind.in Joind.in mailOnPasswordChange mailOnPasswordChange }, }, http://mail.ow2.org/wws/arc/lemonldap-ng-dev http://mail.ow2.org/wws/arc/lemonldap-ng-dev The HTTP Auth extension is presented here: http://www.mediawiki.org/wiki/Extension:HttpAuth L'extension HTTP Auth est presentée ici : http://www.mediawiki.org/wiki/Extension:HttpAuth Syslog Syslog ../../documentation/1.4/start.html#sessions_database ../../documentation/1.4/start.html#sessions_database mailFrom mailFrom Double cookie: two cookies are delivered, one for HTTP and HTTPS connections, the other for HTTPS only Double cookie : deux cookies sont délivrés, un pour les connexions HTTP et HTTPS, l'autre seulement pour HTTPS Password: Connection password Mot-de-passe : mot-de-passe du compte de connexion The difference with remote authentication is that the client will never be redirect to the main LL::NG portal. La différence avec l'authentification "Remote" est que le client n'est jamais redirigé vers le portail LL::NG principal. multi multi $uidR $uidR If secured cookie is enabled, the portal URL must be HTTPS. Si le cookie sécurisé est activé, l'URL du portail doit être en HTTPS. </Directory>   </Directory>   To change it: Pour le changer : ../pages/documentation/1.1/extendedfunctions.html ../pages/documentation/1.1/extendedfunctions.html Logs Journaux The LDIF view of such entry can be: La vue LDIF d'une telle entrée ressemble à : Menu modules activation rules les règles d'activation des modules du menu http://perldoc.perl.org/functions/join.html http://perldoc.perl.org/functions/join.html Password Mot-de-passe If you want to become member of LL::NG team ask to lemonldap-ng-dev@ow2.org. SI vous souhaitez devenir membre de l'équipe LL::NG demandez-le également à lemonldap-ng-dev@ow2.org. To switch to another authentication backend, use the Multi module, for example: Multi SSL;LDAP Pour basculer vers un autre backend d'authentification, utiliser le module Multi, par exemple : Multi SSL;LDAP This script is called lemonldap-ng-cli and is stored in the LemonLDAP::NG bin/ directory, for example /usr/share/lemonldap-ng/bin: Ce script se nomme lemonldap-ng-cli et se trouve dans le répertoire bin/ de LemonLDAP::NG, par exemple /usr/share/lemonldap-ng/bin: //"userobm_hidden" => , //"userobm_hidden" => , First steps Premiers pas ../../documentation/1.4/applications/sympa.html ../../documentation/1.4/applications/sympa.html Configuration of Apache virtual host Configuration de l'hôte virtuel Apache Configure your new backend (create SQL database,…) Configurer le nouveau backend (creer la base de données SQL,…) http://search.cpan.org/perldoc?DBD::Oracle http://search.cpan.org/perldoc?DBD::Oracle for index.pl, set it in new(): pour index.pl, le mettre dans new() : ../../../media/applications/spring_logo.png ../../../media/applications/spring_logo.png Header En-tête Protect only the administration pages Protéger seulement la page d'administration /_detail/documentation/googleapps-sso.png?id=documentation%3A1.4%3Aapplications%3Agoogleapps /_detail/documentation/googleapps-sso.png?id=documentation%3A1.4%3Aapplications%3Agoogleapps faketicket: if the user has no access, a fake ticket is built, and the user is redirected to CAS service. faketicket : si l'utilisateur n'a pas accès, un faux ticket est construit, et l'utilisateur est redirigé vers le service CAS. //"userobm_mobile" => , //"userobm_mobile" => , Tarball Archive documentation:1.4:applications:dokuwiki documentation:1.4:applications:dokuwiki You can add a link in application menu to display Google Apps to users. Il est possible d'ajouter un lien dans le menu application pour afficher Google Apps. http://forge.ow2.org/svnsnapshots/lemonldap-svn-latest.tar.gz http://forge.ow2.org/svnsnapshots/lemonldap-svn-latest.tar.gz Hide old password in reset form Masquer l'ancien mot-de-passe dans le formulaire de réinitialisation It can be done via direct access to the session database or using SOAP access. Ce peut être fait par accès direct à la base des sessions principale ou en utilisant une requête SOAP. userDB userDB documentation:1.0:ldapconfbackend documentation:1.0:ldapconfbackend /_detail/documentation/manager-saml-idp-metadata.png?id=documentation%3A1.4%3Aauthsaml /_detail/documentation/manager-saml-idp-metadata.png?id=documentation%3A1.4%3Aauthsaml User found from login process Nom d'utilisateur trouvé dans le processus d'authentification authyubikey authyubikey aaaRole => join(' || ', (map {/uid=(.*),ou=aaa.*/} (grep{/ou=aaa/} split(';',$ssoRoles))) aaaRole => join(' || ', (map {/uid=(.*),ou=aaa.*/} (grep{/ou=aaa/} split(';',$ssoRoles))) The normal portal has a link included in the authentication form pointing to the remote portal for the users of the other organization Le portail normal dispose d'un lien dans le formulaire d'authentification pointant vers le portail destiné aux utilisateurs de l'autre organisation Follow LDAP session backend doc Suivre la documentation backend de sessions LDAP ../../documentation/1.4/rbac.html ../../documentation/1.4/rbac.html Firefox has detected that the server is redirecting the request for this address in a way that will never complete Firefox has detected that the server is redirecting the request for this address in a way that will never complete Persistent: NameID is restored from previous sessions Persistent: le NameID est restoré depuis la session précédente ../../documentation/1.4/applications/phpldapadmin.html ../../documentation/1.4/applications/phpldapadmin.html The user will be redirected on portal URL with error in the lmError URL parameter. L'utilisateur sera redirigé vers l'URL du portail avec une erreur dans le paramètre lmError de l'URL. //"userobm_address3" => , //"userobm_address3" => , Test notification Tester les notifications In Manager, go in General Parameters > Authentication modules and choose CAS for authentication. Dans le manager, aller dans Paramètres généraux > Modules d'authentification et choisir CAS pour l'authentification. ../../../media/applications/glpi_logo.png ../../../media/applications/glpi_logo.png Then restart Apache. Redémarrer Apache ensuite. Note that this feature is interesting only for the Lemonldap::NG systems protecting a high number of applications Notez que cette fonctionnalité n'est intéressante que pour les systèmes Lemonldap::NG protégeant un grand nombre d'applications vi /root/SSOExtensions.pm vi /root/SSOExtensions.pm http://search.cpan.org/perldoc?CGI http://search.cpan.org/perldoc?CGI If not authenticated (or authentication is forced) try to find it (userDB module) and to authenticate it (auth module), create session, calculate groups and macros and store them. Si ce n'est pas le cas (ou si l'authentification est forcée) tente de le trouver (module userDB) et de l'authentifier (module d'authentification), crée la session, calcule les groupes et macros et les stocke General Parameters: authentication modules, portal, etc. Paramètres généraux : modules d'authentification, portail, etc... CDBI : very simple storage CDBI : stockage très simple Find other documentation on Firewall Services site. Une autre documentation est disponible sur Firewall Services site. documentation:1.4:idpopenid documentation:1.4:idpopenid portalmenu portalmenu How it works Fonctionnement http://auth.example.com/?logout=1 http://auth.example.com/?logout=1 In Manager, go in General Parameters > Authentication modules and choose Proxy for authentication and users. Dans le manager, aller dans Paramètres généraux > Modules d'authentification et choisir Proxy pour les modules authentification et utilisateurs. http://lanyrd.com/2012/ow2-con12/scbcwz/ http://lanyrd.com/2012/ow2-con12/scbcwz/ To bypass this, follow the documentation of AuthApache module Pour outrepasser ceci, suivre la documentation du module AuthApache radiusServer radiusServer Apache::Session::Browseable::MySQL doesn't use locks so performances are keeped. Apache::Session::Browseable::MySQL n'utilise pas les locks pour conserver les performances. RewriteRule ^/openidserver/.* /index.pl RewriteRule ^/openidserver/.* /index.pl To do this, go in Manager > General Parameters > Advanced Parameters > Security > Use Safe Jail and disable it. Pour ce faire, aller dans le manager > Paramètres généraux > Paramètres avancés > Sécurité > Utiliser la cage sécurisée et la désactiver. XML file is no more accepted. Les fichiers XML ne sont plus acceptés. require_once("$IP/extensions/HttpAuthPlugin.php"); require_once("$IP/extensions/HttpAuthPlugin.php"); ../../documentation/1.4/authslave.html ../../documentation/1.4/authslave.html Add on your server.xml file a new valve entry like this (in host section): Ajouter dans le fichier server.xml une nouvelle valve comme ci-dessous (dans la section host): Ohloh Ohloh http://perldoc.perl.org/Safe.html http://perldoc.perl.org/Safe.html After logout process, the user is redirected on portal, or on a configured URL. Après déconnexion, l'utilisateur est redirigé vers une URL configurée ou vers le portail. See also Voir aussi OBM_GROUPS OBM_GROUPS Third step: provide the role to the application. Troisième étape : fournir le rôle à l'application. One standard portal Un portail standard ../../documentation/1.4/soapservices.html ../../documentation/1.4/soapservices.html It returns 1 if this match, 0 else. Elle retourne 1 si c'est bon, 0 sinon. Configure Liferay virtual host like other protected virtual host. Configurer l'hôte virtuel Liferay comme n'importe quel autre hôte virtuel protégé. To install them on system: Pour les installer sur le système : If you want to require that a field is set, add ”!” before the key name : Pour imposer qu'une valeur soit renseignée, ajouter un ”!” devant le nom de clef : ../../documentation/1.4/soapsessionbackend.html ../../documentation/1.4/soapsessionbackend.html ../media/screenshots/1.0/dark/password.png?w=800&h=515 ../media/screenshots/1.0/dark/password.png?w=800&h=515 In Manager, go in General Parameters > Authentication modules and choose Facebook for authentication module. Dans le manager, allez dans Paramètres generaux > Modules d'authentification et choisissez Facebook comme module d'authentication. Twitter Twitter Password is not a common attribute. Le mot-de-passe n'est pas un attribut commun. caFile caFile /_detail/documentation/manager-authchoice.png?id=documentation%3A1.4%3Aauthchoice /_detail/documentation/manager-authchoice.png?id=documentation%3A1.4%3Aauthchoice /_detail/screenshots/1.0/pastel/portal.png?id=screenshots /_detail/screenshots/1.0/pastel/portal.png?id=screenshots ldapPort ldapPort DokuWiki is a standards compliant, simple to use Wiki, mainly aimed at creating documentation of any kind. DokuWiki est un wiki simple et standard principalement destiné à la création de documents de toute nature. user_info_class: Env or Env,CGI user_info_class: Env or Env,CGI ldapRaw ldapRaw Exported variables in the Manager Variables exportées dans le manager sed -i 's/example\.com/ow2.org/g' /etc/lemonldap-ng/* /var/lib/lemonldap-ng/conf/lmConf-1 /var/lib/lemonldap-ng/test/index.pl sed -i 's/example\.com/ow2.org/g' /etc/lemonldap-ng/* /var/lib/lemonldap-ng/conf/lmConf-1 /var/lib/lemonldap-ng/test/index.pl documentation:manager-formreplay-newdata.png documentation:manager-formreplay-newdata.png Perl Perl LDAP authentication level Niveau d'authentification LDAP http://lanyrd.com/2012/solutionslinux/sryym/ http://lanyrd.com/2012/solutionslinux/sryym/ https://auth.example.com/ https://auth.example.com/ Installation on RedHat/CentOS Installation sur RedHat/CentOS [configuration] type = RDBI dbiChain = DBI:mysql:database=lemonldap-ng;host=1.2.3.4 dbiUser = lemonldap dbiPassword = password ; optional dbiTable = mytablename [configuration] type = RDBI dbiChain = DBI:mysql:database=lemonldap-ng;host=1.2.3.4 dbiUser = lemonldap dbiPassword = password ; optional dbiTable = mytablename Go to the Manager and create a new virtual host for Dokuwiki. Aller dans le manager et créer un nouvel hôte virtuel pour Dokuwiki. Option –enctypes requires msktutil > 0.4 L'option –enctypes requiert msktutil > 0.4 ../../../media/applications/sympa_logo.png ../../../media/applications/sympa_logo.png The LDAP schema extension can be used to store this value. L'extension de schéma LDAP peut être utilisée pour stocker cette valeur. CAS identity provider Fournisseur d'identité CAS Notification activation Activation des notifications mail mail New Service Provider Nouveau fournisseur de service To make the portal start faster when the server is relaunched, add those lines in Apache configuration file (as described in portal-apache2.conf): Pour accélérer le démarrage du portail lorsque le serveur est relancé, ajoutez les lignes suivantes dans les fichiers de configuration d'Apache (tel que proposé dans portal-apache2.conf): Display other sessions : display other sessions on authentication phase, with a link to delete them. Afficher les autres sessions : affiche les autres sessions ouvertes lors de la phase d'authentification avec un lien pour les effacer. Sign-in page URL: SSO access point (HTTP-Redirect binding). Sign-in page URL: point d'accès SSO (HTTP-Redirect binding). Last name Nom When you know the key of the variable, you just have to prefix it with the dollar sign to use it, for example to test if uid variable match coudot : En connaissant le nom d'une variable, il suffit de la préfixer avec un signe dollar pour l'utiliser, par exemple pour savoir si la variable uid contient coudot : For application AAA: Pour l'application AAA : Crypt::OpenSSL::X509 Crypt::OpenSSL::X509 http://www.liferay.com/ http://www.liferay.com/ # Load AuthBasic Handler # Load AuthBasic Handler http://auth.example.com/kerberos.pl http://auth.example.com/kerberos.pl </Directory> </Directory> Key (LL::NG name) Clef (nom LL::NG) Order deny,allow Order deny,allow Upgrade to 1.0 Mise à jour vers la version 1.0 Upgrade to 1.1 Mise à jour vers la version 1.1 ../../../css/screen.css ../../../css/screen.css Upgrade to 1.2 Mise à jour vers la version 1.2 Upgrade to 1.3 Mise à jour vers la version 1.3 ../media/screenshots/1.1/mailreset/mailreset_step3.png?w=200&h=91 ../media/screenshots/1.1/mailreset/mailreset_step3.png?w=200&h=91 LemonLDAP::NG provides a proxy that can replace the use of Apache mod_proxy. LemonLDAP::NG fournit un proxy qui peut remplacer l'utilisation de mod_proxy d'Apache. "userobm_town" => "HTTP_OBM_L", "userobm_town" => "HTTP_OBM_L", The SP name is asked, enter it and click OK. Le nom de SP est demandé, entrer-le et cliquer sur OK. To use this feature only locally, edit lemonldap-ng.ini in section [all]: Pour utiliser cette fonctionnalité seulement localement, éditer lemonldap-ng.ini dans la section [all]: To configure sessions, go in Manager, General Parameters » Sessions: Pour configurer les sessions, aller dans le manager, Paramètres généraux » Sessions : ../media/logos/logo_rbn.png ../media/logos/logo_rbn.png it may be the backbone of a heterogeneous architecture. il peut être le pivot d'une architecture hétérogène. Macros and groups are calculated during authentication process by the portal: Les macros et les groupes sont calculées pendant le processus d'authentification par le portail : Go in Manager, General Parameters » Advanced Parameters » Custom functions and set: Aller dans le manager, Paramètres généraux » Paramètres avancés » Fonctions personnalisées et indiquer : Enable LL::NG sites in Apache: Activer les sites LL::NG dans Apache : [configuration] type = File dirName = /var/lib/lemonldap-ng/conf [configuration] type = File dirName = /var/lib/lemonldap-ng/conf userPivot userPivot A mail with a token is sent to user Un courriel avec une valeur est envoyé à l'utilisateur startTime startTime ktpass -princ HTTP/auth.example.com@EXAMPLE.COM -mapuser EXAMPLE.COM\ssokerberos -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -mapOp set +DesOnly -pass complicatedpassword -out c:\auth.keytab ktpass -princ HTTP/auth.example.com@EXAMPLE.COM -mapuser EXAMPLE.COM\ssokerberos -crypto DES-CBC-MD5 -ptype KRB5_NT_PRINCIPAL -mapOp set +DesOnly -pass complicatedpassword -out c:\auth.keytab globalStorage globalStorage It allows to put LL::NG::portal behind another web SSO, or behind a SSL hardware to delegate SSL authentication to that hardware. Ceci permet de metre un portail LL::NG derrière un autre web SSO, ou derrière un matériel SSL pour déléguer à ce matériel l'authentification. This parameter is set by the portal and use javascript to get the connected user timezone. Ce paramètre est géré par le portail et utilise javascript pour obtenir le fuseau de l'utilisateur connecté. DocumentRoot /var/www/html/limesurvey   </VirtualHost> DocumentRoot /var/www/html/limesurvey   </VirtualHost> Remember to change the access rule in Manager virtual host to allow new administrators. Ne pas oublier de changer la règle d'accès à l'hôte virtuel du manager pour autoriser les nouveaux administrateurs. This can be a file, an LDAP directory, … Ce peut être un fichier, en annuaire LDAP, … fullname fullname ../../documentation/1.4/configlocation.html ../../documentation/1.4/configlocation.html ../../../media/icons/neotux.png ../../../media/icons/neotux.png In Manager, go in General Parameters > Authentication modules and choose Database (DBI) for authentication, users and/or password modules. Dans le manager, aller dans Paramètres généraux > Modules d'authentification et choisir "base de données" (DBI) pour les modules authentification, utilisateurs et/ou mots-de-passe. Notifications system Systèmes de notification Then, go in Radius parameters: Ensuite, aller dans les paramètres Radius: if a user can access directly to the hidden application, it can bypass LL::NG protection Si un utilisateur peut accéder directement à l'application cachée, peut contourner la protection de LL::NG Then you got this value inside the Auth-Roles header: On les obtient dans l'en-tête Auth-Roles : applications:sympa_logo.png applications:sympa_logo.png Using notification system Utiliser le système de notification require Lemonldap::NG::Portal::SharedConf; require Lemonldap::NG::Portal::SharedConf; The SMTP server value can hold the port, for example: mail.example.com:25 La valeur du serveur SMTP peut contenir le port, par exemple : mail.example.com:25 TO lemonldap-ng-user@'10.0.0.%' IDENTIFIED BY 'myotherpassword'; TO lemonldap-ng-user@'10.0.0.%' IDENTIFIED BY 'myotherpassword'; Skin rules Règle du thème /_detail/screenshots/0.9.4/0.9.4_application_menu.png?id=screenshots /_detail/screenshots/0.9.4/0.9.4_application_menu.png?id=screenshots lemonldap-ng-testpage.png lemonldap-ng-testpage.png Sessions are stored using Apache::Session modules family. Les sessions sont stockées en utilisant les modules de la famille Apache::Session. ../pages/documentation/1.4/authfacebook.html ../pages/documentation/1.4/authfacebook.html The configuration is done in config.php: La configuration est effectuée via config.php: List: domains list (comma separated values) Liste : liste des domaines (séparés par des virgules) Backend Backend → When you upgrade from Debian Lenny with customized index.pl files, you must upgrade them. → Lors d'une mise à jour d'une Debian Lenny avec un fichier index.pl personnalisé, il faut le mettre à jour. http://sourcesup.cru.fr/projects/perlcas/ http://sourcesup.cru.fr/projects/perlcas/ ../media/screenshots/1.2/lemonldap_ng_manager_1340022440100.png?w=800&h=496 ../media/screenshots/1.2/lemonldap_ng_manager_1340022440100.png?w=800&h=496 Using this, we can do a very simple interoperability system between 2 organizations using two LL::NG structures: En utilisant ce système, on peut avoir une simple interopérabilité entre 2 organisations utilisant chacune leur système LL::NG : String::Random String::Random Authentication filter: Filter to find user from its login (default: (&(uid=$user)(objectClass=inetOrgPerson))) Filtre d'authentication : filtre pour trouver l'utilisateur à partir de son login (défaut : (&(uid=$user)(objectClass=inetOrgPerson))) High Availability Haute disponibilité reloadTime reloadTime If no proxied services defined, CAS authentication will not activate the CAS proxy mode. Si aucun service proxifié n'est défini, l'authentification CAS n'activera pas le mode proxy CAS. ../../../media/documentation/manager-formreplay-newdata.png ../../../media/documentation/manager-formreplay-newdata.png http://perldoc.perl.org/functions/exit.html http://perldoc.perl.org/functions/exit.html portalcustom portalcustom http://jira.ow2.org/browse/LEMONLDAP?selectedTab=com.atlassian.jira.plugin.system.project%3Achangelog-panel http://jira.ow2.org/browse/LEMONLDAP?selectedTab=com.atlassian.jira.plugin.system.project%3Achangelog-panel CDA activation Activation du CDA By default, the allowed days and hours is an hexadecimal value, representing each hour of the week. Par défaut, les jours et heures autorisés days and hours sont une valeur hexadécimale, représentant chaque heure de la semaine. Validation of the session: external user has now a local session Validation de la session : l'utilisateur externe dispose ainsi d'un session locale After configuring SAML Service, you can export metadata to your partner Identity Provider. Après avoir configuré le service SAML Service, exporter les metadatas vers le fournisseur d'identité partenaire. This mode allow to test LemonLDAP::NG without any third-party software. Ce mode permet de tester LemonLDAP::NG sans aucun autre programme tiers. Configuration is in /etc/lemonldap-ng La configuration se trouve dans /etc/lemonldap-ng Then, go in OpenID parameters: Ensuite, aller dans les paramètres OpenID : You can change the separator with the fileNameSeparator option, and set another value, for example @. On peut changer ce séparateur en changeant la valeur de l'option fileNameSeparator par exemple @. 'cache_root' => '/tmp',? 'cache_root' => '/tmp',? We suppose that LimeSurvey is installed in /var/www/html/limesurvey On suppose que LimeSurvey est installé dans /var/www/html/limesurvey Edit the portal virtual host to enable SSL double authentication: Éditer l'hôte virtuel du portail pour activer la double authentification SSL : Convert::PEM Convert::PEM Main parameters Paramètres principaux Then go in Manager, Virtual Hosts » virtualhost » Form replay and click on Add POST URL. Aller ensuite dans le manager, Hôtes virtuels » hôte virtuel » Rejeu de formulaires et cliquer sur Nouvelle URL POST. #perl_auto-protected_cgi #perl_auto-protected_cgi service_id lemonldapng service_id lemonldapng ldapgroups -> join(" ",($ldapgroups =~ /cn=(.*?),/g)) ldapgroups -> join(" ",($ldapgroups =~ /cn=(.*?),/g)) You can also configure the authentication level for this module. il est également possible de configurer le niveau d'authentification pour ce module. //"userobm_account_dateexp" => , //"userobm_account_dateexp" => , http://fedoraproject.org/wiki/EPEL/ http://fedoraproject.org/wiki/EPEL/ lemonldap_ng_session_explorer_1340022388573.png lemonldap_ng_session_explorer_1340022388573.png Create table: Créer la table: If no value, the default NameID format is Email. Si aucune valeur n'est indiquée, le format de NameID par défaut est Email. Form replay Rejeu de formulaires Manager theme Thème du manager AuthLDAPBindPassword "secret" AuthLDAPBindPassword "secret" Go to the Manager and create a new virtual host for MediaWiki. Aller dans le manager et créer un nouvel hôte virtuel pour Mediawiki. logos:logo-ul.png logos:logo-ul.png This requires at least Net::LDAP 0.38. Nécessite une version de Net::LDAP égale ou supérieure à 0.38. http://fr.lutece.paris.fr http://fr.lutece.paris.fr deny: nobody is welcomed deny: personne n'est autorisé SAML service configuration Configuration du service SAML LDAP password encoding Encodage de mots-de-passe LDAP Each SREG attribute will be associated to a user session key. Chaque attribut SREG est associé à une clef de session utilisateur. In Manager, go in General Parameters > Authentication modules and choose Yubikey for authentication module. Dans le manager, allez dans Paramètres generaux > Modules d'authentification et choisissez Yubikey comme module d'authentication. LimeSurvey configuration Configuration de LimeSurvey You can also add a condition. Il est possibe d'ajouter une condition. ../media/screenshots/1.0/pastel/password.png?w=200&h=128 ../media/screenshots/1.0/pastel/password.png?w=200&h=128 XSS attack detected XSS attack detected LinuxFR LinuxFR You can name your module as you want, for example SSOExtensions.pm: Le module peut être appelé à la diligence du rédacteur, par exemple SSOExtensions.pm : Standards attributes, like uid, cn or mail, are often enough to configure access rules and headers. Les attributs standards, tels uid, cn ou mail, sont souvent suffisant pour configurer les règles d'accès et en-têtes. CAS CAS //"userobm_nomade_perms" => , //"userobm_nomade_perms" => , ^/(css|js)/ ^/(css|js)/ SREG mapping: link between SREG attributes and session keys (see below). Associations SREG : liens entre les attributs SREG et les clefs de session (voir ci-dessous). ../../documentation/1.4/portalcustom.html#other_parameters ../../documentation/1.4/portalcustom.html#other_parameters For example, to send it in an header: Par exemple, pour l'envoyer dans un en-tête : GoogleApps => http://www.google.com/calendar/hosted/mydomain.org/logout GoogleApps => http://www.google.com/calendar/hosted/mydomain.org/logout You only need a reload URL per physical servers, as Handlers share the same configuration cache on each physical server. Une URL par serveur physique est nécessaire, car les agents partagent le même cache de configuration pour chaque serveur physique. To change it, go in General Parameters > Advanced Parameters > Notifications > Wildcard for all users, and set for example alluserscustom. Pour le changer, aller dans Paramètres généraux > Paramètres avancés > Notifications > Carte blanche pour tous les utilisateurs, et mettre par exemple alluserscustom. Changing the domain value will not update other configuration parameters, like virtual host names, portal URL, etc. Changer la valeur du domaine ne met pas à jour les autres paramètres tels les noms d'hôtes virtuels, l'URL du portail, etc... tchemineau@example.com tchemineau@example.com Menu modules Modules du menu # another HTML code } # autre code HTML } LemonLDAP::NG 1.0 release Sortie de LemonLDAP::NG 1.0 Lemonldap::NG::Common Lemonldap::NG::Common You will need to collect all attributes needed to create a user in OBM, this includes: Il faut collecter tous les attributs nécessaires pour créer un compte OBM : Build cookie(s) Construit le ou les cookies Sybase Sybase Below are documented internal variables. Ci-dessous sont documentées les variables internes. Common Domain Cookie Domaine commun de cookie $_auth $_auth This session backend can be used to share sessions stored in a non-network backend (like file session backend) or in a network backend protected with a firewall that only accepts HTTP flows. La backend de sessions peut être utilisé pour partager les sessions stockées dans un backend hors réseau (tel la backend de sessions File) ou un backend réseau protégé par un pare-feu qui n'accepte que le flux HTTP. Configure Sympa virtual host like other protected virtual host but protect only magic authentication URL. Configurer l'hôte virtuel Sympa comme n'importe quel autre hôte virtuel protégé mais ne protéger que l'authentification magique. On Debian/Ubuntu: Sur Debian/Ubuntu : Security Sécurité ../../documentation/1.4/applications.html ../../documentation/1.4/applications.html Use our own Debian repository. Utiliser votre propre dépôt Debian. Requested authentication context: this context is declared in authentication request. Contexte d'authentification demandé : ce contexte est déclaré dans la requête d'authentification. ../media/screenshots/1.0/pastel/password.png?w=800&h=515 ../media/screenshots/1.0/pastel/password.png?w=800&h=515 /_detail/applications/http_logo.png?id=documentation%3A1.4%3Aapplications%3Aauthbasic /_detail/applications/http_logo.png?id=documentation%3A1.4%3Aapplications%3Aauthbasic ../../documentation/1.4/prereq.html#yum ../../documentation/1.4/prereq.html#yum apply: reload URL for distant Hanlders apply : les URL de rechargement des agents distants Lemonldap::NG provides 2 SOAP servers : Lemonldap::NG fournit 2 serveurs SOAP : The Manager displays main branches: Le manager affiche des branches principales : Kinematics Cinématique end: End date (GMT) end: date de fin (GMT) ../../../../media/applications/limesurvey_logo.png ../../../../media/applications/limesurvey_logo.png Manager: used to manage LemonLDAP::NG configuration and to explore sessions. Manager: utilisé pour gérer la configuration LemonLDAP::NG et explorer les sessions. SSLEngine On SSLVerifyClient optional SSLVerifyDepth 10 SSLOptions +StdEnvVars SSLUserName SSL_CLIENT_S_DN_CN SSLEngine On SSLVerifyClient optional SSLVerifyDepth 10 SSLOptions +StdEnvVars SSLUserName SSL_CLIENT_S_DN_CN Security Assertion Markup Language Security Assertion Markup Language See also general kinematics presentation. Voir aussi la présentation de la cinématique générale. Simple Mail Transfer Protocol Simple Mail Transfer Protocol portalOpenLinkInNewWindow portalOpenLinkInNewWindow High availability Haute disponibilité # DocumentRoot # DocumentRoot documentation:1.4:applications:limesurvey documentation:1.4:applications:limesurvey http://lanyrd.com/2012/13eme-rencontres-mondiales-du-logiciel-libre/sryyt/ http://lanyrd.com/2012/13eme-rencontres-mondiales-du-logiciel-libre/sryyt/ applications:tomcat_logo.png applications:tomcat_logo.png ../../documentation/1.4/configvhost.html#lemonldapng_configuration ../../documentation/1.4/configvhost.html#lemonldapng_configuration ../pages/documentation/1.1/resetpassword.html ../pages/documentation/1.1/resetpassword.html Hello <TMPL_VAR NAME="myparam">! Hello <TMPL_VAR NAME="myparam">! auth_env_email: HTTP_AUTH_MAIL auth_env_email: HTTP_AUTH_MAIL You need Net::Twitter package, with a very recent version (>3). Vous devez installer une version récente (>3) du paquet Net::Twitter. Extended attributes and object classes use this prefix: 1.3.6.1.4.1.10943.10.2. Les attributs étendus et classes d'objet utilisent ce préfixe : 1.3.6.1.4.1.10943.10.2. CAS Session backend options Options du module de stockage CAS Prepare the LDAP server and the LL::NG configuration file Préparer le serveur LDAP et le fichier de configuration LL::NG RMLL/LSM RMLL/LSM documentation:1.4:extendedfunctions ↵ documentation:1.4:extendedfunctions ↵ LL::NG provides a special function named basic to build this header. LL::NG fournit une fonction spéciale nommée basic pour construire cet en-tête. Example: http://auth.example.com Exemple: http://auth.example.com dbiUserChain dbiUserChain Double cookie Double cookie logos:logo_ministere_justice.jpg logos:logo_ministere_justice.jpg wget https://sourcesup.cru.fr/frs/download.php/2476/AuthCAS-1.4.tar.gz wget https://sourcesup.cru.fr/frs/download.php/2476/AuthCAS-1.4.tar.gz You can now use your function in a macro, an header or an access rule, for example: Les fonctions peuvent être utilisées dans une macro, un en-tête ou une règle d'accès, par exemple: Next run ant command: Lancer ensuite la commande ant : It will be prompted if you generate keys, else you can set it in the Private key password. Il vous sera demandé à la génération de la clef ou vous pouvez l'entrer dans le champ Mot-de-passe de la clef privée. documentation:lemonldapng-sso.png documentation:lemonldapng-sso.png timeout timeout Main external databases are: Les principales bases de données externes sont : URL contains a non protected host URL contains a non protected host Redis session backend Module de stockage des sessions Redis It manages both authentication and authorization and provides headers for accounting. Il gère à la fois les authentifications et les autorisations et fournit des en-têtes HTTP pour la traçabilité. VHOSTLISTEN: how listen parameter is configured for virtual hosts in Apache (default: *:80) VHOSTLISTEN : comment est configuré le paramètre d'écoute des hôtes virtuels dans Apache (défaut : *:80) CAS (authentication module) CAS (module d'authentification) You need Net::Facebook::Oauth2 package. La paquet Net::Facebook::Oauth2 est nécessaire. MRTG monitoring Supervision MRTG Deny from all Deny from all icons:flags:us.png icons:flags:us.png remoteCookieName remoteCookieName documentation:googleapps-menu.png documentation:googleapps-menu.png If Multi is used for authentication and user database, it will try to use the same module. Si Multi est utilisé pour l'authentification et la base utilisateurs, il essaiera d'utiliser le même module. ^/(?i)index.php\?.*access=admin ^/(?i)index.php\?.*access=admin Simple Object Access Protocol Simple Object Access Protocol Display: As Google Apps is not a protected application, set to On to always display it Display : comme Google Apps n'est pas une application protégée, indiquer On pour toujours l'afficher Offline Hors ligne http://www.slideshare.net/coudot/lemonldapng-un-websso-libre http://www.slideshare.net/coudot/lemonldapng-un-websso-libre /_detail/screenshots/1.0/dark/password.png?id=screenshots /_detail/screenshots/1.0/dark/password.png?id=screenshots "userobm_firstname" => "HTTP_OBM_GIVENNAME", // "userobm_title" => "HTTP_OBM_TITLE", "userobm_firstname" => "HTTP_OBM_GIVENNAME", // "userobm_title" => "HTTP_OBM_TITLE", This is a security point, to prevent someone to create a session by sending custom headers. Il s'agit d'un élément de sécurité pour éviter à quelqu'un de créer une session en envoyant des en-têtes personnalisés. SAML service configuration is a common step to configure LL::NG as SAML SP or SAML IDP. La configuration du service SAML est une étape commune pour configurer LL::NG comme fournisseur de service SAML (SP) ou fournisseur d'identité SAML (IDP). "userobm_phone" => "HTTP_OBM_TELEPHONENUMBER", "userobm_phone" => "HTTP_OBM_TELEPHONENUMBER", [lemonldap-ng] name=LemonLDAP::NG packages baseurl=http://lemonldap-ng.org/rpm/ enabled=1 gpgcheck=1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-OW2 [lemonldap-ng] name=LemonLDAP::NG packages baseurl=http://lemonldap-ng.org/rpm/ enabled=1 gpgcheck=1 gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-OW2 $uid eq “root” $uid eq “root” ../../../documentation/1.4/configvhost.html ../../../documentation/1.4/configvhost.html New code: Nouveau code: Google Apps has a configuration parameter to redirect user on a specific URL after Google Apps logout (see Google Apps control panel). Google Apps ne dispose pas de paramètre de configuration pour rediriger les utilisateurs vers une URL spécifique après la déconnexion Google Apps (voir Google Apps control panel). http://www.jdll.org/node/206 http://www.jdll.org/node/206 You should now use the Manager to configure all applications and categories, and then comment or remove the applicationList parameter from /etc/lemonldap-ng/lemonldap-ng.ini. Il est désormais possible d'utiliser le manager pour configurer toutes les applications et catégories, ensuite commenter ou supprimer le paramètre applicationList de /etc/lemonldap-ng/lemonldap-ng.ini. XSS checks will still be done with warning in logs, but this will not prevent the process to continue. Le contrôle XSS continuera à être effectué mais avec seulement des avertissements dans les journaux sans empêcher le processus de continuer. Gaultier HUBERT Gaultier HUBERT applications:liferay_logo.png applications:liferay_logo.png Form page URI: /login.php URI de la page de formulaire : /login.php Login history Historique de connexion Google Apps Google Apps syntax (optional): hexadecimal (default) or octetstring syntax (optionnel) : hexadecimal (défaut) ou octetstring SSO and Application logout: the request is forwarded to application and SSO session is closed Déconnexion SSO et applicative: la requête est transmise à l'application et la session SSO est fermée Redirect: redirect user on protected application or on Portal (applications menu) Redirect: redirect user on protected application or on Portal (applications menu) Manager interface: all messages are grouped in lemonldap-ng-manager/lib/Lemonldap/NG/Manager/_i18n.pm. L'interface du Manager: tous les messages sont regroupés dans lemonldap-ng-manager/lib/Lemonldap/NG/Manager/_i18n.pm. ../pages/documentation/1.1/redirections.html ../pages/documentation/1.1/redirections.html SMTPAuthPass SMTPAuthPass Override logging functions Surcharger les fonctions de journalisation Set SOAP parameter to true in the configuration using the manager: the portal will become a SOAP server Mettre le paramètre SOAP à "activé" dans la configuration en utilisant le manager : le portail devient un serveur SOAP <property name="principalRequestHeader" value="Auth-User"/> <property name="principalRequestHeader" value="Auth-User"/> documentation:1.4:loginhistory documentation:1.4:loginhistory Dates Dates X509 X509 Integrate existing applications Integrer des applications existantes Available parameters are: Paramètres disponibles : Go to the Manager and create a new virtual host for Bugzilla. Aller dans le manager et créer un nouvel hôte virtuel pour Bugzilla. Delay between check of local configuration Delai entre 2 examens de la configuration locale PerlOptions +GlobalRequest PerlRequire /usr/local/lemonldap-ng/handler/MyHandler.pm PerlOptions +GlobalRequest PerlRequire /usr/local/lemonldap-ng/handler/MyHandler.pm documentation:manager-saml-service-authn-contexts.png documentation:manager-saml-service-authn-contexts.png ../../documentation/1.4/performances.html#apachesession_performances ../../documentation/1.4/performances.html#apachesession_performances Order allow,deny Order allow,deny ServerName sympa.example.com   ServerName sympa.example.com   mkdir /usr/local/lemonldap-ng/notifications/ chown www-data /usr/local/lemonldap-ng/notifications/ mkdir /usr/local/lemonldap-ng/notifications/ chown www-data /usr/local/lemonldap-ng/notifications/ CDA is set if the handler is not in the same domain Le CDA ne fonctionne que si l'agent n'est pas dans le même domaine This allows to use different databases for these process. Ceci autorise à utiliser deux bases de données différentes pour ces deux processus. Erwan LEGALL Erwan LEGALL POD unit tests Tests unitaires POD Secure Token Handler Agent jeton sécurisé Edit configuration Editer la configuration presentation presentation 0.9.4_password_reset.png 0.9.4_password_reset.png Hide old password: used only if the password need to be reset by the user (LDAP password policy), will hide the old password input Masque l'ancien mot-de-passe : utilisé seulement si le mot-de-passe doit être réinitialisé par l'utilisateur (politique de mots-de-passe LDAP), masque l'ancien mot-de-passe dans le formulaire Renew authentication: force authentication renewal on CAS server Renouveler l'authentification : force le renouvellement de l'authentification sur le serveur CAS dbiChain: DBI connection. dbiChain : chaîne de connexion DBI. ../pages/documentation/1.1/idpcas.html ../pages/documentation/1.1/idpcas.html https https Logout forward Propagation de déconnexion cn=ssokerberos,cn=users,dc=example,dc=com: DN of AD technical account cn=ssokerberos,cn=users,dc=example,dc=com : DN du compte AD technique documentation:latest:prereq documentation:latest:prereq Operating System Système d'exploitation Cookie security Sécurité du cookie Example 1: two tables Exemple 1 : deux tables documentation:lasso.png documentation:lasso.png Modules Modules Use rule: a rule to allow user to use this module, set to 1 to always allow. Règle d'utilisation : une règle pour autoriser l'usage de ce module, mettre 1 pour toujours l'autoriser. Email::Date::Format Email::Date::Format ../../../media/documentation/manager-saml-idp-list.png ../../../media/documentation/manager-saml-idp-list.png /_detail/icons/personal.png?id=contact /_detail/icons/personal.png?id=contact You must also install the database connector (DBD::Oracle, DBD::Pg,…) Il faut également installer le connecteur à la base de données (DBD::Oracle, DBD::Pg,…) ../pages/documentation/conferences.html ../pages/documentation/conferences.html //"userobm_nomade_datebegin" => , //"userobm_nomade_datebegin" => , Configuration backend parameters Paramètres des backends de configuration To summary available options: Pour résumer les options disponibles : External user clicks to be redirected to the remote type portal L'utilisateur externe clique pour être redirigé vers le second portail user email Email de l'utilisateur A little macro: Une petite macro : AuthType Basic AuthType Basic Mail sender: address seen in the “From” field (default: noreply@[DOMAIN]) Expéditeur : adresse vue dans le champ “From” (défaut : noreply@[DOMAINE]) User password is now available in $_password variable. Le mot-de-passe utilisateur est désormais disponible dans la variable $_password. ../media/screenshots/0.9.3/lemonldap-ng-portal-auth.png?w=800&h=622 ../media/screenshots/0.9.3/lemonldap-ng-portal-auth.png?w=800&h=622 With the above solution, all the Drupal site will be protected, so no anonymous access will be allowed. Avec la solution ci-dessus, tout le site Drupal sera protégé, ainsi aucun accès anonyme ne sera autorisé. Authentication with Kerberos Authentification avec Kerberos A web browser launched from the computer (to access localhost) Un navigateur web lançé depuis ce serveur (pour accéder à la boucle locale) ../../documentation/1.4/start.html#sessions_databases ../../documentation/1.4/start.html#sessions_databases using Apache authentication system (used for SSL, Kerberos, HTTP basic authentication, …) utilisant le système d'authentification d'Apache (utilisé pour SSL, Kerberos, l'authentification HTTP basique, …) Translators Translators //"userobm_local" => , //"userobm_local" => , These parameters can be configured in Manager, in General Parameters > Advanced parameters > Handler redirections. Cesparamètres peuvent être configurés dans le manager, dans Paramètres généraux > Paramètres avancés > Redirections des agents. Password modify extended operation: enable to use the LDAP extended operation password modify instead of standard modify operation. Opération étendue de modification de mot-de-passe : active l'utilisation de l'opération étendue de modification de mot-de-passe LDAP au lieu de l'opération standard. Value: SREG attribute name: Valeur : noms d'attributs SREG : my $portal = Lemonldap::NG::Portal::SharedConf->new( my $portal = Lemonldap::NG::Portal::SharedConf->new( Zimbra also features archiving and discovery for compliance. Zimbra propose aussi l'archivage et discovery for compliance. ProxyPassReverseCookieDomain private-name application.example.com   ProxyPassReverseCookieDomain private-name application.example.com   Official repository Dépôt officiel Go to the Manager and create a new virtual host for Liferay. Aller dans le manager et créer un nouvel hôte virtuel pour Liferay. Page URL: URL of password reset page (default: [PORTAL]/mail.pl) URL de la page : URL de la page de réinitialisation de mot-de-passe (défaut : [PORTAL]/mail.pl) http://search.cpan.org/perldoc?Apache::Session::Browseable http://search.cpan.org/perldoc?Apache::Session::Browseable ~150 ~150 one unsecured for other applications un non-sécurisé pour les autres applications timezone timezone You can use #PORTAL# in values to replace the portal URL. Vous pouvez utiliser le mot clef #PORTAL# dans les valeurs pour remplacer l'URL du portail. </IfModule> </IfModule> Do not restrict /public/ Ne pas restreindre /public/ Allow from all Allow from all Authentication, Authorization and Accounting (AAA) mechanisms Mécanismes d'authentification, d'autorisation et de traçabilité (AAA) Zimbra can be deployed on-premises or as a hosted email solution. Zimbra peut être déployé sur site ou hébergé telle une messagerie. Slave Slave cd trunk cd trunk Mail From address Adresse source des messages documentation:1.4:jsonfileconfbackend documentation:1.4:jsonfileconfbackend LemonLDAP::NG can also use syslog (only for user actions). LemonLDAP::NG peut également utiliser syslog (seulement pour les actions utilisateurs). mailreset_step2.png mailreset_step2.png logout_sso, logout_app, logout_app_sso: catch logout request logout_sso, logout_app, logout_app_sso: intercepte les requêtes de déconnexion http://www.facebook.com/home.php?#!/pages/LemonldapNG/328254254936 http://www.facebook.com/home.php?#!/pages/LemonldapNG/328254254936 American Standard Code for Information Interchange American Standard Code for Information Interchange For example, we change it to ow2.org: Par exemple, pour le changer en ow2.org: Configure the portal to use the remote LL::NG structure. Configurer le portail pour qu'il utilise le système LL::NG distant. ../../documentation/1.4/applications/liferay.html ../../documentation/1.4/applications/liferay.html APACHEGROUP: group running Apache APACHEGROUP: groupe de fonctionnement d'Apache Use extended functions Utiliser les fonctions étendues field varchar(255) NOT NULL DEFAULT '', field varchar(255) NOT NULL DEFAULT '', ../../documentation/1.4/notifications.html ../../documentation/1.4/notifications.html email email <VirtualHost _default_:443> ServerName auth.example.com SSLEngine on SSLCertificateFile ... <VirtualHost _default_:443> ServerName auth.example.com SSLEngine on SSLCertificateFile ... /_detail/documentation/status_standard.png?id=documentation%3A1.4%3Astatus /_detail/documentation/status_standard.png?id=documentation%3A1.4%3Astatus Identity Provider Fournisseur d'identité Sympa is a mailing list manager. Sympa est un gestionnaire de listes de diffusion. <text>: paragraph to display: will be inserted in HTML page enclosed in <p class=“notifText”>…</p> <text> : paragraphe à afficher : sera inséré dans la page HTML encadré dans <p class=“notifText”>…</p> http://toolinux.com/Sortie-de-LemonLDAP-NG-1-1 http://toolinux.com/Sortie-de-LemonLDAP-NG-1-1 documentation documentation http://toolinux.com/Sortie-de-LemonLDAP-NG-1-0 http://toolinux.com/Sortie-de-LemonLDAP-NG-1-0 These parameters can be configured in Manager, in General Parameters > Advanced parameters > Handler redirections: Ces paramètres peuvent être configurés dans le manager, dans Paramètres généraux > Paramètres avancés > Redirections des agents: # Load SecureToken Handler # Charge l'agent SecureToken lemonldap-ng-portal-appslist.png lemonldap-ng-portal-appslist.png Use custom functions Utiliser les fonctions personnalisées ../../../media/documentation/manager-saml-private-key.png ../../../media/documentation/manager-saml-private-key.png sudo make postconf sudo make postconf Display applications list Affiche la liste des applications Session restrictions will not work Les restrictions de session ne fonctionnent pas Net::OpenID::Server > 1.00 Net::OpenID::Server > 1.00 Else, all data are copied in the session database. Sinon, toutes les données sont copiées. _idp _idp You have to update them by yourself. Il faut les mettre à jour soi-même. Then create symbolic links on template files, as you might not want to rewrite all HTML code (else, do as you want). Créer ensuite des liens symboliques pour éviter de réécrire tous les fichiers HTML (sauf si c'est souhaité). Change password URL: where users can change their password. Change password URL: où les utilisateurs peuvent changer leur mot-de-passe. ProxyPassReverse / http://hiddenappl1.example.com/ ProxyPassReverse / http://hiddenappl1.example.com/ sessions/: read only access to sessions (enough for distant Handlers) sessions/ : accès en lecture seule aux sessions (suffisant pour les agents distants) Allow from 127.0.0.0/8 Allow from 127.0.0.0/8 To refresh it, you have to set an handler on the same server to use the refresh mechanism or to restart the server after each configuration change. Pour la rafraîchir, il faut installer un agent (handler) sur le même serveur pour utiliser le mécanisme de rafraîchissement ou redémarrer le serveur à chaque changement. <user username="tomcat" password="tomcat" roles="tomcat"/> <user username="tomcat" password="tomcat" roles="tomcat"/> 'cache_depth' => 5,? 'cache_depth' => 5,? # ... } # ... } You can add this object class to any entry of your directory. Cette classe d'objets peut être ajoutée à toute entrée de l'annuaire. ../../documentation/1.4/applications/obm.html ../../documentation/1.4/applications/obm.html RDBI : triple store storage RDBI : stockage en triplets references.html references.html /_detail/icons/knewsticker.png?id=contact /_detail/icons/knewsticker.png?id=contact ../../documentation/1.4/performances.html#handler_performance ../../documentation/1.4/performances.html#handler_performance Allow from 127.0.0.0/8 Allow from 127.0.0.0/8 The common domain is used by SAML SP to find an Identity Provider for the user, and by SAML IDP to register itself in user's IDP list. Le domaine commun est utilisé par le SP SAML pour trouver le fournisseur d'identité de l'utilisateur et par l'IdP SAML pour s'enregistrer dans la liste des IDP. Configure LDAP configuration backend in lemonldap-ng.ini, section [configuration]: Configurer la backend de configuration LDAP dans lemonldap-ng.ini, section [configuration] : Several extensions allows to configure SSO on MediaWiki: Plusieurs extensions permettent de configurer le SSO dans MediaWiki : # For MediaWiki >= 1.13 #$wgHooks['UserLoadFromSession'][] = array($wgAuth,'autoAuthenticate'); } # For MediaWiki >= 1.13 #$wgHooks['UserLoadFromSession'][] = array($wgAuth,'autoAuthenticate'); } Attribute to store: the session key that will be stored in Memcached. Attribut à stocker : la clef de session qui doit être stockée dans Memcached. Conferences Conférences ../../../media/documentation/lemonldap-ng-packages.png ../../../media/documentation/lemonldap-ng-packages.png Run this to update packages cache: Lancer ceci pour rafraîchir le cache : Menu modules display Affichage des modules du menu http://event.appsec-forum.ch/27-oct-appsec-conferences/#c1 http://event.appsec-forum.ch/27-oct-appsec-conferences/#c1 Redirection to the portal of the main area and normal authentication (if not done before) Redirection vers le portail principal et authentification normale (sauf si déjà faite) Close kerberos connection: Fermer la connexion kerberos : Roles are entries, below branches representing applications. Les rôles sont des entrées, les branches subordonnées représentant les applications. You can enter a password to protect private key with a password. Vous pouvez entrer un mot de passe de protection de la clef privée. 0.9.3 0.9.3 0.9.4 0.9.4 A click on a key will display the associated value. Un click sur la clef affiche la valeur associée. http://www.admin-magazin.de/News/Single-Sign-on-im-Web-mit-LemonLDAP-NG-1.1 http://www.admin-magazin.de/News/Single-Sign-on-im-Web-mit-LemonLDAP-NG-1.1 BrowserID BrowserID secureTokenHeader secureTokenHeader mailSessionKey mailSessionKey authentication authentification URL for mail reset URL pour la réinitialisation par courriel IO::String IO::String You can also adapt Apache access control: On peut également adapter le contrôle d'accès d'Apache : http://help.sap.com/saphelp_nw70/helpdata/en/d0/a3d940c2653126e10000000a1550b0/frameset.htm http://help.sap.com/saphelp_nw70/helpdata/en/d0/a3d940c2653126e10000000a1550b0/frameset.htm lemonldap-ng-test: contains sample CGI test page lemonldap-ng-test : contient une simple page CGI de test http://wiki.zimbra.com/index.php?title=Preauth http://wiki.zimbra.com/index.php?title=Preauth macros macros Go on Drupal administration interface and enable the Webserver Auth module. Aller dans l'interface administration et activer le module Webserver Auth. vi /etc/apt/sources.list.d/lemonldap-ng.list vi /etc/apt/sources.list.d/lemonldap-ng.list Portal Portail icons:terminal.png icons:terminal.png Nantes Nantes Drivers Drivers Proxy portal URL URL du portail mandataire /usr/share/lemonldap-ng/bin/lmConfigEditor /usr/share/lemonldap-ng/bin/lmConfigEditor OBM is shipped with a LL::NG plugin with these features: OBM est livré avec un composant LL::NG apportant les fonctionnalités suivantes : First check and install the prerequisites. D'abord vérifier et installer les pré-requis. _userDB _userDB These parameters can be overwritten in LemonLDAP::NG ini file, in the section apply. Ces paramètres peuvent être surchargés dans le fichier ini de LemonLDAP::NG ini file, à la section apply. Macros and groups are stored in session database. Les macros et les groupes sont stockées dans la base de données des sessions. CREATE TABLE sessions ( CREATE TABLE sessions ( External portal Portail externe Modify the portal virtual host: Modifier l'hôte virtuel du portail : Read-only functions (index.pl/sessions or index.pl/adminSessions paths): Fonctions en lecture seule (chemins index.pl/sessions ou index.pl/adminSessions) : Please use lmMigrateConfFiles2ini to migrate your menu configuration Please use lmMigrateConfFiles2ini to migrate your menu configuration You can use Null backend to bypass some authentication process steps. Le backend Null peut être utilisé pour sauter des étapes du processus d'authentication. globalStorageOptions globalStorageOptions User name session field Champ de session stockant le nom d'utilisateur Installation on RHEL/CentOS with packages Installation sur RHEL/CentOS avec les paquets Portal URL URL du portail TikiWiki, … TikiWiki, … PerlSetVar LmProxyPass http://APPLICATION/ PerlSetVar LmProxyPass http://APPLICATION/ activate CDA in General Parameters » Cookies » Multiple domains activer le CDA dans Paramètres généraux » Cookies » Domaines multiples All Apache::Session style modules are useable except for some features. Tous les modules de type Apache::Session sont utilisables excepté pour quelques fonctionnalités. By default, user will be redirected on portal if no URL defined, or on the specified URL if any. Par défaut, l'utilisateur est redirigé vers le portail si aucune URL n'est définie ou vers l'URL indiquée sinon. ldap://localhost ldap://localhost The LDAP schema extension can be used to store these values L'extension de schéma LDAP peut être utilisée pour stocker ces valeurs. Sessions SOAP end points access must be allowed in Apache portal configuration (for example, access by IP range): Les terminaisons SOAP des sessions doivent être autorisées dans la configuration Apache du portail (par exemple, accès par plage IP) : start Commencer SSOExtensions::function1 SSOExtensions::function1 Note that since HTTP protocol is not connected, restrictions are not applied to the new session: the oldest are destroyed. NB : comme le protocole HTTP n'est pas connecté, les restrictions ne sont pas appliquées à la nouvelle session : les anciennes sont détruites. ../../documentation/1.4/redirections.html ../../documentation/1.4/redirections.html LemonLDAP::NG - Offline Version LemonLDAP::NG - Version hors-ligne /_detail/documentation/googleapps-menu.png?id=documentation%3A1.4%3Aapplications%3Agoogleapps /_detail/documentation/googleapps-menu.png?id=documentation%3A1.4%3Aapplications%3Agoogleapps SSO on OBM web interface SSO sur l'interface web d'OBM Package GPG signature Signature GPG des paquets portalAntiFrame portalAntiFrame documentation:1.4:memcachedsessionbackend documentation:1.4:memcachedsessionbackend Portal performances Performances du portail tree_dark.png tree_dark.png Consent to share attribute id trough OpenID Consentement de partage de l'attribut id via OpenID ldapChangePasswordAsUser ldapChangePasswordAsUser http://en.wikipedia.org/wiki/Outlook_Web_App http://en.wikipedia.org/wiki/Outlook_Web_App As described in performances chapter, you can use macros, local macros,… Comme indiqué au chapître performances, on peut utiliser des macros, macros locales,… Error log: all messages emitted by the program, depending on the configured log level Journaux d'erreur (ErrorLog) : tous les messages emis par le programme, suivant le niveau de journalisation configuré (LogLevel) PostGreSQL PostGreSQL http://www.linpki.org/projects/linshare/wiki/HttpHeaderSSOEN http://www.linpki.org/projects/linshare/wiki/HttpHeaderSSOEN documentation:1.4:applications:tomcat documentation:1.4:applications:tomcat ldapServer => 'ldaps://ad.example.com', ldapServer => 'ldaps://ad.example.com', Configuration backend can be set in the local configuration file, in configuration section. Le backend de configuration peut être indiqué dans le fichier local de configuration, dans la section configuration. http://www.slideshare.net/coudot/rmll-2011-websso http://www.slideshare.net/coudot/rmll-2011-websso ../../documentation/1.4/authldap.html#schema_extension ../../documentation/1.4/authldap.html#schema_extension It is recommended to secure the channel between reverse-proxies and application to be sure that only request coming from the LL::NG protected reverse-proxies are allowed. Il est donc recommandé de sécurisé le canal entre le proxy inverse et l'application pour être sûr que seules les requêtes issues des proxies inverses protégés par LL::NG sont autorisées. These files must be included in Apache configuration, either with Include directives in httpd.conf (see quick start example), or with symbolic links in Apache configuration directory (like /etc/httpd/conf.d). Ces fichiers doivent être inclus dans la configuration d'Apache, soit par des directives Include dans le fichier httpd.conf (voir démarrage rapide), ou via un lien symbolique dans de répertoire de configuration d'Apache (type /etc/httpd/conf.d). Protection scheme Schéma de protection /_detail/screenshots/1.1/mailreset/mailreset_step1.png?id=screenshots /_detail/screenshots/1.1/mailreset/mailreset_step1.png?id=screenshots Then go in Manager, General Parameters » Advanced Parameters » Password management: Aller dans le manager, Paramètres généraux » Paramètres avancés » Gestion des mots-de-passe : Uncheck it to disable SAML authentication (for example, if your Identity Provider is down). Le désélectionner désactive l'authentification SAML (à utiliser, si votre fournisseur d'identité est hors service). Alphabetical Index Index alphabétique Since version 0.9.4, LemonLDAP::NG can be used to notify some messages to users: if a user has a message, the message will be displayed when he will access to the portal. Depuis la version 0.9.4, LemonLDAP::NG peut être utilisé pour notifier des messages aux utilisateurs : si un utilisateur a un message, celui-ci est affiché lorsqu'il accède au portail. ../../../../media/applications/tomcat_logo.png ../../../../media/applications/tomcat_logo.png 1800+ 1800+ The real accounting has to be done by the application itself since SSO logs can not understand transactions. La réelle traçabilité doit être faite par l'application elle-même car les journaux du SSO ne peuvent interprêter les transactions. Control asked URL: prevent XSS attacks and bad redirections Control asked URL: prevent XSS attacks and bad redirections lemonldap-ng-changes@ow2.org lemonldap-ng-changes@ow2.org Schema Schéma Secure Token allow requests in error Le jeton sécurisé autorise les requêtes en cas d'erreur ../media/icons/chat.png ../media/icons/chat.png AuthUserFile /usr/local/apache/passwd/passwords AuthUserFile /usr/local/apache/passwd/passwords Imported from an LDAP directory Importés d'un serveur LDAP Offline 0.1 Hors-ligne 0.1 ~100 ~100 Check SSO message signature: check SSO message signature Vérification de la signature des messages SSO : vérifie la signature des messages SSO ../pages/documentation/1.1/passwordstore.html ../pages/documentation/1.1/passwordstore.html ../../../../media/applications/spring_logo.png ../../../../media/applications/spring_logo.png You should be able to find a package for your distribution with a little search on the web. Il est possible de trouver un paquet pour beaucoup de distributions avec une petite recherche sur le web. start start Value: $sn + ”, ” + $gn Valeur: $sn + ”, ” + $gn Then use openssl to generate an auto-signed certificate: Ensuite, utiliser openssl pour générer un certificat auto-signé : # Values: TEXT # ignoreregex = # Values: TEXT # ignoreregex = documentation:1.4:authsaml documentation:1.4:authsaml Target URL: /process.php URL cible : /process.php aaaRole => ((grep{/ou=aaa/} split(';',$ssoRoles))[0] =~ /ou=(.*),ou=aaa/)[0] aaaRole => ((grep{/ou=aaa/} split(';',$ssoRoles))[0] =~ /ou=(.*),ou=aaa/)[0] You can then use this default SSL configuration, for example in the head of /etc/lemonldap-ng/portal-apache2.conf: Il est possible d'utiliser cette configuration SSL par défaut, par exemple en tête de /etc/lemonldap-ng/portal-apache2.conf : /_detail/applications/googleapps_logo.png?id=documentation%3A1.4%3Aapplications%3Agoogleapps /_detail/applications/googleapps_logo.png?id=documentation%3A1.4%3Aapplications%3Agoogleapps Each configuration will be represented as an entry, which structural objectClass is applicationProcess. Chaque configuration est représentée par une entrée, dont l'objectClass structurel est applicationProcess. You can use different type of access: SQL, File or LDAP for servers in secured network and SOAP for remote servers. On peut utiliser différent typed d'accès : SQL, File or LDAP pour les serveurs se trouvant sur le réseau sécurisé et SOAP pour les autres. LDAP modify password reset attribute Utiliser l'attribut de réinitialisation de mot-de-passe LDAP Yverdon Yverdon When the user accept the notification, the reference is stored in his persistent session. Lorsque l'utilisateur accepte la notification, la référence est stockée dans ses données de session persistentes. http://www.dailymotion.com/video/xvom9l_ow2con-12-clement-oudot_tech?search_algo=2#.UR31OX1m1iU http://www.dailymotion.com/video/xvom9l_ow2con-12-clement-oudot_tech?search_algo=2#.UR31OX1m1iU static: 'StaticValue' (a static value) static: 'StaticValue' (une valeur statique) lemonldap-ng-doc: contains HTML documentation and project docs (README, etc.) lemonldap-ng-doc : contient la documentation HTML et celle du projet (README, etc...) RewriteEngine On RewriteEngine On EXAMPLE.COM: Kerberos realm EXAMPLE.COM : royaume Kerberos skip skip This is the default configuration backend. C'est le backend de configuration par défaut. SSLCertificateKeyFile ... SSLCertificateKeyFile ... warn for failed authentications warn pour les échecs d'authentifications Authentication protocols Authentication protocols ../../../media/applications/dokuwiki_logo.png ../../../media/applications/dokuwiki_logo.png ../../../../media/applications/zimbra_logo.png ../../../../media/applications/zimbra_logo.png Cross Site Scripting Cross Site Scripting http://www.jasig.org/cas/protocol http://www.jasig.org/cas/protocol Comments can be used to order your rules: rules are applied in the alphabetical order of comment (or regexp in there is no comment). Les commentaires peuvent être utilisés pour ordonner les règles : elles sont appliquées dans l'ordre alphabétique des commentaires (ou des expressions régulières à défaut de commentaire). Contributions Contributions LemonLDAP::NG is written in Perl and requires a lot of Perl dependencies. LemonLDAP::NG est écrit en Perl et nécessite de nombreuses dépendances Perl. http://lanyrd.com/2011/confoo/sddcy/ http://lanyrd.com/2011/confoo/sddcy/ LL::NG can protect any Apache hosted application including Apache reverse-proxy mechanism. LL::NG peut protéger toute application hébergée par Apache y compris le mécanisme de proxy inverse d'Apache. all: parameters for all modules all : paramètres pour tous les modules # special html code for admins } else { # code html spécial pour les administrateurs } else { For example, in portal/index.pl: Par exemple, dans portal/index.pl: User table Table utilisateurs The basic function will also force conversion from UTF-8 to ISO-8859-1, which should be accepted by most of HTTP servers. La fonction basic force la conversion des caractères UTF-8 en ISO-8859-1, qui peut être accepté par la plupart des serveurs HTTP. See http://httpd.apache.org/docs/2.2/mod/core.html#loglevel for more information. Voir http://httpd.apache.org/docs/2.2/mod/core.html#loglevel pour plus d'information. EXAMPLE.COM = { EXAMPLE.COM = { Mail, Agenda, Groupware Mail, Agenda, Groupware documentation:1.4:authwebid documentation:1.4:authwebid yubikeyPublicIDSize yubikeyPublicIDSize Add it to trustedDomains (or set * in trustedDomains to accept all). L'ajouter à trustedDomains (ou mettre * dans trustedDomains pour tout accepter). Configure attributes: Configurer les attributs : Insertion example in Perl Exemple d'insertion en Perl If one is missing, the user is not created. Si l'un est manquant, le compte ne sera pas créé. So to improve performances, avoid too complex rules by using the macro or the groups or local macros. Donc pour augmenter les performances, évitez les règles trop complexes en utilisant les macros, groupes ou macros locales. Then use the SiteMinder tab to configure SSO: Utiliser ensuite le paragraphe SiteMinder pour configurer le SSO : SetHandler perl-script SetHandler perl-script Order deny,allow Order deny,allow documentation:1.4:passwordstore documentation:1.4:passwordstore WebID WebID These regular expressions read the 'ou' value of the DN of the role of the concerned application. Ces expressions régulières lisent la valeur 'ou' du DN du rôle de l'application concernée. Reply address Adresse de réponse # configuration change # la configuration est changée and edit /etc/fail2ban/filter.d/lemonldap.conf et editer /etc/fail2ban/filter.d/lemonldap.conf Save the configuration and exit the Manager. Sauver la configuration et quitter le manager. Now configure all SAML parameters: Puis configurer tous les paramètres SAML : /_detail/documentation/lasso.png?id=documentation%3A1.4%3Asamlservice /_detail/documentation/lasso.png?id=documentation%3A1.4%3Asamlservice See the following chapters: Voir les chapîtres suivants : ---- ---- /_detail/screenshots/0.9.4/0.9.4_password_reset.png?id=screenshots /_detail/screenshots/0.9.4/0.9.4_password_reset.png?id=screenshots include /usr/share/lemonldap-ng/ressources/sso.schema include /usr/share/lemonldap-ng/ressources/sso.schema documentation:1.4:performances documentation:1.4:performances Header value Valeur d'en-tête DataSource DataSource File location Emplacement du fichier documentation:features documentation:features Check last logins: displays a checkbox on login form, allowing user to check his login history right after opening session Vérifier l'historique : affiche une case à cocher sur le formulaire d'authentification permettant à l'utilisateur d'examiner son historique de connexion après l'ouverture de la session ../media/screenshots/1.1/notifications/sample_notification.png?w=200&h=84 ../media/screenshots/1.1/notifications/sample_notification.png?w=200&h=84 ldapServer: LDAP URI of the server ldapServer: URI LDAP du serveur Portal produce a notice message in Apache logs or syslog when a user authenticates (or fails to authenticate) and logs out. Le portail génère un message de niveau notice dans les journaux d'Apache ou dans syslog lorsqu'un utilisateur d'authentifie (ou échoue) ou se déconnecte. ../../documentation/1.4/authcas.html ../../documentation/1.4/authcas.html //"userobm_gid" => "HTTP_OBM_GID", //"userobm_gid" => "HTTP_OBM_GID", SHA1 SHA1 ../../documentation/1.4/applications/django.html ../../documentation/1.4/applications/django.html /_detail/documentation/manager-saml-service-sp-slo.png?id=documentation%3A1.4%3Asamlservice /_detail/documentation/manager-saml-service-sp-slo.png?id=documentation%3A1.4%3Asamlservice Access rules: check user's right on URL patterns Des règles d'accès : examine les droits de l'utilisateur via des expressions sur les URL ../pages/documentation/1.1/applications/spring.html ../pages/documentation/1.1/applications/spring.html install_manager_site (/usr/local/lemonldap-ng/htdocs/manager) install_manager_site (/usr/local/lemonldap-ng/htdocs/manager) type = LDAP ldapServer = ldap://localhost ldapConfBase = ou=conf,ou=applications,dc=example,dc=com ldapBindDN = cn=manager,dc=example,dc=com ldapBindPassword = secret type = LDAP ldapServer = ldap://localhost ldapConfBase = ou=conf,ou=applications,dc=example,dc=com ldapBindDN = cn=manager,dc=example,dc=com ldapBindPassword = secret RewriteRule ^/(.*)$ http://admindrupal.example.com/$1 [R]   RewriteRule ^/(.*)$ http://admindrupal.example.com/$1 [R]   Register LemonLDAP::NG on partner Identity Provider Enregistrer LemonLDAP::NG dans le fournisseur d'identité partenaire One or more roles (to send to the protected applications) Un ou plusieurs rôles (à envoyer aux applications protégées) No parameters needed. Aucun paramètres n'est requis. ../media/screenshots/1.2/authentication_portal_1340022292201.png?w=200&h=125 ../media/screenshots/1.2/authentication_portal_1340022292201.png?w=200&h=125 Lemonldap::NG handlers use a local cache to store sessions (for 10 minutes). Les agents (handlers) Lemonldap::NG utilisent un cache local pour stocker les sessions (pour 10 minutes). For example, if these rules are used without comments: Par exemple, si ces règles sont utilisées sans commentaires : You can fix default values by editing these values in lemonldap-ng.ini, section manager: On peut fixer les valeurs par défaut en éditant ces valeurs dans le fichier lemonldap-ng.ini, section manager : Configure LimeSurvey virtual host like other protected virtual host. Configurer l'hôte virtuel LimeSurvey comme n'importe quel autre hôte virtuel protégé. ldapServer => 'ldaps://ad.example.com', ldapServer => 'ldaps://ad.example.com', Portal redirects user on protected application with his session ID as URL parameter Portal redirige l'utilisateur vers l'application demandée avec son identifiant de session en paramètre de l'URL [configuration] type = JSONFile dirName = /var/lib/lemonldap-ng/conf [configuration] type = JSONFile dirName = /var/lib/lemonldap-ng/conf Go in Manager, General parameters » Advanced parameters » Logout forward and click on Add a key, then fill: Aller dans le manager, Paramètres généraux » Paramètres avancés » Transfert de la déconnexion et cliquer sur Ajouter une clef, renseigner ensuite : You will be prompted. Le message sera affiché. Application parameters: Paramètres des applications : mysuperpassword mysuperpassword Users : lemonldap-ng-users@ow2.org ( Subscribe | Archives ) Utilisateurs : lemonldap-ng-users@ow2.org ( Souscrire | Archives ) Servers Servers /_detail/documentation/configuration-ldap.png?id=documentation%3A1.4%3Aldapconfbackend /_detail/documentation/configuration-ldap.png?id=documentation%3A1.4%3Aldapconfbackend This method requires the msktutil program on Linux server. Cette méthode nécessite le programme msktutil sur le serveur Linux. LDAP groups member attribute Attribut de membre d'un groupe LDAP ../../../../media/documentation/liferay_5.png ../../../../media/documentation/liferay_5.png ../../documentation/1.4/selfmadeapplication.html ../../documentation/1.4/selfmadeapplication.html This function builds the Authorization HTTP header used in HTTP Basic authentication scheme. Cette fonction contruit l'en-tête HTTP Authorization utiisée dans le schéma d'authentification basique HTTP. Change it: Le Changer : ); ); documentation:1.4:authbrowserid documentation:1.4:authbrowserid Skin name Nom du thème Body for confirmation mail Corps du message de confirmation https://www.portail.crbn.fr https://www.portail.crbn.fr Session identifier (carried in cookie) Identifiant de session (porté par le cookie) OpenID secret token Secret OpenID If you install packages on 64bits system, create those symbolic links: Pour installer les paquets sur un système 64bits, créeer ces liens symboliques : Java (Spring) Java (Spring) number numero ../../documentation/1.4/soapconfbackend.html#next_configure_soap_for_your_remote_servers ../../documentation/1.4/soapconfbackend.html#next_configure_soap_for_your_remote_servers Then, go in Proxy parameters: Ensuite, aller dans les paramètres Proxy : ../../../media/documentation/manager-saml-namid-formats.png ../../../media/documentation/manager-saml-namid-formats.png You can use any of the mechanisms proposed by Apache: SSL, Auth-Basic, Kerberos,… Example On peut utiliser tous les mécanismes proposés par Apache : SSL, Auth-Basic, Kerberos,… Exemple Authentication, users and password databases Bases de données d'authentification, des utilisateurs et des mots-de-passe By default, only the configured authentication backend is available for users. Par défaut, seul le backend configuré est accessible aux utilisateurs. Single Sign On cookie, domain and portal URL Cookie SSO, URL du portail et domaine Key name: name of the key in LemonLDAP::NG session Nom de clef : nom de la clef dans la session LemonLDAP::NG documentation:lemonldap-ng-packages.png documentation:lemonldap-ng-packages.png /_detail/logos/logo_rbn.png?id=references /_detail/logos/logo_rbn.png?id=references ../media/screenshots/0.9.4/0.9.4_password_menu.png?w=200&h=133 ../media/screenshots/0.9.4/0.9.4_password_menu.png?w=200&h=133 This is a well known security framework for J2EE applications. C'est le très connu framework de sécurité des applications J2EE. //"userobm_direction" => , //"userobm_direction" => , documentation:1.4:applications:bugzilla documentation:1.4:applications:bugzilla https://twitter.com https://twitter.com To use it (with MySQL for example), choose “Apache::Session::Browseable::MySQL” as “Apache::Session module” and use the following parameters: Pour l'utiliser (avec MySQL par exemple), choisissez “Apache::Session::Browseable::MySQL” comme “Module Apache::Session” et utilisez les paramètres suivants : Parameters for LDAP backend are the same as LDAP configuration backend. Les paramètres pour le backend LDAP sont les mêmes que ceux du backend de configuration LDAP. Use Kerberos with Multiple authentication backend Utiliser Kerberos avec plusieurs backend d'authentification Session backend Module de stockage des sessions Then you can access to user datas On peut ensuite accéder aux données de l'utilisateur Install Webserver Auth module, by downloading it, and unarchive it in the drupal modules/ directory. Télécharger et installer le module Webserver Auth, en le décompressant dans le répertoire modules/. # DocumentRoot # DocumentRoot If you are protecting MediaWiki with LL::NG as reverse proxy, convert header into REMOTE_USER environment variable. Si Mediawiki est protégé par un reverse-proxy LL::NG, convertir l'en-tête en variable d'environnement REMOTE_USER. documentation:1.4:configlocation ↵ documentation:1.4:configlocation ↵ Expression Expression Check Apache configuration and restart: Vérifier la configuration d'Apache et redémarrer : idpopenid idpopenid LL::NG can catch a GET request and transform it internally in a POST request. LL::NG peut intercepter uen requête GET et la transformer en interne en requête POST. Indeed, by default, users without logon hours values are rejected. Sinon, par défaut, les utilisateurs sans créneau horaire de connexion sont rejetés. Reset attribute: name of password reset attribute (default: pwdReset). Attribut reset : nom de l'attribut reset du mot-de-passe (défaut : pwdReset). You can test any URL to see if it's protected using testUri(). On peut tester toute URL pour voir si elle est protégée en utilisant testUri(). ../../../media/documentation/manager-saml-service-authn-contexts.png ../../../media/documentation/manager-saml-service-authn-contexts.png To chain SSL, you have to set “SSLRequire optional” in Apache configuration, else users will be authenticated by SSL only. Pour chaîner SSL, il est nécessaire de mettre “SSLRequire optional” dans le fichier de configuration Apache, sinon les utilisateurs ne seront authentifiés que par SSL. http://lanyrd.com/2011/ldapcon/sgqdf/ http://lanyrd.com/2011/ldapcon/sgqdf/ Setup Mise en marche In the manager: set Apache::Session::Redis in General parameters » Sessions » Session storage » Apache::Session module and add the following parameters (case sensitive): Dans le manager : indiquez Apache::Session::Redis dans Paramètres généraux » Sessions » Stockage des sessions » Module Apache::Session et ajoutez les paramètres suivant (sensibles à la casse): Set groups: request user database to find groups Installe les groupes : interroge la base de données utilisateurs pour trouver les groupes User: Connection user Utilisateur : compte de connexion documentation:latest:writingrulesand_headers documentation:latest:writingrulesand_headers Local cache parameters Paramètres du cache local print STDERR "SOAP Error: " . $r->fault->{faultstring}; } else { print STDERR "SOAP Error: " . $r->fault->{faultstring}; } else { With dpkg Avec dpkg documentation:lemonldap-ng-architecture.png documentation:lemonldap-ng-architecture.png There are no global headers. Il n'y a pas d'en-tête global. Role Rôle documentation/current/installdeb.html#official_repository documentation/current/installdeb.html#official_repository dpkg -i liblemonldap-ng-* lemonldap-ng* dpkg -i liblemonldap-ng-* lemonldap-ng* LL::NG CGIs (Portal, Manager,…) can be used under a FastCGI system very easily. Les CGI de LL::NG (portail, manager,…) peuvent être utilisées facilement dans un environnement Fast CGI. ../../documentation/1.4/applications/limesurvey.html ../../documentation/1.4/applications/limesurvey.html useSafeJail useSafeJail MIME::Lite MIME::Lite Modify LemonLDAP::NG Portal URL trough Manager to: http://auth.example.com/kerberos.pl Modifier l'URL du portail LemonLDAP::NG via le manager à la valeur : http://auth.example.com/kerberos.pl ../css/print.css ../css/print.css Little effort is required to translate the encoded string back into the user name and password, and many popular security tools will decode the strings “on the fly”. Un petit effort est requis pour décoder ces chaînes et de nombreux outils de sécurité les décodent à la volée. LemonLDAP::NG configuration (edited by the Manager) is in /var/lib/lemonldap-ng/conf/ La configuration LemonLDAP::NG (editée par le manager) se trouve dans /var/lib/lemonldap-ng/conf/ Userlogout => logout_sso Userlogout => logout_sso Create your Perl module with custom functions. Créer un module Perl avec des fonctions personnalisées. secureTokenAttribute secureTokenAttribute For example, the user name Aladdin and password open sesame would be combined as Aladdin:open sesame – which is equivalent to QWxhZGRpbjpvcGVuIHNlc2FtZQ== when encoded in Base64. Par exemple, le nom Aladdin et le mot-de-passe "open sesame" vont être assemblés en "Aladdin:open sesame" – dont l'équivalent est QWxhZGRpbjpvcGVuIHNlc2FtZQ== en Base64. Reload virtual host: Hôte virtuel pour le rechargement : By default, the RelayState session is deleted when it is read. Par défaut, la session RelayState est détruite lorsqu'elle est lue. Configuration reload will then be effective in less than 10 minutes. Le rechargement de la configuration sera effectif en moins de 10 minutes. ProxyPassReverseCookieDomain / http://hiddenappl1.example.com/ </VirtualHost> ProxyPassReverseCookieDomain / http://hiddenappl1.example.com/ </VirtualHost> Then fill all inputs to create the notification. Remplir ensuite tous les champs pour créer la notification. date datetime NOT NULL, date datetime NOT NULL, http://fedoraproject.org/wiki/EPEL/FAQ#howtouse http://fedoraproject.org/wiki/EPEL/FAQ#howtouse WSDL file Fichier WSDL Build Construction ../css/all.css ../css/all.css Configuration reload Rechargement de la configuration userKey: key in the HTTP header containing user login. userKey : nom de l'en-tête HTTP contenant le nom d'utilisateur. radiusSecret radiusSecret Liferay administration Administration Liferay https://metacpan.org/release/Web-ID https://metacpan.org/release/Web-ID portal portal ServerName limesurvey.example.com   ServerName limesurvey.example.com   updateTime updateTime See the full description of the protocol here: https://developer.mozilla.org/en-US/docs/Mozilla/Persona Voir la description complète du protocole ici : https://developer.mozilla.org/en-US/docs/Mozilla/Persona CAS_url CAS_url ../../../media/applications/saplogo.gif ../../../media/applications/saplogo.gif ../../../media/documentation/ha-sessions-configuration.png ../../../media/documentation/ha-sessions-configuration.png Getting sources from SVN repository Obtenir les sources depuis le dépôt SVN ldapConfBase: DN of configuration branch ldapConfBase : DN de la branche des configurations Configure sessions specificities Configurer les spécificités des sessions # Get attributes (or macros) my $cn = $cgi->user->{cn}   # Test if user is member of a Lemonldap::NG group (or LDAP mapped group) if( $cgi->group('admin') ) { # Obtenir des attributs (ou macros) my $cn = $cgi->user->{cn}   # Tester si l'utilisateur est membre d'un groupe Lemonldap::NG (ou d'un groupe LDAP translaté) if( $cgi->group('admin') ) { A Apache::Session::Browseable::Redis has been created, it is the faster (except for session explorer, defeated by Apache::Session::Browseable::DBI/LDAP >= 1.0) Un module Apache::Session::Browseable::Redis a été créé, c'est le plus rapide (excepté pour l'explorateur de sessions, battu par Apache::Session::Browseable::DBI/LDAP >= 1.0) /_detail/icons/flags/us.png?id=documentation%3Aconferences /_detail/icons/flags/us.png?id=documentation%3Aconferences LemonLDAP::NG can export HTTP headers either using a proxy or protecting directly the application. LemonLDAP::NG peut exporter des en-têtes HTTP qu'on l'utilise sur une reverse-proxy ou directement sur le serveur à protéger Allow requests in error: allow a request that has generated an error in token generation to be forwarded to the protected application without secure token (default: yes) Autorise les requêtes en cas d'erreur : autorise la requête qui a généré une erreur dans la génération du jeton à être transféré à l'application protégé sans jeton sécurisé (défaut : oui) A skin will often refer to the common skin, which is not a real skin, but shared skin objects (like scripts, images and CSS). Un thème se réfère souvent au thème common, qui n'est pas un thème réel mais contient des objects partagés (tels les scripts, images et CSS). ../pages/documentation/1.1/soapsessionbackend.html ../pages/documentation/1.1/soapsessionbackend.html ServerName reload.example.com   ServerName reload.example.com   Can be left blank for plain text passwords. Peut être vide pour le stockage des mots-de-passe en clair. In Manager, you can configure categories and applications in General Parameters > Portal > Menu > Categories and applications. Dans le manager, on peut configurer les catégories et applications dans Paramètres généraux > Portail > Menu > Catégories et applications. Application menu: display authorized applications in categories Menu des applications : affiche les applications autorisées dans les catégories Bruxelles Bruxelles CDBI CDBI import your own private and public keys (Load from a file input) importer vos propres clefs privées et publiques (entrée Charger depuis un fichier) Easy to duplicate with LDAP synchronization services (like SyncRepl in OpenLDAP) Facilité de duplication avec les services de synchronisation LDAP (tel SyncRepl de OpenLDAP) date: creation date (format YYYY-MM-DD) date : date de création (format AAAA-MM-JJ) Also, all backends parameters are displayed. Ainsi tous les paramètres des backends sont affichés. /_detail/screenshots/0.9.4/0.9.4_authentication_portal.png?id=screenshots /_detail/screenshots/0.9.4/0.9.4_authentication_portal.png?id=screenshots In this case, LL::NG acts like an SAML2 Service Provider (SP). Dans ce cas, LL::NG agit comme un fournisseur de service SAML2 (SP). ../pages/documentation/quickstart.html ../pages/documentation/quickstart.html Example of status page: Exemple de page de statut : API secret key: API secret key from Yubico Clef secrète de l'API : clef secrète de l'API obtenue auprès de Yubico multi => { multi => { Then just configure the new XSLT file path in Manager, go in General Parameters > Advanced Parameters > Notifications > Custom XSLT file and set for example /etc/lemonldap-ng/notification.xsl. Configure ensuite le nouveau fichier XSLT dans le manager, aller dans Paramètres généraux > Paramètres avancés > Notifications > Fichier XSLT personnalisé et mettre par exemple /etc/lemonldap-ng/notification.xsl. Follow SOAP sessions backend page Suivre la documentation backend de sessions SOAP randomPasswordRegexp randomPasswordRegexp The Yubikey is a small material token shipped by Yubico. Yubikey est un petit matériel d'authentification vendu par Yubico. Domain: validity domain for the cookie (the cookie will not be sent on other domains) Domaine : domaine de valaidité du cookie (le cookie n'est pas envoyé vers d'autres domaines) ../../documentation/1.4/fileconfbackend.html ../../documentation/1.4/fileconfbackend.html Let's go On y va Sign SSO message: sign SSO message Signature des messages SSO : signe les messages SSO Run Test Mail Mail LemonLDAP::NG configuration is mainly a key/value structure, so Manager will present all keys into a structured tree. La configuration de LemonLDAP::NG est essentiellement une structure clef/valeur, ainsi le manager présente toutes les clefs en un arbre structuré. accept (or whatever you want) accept (ou la valeur désirée) You can refer to parameter list to find it. Se référer à la liste des paramètres pour le trouver. In the Manager, select node SAML service providers and click on New service provider: Dans le manager, selectionner le noeud fournisseurs de service SAML et cliquer sur Nouveau fournisseur de service : Password change form (in menu) Formulaire de changement de mot-de-passe (dans le menu) On your main server, configure a File, SQL or LDAP backend Sur le serveur principal, configurer un backend File, SQL or LDAP In the context of an HTTP transaction, the basic access authentication is a method designed to allow a web browser, or other client program, to provide credentials – in the form of a user name and password – when making a request. Dans le contexte d'une transaction HTTP, l'authentification basique est une méthode qui permet au navigateur ou un autre programme client de fournir des éléments d'authentification – sous la forme d'un nom et d'un mot de passe – à chaque requête. So, if the user is not recognized or HTTP headers not present, a 403 error is sent. Donc, si l'utilisateur n'est pas reconnu ou si l'en-tête HTTP n'est pas présent, une erreur 403 est retournée. DataSource -> dbi:mysql:sessions;host=... DataSource -> dbi:mysql:sessions;host=... documentation:1.4:authssl documentation:1.4:authssl Then select Set up single sign-on (SSO): Ensuite sélectionner Set up single sign-on (SSO): Sessions activity timeout: Maximum inactivity duration. Délai d'expiration des sessions : durée maximale d'inactivité. /_detail/screenshots/1.0/dark/portal.png?id=screenshots /_detail/screenshots/1.0/dark/portal.png?id=screenshots BrowserID is also known as Mozilla Persona. BrowserID est également connu sous le nom de « Mozilla Persona ». Twitter authentication level Niveau d'authentification de Twitter By default, if user process connection settings are empty, authentication process connection settings will be used. Par défaut, si les paramètres de processus de connexion utilisateur sont vides , ceux d'authentification seront utilisés. Go in Manager, Default parameters » Advanced parameters » Special handlers » Zimbra, and edit the different keys: Aller dans le manager, Paramètres par défaut » Paramètres avancés » Handlers spéciaux » Zimbra, et éditer les clefs suivantes : Force authentication: set ForceAuthn flag in authentication request Authentification forcée : positionne le drapeau ForceAuthn dans la requête d'authentification //"userobm_system" => , //"userobm_system" => , First, configure your real backend Premièrement, configurer le backend réel To keep Memcached performance level and LL::NG features, you can replace Memcached by Redis using NoSQL session backend. Pour maintenir un niveau de performance tel celui de Memcached et préserver les fonctionnalités de LL::NG, on peut remplacer Memcached par Redis en utilisant le backend de sessions NoSQL. http://haproxy.1wt.eu/ http://haproxy.1wt.eu/ The sources are available on download page. Les sources sont disponibles sur la page de téléchargement. documentation:1.4:formreplay documentation:1.4:formreplay POST data URI: /process.php URI où envoyer les données : /process.php This requires to request user old password (see portal customization). Nécessite de requérir l'ancien mot-de-passe (voir personnalisation du portail). It returns: Elle retourne : <?xml version='1.0' encoding='utf-8'?> <tomcat-users> <?xml version='1.0' encoding='utf-8'?> <tomcat-users> ../pages/documentation/1.4/variables.html ../pages/documentation/1.4/variables.html Secure Shell Shell sécurisé (SSH) Other: Autres : http://fosdem.org/2012/schedule/event/lemonldapng http://fosdem.org/2012/schedule/event/lemonldapng PerlHandler Lemonldap::NG::Handler::Proxy PerlHandler Lemonldap::NG::Handler::Proxy You've simply to insert a notification and connect to the portal using the same UID. Il suffit d'insérer une notification et de se connecter au portail en utilisant le même UID. Mail field name: name of authentication table column hosting mail (for password reset) Nom du chmap mail : nom de la colonne de la table d'authentification contenant le mail (pour la réinitialisation du mot-de-passe) Some articles published somewhere in the world wide web. Quelques articles publiés quelque part sur le web. # Directory index # Directory index http://httpd.apache.org/docs/current/mod/mod_proxy.html http://httpd.apache.org/docs/current/mod/mod_proxy.html documentation:exportedvars.png documentation:exportedvars.png Local file Fichier local Remote Remote ../pages/download.html ../pages/download.html localStorage localStorage Timezone Timezone http://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf http://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf ../media/screenshots/1.1/mailreset/mailreset_step1.png?w=200&h=114 ../media/screenshots/1.1/mailreset/mailreset_step1.png?w=200&h=114 ../../documentation/1.4/handlerauthbasic.html ../../documentation/1.4/handlerauthbasic.html ../documentation/current/ssocookie.html#sso_cookie ../documentation/current/ssocookie.html#sso_cookie ../../documentation/1.4/start.html#identity_provider ../../documentation/1.4/start.html#identity_provider ../media/screenshots/1.0/sessionsexplorer/tree_light.png?w=200&h=128 ../media/screenshots/1.0/sessionsexplorer/tree_light.png?w=200&h=128 documentation:liferay_7.png documentation:liferay_7.png include /usr/local/lemonldap-ng/etc/portal-apache2.conf include /usr/local/lemonldap-ng/etc/handler-apache2.conf include /usr/local/lemonldap-ng/etc/manager-apache2.conf include /usr/local/lemonldap-ng/etc/test-apache2.conf include /usr/local/lemonldap-ng/etc/portal-apache2.conf include /usr/local/lemonldap-ng/etc/handler-apache2.conf include /usr/local/lemonldap-ng/etc/manager-apache2.conf include /usr/local/lemonldap-ng/etc/test-apache2.conf In the Manager, select node SAML identity providers and click on New identity provider: Dans le Manager, selectionner le noeud Fournisseurs d'identité SAML et cliquer sur Nouveau fournisseur d'identité : Lemonldap::NG::Handler::CGI adds some functions to CGI: Lemonldap::NG::Handler::CGI ajoute quelques fonctions à CGI: <SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> <SPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> documentation:1.4:portalcustom documentation:1.4:portalcustom /_detail/icons/gpg.png?id=documentation%3A1.4%3Astart /_detail/icons/gpg.png?id=documentation%3A1.4%3Astart parameterlist parameterlist /_detail/screenshots/1.0/impact/password.png?id=screenshots /_detail/screenshots/1.0/impact/password.png?id=screenshots portal full URL if custom function is run by portal (e.g. https://auth.example.com/) l'URL complète du portail si la fonction personnalisée est appelée par le portail (i.e. https://auth.example.com/) ../../documentation/1.4/authremote.html ../../documentation/1.4/authremote.html ../media/screenshots/1.0/impact/password.png?w=200&h=128 ../media/screenshots/1.0/impact/password.png?w=200&h=128 After redirection, normal authentication in the remote portal Après redirection, authentification normale sur le portail distant (celui de son organisation) For Active Directory, choose Active Directory instead of LDAP. Pour Active Directory, choisir Active Directory au lieu de LDAP. soapAuthService soapAuthService installdeb installdeb CAS access control policy Politique de contrôle d'accès CAS ../media/screenshots/1.0/manager/accordeon_dark.png?w=800&h=515 ../media/screenshots/1.0/manager/accordeon_dark.png?w=800&h=515 Apache Tomcat Apache Tomcat LL::NG use 2 internal databases to store its configuration and sessions. LL::NG utilise 2 bases de données interne pour stocker ses configuration et sessions. YouTube YouTube Habib ZITOUNI Habib ZITOUNI If this session is lost, Google will ask a confirmation for each requested attribute. Si cette session est perdue, Google redemandera confirmation pour chaque attribut demandé. https://opends.dev.java.net/public/standards/draft-behera-ldap-password-policy.txt https://opends.dev.java.net/public/standards/draft-behera-ldap-password-policy.txt The session expires after 2 hours by default. Toute session expire au boût de 2 heures par défaut. { { If no encryption keys are defined, signature keys are used for signature and encryption. Si aucune clef de chiffrement n'est définie, la clef de signature est aussi utilisée pour le chiffrement. http://lanyrd.com/2011/solutions-linux-open-source/sddcx/ http://lanyrd.com/2011/solutions-linux-open-source/sddcx/ ../../documentation/1.4/applications/drupal.html ../../documentation/1.4/applications/drupal.html Sometimes, PHP applications also check the PHP_AUTH_USER and PHP_AUHT_PW environment variables. Parfois, des applications PHP examinent également les variables d'environnement PHP_AUTH_USER et PHP_AUHT_PW. ../../documentation/1.4/authbrowserid.html ../../documentation/1.4/authbrowserid.html Shared key: correspond to the cookie parameter of sympa.conf Clef prépartagée : correspond au paramètre du cookie dans sympa.conf Configuration and sessions access by SOAP Accès à la configuration et aux sessions par SOAP documentation:manager-saml-sp-new.png documentation:manager-saml-sp-new.png Order deny,allow Order deny,allow RewriteRule ^/saml/metadata /metadata.pl RewriteRule ^/saml/metadata /metadata.pl mailR mailR The portal Le portail /_detail/screenshots/1.1/mailreset/mailreset_step2.png?id=screenshots /_detail/screenshots/1.1/mailreset/mailreset_step2.png?id=screenshots For MySQL, you need to set additional parameters: Pour MySQL, il faut ajouter quelques paramètres : cookieName cookieName This file is called lemonldap-ng.ini and has the following sections: Le fichier est nommé lemonldap-ng.ini et dispose des sections suivantes : bugzilla bugzilla RewriteCond %{QUERY_STRING} q=(admin|user) RewriteCond %{QUERY_STRING} q=(admin|user) ../../../media/documentation/manager-saml-idp-new.png ../../../media/documentation/manager-saml-idp-new.png You can first check on LemonLDAP::NG JIRA project that your bug is not already referenced, and then create it (with a registered account). Commencez par vérifier sur le site JIRA du projet LemonLDAP::NG que votre bogue n'est pas déjà référencé, et créez le sinon (avec un compte préalablement créé). Radius server Serveur Radius Account session key: session field used as Zimbra user account (by default: uid) clef de session compte : champ de session utilisé comme compte utilisateur Zimbra (par défaut : uid) Datas are stored as key/values (no-strings values are serialized). Les données sont stockées en clef/valeur (les valeurs autres que chaînes sont sérialisés). ../pages/documentation/1.1/applications/limesurvey.html ../pages/documentation/1.1/applications/limesurvey.html documentation:1.4:authdemo documentation:1.4:authdemo For example, to display the password change form only for user authenticated trough LDAP or DBI: Par exemple, pour afficher le formulaire de changement de mot-de-passe seulement pour les utilisateurs authentifiés via LDAP ou DBI : rm -f /etc/httpd/conf.d/z-lemonldap-ng.conf rm -f /etc/httpd/conf.d/z-lemonldap-ng.conf Secure Token header En-tête du jeton sécurisé Apache::Session::Redis is the faster shareable session backend Apache::Session::Redis est le module de stockage des sessions en réseau le plus rapide obm obm http://www.slideshare.net/ASF-WS/asfws-casopen-idsaml http://www.slideshare.net/ASF-WS/asfws-casopen-idsaml Configure security settings Configurer les paramètres de sécurité Google Apps control panel Panneua de contrôle Google Apps managerDn managerDn documentation:1.4:selfmadeapplication documentation:1.4:selfmadeapplication icons:wizard.png icons:wizard.png ../pages/documentation/1.1/idpsaml.html ../pages/documentation/1.1/idpsaml.html For example, if real sessions are stored in files: Par exemple, si les sessions réelels sont stockées dans des fichiers : Set exported variables Définir les variables exportées Display logout module Affiche le module de déconnexion UCANSS UCANSS applications:mediawiki_logo.png applications:mediawiki_logo.png ../../documentation/1.4/securetoken.html ../../documentation/1.4/securetoken.html The user can choose a new password or ask to generate one L'utilisateur peut choisir un nouveau mot de passe ou demander sa génération UserName -> user Password -> password Index -> ipAddr uid UserName -> user Password -> password Index -> ipAddr uid perl -MLemonldap::NG::Handler::Status -I/etc/perl -I/usr/local/lib/perl/5.10.1 -I/usr/local/share/perl/5.10.1 -I/usr/lib/perl5 -I/usr/share/perl5 -I/usr/lib/perl/5.10 -I/usr/share/perl/5.10 -I/usr/local/lib/site_perl -I. perl -MLemonldap::NG::Handler::Status -I/etc/perl -I/usr/local/lib/perl/5.10.1 -I/usr/local/share/perl/5.10.1 -I/usr/lib/perl5 -I/usr/share/perl5 -I/usr/lib/perl/5.10 -I/usr/share/perl/5.10 -I/usr/local/lib/site_perl -I. Auth-Mail: $mail Auth-Mail: $mail documentation:1.4:highavailability documentation:1.4:highavailability screenshots captures d'écran ../pages/translations.html ../pages/translations.html portal is in a https virtualhost if securedCookie is set le portail est dans un hôte virtuel https si securedCookie est activé "userobm_company" => "HTTP_OBM_O", "userobm_company" => "HTTP_OBM_O", Assertion Consumer Consommateur d'assertions Bugzilla Bugzilla protection protection Nov 2011: ZDNet - La gendarmerie nationale renforce la sécurité de l’accès à son SI Nov 2011 : ZDNet - La gendarmerie nationale renforce la sécurité de l’accès à son SI Full name Nom complet You can also display a check box on the authentication form, to allow user to see their login history before beeing redirected to the protected application (see portal customization). on peut aussi afficher une case à cocher dans le formulaire d'authentification pour autoriser l'utilisateur à voir son historique de connexion avant d'être redirigé vers l'application protégée (voir la personnalisation du portail). ...   </VirtualHost> ...   </VirtualHost> Session key containing email address La clef de session contient l'adresse mail If a user is redirected from handler to portal for authentication and once he is authenticated, portal redirects him to the redirection URL. Si un utilisateur est redirigé depuis un agent vers le portail pour s'authentifier et s'il est déjà authentifié, le portail le redirige vers l'URL de redirection. phpLDAPadmin will have no idea of the user connected to the WebSSO. phpLDAPadmin ne connaît donc pas le nom du l'utilisateur connecté au WebSSO. Allow form autocompletion Autorise l'autocompletion du formulaire ssoStartDate ssoStartDate Menu style preferences are stored in cookies (1 year duration). Les préférences du menu sont stockées dans des cookies (valables 1 an). But you have to allow sessions web services, see SOAP sessions backend. Il faut en revanche autoriser le service web des sessions, voir le backend de sessions SOAP. Zimbra virtual host in Manager Hôte virtuel Zimbra dans le manager /_detail/documentation/manager-formreplay-newurl.png?id=documentation%3A1.4%3Aformreplay /_detail/documentation/manager-formreplay-newurl.png?id=documentation%3A1.4%3Aformreplay Key name Nom de la clef ../../documentation/1.4/applications/tomcat.html ../../documentation/1.4/applications/tomcat.html Then edit MediaWiki local settings Éditer ensuite les paramètres locaux MediaWiki Username control: Regular expression used to check user login syntax. Contrôle du nom d'utilisateur : expression régulière utilisée pour vérifier la syntaxe du nom d'utilisateur. SMTP: SMTP : Attributes exported in SOAP Attributs exportés par SOAP table: Notifications table name. table : nom de la table des notifications. User table: where user data are stored (mail, name, etc.) La table utilisateurs : où les données utilisateurs sont stockées (mail, nom, etc.) ../media/screenshots/0.9.3/lemonldap-ng-portal-password.png?w=200&h=155 ../media/screenshots/0.9.3/lemonldap-ng-portal-password.png?w=200&h=155 Authorization => "Basic ".encode_base64("$uid:$_password") Authorization => "Basic ".encode_base64("$uid:$_password") rtyler rtyler YUM repository Dépôt YUM The script uses the editor system command, that links to your favorite editor. Ce script utilise la commande système editor, qui est liée à l'éditeur favori. http://search.cpan.org/~gbarr/perl-ldap/lib/Net/LDAP.pod http://search.cpan.org/~gbarr/perl-ldap/lib/Net/LDAP.pod ../../../media/documentation/exportedvars.png ../../../media/documentation/exportedvars.png In Manager, go in General Parameters > Authentication modules and choose BrowserID for authentication. Dans le manager, aller dans Paramètres généraux > Modules d'authentification et choisir BrowserID pour l'authentification. Register what module was used for authentication, user data, password, … Enregistre les modules utilisés pour l'authentification, les données utilisateurs, les mots-de-passe, … getCookies(user,password): authentication system. getCookies(user,password) : système d'authentification. ../media/screenshots/1.0/pastel/menu.png?w=800&h=515 ../media/screenshots/1.0/pastel/menu.png?w=800&h=515 phpLDAPadmin virtual host in Manager Hôte virtuel phpLDAPadmin dans le manager ldapgroups -> memberOf ldapgroups -> memberOf http://en.wikipedia.org/wiki/IBM_Lotus_iNotes http://en.wikipedia.org/wiki/IBM_Lotus_iNotes Handler will then check SSO cookies for each HTTP request. L'agent examinera le cookie SSO pour chaque requête HTTP. All pages Toutes les pages a2ensite handler-apache2.conf a2ensite portal-apache2.conf a2ensite manager-apache2.conf a2ensite test-apache2.conf a2ensite handler-apache2.conf a2ensite portal-apache2.conf a2ensite manager-apache2.conf a2ensite test-apache2.conf ../pages/documentation/1.1/authopenid.html ../pages/documentation/1.1/authopenid.html In other words, take the time to configure this part before sharing metadata. En d'autres mots, prenez le temps de bien configurer cette partie avant de partager les metadatas. Single Sign On Authentification unique (Single Sign On) Options +ExecCGI Options +ExecCGI dbiAuthLoginCol dbiAuthLoginCol Integration in Active Directory (LDAP and Kerberos) Integration dans Active Directory (LDAP et Kerberos) Name of the cookie Nom du cookie <Directory /usr/local/lemonldap-ng/htdocs/manager/> <Directory /usr/local/lemonldap-ng/htdocs/manager/> The only authorized binding is SOAP. La seule déclaration possible est SOAP. /_detail/screenshots/1.0/impact/menu.png?id=screenshots /_detail/screenshots/1.0/impact/menu.png?id=screenshots Declare module in Apache configuration Declarer le module dans la configuration d'Apache Twitter is a famous microblogging server. Twitter est un serveur de microblog célèbre. SMTP server Serveur SMTP Example, if you have “DBI;LDAP” and DBI failed for authentication, Multi will try first to call LDAP as user database. Exemple, en utilisant “DBI;LDAP”, si DBI échoue pour l'authentification, Multi essaie d'utiliser LDAP comme base d'utilisateurs. Allow from all Allow from all ../pages/start.html ../pages/start.html It needs 4 modules to work: Il a besoin de 4 modules pour fonctionner : documentation:ha-sessions-configuration.png documentation:ha-sessions-configuration.png ../../../media/icons/access.png ../../../media/icons/access.png http://www.sympa.org http://www.sympa.org They can then be forwarded to applications trough HTTP headers. Ils peuvent être transférés aux applications via les en-têtes HTTP. Now the protected application can read in the header HTTP_AUTH_ROLES the role of the user. Maintenant, l'application protégée peut lire le rôle de l'utilisateur dans l'en-tête HTTP_AUTH_ROLES. documentation:manager-saml-private-key.png documentation:manager-saml-private-key.png LL::NG LL::NG Choice URL parameter Paramètre d'URL pour "Choice" DBI DBI When it takes “false”, HTTP headers have to be sent by LL::NG to make authentication. Lorsqu'il est à “false”, les en-têtes HTTP doivent être renseignés par LL::NG pour valider l'authentification. Authentication: will create session without prompting any credentials (but will register client IP and creation date) Authentification : créé une session sans demander quoi que ce soit (mais enregistre l'adresse IP cliente et la date de création) CREATE TABLE lmConfig ( CREATE TABLE lmConfig ( Logo: file name to use as logo Logo : nom de fichier à utiliser comme logo For example, in handler/MyHandler.pm: Par exemple, dans handler/MyHandler.pm: KrbMethodNegotiate On KrbMethodNegotiate On Configure Sympa virtual host like other protected virtual host but use Sympa Handler instead of default Handler. Configurer l'hôte virtuel Sympa comme n'importe quel autre hôte virtuel protégé. https://metacpan.org/module/Apache::Session::Browseable::LDAP https://metacpan.org/module/Apache::Session::Browseable::LDAP It sends an OTP, which is validated against Yubico server. Il envoie un mot-de-passe à valeur unique (OTP) qui est validé par un serveur Yubico. zimbraBy zimbraBy Extract Extraction Examples: Exemples : Key Clef Apache::Session performances Performances d'Apache::Session error: if user has no access, an error is shown on the portal, the user is not redirected to CAS service error : si l'utilisateur n'a pas accès, une erreur est affichée sur le portail, l'utilisateur n'est pas redirigé vers le service CAS uid: 123456789012 uid: 123456789012 authssl authssl /_detail/screenshots/1.1/notifications/sample_notification.png?id=documentation%3A1.4%3Anotifications /_detail/screenshots/1.1/notifications/sample_notification.png?id=documentation%3A1.4%3Anotifications Notification backend Module de stockage des notifications LemonLDAP::NG 1.1 release Sortie de LemonLDAP::NG 1.1 Restrict /admin/ directory to user bart.simpson Restreindre le répertoire /admin/ à l'utilisateur bart.simpson For debugging, this valve can print some helpful information in debug level. Pour le debogage, cette valve peut tracer quelques information utiliser. SHA SHA ../../documentation/1.4/ldapminihowto.html ../../documentation/1.4/ldapminihowto.html by users par utilisateurs Storage directory Répertoire de stockage The NameID is the main user identifier, carried in SAML messages. NameID est l'identifiant principal de l'utilisateur transmis dans les messages SAML. If you can not access the Manager anymore, you can unprotect it by editing lemonldap-ng.in and changing the protection parameter: SI l'accès au manager est perdu, on peut le déprotéger en éditant lemonldap-ng.in et en changeant le paramètre protection : Lasso session dump Dump de session Lasso checkDate checkDate psql -h 127.0.0.1 -U lemonldap-ng -W lemonldap-ng psql -h 127.0.0.1 -U lemonldap-ng -W lemonldap-ng LDAP password policy control Activation du contrôle de conformité à la politique LDAP If you modify directly the skin files, your modifications will certainly be erased on the next upgrade. Les modifications apportées directement sur les fichiers thèmes risquent d'être perdus à la prochaine mise-à-jour. The value will be used to display the data. Cette valeur sera utilisée pour afficher les données. cookieExpiration cookieExpiration ^/caldav ^/caldav ../pages/documentation/1.1/authproxy.html ../pages/documentation/1.1/authproxy.html KrbAuthRealms EXAMPLE.COM KrbAuthRealms EXAMPLE.COM An SAML server with OpenID authentication Un serveur SAML avec une authentification OpenID ldapPasswordResetAttributeValue ldapPasswordResetAttributeValue Grant session: check rights to open SSO session Autorise la session : vérifie le droit d'ouvrir une session SSO #</Location>   </VirtualHost> #</Location>   </VirtualHost> icons:kmultiple.png icons:kmultiple.png documentation:1.4:authtwitter documentation:1.4:authtwitter Take a look at http://xmlns.com/foaf/spec/#sec-crossref. Voir http://xmlns.com/foaf/spec/#sec-crossref. LemonLDAP::NG used as CAS server. LemonLDAP::NG utilisé comme serveur CAS. A special URL is declared in application menu (like http://zimbra.example.com/zimbrasso) Une URL spéciale est declarée dans le menu des applications (telle http://zimbra.example.com/zimbrasso) Allow no certificate to chain with other authentication methods Autoriser les clients sans certificat dans le chaînage avec d'autres méthodes d'authentification ../../documentation/1.4/cda.html ../../documentation/1.4/cda.html Connectors Connecteurs Accept all authenticated users: Accepte tout utilisateur authentifié : Manual download Téléchargement manuel Tomcat valve Valve Tomcat If your sessions explorer is on the same server that the portal, either use the adminSessions end point in Manager configuration, or override the globalStorage and globalStorageOptions parameters in section all (and not portal) of lemonldap-ng.ini. Si l'explorateur de sessions est sur le même serveur que le portail, utiliser soit la terminaison adminSessions dans la configuration eu manager, ou surcharger les paramètres globalStorage et globalStorageOptions dans la section all (et pas portal) de lemonldap-ng.ini. Reader URL: URL used by SAML SP to read the cookie. URL de lecture : URL utilisée par le SP SAML pour lire le cookie. ../../../media/documentation/manager-portalskin.png ../../../media/documentation/manager-portalskin.png Delete other session if IP differs Efface les autres sessions de l'utilisateur si les adresses IP diffèrent zimbraPreAuthKey zimbraPreAuthKey CGI CGI secureTokenUrls secureTokenUrls You need to register a new application on Facebook to get an application ID and a secret. Il faut enregistrer la nouvelle application dans Facebook pour obtenir un identifiant d'application et un secret. DocumentRoot /var/lib/lemonldap-ng/portal/   DocumentRoot /var/lib/lemonldap-ng/portal/   WHATTOTRACE must be replaced by the attribute or macro configured in the What To Trace parameter (REMOTE_USER) WHATTOTRACE doit être remplacé par l'attribut ou la macro configurée dans le paramètre indiquant le champ utilisateur à stocker dans les journaux (REMOTE_USER) http://www.slideshare.net/coudot/sl2009-identity-management-cycle-ldap-synchronization-and-websso2 http://www.slideshare.net/coudot/sl2009-identity-management-cycle-ldap-synchronization-and-websso2 documentation:1.4:resetpassword documentation:1.4:resetpassword http://lanyrd.com/2011/jcos/sdrbd/ http://lanyrd.com/2011/jcos/sdrbd/ to the sessions storage backend au système de stockage des sessions icons:gpg.png icons:gpg.png documentation:1.4:authcas documentation:1.4:authcas /_detail/documentation/dia_dit_roles.png?id=documentation%3A1.4%3Arbac /_detail/documentation/dia_dit_roles.png?id=documentation%3A1.4%3Arbac LmProxyPass: URL to relay HTTP requests LmProxyPass : URL pour relayer les requêtes HTTP SAML token Jeton SAML RewriteRule ^/saml/.* /index.pl RewriteRule ^/saml/.* /index.pl DBI table name Nom de table DBI Follow SOAP configuration backend page Suivre la documentation backend de configuration SOAP Entrez le mot de passe pour le nouveau rôle : <PASSWORD> Entrez-le de nouveau : <PASSWORD> Le nouveau rôle est-il un super-utilisateur ? Entrez le mot de passe pour le nouveau rôle : <PASSWORD> Entrez-le de nouveau : <PASSWORD> Le nouveau rôle est-il un super-utilisateur ? Apache Kerberos module Module Kerberos d'Apache ../../documentation/1.4/idpopenid.html ../../documentation/1.4/idpopenid.html Internet Explorer Internet Explorer lemonldap-ng-manager: contains administration interface and session explorer lemonldap-ng-manager : contient l'interface d'administration et l'explorateur de session Then you only have to write myskin/css/styles.css and add your media to myskin/images. Il suffit ensuite d'écrire myskin/css/styles.css et d'ajouter les médias dans myskin/images. ...   </VirtualHost> ...   </VirtualHost> remoteGlobalStorage remoteGlobalStorage Access rules and HTTP headers Règles d'accès et en-têtes HTTP Remote Session backend Backend de sessions distant If you use features like SAML (authentication and issuer), CAS (issuer) and password reset self-service, you also need to index some fields. Lorsqu'on utilise des fonctionnalités telles SAML (authentification ou fournisseur d'identité), CAS (fournisseur d'identité) ou le service de réinitialisation de mots-de-passe, il faut également indexer quelques champs. Since 1.1.0, a notification explorer is available in Manager, and notifications can be done for all users, with the possibility to display conditions. Depuis la version 1.1.0, un explorateur de notifications est disponible dans le manager, et les notifications peuvent être faites pour tous les utilisateurs, avec possibilité d'affichage conditionnel. ../pages/documentation/presentation.html ../pages/documentation/presentation.html Sessions: where sessions are stored. Sessions: où sont stockées les sessions. Session expiration: sessions will never expire (server side) Expiration des sessions : les sessions n'expirent jamais (du côté serveur) -1 if this URL is not known by LL::NG configuration -1 si cette URL n'est pas connue de la configuration de LL::NG documentation:1.4:samlservice documentation:1.4:samlservice Rule for session granting Règle pour l'autorisation d'ouverture de session OBM_GIVENNAME OBM_GIVENNAME Order deny,allow Order deny,allow django django "userobm_email" => "HTTP_OBM_MAIL", "userobm_email" => "HTTP_OBM_MAIL", Extend variables using macros and groups Étendre les variables en utilisant les macros et groups OBM is enterprise-class messaging and collaboration platform for workgroup or enterprises with many thousands users. OBM est une plateforme collaborative et de messagerie pour entreprises ou groupes de travail comprenant plusieurs milliers d'utilisateurs. Change mydomain.org (in AssertionConsumerService markup, parameter Location) into your Google Apps domain. Changer mydomain.org (dans AssertionConsumerService markup, parameter Location) en votre domaine Google Apps. It has a simple but powerful syntax which makes sure the data files remain readable outside the Wiki and eases the creation of structured texts. Il dispose d'une syntaxe simple mais puissante qui fait que les fichiers de données restent lisibles en dehors du Wiki, et facilite la création de textes structurés. ../../../media/applications/obm_logo.png ../../../media/applications/obm_logo.png Set Email in Options » Authentication Response » Default NameID format Mettre Email dans Options » Réponse d'authentification » Format NameID par défaut Radius Radius Social Networks and News Réseaux sociaux et nouvelles If a user is not authenticated and attempts to connect to an area protected by a LemonLDAP::NG compatible Handler, he is redirected to a portal. Si un utilisateur n'est pas authentifié et tente de se connecter à une application protégée par un agent compatible LemonLDAP::NG, il est redirigé vers le portail. You have then to install all the downloaded packages: Il faut ensuite installer tous les paquets téléchargés : Another LL::NG system configured with OpenID authentication Un autre système LL::NG configuré avec authentification OpenID SSLVerifyClient optional_no_ca ... </VirtualHost> SSLVerifyClient optional_no_ca ... </VirtualHost> ServerName auth.example.com   ServerName auth.example.com   CAS Session backend Module de stockage CAS hideOldPassword hideOldPassword Sign-out page URL: this in not the SLO access point (Google Apps does not support SLO), but the main logout page. Sign-out page URL: il ne s'agit pas du point d'accès de déconnexion globale (SLO) (Google Apps ne le supporte pas), mais de la page de déconnexion. Go to the Manager and create a new virtual host for Sympa. Aller dans le manager et créer un nouvel hôte virtuel pour Sympa. <Location /status> <Location /status> ServerName mediawiki.example.com   ServerName mediawiki.example.com   url_logout: URL used by OBM to logout, will be caught by LL::NG url_logout: URL utilisée par OBM pour les déconnexions, sera appelée par LL::NG Restrict /js/ and /css/ directory to authenticated users Restreindre les répertoires /js/ et /css/ aux utilisateurs authentifiés WebID is a way to uniquely identify a person, company, organisation, or other agent using a URI and a certificate. WebID est un moyen d'identification unique de personnes, entreprises, organisation, ou autre agent en utilisant une URI et un certificat. Main components Composants principaux For each binding you can set: Pour chaque déclaration, vous pouvez indiquer : Integrate your own application Integrer ses propres applications Initiate the Kerberos connection: Initialiser la connexion Kerberos : http://www.google.com/apps/ http://www.google.com/apps/ installrpm installrpm http://lasso.entrouvert.org http://lasso.entrouvert.org ../../documentation/1.4/samlservice.html#general_options ../../documentation/1.4/samlservice.html#general_options ../../../media/applications/limesurvey_logo.png ../../../media/applications/limesurvey_logo.png gender gender Secure Token Memcached servers Serveurs Memcached pour le jeton sécurisé PerlSetVar LmProxyPass http://www.private.com/ PerlSetVar LmProxyPass http://www.private.com/ So Apache::Session module is not a problem for handlers. Ainsi, les modules Apache::Session ne posent pas de problèmes aux agents. CPAN test reports: Rapports de test du CPAN: In LDAP filters, $user is replaced by user login, and $mail by user email. Dans les filtres LDAP, $user est remplacé par le nom du compte et $mail par l'adresse email. You need some prerequisites: Certains pré-requis sont nécessaire : Skin customization Personnalisation du thème http://en.wikipedia.org/wiki/Doctor_Who http://en.wikipedia.org/wiki/Doctor_Who Secured cookie: 4 options: Cookie sécurisé : 4 options : Login history: display user's last logins and last failed logins Historique de connexion : affiche les derniers succès et échecs de connexion </Location> </VirtualHost> </Location> </VirtualHost> We will use the macros to do that. On utilise les macros pour ça. So HTTP Basic Autentication is managed trough an HTTP header (Authorization), that can be forged by LL::NG, with this precautions: Ainsi l'authentification basique HTTP est gérée par des en-têtes HTTP (Autorisation), qui peut être générée par LL::NG, avec les précautions suivantes : Python (Django) Python (Django) Build the tarball from SVN Construire l'archive depuis SVN Authentication response Réponse d'authentification User owns SSO cookies on the main domain (see Login kinematics) Les utilisateurs possèdent des cookies SSO dans le domaine principal (voir la cinématique de connexion) Store user password in session Stocker le mot-de-passe utilisateur dans la session Perl libraries install : Installer les librairies Perl : /_detail/icons/warehause.png?id=documentation%3A1.4%3Astart /_detail/icons/warehause.png?id=documentation%3A1.4%3Astart All rules are concerned: Toutes les règles sont concernées : [all] cda = 1 [all] cda = 1 icons:flags:de.png icons:flags:de.png POST data Données POST It is compliant with the form replay feature Il est compatible avec le rejeu de formulaire ../documentation/current/ssocookie.html ../documentation/current/ssocookie.html Conditions: Conditions : https://my-profile.eu/ https://my-profile.eu/ Then, go in BrowserID parameters: Ensuite, aller dans les paramètres BrowserID: documentation:liferay_5.png documentation:liferay_5.png You can inspect a user session with the sessions explorer (in Manager) On peut inspecter une session utilisateur avec l'explorateur de sessions (accessible depuis le manager) http://en.wikipedia.org/wiki/FastCGI http://en.wikipedia.org/wiki/FastCGI ~40 000 ~40 000 documentation:latest:installrpm documentation:latest:installrpm Protocol and port Protocole et port In the manager: set Apache::Session::Memcached in General parameters » Sessions » Session storage » Apache::Session module and add the following parameters (case sensitive): Dans le manager : indiquez Apache::Session::Memcached dans Paramètres généraux » Sessions » Stockage des sessions » Module Apache::Session et ajoutez les paramètres suivant (sensibles à la casse) : You can do it either by uploading the file, or get it from IDP metadata URL (this require a network link between your server and the IDP): Ceci peut être fait soit en téléchargeant le fichier, soit en l'obtenant par l'URL de métadatas de l'IDP (à condition d'avoir un lien réseau entre le serveur et l'IDP): In Portal virtual host, you will find several configuration parts: Dans l'hôte virtuel du portail se trouve plusieurs éléments de configuration : Then Zimbra do the SSO by setting a cookie in user's browser Ensuite Zimbra génère son cookie SSO dans le navigateur de l'utilisateur http://www.slideshare.net/coudot/rmll-2009-prsentation-du-websso-lemonldapng http://www.slideshare.net/coudot/rmll-2009-prsentation-du-websso-lemonldapng URI of the page which contains the form L'URI de la page qui contient le formulaire Activation: set to On Activation : mettre à Activé. ../../../media/screenshots/1.1/mailreset/mailreset_step2.png ../../../media/screenshots/1.1/mailreset/mailreset_step2.png <Location /reload> <Location /reload> sqlconfbackend sqlconfbackend any files sharing system (NFS, NAS, SAN,…) tout système de partage de fichiers (NFS, NAS, SAN,…) /_detail/screenshots/1.0/dark/menu.png?id=screenshots /_detail/screenshots/1.0/dark/menu.png?id=screenshots icons:xeyes.png icons:xeyes.png This documentation just explains how to set up the SSO part. Cette documentation explique seulement comment activer la partie SSO. /_detail/documentation/lemonldapng-sso.png?id=documentation%3Apresentation /_detail/documentation/lemonldapng-sso.png?id=documentation%3Apresentation http://www.fitzdsl.net/?p=286 http://www.fitzdsl.net/?p=286 To bypass this, LL::NG can remember what password was given by user on authentication phase. Pour contourner ce problème, LL::NG peut se souvenir du mot-de-passe utilisé dans la phase d'authentification. ../media/icons/bug.png ../media/icons/bug.png A time profile (allowed hours and day of the week) Un profil de temps (heures et jours de la semaine autorisés) One user tries to access to the portal Un utilisateur tente d'accéder au portail LL::NG provides a valve, available on download page. LL::NG fournit une valve, disponible sur page de téléchargement. Dokuwiki virtual host in Apache Hôte virtuel Dokuwiki dans le manager SGS SGS This feature can be enabled and configured in Manager, in General Parameters » Advanced Parameters » Login History. Cette fonctionnalité peut être activée et configurée dans le manager dans Paramètres généraux » Paramètres avancés » Historique de connexion. All Perl modules are in the VENDOR perl directory (/usr/share/perl5/) Tous les modules Perl se trouvent dans le répertoire VENDOR de Perl (/usr/share/perl5/) Some applications using it Quelques applications l'utilisant LDAPFilter => '(uid=$user)', LDAPFilter => '(uid=$user)', //"userobm_vacation_dateend" => , //"userobm_vacation_dateend" => , documentation:1.4:idpsaml documentation:1.4:idpsaml ../media/logos/logo_abuledu.png ../media/logos/logo_abuledu.png ../pages/documentation/1.1/memcachedsessionbackend.html ../pages/documentation/1.1/memcachedsessionbackend.html Sunday is the first day. Dimanche est le premier jour. ../pages/documentation/1.1/notifications.html ../pages/documentation/1.1/notifications.html server server Subject for confirmation mail Sujet du message de confirmation ../../documentation/1.4/portalmenu.html#categories_and_applications ../../documentation/1.4/portalmenu.html#categories_and_applications ../media/screenshots/1.2/lemonldap_ng_sample_protected_application_1340022329086.png?w=800&h=503 ../media/screenshots/1.2/lemonldap_ng_sample_protected_application_1340022329086.png?w=800&h=503 http://repo.cyrus-project.org/centos$releasever-$basearch/RPMS.cyrus-extras/ http://repo.cyrus-project.org/centos$releasever-$basearch/RPMS.cyrus-extras/ documentation:1.4:authad documentation:1.4:authad That message can contain session data as user attributes or macros. Ce message peut contenir des données de session tels les attributs ou les macros. http://en.wikipedia.org/wiki/OAuth http://fr.wikipedia.org/wiki/OAuth msmith@badwolf.org msmith@badwolf.org mailReplyTo mailReplyTo Auth-Mail Auth-Mail ../../documentation/1.4/sqlsessionbackend.html ../../documentation/1.4/sqlsessionbackend.html vi /var/lib/lemonldap-ng/portal/login.pl vi /var/lib/lemonldap-ng/portal/login.pl Lemonldap::NG::Manager Lemonldap::NG::Manager yubikeySecretKey yubikeySecretKey complicatedpassword: Password of AD technical account complicatedpassword: mot-de-passe du compte AD technique Choose and configure your main sessions storage system Choisir et configurer le système principal de stockage des sessions Feature Fonctionnalité documentation.html documentation.html You can also use caFile and caPath parameters. On peut également utiliser les paramètres caFile et caPath. External databases: not managed by LemonLDAP::NG, for example user database Les bases de données externes: non gérées par LemonLDAP::NG, par exemple la base des utilisateurs idpcas idpcas Clément OUDOT Clément OUDOT Copy ValveLemonLDAPNG.jar in <TOMCAT_HOME>/server/lib: Copier ValveLemonLDAPNG.jar dans <TOMCAT_HOME>/server/lib: When you commit OmegaT files in svn repository, don't push backup files. Lorsque vous validez les fichiers OmegaT dans le dépôt svn, n'y poussez pas les fichiers de sauvegarde. Deny from all Deny from all or: ou : CAS_CAFile CAS_CAFile groups groups _lassoSessionDump _lassoSessionDump Internal databases: only used by LemonLDAP::NG Les bases de données internes: utilisées seulement par LemonLDAP::NG <IDPSSODescriptor> <IDPSSODescriptor> 1.2 1.2 http://www.svwux.org/ http://www.svwux.org/ You can find all versions on OW2 forge download page. Vous pouvez trouver toutes les versions sur la page de téléchargement de la forge OW2. /_detail/documentation/lemonldap-ng-architecture.png?id=documentation%3Apresentation /_detail/documentation/lemonldap-ng-architecture.png?id=documentation%3Apresentation 1.1 1.1 http://manager.example.com http://manager.example.com <IfModule mod_rewrite.c> <IfModule mod_rewrite.c> As you may have guessed, these accounts are famous characters from the TV show Doctor Who. Comme on peut le voir, ces comptes sont les fameux caractères du show TV Doctor Who. SQL SQL LL::NG validate the token and propose a password change form LL::NG valide la valeur et propose un formulaire de changement de mot-de-passe ../../documentation/presentation.html#kinematics ../../documentation/presentation.html#kinematics Don't forget to install cron files ! N'oubliez pas d'installer les fichiers cron ! If exportedAttr is set, only those attributes are copied in the session database of the secondary LL::NG structure. Si exportedAttr est défini, seuls ces attributs sont copiés dans la base des sessions du système LL::NG secondaire. ../../documentation/1.4/idpopenid.html#configuration ../../documentation/1.4/idpopenid.html#configuration ln -s /var/lib/lemonldap-ng/portal/index.pl /var/lib/lemonldap-ng/portal/kerberos.pl ln -s /var/lib/lemonldap-ng/portal/index.pl /var/lib/lemonldap-ng/portal/kerberos.pl "userobm_address1" => "HTTP_OBM_POSTALADDRESS", "userobm_address1" => "HTTP_OBM_POSTALADDRESS", HASH of login success and failures Table des connexion réussies ou échouées off: never display off : ne jamais afficher Default skin Thème par défaut documentation:manager-saml-idp-metadata.png documentation:manager-saml-idp-metadata.png ../../documentation/1.4/performances.html ../../documentation/1.4/performances.html Unoptimized for session explorer and single session features. Pas optimisé pour l'exlorateur de sessions et les fonctionnalités de session unique. ../../../media/screenshots/1.1/mailreset/mailreset_step5.png ../../../media/screenshots/1.1/mailreset/mailreset_step5.png OpenID authentication level Niveau d'authentification d'OpenID Application menu Menu application authenticate user authentifier les utilisateurs SSL authentication Authentification SSL $uid eq "coudot" $uid eq "coudot" 105.000 105.000 By default, Manager is protected to allow only the demonstration user “dwho”. Par défaut, le manager est protégé et n'autorise que l'utilisateur de démonstration “dwho”. Forward logout to applications Propager les déconnexions aux applications ../documentation/current/logs.html ../documentation/current/logs.html http://www.slideshare.net/coudot/sl2011-lemon-ldapng http://www.slideshare.net/coudot/sl2011-lemon-ldapng Import from LDAP: Yes (see presentation) Import from LDAP: Yes (voir présentation) ../../../../css/print.css ../../../../css/print.css Value (HTTP header name) Valeur (nom d'en-tête HTTP) Session-ID => $_session_id Session-ID => $_session_id Thursday, 25-Apr-1999 00:40:33 GMT: at the indicated time and date (but this is probably a bad idea) Thursday, 25-Apr-1999 00:40:33 GMT : jusqu'à la date indiquée (généralement une mauvaise idée) Go in the Manager and set the session module (Apache::Session::Browseable::MySQL for MySQL) in General parameters » Sessions » Session storage » Apache::Session module and add the following parameters (case sensitive): Aller dans le manager et mettre le module de session (Apache::Session::Browseable::MySQL pour MySQL) dans Paramètres généraux » Sessions » Stockage des sessions » Module Apache::Session et ajouter le paramètre suivant (sensible à la casse) : If some of your servers are not in the same (secured) network than the database, it is recommended to use SOAP access for those servers. Si certains des serveurs ne se trouvent pas sur le même réseau (securisé) que la même base de données, il est recommandé d'utiliser l'accès SOAP pour ces serveurs. It can be a brake for the portal: En revanche, ce peut-être un frein pour le portail : _idpConfKey _idpConfKey Go to the Manager and create a new virtual host for Zimbra. Aller dans le manager et créer un nouvel hôte virtuel pour Zimbra. For full install: Pour une installation complète : Université de Limoges Université de Limoges Else, Net::SMTP module is required to use the SMTP server Sinon, le module Net::SMTP est nécessaire pour utiliser le serveur SMTP ($uid =~ /^admin0/i)[0] ? ($uid =~ /^admin0/i)[0] ? ../../../media/documentation/manager-saml-idp-attribute.png ../../../media/documentation/manager-saml-idp-attribute.png Write custom functions library Écrire une librairie de fonctions personnalisées Now imagine the following DIT: On suppose le schéma suivant : .example.com = EXAMPLE.COM .example.com = EXAMPLE.COM David COUTADEUR: developer, tester David COUTADEUR : developeur, testeur SSL SSL Secret token: a secret token used to secure transmissions between OpenID client and server (see below). Jeton secret : le jeton secret utilisé pour sécuriser les transmissions entre le client et le server OpenID (voir ci-dessous). rm custom* cp ../pastel/custom* . rm custom* cp ../pastel/custom* . Service Provider Fournisseur de service The ProxyPreserveHost directive will forward the Host header to the protected application. La directive ProxyPreserveHost transfère l'en-tête Host à l'application protégée. CAS server Serveur CAS "server_ip_check" => false, "server_ip_check" => false, logs logs /_detail/documentation/ha-apache.png?id=documentation%3A1.4%3Ahighavailability /_detail/documentation/ha-apache.png?id=documentation%3A1.4%3Ahighavailability This kind of SSO mechanism is not clean, and can lead to problems, like local password blocking, local session not well closed, etc. Ce type de mécanisme SSO n'est pas parfait et peut générer des problèmes tels des blocages de mots-de-passe, sessions locales mal closes, etc... CRONDIR: Cronfile directory (default: $PREFIX/etc/lemonldap-ng/cron.d) CRONDIR : répertoire des fichiers cron (défaut: $PREFIX/etc/lemonldap-ng/cron.d) http://xmlns.com/foaf/spec/#sec-crossref http://xmlns.com/foaf/spec/#sec-crossref PGT file: temporary file where proxy tickets are stored (by default, /tmp/pgt.txt) Fichier PGT : fichier temporaire où les tickets de proxy sont stockés (par défaut, /tmp/pgt.txt) ../pages/documentation/1.1/authdbi.html ../pages/documentation/1.1/authdbi.html Handler parameters Paramètres de l'agent To summarize, to get the user connected trough the Auth-User HTTP Header, use this Sping Security configuration: En résumé, pour connecter les utilisateurs vie l'entête HTTP Auth-User, utiliser cette configuration de Spring Security : Local SSO URL pattern: regular expression to match the SSO URL (by default: ^/zimbrasso$) Expression de correspondance de l'URL SSO : expression régulière de correspondance de l'URL SSO (par défaut : ^/zimbrasso$) http://test2.example.com http://test2.example.com Configure Dokuwiki virtual host like other protected virtual host. Configurer l'hôte virtuel Dokuwiki comme n'importe quel autre hôte virtuel protégé. The generated tarball is in the current directory. L'archive générée est dans le répertoire courant. ... ... Name: Auth-User Nom : Auth-User Auth-Roles => $bbbRoles Auth-Roles => $bbbRoles each area has 2 portals: chacune a 2 portails: documentation:remote-interoperability.png documentation:remote-interoperability.png Some can be mandatory, so if they are not returned by IDP, the session will not open. Certains peuvent être obligatoires, et s'ils ne sont pas retournés par l'IDP, la session n'est pas ouverte. Session opening Ouverture de session SQL session backend can be used with many SQL databases such as: Le backend de sessions SQL peut être utilisé avec de nombreuses bases de données SQL tels : RewriteRule ^/cas/.* /index.pl RewriteRule ^/cas/.* /index.pl //"userobm_vacation_message" => , //"userobm_vacation_message" => , Notifications Notifications Example with MySQL: Exemple avec MySQL: ../../../media/applications/linshare_logo.png ../../../media/applications/linshare_logo.png http://memcached.org/ http://memcached.org/ ... other SSL parameters ... ... autres paramètres SSL ... You can also configure jetlag (if all of your users use the same timezone): On peut aussi configurer jetlag (si tous les utilisateurs utilisent le même fuseau): The attribute key name can be used directly in lemonldap-ng.ini or in Perl scripts to override configuration parameters (see configuration location). Le nom de la clef d'un attribut peut être utilisé directement dans le fichier lemonldap-ng.ini ou dans les scripts Perl pour surcharger les paramètres de configuration (voir emplacement de la configuration). Rule name Nom de la règle You just have to share configuration and sessions databases between those servers: Il faut juste partager les bases de données de configuration et des sessions entre ces serveurs : User source attribute: name of the attribute in users entries used in the link (default: dn). Attribut source utilisateur : nom de l'attribut utilisateur utilisé dans le lien (défaut: dn). The real user identifier is stored in a Memcached server and the protected application can the request the Memcached server to get user identifier. L'identifiant utilisateur réel est stockédans un serveur Memcached et l'application protégée peut requérir le serveur Memcached pour obtenir l'identifiant utilisateur. gen-webid-cert.sh gen-webid-cert.sh http://mail.ow2.org/wws/arc/lemonldap-ng-users http://mail.ow2.org/wws/arc/lemonldap-ng-users The statistics are collected trough a daemon launched by the Handler. Ces statistiques sont collectées via un démon lancé par l'agent. 'LDAP#Openldap' => { 'LDAP#Openldap' => { sympaSecret sympaSecret Auto login: set to 1 to use auto login. Authentification automatique : mettre à 1 pour utiliser la connexion automatique. tomcat >= 5.5 tomcat >= 5.5 The digit will not be shown on portal page. Le chiffre ne sera pas affiché sur la page portail. LDAPFilter => '(uid=$user)', LDAPFilter => '(uid=$user)', For tests with example.com, launch the following : Pour les tests avec example.com, lancer ce qui suit : Xavier GUIMARD Xavier GUIMARD Just configure the access rules. Configurer simplement la règle d'accès. Then go to trunk directory: Aller ensuite dans le répertoire trunk : _lastAuthnUTime _lastAuthnUTime Of course, integration will be full if you use the LDAP directory as users backend for LL::NG and Liferay. Bien sûr, l'integration est complète si le serveur LDAP est utilisé comme base de données des utilisateurs dans LL::NG et Liferay. Use the name you want but this values in the value field. Utiliser n'importe quel nom de clef mais ces valeurs dans le champ « valeur ». Headers are used to give user datas to the application. Les en-têtes sont utilisés pour donner aux applications les données utilisateurs. securedCookie securedCookie documentation:1.4:authradius documentation:1.4:authradius For block brute force attack with fail2ban pour bloquer les attaques en force brute avec fail2ban ../pages/documentation/1.4/authdemo.html ../pages/documentation/1.4/authdemo.html For databases like PostgreSQL, don't forget to add “Commit” with a value of 1 Pour les bases de données telles PostgreSQL, ne pas oublier d'ajouter “Commit” avec une valeur de 1 rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-4.noarch.rpm rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/i386/epel-release-5-4.noarch.rpm MBConsulting MBConsulting Send mail on password change: send a mail if the password is changed from the Menu, or from forced password reset (LDAP password policy) Envoie un courriel lors des changements de mots-de-passe : envoie un courriel si le mot-de-passe est changé depuis le menu ou suite à une réinitialisation forcée (politique de mots-de-passe LDAP) LDAP password reset attribute name Nom de l'attribut de réinitialisation de mot-de-passe LDAP Access protected application Accéder aux applications protégées logos:logo_gn.png logos:logo_gn.png 1 if user is superadmin 1 si l'utilisateur est super-administrateur When all modifications are done, click on Save to store configuration. Lorsque toutes les modifications sont effectuées, cliquer sur Sauver pour enregistrer la configuration. To define keys, you can: Pour définir les clefs, vous pouvez : Login login fileconfbackend fileconfbackend Anti frame protection Protection anti-frame CustomLog /var/log/httpd/admindrupal-access.log combined </VirtualHost> CustomLog /var/log/httpd/admindrupal-access.log combined </VirtualHost> Windows 2008 server: Windows 2008 server : SMTPAuthUser SMTPAuthUser ../media/icons/flags/fr.png ../media/icons/flags/fr.png http://en.wikipedia.org/wiki/SAML http://fr.wikipedia.org/wiki/SAML Portal (dark theme) Portail (thème dark) LDAP change password as user Changement de mot-de-passe LDAP en tant qu'utilisateur ../../documentation/presentation.html#cross_domain_authentication_cda ../../documentation/presentation.html#cross_domain_authentication_cda Be careful with some applications which doesn't verify Lemonldap::NG headers after having created their own cookies. Faire attention avec certaines applications qui ne vérifient pas les en-têtes Lemonldap::NG après avoir créé leurs propres cookies. http://en.wikipedia.org/wiki/Basic_access_authentication http://fr.wikipedia.org/wiki/HTTP_Authentification The application is in maintenance: HTTP_SERVICE_UNAVAILABLE (503) L'application est en maintenance : HTTP_SERVICE_UNAVAILABLE (503) Add an Apache access control to avoid other access. Ajouter un contrôle d'accès Apache pour éviter les autres accès. rpm --import rpm-gpg-key-ow2 rpm --import rpm-gpg-key-ow2 Auth-User Auth-User ../../../../media/applications/bugzilla_logo.png ../../../../media/applications/bugzilla_logo.png Some Apache::Session module are not useable by Lemonldap::NG such as Apache::Session::Memcached since this module does not offer capability to browse sessions Certains modules Apache::Session ne sont pas utilisables par Lemonldap::NG tel Apache::Session::Memcached, car ce module n'offre pas de dispositif de parcours des sessions ../pages/documentation/1.1/highavailability.html ../pages/documentation/1.1/highavailability.html //"userobm_host_id" => , //"userobm_host_id" => , This can be used to notify right changes,… See notifications for more. Ceci peut être utilisé pour notifier des changements de droits,... Consultez la page notifications pour plus d'information. authradius authradius If you have to use mpm-prefork (for example if you use PHP), LemonLDAP::NG will work anyway. S'il faut utiliser mpm-prefork (par exemple si on utilise PHP), LemonLDAP::NG fonctionnera tout de même. Rule Règle Proxy LL::NG Proxy LL::NG You will need a very recent version of Lasso (>= 2.3.0). Vous devez utiliser une version récente de Lasso (>= 2.3.0). server based restriction (like Apache “allow/deny” mechanism) restrictions basées sur le serveur (tel le mécanisme “allow/deny” d'Apache) You can use the following rules instead: On peut utiliser les règles suivantes à la place : http://www.cpantesters.org/distro/L/Lemonldap-NG-Handler.html http://www.cpantesters.org/distro/L/Lemonldap-NG-Handler.html <OrganizationURL xml:lang="en">http://www.example.com</OrganizationURL> </Organization> <OrganizationURL xml:lang="en">http://www.example.com</OrganizationURL> </Organization> All data is stored in plain text files – no database is required. Toutes les données sont stockées dans des fichiers texte, aucune base de données n'est nécessaire. one with read/write rights for servers hosting the manager une avec des droits en lecture/écriture pour les serveurs hébergeant le manager localStorageOptions localStorageOptions → The specified node is not the uploaded tree. → Le nœud spécifié n'est pas dans l'arbre chargé. ../../../../media/applications/googleapps_logo.png ../../../../media/applications/googleapps_logo.png You have access to all environment variable, like user IP address. Toutes les variables d'environnement sont disponibles, telle l'adresse IP de l'utilisateur. #!/usr/bin/perl   use SOAP::Lite; use utf8;   my $lite = SOAP::Lite #!/usr/bin/perl   use SOAP::Lite; use utf8;   my $lite = SOAP::Lite SAML2 implementation is based on Lasso. L'implementation SAML est basée sur Lasso. https://www.djangoproject.com/ https://www.djangoproject.com/ Twitter application name Nom d'application Twitter Get user info: contact user database to collect attributes Récupère les informations utilisateur : contacte la base de données utilisateurs pour les obtenir Portal SOAP services Services SOAP du portail authchoice authchoice Check if user is already authenticated Vérifie si l'utilisateur n'est pas déjà authentifié Edit ~/.rpmmacros and set your build parameters (example for RHEL5): Editer ~/.rpmmacros et mettre les paramètres de construction (exemple pour RHEL5): mailSubject mailSubject User attribute: which session attribute will be used to display Connected as in the menu Attribut utilisateur : attribut de session à utiliser pour afficher Connecté en tant que dans le menu ../../documentation/features.html#session_explorer ../../documentation/features.html#session_explorer ../media/screenshots/0.9.3/lemonldap-ng-portal-appslist.png?w=200&h=155 ../media/screenshots/0.9.3/lemonldap-ng-portal-appslist.png?w=200&h=155 Example of a protected virtual host with LemonLDAP::NG as reverse proxy: Exemple d'hôte virtuel protégé avec Lemonldap::NG en proxy-inverse : <Directory /usr/local/lemonldap-ng/htdocs/portal/> <Directory /usr/local/lemonldap-ng/htdocs/portal/> 'samlIDPSSODescriptorSingleSignOnServiceHTTPPost' => 'urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST;#PORTAL#/saml/singleSignOn;', 'samlIDPSSODescriptorSingleSignOnServiceHTTPPost' => 'urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST;#PORTAL#/saml/singleSignOn;', Extraction Extraction /_detail/screenshots/1.0/manager/accordeon_dark.png?id=screenshots /_detail/screenshots/1.0/manager/accordeon_dark.png?id=screenshots Drupal Drupal apt-get install libauthen-radius-perl apt-get install libauthen-radius-perl LL::NG based protection Protection basée sur LL::NG Cache backend Module du cache local If LL::NG send some roles split by some commas, configure roleSeparator. Si LL::NG envoie les rôles séparés par des caractères (virgule,...), configurer roleSeparator. print "$res notification(s) have been inserted\n"; } print "$res notification(s) have been inserted\n"; } ../pages/documentation/1.1/soapminihowto.html ../pages/documentation/1.1/soapminihowto.html Notification backend options Options du module de stockage des notifications To customize a skin, the simplest way is to create a new skin folder: Pour personnaliser un thème, la meilleure façon est de créer un nouveau répertoire : When you set a parameter in lemonldap-ng.ini, it will override the parameter from the global configuration. Lorsqu'un paramètre et fixé dans lemonldap-ng.ini, il surcharge le paramètre issu de la configuration globale. Define headers used in OBM mapping, for example: Definir les en-têtes utilisés pour les correspondances OBM, par exemple : General parameters Paramètres généraux SlideShare SlideShare Memcached Memcached /_detail/logos/logo_gn.png?id=references /_detail/logos/logo_gn.png?id=references Portal and Manager skins have not evolved a lot since 1.0, so 1.0 screenshots are still up to date. Les thèmes du portail et du manager n'ont pas beaucoup évolué depuis la version 1.0, donc les captures d'écran 1.0 restent valables. Use reset attribute: enable to use the password reset attribute. Utiliser l'attribut reset : activé pour utiliser l'attribut reset du mot-de-passe. User XXXX was not granted to open session User XXXX was not granted to open session Reply address: address seen in the “Reply-To” field Adresse pour la réponse : adresse vue dans le champ “Reply-To” ... ... http://www.php.net/empty http://www.php.net/empty Rules are applied in alphabetical order (comment and regular expression). Les règles sont appliquées dans l'ordre alphabétique (commentaires et expressions régulières). Most of the time, SOAP session backend is used by Handlers installed on external servers. Dans la plupart des cas, le backend de session SOAP est utilisé par des agents installés sur des serveurs externes. http://auth.example.com http://auth.example.com We split databases in two categories: Nous scindons les bases de données en deux catégories : Casimir ANTUNES Casimir ANTUNES apt-key add rpm-gpg-key-ow2 apt-key add rpm-gpg-key-ow2 Binaries install : Installer les exécutables : Your module has to be loaded by Apache (for example after Handler load): Le module doit être chargé par Apache (par exemple après le chargement de l'agent) : See SAML service configuration chapter. Voir le chapître de configuration du service SAML. http://www.zdnet.fr/actualites/la-gendarmerie-nationale-renforce-la-securite-de-l-acces-a-son-si-39765875.htm http://www.zdnet.fr/actualites/la-gendarmerie-nationale-renforce-la-securite-de-l-acces-a-son-si-39765875.htm http://en.wikipedia.org/wiki/OpenID http://fr.wikipedia.org/wiki/OpenID Database Interface Database Interface dbi:Pg:dbname=sessions;host=10.2.3.1 dbi:Pg:dbname=sessions;host=10.2.3.1 You can also use <portal>?logout=1 as logout_url to remove LemonLDAP::NG session when “disconnect” is chosen. On peut aussi utiliser <portal>?logout=1 comme URL de déconnexion pour supprimer la session LemonLDAP::NG lorsque la déconnexion est demandée. twitterAuthnLevel twitterAuthnLevel DBI which has been deprecated: it is a read-only backend that exists just for compatibility with older versions of LemonLDAP::NG. DBI devenu obsolète : il reste un backend en lecture seule qui n'existe que pour la compatibilité avec les anciennes versions de LemonLDAP::NG. Variables Variables by date par date ipAddr varchar(15), ipAddr varchar(15), documentation:1.2:upgrade documentation:1.2:upgrade isAuthorizedURI(cookieValue,url): check if user is granted to access to the function isAuthorizedURI(cookieValue,url) : vérifie si l'utilisateur est autorisé à accéder à la fonction # Uncomment this line if you use portal SOAP capabilities # Décommenter cette ligne si les fonctions SOAP du portail sont utilisées mkdir /tmp/MyNamespace/2: Permission denied ... mkdir /tmp/MyNamespace/2: Permission denied ... Register LemonLDAP::NG on partner Service Provider Enregistrer LemonLDAP::NG sur le fournisseur de service partenaire Format (optional): SAML attribute format. Format (optionnel) : format de l'attribut SAML. /_detail/screenshots/0.9.4/0.9.4_logout_menu.png?id=screenshots /_detail/screenshots/0.9.4/0.9.4_logout_menu.png?id=screenshots http://www.limesurvey.org http://www.limesurvey.org Persistent Session backend options Options du backend des sessions persistantes Usage Utilisation LDAP configuration backend Backend de configuration LDAP Currently, the module is simply handling a Radius Authentication request and has been tested only against a FreeRadius server. Actuellement, ce module traite simplement une requête d'authentification Radius et n'a été testé que sur un serveur FreeRadius. Past and present contributors Contributeurs passé et présent One of this module can be used to delegate authentication server to the web server: Webserver Auth. Un de ces modules peut être utilisé pour déléguer l'authentification à un serveur web : Webserver Auth. Handler Redirections Redirections des agents /_detail/screenshots/1.0/manager/accordeon_light.png?id=screenshots /_detail/screenshots/1.0/manager/accordeon_light.png?id=screenshots Easy to share between servers with remote LDAP access Facilité de partage entre serveurs avec un accès LDAP distant For tests with the configured domain, launch the following : Pour les tests avec le domaine configuré, lancer : Superadmin: no one can stop him! Superadmin : personne ne peut l'arrêter ! 2_pub 2_pub As LDAP is a login/password based module, the authentication level can be: Comme LDAP est un module de type login/mot-de-passe, le niveau d'authentification peut être : portal/skins/common/mail_password.tpl portal/skins/common/mail_password.tpl To configure your new skin in Manager, select the custom skin, and enter your skin name in the configuration field. Pour configurer le nouveau thème dans le manager, selectionner le thème personnalisé et entrer le nom du nouveau thème dans le champ. Proxy cookie name Nom du cookie du proxy useXForwardedForIP useXForwardedForIP Binary attributes: regular expression matching binary attributes (see Net::LDAP documentation). Attributs binaires : expression régulière correspondant aux attributs binaires (voir la documentation Net::LDAP). activeTimer activeTimer Write good rules Écrire de bonnes règles ldapConfBase ldapConfBase passwordstore passwordstore Password: will not change any password Mots-de-passe : ne change aucun mot-de-passe For CentOS/RHEL, We advice to disable the default SSL virtual host configured in /etc/httpd/conf.d/ssl.conf. Pour CentOS/RHEL, il est recommandé de désactiver l'hôte virtuel SSL par défaut configuré dans /etc/httpd/conf.d/ssl.conf. ../../../media/screenshots/1.1/manager/notifications_explorer_create.png ../../../media/screenshots/1.1/manager/notifications_explorer_create.png documentation:1.4:upgrade documentation:1.4:upgrade SAML Service Service SAML If the OpenID consumer ask for data, users will be prompted to accept or not the data sharing. Si le client OpenID demande des données utilisateurs, ceux-ci sont questionnés pour accepter ou non le partage. DBI Connection chain Chaîne de connexion DBI Links Links /_detail/documentation/liferay_5.png?id=documentation%3A1.4%3Aapplications%3Aliferay /_detail/documentation/liferay_5.png?id=documentation%3A1.4%3Aapplications%3Aliferay <subtitle>: subtitle to display: will be inserted in HTML page enclosed in <h2 class=“notifText”>… <subtitle> : sous-titre : sera inséré dans la page HTML encadré dans <h2 class=“notifText”>… It will open a dialog to choose: Une boîte de dialoque s'ouvre pour choisir : Portal: used to authenticate users, display applications list and provides identity provider service (SAML, OpenID, CAS). Portail: utilisé pour authentifier les utilisateurs, afficher la liste des applications et fournir le service d'identité (SAML, OpenID, CAS). http://confoo.ca/en/2011/session/lemonldap-ng-a-free-web-single-sign-on-software http://confoo.ca/en/2011/session/lemonldap-ng-a-free-web-single-sign-on-software The configuration will be store under a specific branch, for example ou=conf,ou=applications,dc=example,dc=com. La configuration est stockée dans une branche spécifique, par exemple ou=conf,ou=applications,dc=example,dc=com. DBI Mail column Colonne mail DBI http://www.tux.in.ua/articles/2810 http://www.tux.in.ua/articles/2810 Prepare the database Preparer la base de données Change default DNS domain Changer le domaine DNS par défaut Fill values here: Renseigner les valeurs ici : http://lanyrd.com/2011/appsec-forum-2011/sgyzq/ http://lanyrd.com/2011/appsec-forum-2011/sgyzq/ dbiPassword dbiPassword Now we have to send the right role to the right application trough LemonLDAP::NG. Il faut maintenant envoyer le bon rôle à la bonne application via LemonLDAP::NG. Logout: logout button Déconnexion : bouton de déconnexion data longblob ); data longblob ); ../pages/documentation/1.1/authapache.html ../pages/documentation/1.1/authapache.html liblemonldap-ng-portal-perl: Portal files liblemonldap-ng-portal-perl : fichiers du portail /usr/share/lemonldap-ng/bin/lemonldap-ng-cli help /usr/share/lemonldap-ng/bin/lemonldap-ng-cli help ssoLogonHours ssoLogonHours You can choose to store LemonLDAP::NG configuration in an LDAP directory. On peut choisir de stocker la configuration de LemonLDAP::NG dans un annuaire LDAP. We directly use HTTP headers to fill default user profile. On utilise les en-têtes HTTP pour trouver le profil utilisateur par défaut. Options +ExecCGI Options +ExecCGI Mounir GZADY Mounir GZADY Here are the main options used by LL::NG: Ci-dessous les principales options utilisées par LL::NG : No configuration found No configuration found ../media/screenshots/1.0/dark/password.png?w=200&h=128 ../media/screenshots/1.0/dark/password.png?w=200&h=128 ../pages/documentation/1.1/authyubikey.html ../pages/documentation/1.1/authyubikey.html ../../documentation/1.4/configvhost.html ../../documentation/1.4/configvhost.html Restart all your remote Apache servers Redémarrer tous les serveurs Apache distants We advice to create a specific LDAP account with write access on configuration branch. Il est recommandé de créer un compte LDAP spécifique qui peut écrire dans la branche de configuration. newSession: create a session (return attributes) newSession : crée une session (retourne les attributs) KrbMethodK5Passwd Off KrbMethodK5Passwd Off Install Apache::Session::Redis Perl module. Installez le module Perl Apache::Session::Redis. //"userobm_domain_id" => , //"userobm_domain_id" => , Be careful for Windows user, path must contains ”/”. Attention avec les systèmes Windows, le séparateur de répertoire est le ”/”. Portal customization Personnalisation du portail ../../documentation/1.1/upgrade.html ../../documentation/1.1/upgrade.html SSLUserName (optional): certificate field that will be used to identify user in LL::NG portal virtual host SSLUserName (optionnel) : champ du certificat à utiliser pour identifier pour identifier un utilisateur dans l'hôte virtuel du portail LL::NG logoutforward logoutforward LmLocationToReplace: string to replace in Location header LmLocationToReplace : chaîne à remplacer dans l'en-tête Location ../media/screenshots/1.2/lemonldap_ng_session_explorer_1340022388573.png?w=200&h=124 ../media/screenshots/1.2/lemonldap_ng_session_explorer_1340022388573.png?w=200&h=124 ../pages/documentation/1.1/formreplay.html ../pages/documentation/1.1/formreplay.html Apache configuration Configuration d'Apache Create sessions table: Créer la table des sessions : ../documentation/current/start.html#configuration_database ../documentation/current/start.html#configuration_database This protocol is implementated in an LL::NG specific Handler. Ce protocole est implementé dans un handler spécifique de LL::NG. Practical Extraction and Report Language Practical Extraction and Report Language documentation:1.4:variables documentation:1.4:variables # Configuration reload mechanism (only 1 per physical server is # Mécanisme de rechargement de la configuration (1 seul par serveur physique est twitterAppName twitterAppName Of course, there are other differences. Il y a bien sur d'autres différences. LDAP search base Base de recherche LDAP ../../../media/documentation/manager-menu-application.png ../../../media/documentation/manager-menu-application.png ../pages/documentation/1.1/authremote.html ../pages/documentation/1.1/authremote.html DBI authentication level Niveau d'authentification DBI ../../documentation/1.4/federationproxy.html ../../documentation/1.4/federationproxy.html </Location>   </Location>   To avoid problems, LL::NG decode them using http://search.cpan.org/perldoc?Apache2::URI#unescape_url. Pour éviter les problèmes, LL::NG les décode en utilisant http://search.cpan.org/perldoc?Apache2::URI#unescape_url. In Manager, go in General Parameters > Authentication modules and choose Twitter for authentication module. Dans le manager, allez dans Paramètres generaux > Modules d'authentification et choisissez Twitter comme module d'authentication. <AttributeAuthorityDescriptor> <AttributeAuthorityDescriptor> <IfModule mod_dir.c> <IfModule mod_dir.c> rpm -Uvh lemonldap-ng-* perl-Lemonldap-NG-* rpm -Uvh lemonldap-ng-* perl-Lemonldap-NG-* Another LL::NG system configured with CAS authentication Un autre système LL::NG configuré avec authentification CAS documentation:1.4:soapconfbackend documentation:1.4:soapconfbackend Portal recognizes the user with its SSO cookies, and see he is coming from a different domain Le portail reconnaît l'utilisateur par son cookie SSO et voit qu'il sollicite une application d'un domaine différent You can also use the same user for all. On peut également utiliser le même compte pour tous. ../pages/documentation/1.1/authssl.html ../pages/documentation/1.1/authssl.html press press ssoEndDate ssoEndDate documentation:1.4:authnull documentation:1.4:authnull ../../documentation/1.4/status.html ../../documentation/1.4/status.html User Header: Auth-User (case sensitive) User Header: Auth-User (case sensitive) http://httpd.apache.org/docs/2.2/mod/mod_rewrite.html http://httpd.apache.org/docs/2.2/mod/mod_rewrite.html http://twitter.com/lemonldapng http://twitter.com/lemonldapng Connector Connecteur Example : Exemple : CAS session module name and options: choose a specific module if you do not want to mix CAS sessions and normal sessions (see why). Nom et options du module session CAS : choisir un module spécifique pour ne pas mêler les sessions CAS et les sessions normales (voir pourquoi). Authentication and UserDB Authentification et base d'utilisateurs Then install lasso and lasso-perl packages. Installer ensuite les paquets lasso et lasso-perl. No headers are required. Aucun en-tête n'est nécessaire. Variables are stored in the user session. Les variables sont stockées dans la session utilisateur. ErrorLog /var/log/apache2/localsite_error.log ErrorLog /var/log/apache2/localsite_error.log Mail charset: Charset used for the body of the mail (default: utf-8) Jeu de caractères du courriel : jeu de caractère utilisé pour le corps du message (défaut : utf-8) ../../../documentation/1.4/configvhost.html#lemonldapng_configuration ../../../documentation/1.4/configvhost.html#lemonldapng_configuration <property name="preAuthenticatedUserDetailsService"> <property name="preAuthenticatedUserDetailsService"> lemonldap_ng_sample_protected_application_1340022329086.png lemonldap_ng_sample_protected_application_1340022329086.png Form replay data les données à rejouer dans les formulaires Get the tarball on download page and follow next steps (or install using RPM or Debian packages): Récupérez l'archive sur la page de téléchargement et suivez les étapes suivantes (ou installez les paquets RPM ou Debian): Group source attribute: name of the attribute in groups entries used in the link, for recursive group search (default: dn). Attribut source du groupe : nom de l'attribut dans l'entrée groupe utilisé dans le lien pour la recherche récursive de groupe (défaut : dn). Password policy control: enable to use LDAP password policy. Contrôle de politique de mot-de-passe : active l'utilisation de la politique de mots-de-passe LDAP. ../../documentation/1.4/portalmenu.html ../../documentation/1.4/portalmenu.html mailreset_step4.png mailreset_step4.png A skin is composed of different files: Un thème est composé de différents fichiers : Adapt the reload virtual host name to the domain you configured. Adapter le nom d'hôte virtuel de rechargement au domaine configuré. User is redirected on portal and his SSO cookies is empty L'utilisateur est redirigé vers le portail et son cookie SSO est vide mailreset_step1.png mailreset_step1.png To use TLS, set ldap+tls://server and to use LDAPS, set ldaps://server instead of server name. Pour utiliser TLS, utiliser ldap+tls://server et pour utiliser LDAPS, indiquer ldaps://server au lieu du nom de serveur. /_detail/icons/xeyes.png?id=documentation%3A1.4%3Astart /_detail/icons/xeyes.png?id=documentation%3A1.4%3Astart documentation:1.4:applications:phpldapadmin documentation:1.4:applications:phpldapadmin You must read the man page corresponding to your database (Apache::Session::MySQL, …) to learn more about parameters. Il faut consulter la page de manuel correspondant à la base de données (Apache::Session::MySQL, …) pour connaître les paramètres. authwebid authwebid Exported attributes Attributs exportés Prerequisites Pré-requis Application logout: the request is forwarded to application but SSO session is not closed Déconnexion applicative: la requête est transmise à l'application mais la session SSO n'est pas détruite sudo apt-get install liblasso3-perl sudo apt-get install liblasso3-perl Change mydomain.org into your Google Apps domain Mettre mydomain.org dans le domaine Google Apps Some examples: Quelques exemples: https://metacpan.org/module/Apache::Session::Browseable https://metacpan.org/module/Apache::Session::Browseable /_detail/screenshots/0.9.3/lemonldap-ng-portal-auth.png?id=screenshots /_detail/screenshots/0.9.3/lemonldap-ng-portal-auth.png?id=screenshots ../media/logos/logo_ministere_justice.jpg ../media/logos/logo_ministere_justice.jpg fileNameSeparator: file name separator. fileNameSeparator : séparateur de nom de fichier. </IfModule>   </IfModule>   SAML sessions module name and options Options et nom du module de sessions SAML PRIMARY KEY (cfgNum,field) PRIMARY KEY (cfgNum,field) adminSessions/: read/write access to sessions (required for distant Portal, distant Manager or distant Handlers which modify sessions) adminSessions/ : accès en lecture/écriture aux sessions (nécessaire pour les portails ou manager distants ou les handlers distants qui modifient les sessions) It is stored in session datas under the name $_facebookToken Il est stocké dans les données de session sous le nom $_facebookToken cd lemonldap-ng-* make make configure make test sudo make install cd lemonldap-ng-* make make configure make test sudo make install documentation:1.4:federationproxy documentation:1.4:federationproxy # Change domain cookies # Changer le domaine des cookies documentation:1.4:authmulti documentation:1.4:authmulti Status module activation Activation du module de statut tar xzf lemonldap-ng-*.tar.gz cd lemonldap-ng-* make debian-packages tar xzf lemonldap-ng-*.tar.gz cd lemonldap-ng-* make debian-packages https://auth.linagora.com/ https://auth.linagora.com/ http://journeesperl.fr/fpw2011/talk/3383 http://journeesperl.fr/fpw2011/talk/3383 LemonLDAP::NG provide a script that allows to edit configuration items in non interactive mode. LemonLDAP::NG fournit un script qui autorise l'édition d'éléments de configuration en mode non-interactif. RPMForge repository, you can activate this repository: https://rpmrepo.org/RPMforge/Using le dépôt RPMForge, pour activer ce dépôt : https://rpmrepo.org/RPMforge/Using Zimbra application in menu Application Zimbra dans le menu http://search.cpan.org/perldoc?Apache::Session http://search.cpan.org/perldoc?Apache::Session aptitude install lemonldap-ng aptitude install lemonldap-ng In the Manager, go in General Parameters » Issuer modules » CAS and configure: Dans le manager, aller dans Paramètres généraux > Modules fournisseurs et configurer : Safe can be very annoying when we use extended functions or custom functions. Safe peut être très gênant lorsqu'on utilise les fonctions étendues ou les fonctions personnalisées. ServerName bugzilla.example.com   ServerName bugzilla.example.com   http://search.cpan.org/perldoc?Apache::Session::Browseable::MySQL http://search.cpan.org/perldoc?Apache::Session::Browseable::MySQL http://mail.ow2.org/wws/subscribe/lemonldap-ng-dev http://mail.ow2.org/wws/subscribe/lemonldap-ng-dev NTLM NTLM Postal code Postal code kdestroy kdestroy (o/n) n Le nouveau rôle doit-il être autorisé à créer des bases de données ? (o/n) n Le nouveau rôle doit-il être autorisé à créer des bases de données ? RewriteEngine On RewriteEngine On Custom functions Fonctions personnalisées make make test make make test LemonLDAP::NG configuration Configuration de LemonLDAP::NG ../../documentation/1.4/writingrulesand_headers.html#headers ../../documentation/1.4/writingrulesand_headers.html#headers Configure your tomcat home in build.properties files. Configurer votre tomcat home dans le fichier build.properties. Customizable NameID formats are: Les formats de NameID personnalisables sont : Security with SSL/TLS Securité avec SSL/TLS Configure IE or Firefox to trust http://auth.example.com, and then it should work! Configurer IE ou Firefox pour agréer http://auth.example.com et ça doit marcher ! RMLL RMLL ../media/screenshots/1.0/manager/tree_dark.png?w=200&h=128 ../media/screenshots/1.0/manager/tree_dark.png?w=200&h=128 'create_user' => $_SERVER['HTTP_AUTH_SUPERADMIN'], 'create_user' => $_SERVER['HTTP_AUTH_SUPERADMIN'], Extract from the Wikipedia article: Extrait de l'article Wikipedia: ^/public/ ^/public/ Kinematics: Cinématique : make ubuntu-install make ubuntu-install ../../documentation/1.4/filesessionbackend.html ../../documentation/1.4/filesessionbackend.html ../pages/documentation/1.1/sessions.html ../pages/documentation/1.1/sessions.html idpsaml idpsaml https://wikit.firewall-services.com/doku.php?id=lemonldap_ng https://wikit.firewall-services.com/doku.php?id=lemonldap_ng Force authentication: set to 'On' to force authentication when user connects to portal, even if he has a valid session Forcer l'authentification : mettre à 'Activé' pour forcer l'authentification lorsque l'utilisateur accède au portail même s'il dispose d'une session valide Define at least: Definir au moins : ../media/rpm-gpg-key-ow2 ../media/rpm-gpg-key-ow2 Edit also OBM Apache configuration to enable LL::NG Handler: Éditer également la configuration du serveur Apache d'OBM pour activer les en-têtes LL::NG : multiValuesSeparator multiValuesSeparator Go in Manager, and: Aller dans le manager et : ^/pub/admin/ ^/pub/admin/ unicode2iso unicode2iso openIdIDPList openIdIDPList You just need to know the ID of the error (look at Portal/Simple.pm) and then add to lemonldap-ng.ini: Il suffit de connaître l'ID de l'erreur (voir Portal/Simple.pm) et de l'ajouter dans lemonldap-ng.ini : SSLVerifyClient: set to optional to allow user with a bad certificate to access to LL::NG portal page. SSLVerifyClient : mettre à optional pour autoriser les utilisateurs ne disposant pas d'un certificat valide à accéder à la page du portail LL::NG Get the tarball from download page. Récupérer l'archive depuis la page de téléchargement. This script must be run as root, it will then use the Apache user and group to access configuration. Ce script doit être lancé par root, il utilisera ensuite le compte et le groupe d'Apache pour accéder à la configuration. Auto login Auto login More than one server can be set here separated by spaces or commas. Plusieurs serveurs peuvent être renseignés séparés par des virgules ou espaces. sqlsessionbackend sqlsessionbackend ldapBindDN: DN used to bind LDAP ldapBindDN : DN utilisé pour se connecter au serveur LDAP ); ); Notification delete function: Fonction d'effacement de notification : Add a floating menu Ajouter un menu flottant Zimbra syncs to smartphones (iPhone, BlackBerry) and desktop clients like Outlook and Thunderbird. Zimbra se synchronise avec les smartphones (iPhone, BlackBerry) et les clients lourds de bureau tels Outlook et Thunderbird. authfacebook authfacebook Order allow,deny Order allow,deny dbiUser: DBI user. dbiUser : utilisateur DBI. Download the Lasso tarball and compile it on your system. Téléchargez l'archive Lasso et compilez là sur votre système. We include some template files that can be customized: Nous incluons des fichiers modèles qui peuvent être personnalisés : Certificate authorities directory Répertoire des autorités de certification Configuration access Accès à la configuration LemonLDAP::NG Manager Gestionnaire LemonLDAP::NG get_key_from_all_sessions: list all sessions and return asked keys get_key_from_all_sessions : liste toutes les sessions et retourne les clefs demandées screenshots:1.1:manager:notifications_explorer_create.png screenshots:1.1:manager:notifications_explorer_create.png <property name="userDetailsService" ref="userDetailsService"/> <property name="userDetailsService" ref="userDetailsService"/> documentation/features.html documentation/features.html Give display name Donne le nom à afficher vi /var/www/html/limesurvey/config.php vi /var/www/html/limesurvey/config.php Form replay with Apache mod_proxy Rejeu de formulaires avec le mod_proxy d'Apache SetEnvIfNoCase Auth-User "(.*)" REMOTE_USER=$1 SetEnvIfNoCase Auth-User "(.*)" REMOTE_USER=$1 HTTP SOAP HTTP SOAP Protected application sends response to Handler L'application protégée renvoie sa réponse à l'agent Shared secret: this is the passphrase to use to connect to the Radius server Secret partagé : la phrase de passe à utiliser pour se connecter au serveur Radius $_userDB $_userDB If a modification is done, the configuration is saved with a new configuration number. Si une modification est effectuée, la configuration est sauvée avec un nouveau numéro. documentation:manager-menu-application.png documentation:manager-menu-application.png Headers are defined inside a virtualhost and takes effect only on it. Les en-têtes sont définies à l'intérieur d'un hôte virtuel (virtualhost) et n'ont d'effet que sur lui. Manage virtual hosts Gérer les hôtes virtuels Authentication module Module d'authentication If the user do a new password reset request but there is already a request pending, the user can ask the confirmation mail to be resent. Si l'utilisateur effectue une nouvelle demande de réinitialisation mais qu'une requête est déjà en attente, il peut demander une ré-expédition du courriel. Event Événement internalproxy internalproxy MD5 MD5 dbiUserUser dbiUserUser XXXX was not found in tree XXXX was not found in tree If you modify /saml/metadata suffix you have to change corresponding Apache rewrite rule. Si vous modifiez le suffixe /saml/metadata, vous devez changer la règle de réécriture d'Apache. ../pages/documentation/1.1/applications.html ../pages/documentation/1.1/applications.html ../pages/documentation/1.1/samlservice.html ../pages/documentation/1.1/samlservice.html $groups $groups authnull authnull KEY ipAddr (ipAddr) KEY ipAddr (ipAddr) Domain Name System Domain Name System http://www.iana.org/assignments/enterprise-numbers http://www.iana.org/assignments/enterprise-numbers <Location /index.pl/notification> <Location /index.pl/notification> documentation:1.4:customfunctions documentation:1.4:customfunctions ../../../media/applications/zimbra_logo.png ../../../media/applications/zimbra_logo.png Example for groups: Exemples de groupes: ^/config/ ^/config/ Status module can not be loaded without localStorage parameter Status module can not be loaded without localStorage parameter ServerName appl1.example.com ServerName appl1.example.com Prepare database Préparer la base de données HTTP header (in all cases) un en-tête HTTP (dans tous les cas) ../../documentation/1.4/sqlconfbackend.html ../../documentation/1.4/sqlconfbackend.html ../../documentation/1.4/passwordstore.html ../../documentation/1.4/passwordstore.html No headers are needed. Aucun en-tête n'est nécessaire. _utime _utime Configure the following headers. Configurer les en-têtes suivants. Cookie Javascript protection Protection Javascript du cookie translations.html translations.html Remember that rules written on GET parameters must be tested. Rappel : les règles poratnt sur des paramètres GET doivent être testées. POST data: use form replay Des données POST : à utiliser pour répondre aux formulaires Manager tree JQuery CSS file Fichier CSS de l'arbre JQuery du manager ../../documentation/1.4/applications/bugzilla.html ../../documentation/1.4/applications/bugzilla.html Else, current configuration is kept. Sinon, la configuration courante est gardée. 10.0.0.1:20000 10.0.0.2:20000 10.0.0.1:20000 10.0.0.2:20000 When installing LL::NG, the Manager can only be accessed with the demo account dwho. Lorsqu'on installe LL::NG, le manager n'est accessible que via le compte de démonstration dwho. Proxy backend to be used in conjunction with another session backend. Backend proxy à utiliser avec un autre backend de sessions. [PORTAL] is the portal URL [PORTAIL] est l'URL du portail 'lang' => 'en', 'lang' => 'en', install_examples_site (/usr/local/lemonldap-ng/examples) install_examples_site (/usr/local/lemonldap-ng/examples) Redirection to the portal of the secondary area (transparent) Redirection vers le portail secondaire (transparent) NameID formats Formats de NameID <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat> <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat> ../pages/documentation/1.1/writingrulesand_headers.html ../pages/documentation/1.1/writingrulesand_headers.html Auth-Roles => $ssoRoles Auth-Roles => $ssoRoles Cascading Style Sheets Cascading Style Sheets https://cas.unilim.fr/ https://cas.unilim.fr/ Go to the Manager and create a new virtual host for LimeSurvey. Aller dans le manager et créer un nouvel hôte virtuel pour LimeSurvey. screenshots screenshots Pages where this menu is displayed can be restricted, for example: Les pages où ce menu est affiché peuvent être restreintes, par exemple : Install and launch a Redis server. Installez et lancer un serveur Redis. secureTokenMemcachedServers secureTokenMemcachedServers Reset password on next logon workflow Réinitialisation du mot-de-passe à la connexion suivante ../../documentation/1.4/security.html#write_good_rules ../../documentation/1.4/security.html#write_good_rules Issy Les Moulineaux Issy-les-Moulineaux You can prefix the key name with a digit to order them. Il est possible d'ordonner les noms de clefs en utilisant un préfixe numérique. Response Location: Access Point for SSO response. Response Location : Point d'accès pour les réponses SSO. LDAP password reset attribute true value Valeur positive de l'attribut de réinitialisation de mot-de-passe LDAP Location Lieu logos:logo_ucanss.png logos:logo_ucanss.png These options are used to build redirection URL (when user is not logged, or for CDA requests). Ces options sont utilisées dans la construction des URL de redirection (lorsque l'utilisateur n'est pas connecté ou pour les requêtes CDA). Sessions database Base de données des sessions A macro is stored as attributes: it can contain boolean results or any string Une macro est stockée comme un attribut : elle peut contenir le résultat d'un calcul booléen ou n'importe quelle chaîne de caractères Now we will add Google Apps as a new SAML Service Provider: Ajouter ensuite Google Apps comme nouveau fournisseur de service SAML : Safe jail Cage sécurisée Presentation Présentation Speaker Conférencier LDAP port Port LDAP ServerName drupal.example.com   ServerName drupal.example.com   # needed): choose your URL to avoid restarting Apache when # nécessaire) : choisir une URL pour éviter d'avoir à redémarrer Apache lorsque SSO cookies is not detected, so Handler redirects user to Portal Si le cookies SSO n'est pas détecté, l'agent redirige l'utilisateur vers le portail ../pages/documentation/1.1/applications/authbasic.html ../pages/documentation/1.1/applications/authbasic.html LL::NG can also act as SAML IDP, that allows to interconnect two LL::NG systems. LL::NG peut également agir comme un IDP SAML, ce qui permet d'interconnecter deux systèmes LL::NG. ipAddr WHATTOTRACE _httpSessionType ipAddr ipAddr WHATTOTRACE _httpSessionType ipAddr ConFoo ConFoo SAML Session backend options Options du module de stockage SAML ../../documentation/1.4/fastcgi.html ../../documentation/1.4/fastcgi.html http://static.springsource.org/spring-security/site/docs/3.0.x/reference/preauth.html http://static.springsource.org/spring-security/site/docs/3.0.x/reference/preauth.html documentation:1.4:sqlsessionbackend documentation:1.4:sqlsessionbackend You can also choose a different session module to split SSO sessions and SAML sessions. Vous pouvez également utiliser un module différent pour répartir les sessions SSO et SAML. Reset password by mail (self service) Réinitialiser les mots-de-passe par mail (self-service) Use redirect on error Utiliser les redirections en cas d'erreur Redis server Serveur Redis Go in General Parameters » Issuer modules » SAML and configure: Dans le manager, aller dans Paramètres généraux > Modules fournisseurs » SAML et configurer : /_detail/screenshots/1.1/mailreset/mailreset_step3.png?id=documentation%3A1.4%3Aresetpassword /_detail/screenshots/1.1/mailreset/mailreset_step3.png?id=documentation%3A1.4%3Aresetpassword ->proxy('http://auth.example.com/index.pl/notification');     $r = $lite->newNotification( '<?xml version="1.0" encoding="UTF-8" standalone="no"?> <root> <notification uid="foo.bar" date="2009-01-27" reference="ABC"> <text> You have been granted to access to appli-1 </text> <text> You have been granted to access to appli-2 </text> <check> I know that I can acces to appli-1 </check> <check> I know that I can acces to appli-2 </check> </notification> </root> ');   if ( $r->fault ) { ->proxy('http://auth.example.com/index.pl/notification');     $r = $lite->newNotification( '<?xml version="1.0" encoding="UTF-8" standalone="no"?> <root> <notification uid="foo.bar" date="2009-01-27" reference="ABC"> <text> You have been granted to access to appli-1 </text> <text> You have been granted to access to appli-2 </text> <check> I know that I can acces to appli-1 </check> <check> I know that I can acces to appli-2 </check> </notification> </root> ');   if ( $r->fault ) { LockDirectory LockDirectory References Références ../../documentation/1.0/upgrade.html ../../documentation/1.0/upgrade.html cp HttpAuthPlugin.php extenstions/ cp HttpAuthPlugin.php extenstions/ Restrict access to the whole site to users that have the LDAP description field set to “LDAP administrator” (must be set in exported variables) Restreindre l'accès à tout le site aux utilisateurs dont le champ description LDAP contient “LDAP administrator” (doit être déclaré dans les variables exportées) documentation:1.4:ldapconfbackend documentation:1.4:ldapconfbackend 1f777a6581e478499f4284e54fe2d4a4e513dfff 1f777a6581e478499f4284e54fe2d4a4e513dfff The user click on the link in the mail L'utilisateur clique sur le lien dans le courriel auth_env_id: HTTP_AUTH_USER auth_env_id: HTTP_AUTH_USER LL::NG as federation protocol proxy LL::NG en proxy de fédération de protocoles Portal (impact theme) Portail (thème impact) Prefer then the other solutions (see below). Si c'est le cas, utiliser une autre solution (voir ci-dessous). The portal is the biggest component of Lemonldap::NG. Le portail est le composant le plus gros de Lemonldap::NG. LemonLDAP::NG allows to override any configuration parameter directly in script file. LemonLDAP::NG autorise la surcharge de tout paramètre de configuration directement dans les fichiers de script. Google Apps does not support Single Logout (SLO). Google Apps ne supporte pas le Single Logout (SLO). postcode postcode variables variables Proxy Granting Ticket Proxy Granting Ticket This option can then be overridden for each Service Provider. Cette option peut être surchargée pour chaque fournisseur de service. ../../documentation/1.4/parameterlist.html ../../documentation/1.4/parameterlist.html Authentication backend Module d'authentification Dokuwiki virtual host in Manager Hôte virtuel Dokuwiki dans le manager http://httpd.apache.org/docs/current/mod/mod_ssl.html http://httpd.apache.org/docs/current/mod/mod_ssl.html soapservices soapservices Handlers check rights and calculate headers for each HTTP hit. Les agents vérifient les droits et calculent les en-têtes pour chaque requête HTTP. ldapServer => 'ldap1.example.com', ldapServer => 'ldap1.example.com', http://webchat.freenode.net http://webchat.freenode.net http://lanyrd.com/2012/fosdem/spfqq/ http://lanyrd.com/2012/fosdem/spfqq/ Create two macros (inside Variables » Macros): Créer deux macros (dans Variables » Macros): LWP::UserAgent parameters Paramètre LWP::UserAgent ../../documentation/1.4/upgrade.html#debian_lenny_upgrade ../../documentation/1.4/upgrade.html#debian_lenny_upgrade LogLevel warn LogLevel warn ../pages/documentation/1.1/cda.html ../pages/documentation/1.1/cda.html 'namespace' => 'MyNamespace'? 'namespace' => 'MyNamespace'? lemonldap-ng: meta-package, contains no file but dependencies on other packages lemonldap-ng : meta-paquet qui ne contient aucun fichier mais des dépendances vers les autres paquets Jan 2012: Configuration de LemonLDAP::NG avec Google Authenticator Jan 2012 : Configuration de LemonLDAP::NG avec Google Authenticator Roadmap Feuille de route ../pages/documentation/1.1/applications/tomcat.html ../pages/documentation/1.1/applications/tomcat.html This objectClass allow attributes cn and description. Cet classe d'objet autorise les attributs cn et description. If CAS failed, LDAP will be used. Si CAS échoue, LDAP est utilisé. Prepare the database and the LL::NG configuration file Preparer la base de donnée et le fichier de configuration LL::NG Jquery (javascript framework) is included in tarball and RPMs, but is a dependency on Debian official releases Jquery (framework javascript) est inclus dans l'archive et les RPMs, mais est une dépendance des versions officielles Debian documentation:1.4:security documentation:1.4:security Manager (sessions explorer) Manager (explorateur de sessions) Check SLO message signature: check SLO message signature Vérifie la signature des messages SLO : vérifie la signature des messages SLO See translations. Voir traductions. ../../../media/applications/phpldapadmin_logo.png ../../../media/applications/phpldapadmin_logo.png Note that SOAP is not a real configuration backend, but just a proxy system to access to your configuration over the network NB : SOAP n'est pas réellement un backend de configuration, mais simplement un système mandataire pour accéder à la configuration au travers du réseau Anonymous access Accès anonyme They are extracted from the users database by the users module. Elles sont extraites de la base de données des utilisateurs par le module utilisateurs. The default rule is: La règle par défaut est : Use LDAP for sessions Utiliser LDAP pour les sessions Accounting Traçabilité checkLogonHours($ssoLogonHours, '', $_timezone) checkLogonHours($ssoLogonHours, '', $_timezone) Back to main index Retour à l'index principal All static content (examples, CSS, images, etc.) is in /usr/share/lemonldap-ng/ Tous le contenu statique (exemples, CSS, images, etc...) se trouve dans /usr/share/lemonldap-ng/ Confirmation mail content (optional): Content of mail sent when password change is asked Contenu du message de confirmation (optionnel) : contenu du courriel envoyé lorsque le changement de mot-de-passe est demandé notifyDeleted notifyDeleted You have to install mod_ssl for Apache. Installer mod_ssl pour Apache. See how to do this on Zimbra wiki. Voir comment le faire sur le wiki Zimbra. Use with caution. À utiliser avec précaution. By default, notifications will be stored in the same database as configuration: Par défaut, les notifications sont stockées dans la même base de données que la configuration : Server port: TCP port used by LDAP server. Port du serveur : port TCP du serveur LDAP. http://search.cpan.org/perldoc?DBD::Pg http://search.cpan.org/perldoc?DBD::Pg It is also used by SAML SP to fill the authentication level in user session, based on authentication response authentication context. Il est également utilisé par le SP SAML pour définir le niveau d'authentification dans la session de l'utilisateur en se basant sur la réponse d'authentification. This documentation will focus on Kerberos authentication module, that can allow for example to set transparent authentication for Active Directory users (as Active Directory is a Kerberos server). Cette documentation se focalise sur le module d'authentification Kerberos qui permet par exemple de rendre transparente l'authentification sur Active Directory (car Active Directory est un serveur Kerberos). xguimard@example.com xguimard@example.com ); ); download Téléchargement To extend SSO on several domains, a cross-domain mechanism is implemented in LemonLDAP::NG. Pour étendre le SSO sur plusieurs domaines, un mécanisme inter-domaines est intégré à LemonLDAP::NG. safejail safejail $groups =~ /\badmin\b/ $groups =~ /\badmin\b/ Protect the Manager by LL::NG Protéger le manager par LL::NG authremote authremote Go on http://auth.example.com and log with one of the demonstration account. Allez sur http://auth.example.com et connectez-vous avec l'un des comptes de démonstration Portal URL is the address used to redirect users on the authentication portal by: L'URL du portail est l'adresse utilisée pour rediriger les utilisateurs bers le portail d'authentification par : /_detail/documentation/manager-formreplay-newdata.png?id=documentation%3A1.4%3Aformreplay /_detail/documentation/manager-formreplay-newdata.png?id=documentation%3A1.4%3Aformreplay Core Perl subroutines (split, pop, map, etc.) Fonctions standards de Perl (split, pop, map, etc...) Install the new lemonldap-ng.ini file at the place of the old file in all LL::NG servers Installer le nouveau fichier lemonldap-ng.ini à la place de l'ancien dans tous les serveurs LL::NG twitterSecret twitterSecret Pascal PEJAC Pascal PEJAC require SOAP::Lite; </Perl> require SOAP::Lite; </Perl> /_detail/documentation/ha-sessions-configuration.png?id=documentation%3A1.4%3Ahighavailability /_detail/documentation/ha-sessions-configuration.png?id=documentation%3A1.4%3Ahighavailability CAS CA file Fichier d'AC de CAS Try Freenode Webchat! Essayez le client web Freenode ! https://developers.facebook.com/apps https://developers.facebook.com/apps phpLDAPadmin phpLDAPadmin Use /adminSessions if the Handler need to modify the session, for example if you configured an idle timeout. Utiliser /adminSessions si l'agent doit modifier la session, par exemple si on configure un délai d'inactivité des sessions. /_detail/logos/sgs_white_small.jpg?id=references /_detail/logos/sgs_white_small.jpg?id=references Radius secret Secret Radius http://dev.twitter.com/pages/api_faq http://dev.twitter.com/pages/api_faq To get attributes values in session, declare them in exported variables Pour utiliser ces valeurs dans les sessions, il faut les déclarer dans les variables exportées Most of configuration can be done trough LemonLDAP::NG Manager (by default http://manager.example.com). La majeure partie de la configuration peut être réalisée via le manager LemonLDAP::NG (par défaut http://manager.example.com). # Deny from all # Deny from all Mod Perl must be loaded before LemonLDAP::NG, so include configuration after the mod_perl LoadModule directive. Mod Perl doit être chargé avant LemonLDAP::NG, donc les inclusions aprèsla directive LoadModule de mod_perl. All handlers download the whole configuration, so many servers can serve the same virtual hosts Tous les agents téléchargent intégralement la configuration, donc plusieurs serveurs peuvent servir le même hôte virtuel icons:personal.png icons:personal.png Each virtual host is a protected resource, with access rules, headers, POST data and options. Chaque hôte virtuel est une ressource protégée, avec règles d'accès, en-têtes, options et données POST. by double IP (sessions opened by the same user from multiple computers) par double IP (sessions ouvertes par le même utilisateur sur plusieurs machines) Xavier GUIMARD Xavier GUIMARD exportedVars exportedVars documentation:manager_access_rule.png documentation:manager_access_rule.png documentation:1.4:authdbi documentation:1.4:authdbi The cookie $id isn't yet available: Object does not exist in the data store The cookie $id isn't yet available: Object does not exist in the data store documentation:1.4:prereq documentation:1.4:prereq See Manager protection documentation to know how to use Apache modules or LL::NG to manage access to Manager. Voir la documentation de protection du manager pour savoir comment utiliser les modules d'Apache ou LL::NG pour gérer l'accès au manager. customheader.tpl : HTML code int the header div customheader.tpl : code HTML inséré dans le div d'en-tête </IfModule> </IfModule> These settings can be overriden per virtual host, see virtual host management. Ces paramètres peuvent être surchargés dans chaque hôte virtuel, voir la gestion des hôtes virtuels. exportedvars exportedvars http://auth.example.com/index.pl/sessions http://auth.example.com/index.pl/sessions ^/admin/ ^/admin/ http://www.omegat.org/ http://www.omegat.org/ http://drupal.org http://drupal.org Remote Session backend options Options du backend de sessions distant List type: choose white list to define allowed domains or black list to define forbidden domains Type de liste : choisir liste blanche pour définir la liste exhaustive des domaines autorisés ou liste noire pour lister les domaines interdits Example Exemple http://joind.in/2862 http://joind.in/2862 Success mail subject: Subject of mail sent when password is changed (default: [LemonLDAP::NG] Your new password) Sujet du message de succès : sujet du courriel lorsque le mot-de-passe est changé (défaut : [LemonLDAP::NG] Your new password) casStorageOptions casStorageOptions documentation:1.4:installdeb documentation:1.4:installdeb In this case you will be able to use $_password to fill any password POST field. Dans ce cas, la variable $_password peut être utilisée dans tous les champs à envoyer. You can set one or several IP addresses, separated by spaces, or let this parameter empty to disable the checking. Plusieurs adresses IP separées par des espaces peuvent être entrées, ou ce paramètre peut rester vide pour désactiver ce contrôle. Then set: et indiquez : DBI password Mot-de-passe DBI If you want to refuse access when a data is missing, just add a ”!” before the key name Pour imposer qu'une valeur soit renseignée, ajouter un ”!” devant le nom de clef The redirection from portal can be done either with code 303 (See Other), or with a JavaScript redirection. Cette redirection du portail peut être effectuée via le code 303 (See Other) ou par une redirection JavaScript. images and other media files images et autres médias This message is displayed only when you upgrade from a version older than 1.0 Ce message n'est affiché que lors d'une mise à jour depuis une version inférieure à la 1.0 yum update yum update # SOAP functions for sessions management (disabled by default) # Gestion des fonctions SOAP functions pour la gestion des sessions (désactivée par défaut) Configuration Configuration # SAML2 Issuer # Fournisseur d'identité SAML2 persistentStorage persistentStorage documentation:1.4:ldapsessionbackend documentation:1.4:ldapsessionbackend Variables can be used in rules and headers. Les variables peuvent être utilisées dans les règles et en-têtes. You can avoid this by setting “memberOf” fields in your LDAP scheme: Vous pouvez contourner cette dificulté en utilisant les champs “memberOf” dans votre schéma LDAP : LemonLDAP::NG developer must have a account on OW2 platform, and could authenticate themselves via SSH 2 by using the following one: Les développeurs LemonLDAP::NG doivent posséder un compte sur la plateforme OW2, et peuvent s'authentifier via SSH 2 en utilisant : WebID whitelist: list of space separated hosts granted to host FOAF document. Liste blanche WebID : liste de noms d'hôtes, séparés par des espaces, autorisés à héberger les documents FOAF. http://search.cpan.org/perldoc?Apache::Session::Postgres http://search.cpan.org/perldoc?Apache::Session::Postgres Authentication choice will also be registered in session: Le choix d'authentication est également enregistré dans la session : You just have to activate Notifications in the Manager (General Parameters > Advanced Parameters > Notifications > Activation) or in lemonldap-ng.ini: Il suffit d'activer les notifications dans le manager (Paramètres généraux > Paramètres avancés > Notifications > Activation) ou dans lemonldap-ng.ini : During this period, user can ask the confirmation mail to be resent (default: session timeout value) Durant cette période, l'utilisateur peut demander que le courriel soit ré-émis (défaut : durée de vie de la session) DBI UserDB connection password Mot-de-passe de connexion UserDB DBI The request validity time is a configuration parameter. La durée de validité de la requête est un paramètre de configuration. internal variables, managed by LemonLDAP::NG les variables internes, gérées par LemonLDAP::NG Apache portal SSL configuration Configuration SSL du portail dans Apache Auth-User: $uid Auth-User: $uid install_doc_site (/usr/local/lemonldap-ng/htdocs/doc) install_doc_site (/usr/local/lemonldap-ng/htdocs/doc) Indeed, this variable is set by the Handler on the physical server hosting the Handler, and not on other servers where the Handler is not installed. Toutefois, cette variable est renseignée par l'agent dans le serveur physique l'hébergeant mais pas dans les autres serveurs sans agents. ../documentation/current/portalcustom.html ../documentation/current/portalcustom.html Give a static value Donne une valeur statique OW2 annual conference Conférence annuelle OW2 AuthzLDAPAuthoritative On AuthzLDAPAuthoritative On /_detail/icons/lists.png?id=documentation%3A1.4%3Astart /_detail/icons/lists.png?id=documentation%3A1.4%3Astart SSO cookie Cookie SSO Some options are available: Quelques options sont disponibles : ../../documentation/1.4/applications/spring.html ../../documentation/1.4/applications/spring.html ../pages/documentation/1.1/rbac.html ../pages/documentation/1.1/rbac.html Next create the configuration branch where you want. Créer ensuite la branche des configurations n'importe où. Store -> MySQL Lock -> Null Generate -> MD5 Serialize -> Storable DataSource -> dbi:mysql:sessions;host=... Store -> MySQL Lock -> Null Generate -> MD5 Serialize -> Storable DataSource -> dbi:mysql:sessions;host=... macros are used to extend (or rewrite) exported variables. Les macros sont utilisées pour étendre (ou réécrire) les variables exportées. http://lanyrd.com/2011/fpw2011/sfhcb/ http://lanyrd.com/2011/fpw2011/sfhcb/ This works like File backend, except that data are serialized in JSON. Il fonctionne comme le backend File, si ce n'est que les données sont sérialisées au format JSON. CAS PGT temporary file Fichier temporaire PGT de CAS To enable LL::NG authentication plugin, go in /etc/obm/obm_conf.inc: Pour activer le composant d'authentification LL::NG, aller dans /etc/obm/obm_conf.inc: Hamza AISSAT Hamza AISSAT documentation:1.0:upgrade documentation:1.0:upgrade ../../../media/icons/jabber_protocol.png ../../../media/icons/jabber_protocol.png To work with LL::NG it requires: Pour fonctionner avec LL::NG il faut : ../pages/documentation/1.1/securetoken.html ../pages/documentation/1.1/securetoken.html Open SSO session Ouvrez une session SSO Strasbourg Strasbourg logon_hours: string representing allowed logon hours (GMT) logon_hours : chaîne représentant les heures autorisées (GMT) Net::OpenID::Consumer > 1.00 Net::OpenID::Consumer > 1.00 ../../../documentation/1.4/passwordstore.html ../../../documentation/1.4/passwordstore.html groups are stored as space-separated strings in the special attribute “groups”: it contains the names of groups whose rules were returned true for the current user les groupes sont stockées en chaîne de caractères séparées par des espaces dans l'attribut spécial “groups” : il contient les noms des groupes dont la règle à retournée une valeur non nulle pour l'utilisateur courant File configuration backend Backend de configuration File Send “Lastname, firstname” in Auth-Name: Envoi de “Lastname, firstname” dans Auth-Name: .tpl: Perl HTML::Template files, for HTML content .tpl : fichiers HTML::Template Perl, pour le contenu HTML cda cda ../../../media/icons/kmultiple.png ../../../media/icons/kmultiple.png LL::NG uses Perl Authen::Radius as a simple authentication backend. LL::NG utilise Authen::Radius de Perl comme simple backend d'authentification. /_detail/icons/flags/de.png?id=press /_detail/icons/flags/de.png?id=press South Bay Community Network South Bay Community Network $wgAuth = new HttpAuthPlugin(); $wgAuth = new HttpAuthPlugin(); Access rule: accept Règle d'accès : accept Lutece Lutece port port Outlook Web Access, … Outlook Web Access, … ServerName application.example.com   ServerName application.example.com   return $param }   1; return $param }   1; Allow from 192.168.2.0/24 </Location> Allow from 192.168.2.0/24 </Location> Allow from all Allow from all https://websso.dmz.bpi.fr/ https://websso.dmz.bpi.fr/ Secure Sockets Layer Secure Sockets Layer In the schema above, the user has the following values: Dans le schéma ci-dessus, l'utilisateur dispose des entrées suivantes : documentation:1.4:applications:googleapps documentation:1.4:applications:googleapps mailto:lemonldap-ng-users@ow2.org mailto:lemonldap-ng-users@ow2.org Required for PostgreSQL Requis pour PostgreSQL performances performances Proxy backend to be used in conjunction with another configuration backend. Backend proxy à utiliser avec un autre backend de configuration. You can define how many logins and failed logins will be stored. On peut définir le nombre de connexions et d'échecs à stocker. Apache based protection Protection basée sur Apache All identity provider protocols can be used simultaneously Tous les protocoles de fournisseur d'identité peuvent être utilisés simultanément In Debian/Ubuntu mod_ssl is already shipped in apache2.2-common package. Dans Debian/Ubuntu mod_ssl est installé avec le paquet apache2.2-common. Drupal virtual host in Apache Hôte virtuel Apache hébergeant Drupal ../../documentation/features.html#session_restrictions ../../documentation/features.html#session_restrictions ../../../documentation/1.4/idpsaml.html ../../../documentation/1.4/idpsaml.html http://jira.ow2.org/browse/LEMONLDAP http://jira.ow2.org/browse/LEMONLDAP lemonldapng lemonldapng LemonLDAP::NG SSO cookies are generated by Apache::Session, they are as secure as a 128-bit random cookie. Les cookies SSO de LemonLDAP::NG sont générés par Apache::Session, ils sont aussi sûrs que tout cookie basé sur un aléa de 128 bits. Restrict network access to the LDAP directory, and add specific ACL to session branch. Restreindre l'accès réseau à l'annuaire LDAP et ajouter une ACL spécifique à la branche des sessions. ...   </VirtualHost> ...   </VirtualHost> UserName -> ... UserName -> ... By default, LemonLDAP::NG uses Apache logs to store user actions and other messages: Par défaut, LemonLDAP::NG utilise les journaux d'Apache pour journaliser les actions des utilisateurs et autre messages : You can write rules matching any component of URL to protect including GET parameters, but be careful. On peut écrire des règles qui examine n'importe quel composant de l'URL à protéger y compris les paramètres GET, mais il faut faire attention. ../media/icons/flags/de.png ../media/icons/flags/de.png change password (with server side password policy management) changer les mots-de-passe (avec la gestion de la politique de mot-de-passe côté serveur) qw(delete header cache read_from_client cookie redirect unescapeHTML)); qw(delete header cache read_from_client cookie redirect unescapeHTML)); User provisioning (account auto creation at first connection) Importation des comptes utilisateurs (auto-création à la première connexion) After choosing the file name (for example lemonldapn-ng-priv.key), download the key on your disk. Après avoir choisi le nom de fichier (par exemple lemonldapn-ng-priv.key), le télécharger sur le disque. Configure Drupal virtual host like other protected virtual host. Configurer l'hôte virtuel Drupal comme n'importe quel autre hôte virtuel protégé. Access to Liferay (first time): Accès à Liferay (première connexion): ../pages/documentation/1.1/applications/bugzilla.html ../pages/documentation/1.1/applications/bugzilla.html ../../documentation/1.4/resetpassword.html ../../documentation/1.4/resetpassword.html documentation:liferay_3.png documentation:liferay_3.png Parameter redirections Paramètrer les redirections +3M: three months from session creation +3M : trois mois après la création de la session chmod 750 /var/lib/lemonldap-ng/sessions /var/lib/lemonldap-ng/sessions/lock chown www-data:www-data /var/lib/lemonldap-ng/sessions /var/lib/lemonldap-ng/sessions/lock chmod 750 /var/lib/lemonldap-ng/sessions /var/lib/lemonldap-ng/sessions/lock chown www-data:www-data /var/lib/lemonldap-ng/sessions /var/lib/lemonldap-ng/sessions/lock URL used before being redirected to the portal (empty if portal was used as entry point) URL utilisée avant d'être redirigé vers le portail (vide si le portail a été utilisé comme point d'entrée) Datas related to SAML protocol Donnée relative au protocole SAML ”!myfield ⇒ lastname” must be set ”!mavariable ⇒ lastname” doit être renseignée Zimbra Zimbra Project = [path/to/trunk/build/lemonldap-ng]/omegat.files/zz (where zz is your international code, example: “fr” for France) Projet = [chemin/vers/trunk/build/lemonldap-ng]/omegat.files/zz (où zz est votre code international, exemple: “fr” pour le français) uid uid PostgreSQL PostgreSQL URL pattern: ^/admin/ Expression sur l'URL : ^/admin/ ../../documentation/1.4/jsonfileconfbackend.html ../../documentation/1.4/jsonfileconfbackend.html redirections redirections It means that you manage authorizations to access applications by checking the role(s) of the user, and provide this role to the application. Celà signifie qu'on gère les autorisations d'accès aux applications en examinant le(s) rôle(s) de l'utilisateur et en fournissant ce(s) rôle(s) à l'application. Organization Organisation Data should not contains accents or special characters, as HTTP protocol only allow ASCII values in header (but depending on the HTTP server, you can use ISO encoded values) Les données ne doivent pas contenir de caractères spéciaux, car le protocole HTTP n'autorise que les caractères ASCII dans les en-têtes (mais suivant le serveur HTTP, vous pouvez utiliser des valeurs encodées ISO) ../../documentation/1.4/samlservice.html ../../documentation/1.4/samlservice.html ../pages/documentation/1.1/ssocookie.html ../pages/documentation/1.1/ssocookie.html Admin Admin 0.9.4_password_menu.png 0.9.4_password_menu.png Examples for LDAP: Exemples pour LDAP : LemonLDAP::NG will do some checks on configuration and display errors and warnings if any. LemonLDAP::NG effectue ensuite quelques tests sur la configuration et affiche les éventuelles erreurs et avertissements. ../../../../media/documentation/googleapps-sso.png ../../../../media/documentation/googleapps-sso.png The “default” rule is only applied if no other rule match La règle “default” n'est appliquée que si aucune autre règle ne correspond # group admin -> $uid eq 'foo' or $uid eq 'bar'   # Use a group in a rule ^/admin -> $groups =~ /\badmin\b/ # groupe admin -> $uid eq 'foo' or $uid eq 'bar'   # Utiliser un groupe dans une règle ^/admin -> $groups =~ /\badmin\b/ \b means start or end of a word in PCRE (Perl Compatible Regular Expressions) \b signifie début ou fin de mot dans les PCRE (Expressions Rationnelles Compatible Perl) DNS DNS ../../documentation/1.4/authsaml.html ../../documentation/1.4/authsaml.html Virtual Hosts: access rules, headers, etc. Hôtes virtuels : règles d'accès, en-têtes, etc... This function convert a string from UTF-8 to ISO-8859-1. Cette fonction convertit une chaine UTF-8 en ISO-8859-1. ../../documentation/1.4/authopenid.html ../../documentation/1.4/authopenid.html status status Uniform Resource Identifier Uniform Resource Identifier ldapBindPassword: password used to bind LDAP ldapBindPassword : mot-de-passe à utiliser pour se connecter au serveur LDAP GLPI GLPI Create database: Créer la base de données : documentation/presentation.html documentation/presentation.html Portal destroys session and redirects user on itself with an empty SSO cookies Le portail détruit la session et redirige l'utilisateur sur lui-même avec un cookie SSO vide Use LDAP for configuration Utiliser LDAP pour la configuration Clone Clone Before enabling Manager protection by LL::NG, you must have configured how users authenticate on Portal, and test that you can log in without difficulties. Avant d'activer la protection du manager par LL::NG, il faut avoir configuré la méthode d'authentification sur le portail et véifier qu'on peut s'y connecter sans difficultés. Same with remote server configured with the same host name: La même chose avec le serveur distant configuré avec le même nom d'hôte : documentation:1.4:applications:liferay documentation:1.4:applications:liferay However, it is not advised to edit such files, as they are part of the program, and will be erased at next upgrade. Toutefois, il n'est pas recommandé d'éditer ces fichiers car ils font partie du logiciel et peuvent être écrasés lors des mises à jour. SAML / Shibboleth identity provider Fournisseur d'identité SAML / Shibboleth To configure the user identifier in access log, go in Manager, General Parameters > Logging > REMOTE_USER. Pour configurer l'identifiant utilisateur dans les journaux d'accès, aller dans le manager, Paramètres généraux > Journalisation > REMOTE_USER. documentation:latest:authdemo documentation:latest:authdemo Choose and configure your main configuration storage system Choisir et configurer le système principal de stockage de la configuration getMenuApplications(cookieValue): return a list of authorizated applications (based on menu calculation) getMenuApplications(cookieValue): retourne une liste des applications autorisées (basée sur le calcul du menu) Parameters for File backend are the same as File configuration backend. Les paramètres pour le backend File sont les mêmes que ceux du backend de configuration File. ServerName manager.example.com ServerName manager.example.com purge old sessions purger les anciennes sessions user full name Nom complet de l'utilisateur icons:access.png icons:access.png Manager protection Protection du manager Reload the Manager to see the order that will be used Recharger le manager pour voir l'ordre dans lequel elles seront appliquées 'ldapAuthnLevel' => '2', 'ldapAuthnLevel' => '2', documentation:1.4:nosqlsessionbackend documentation:1.4:nosqlsessionbackend ../../../../media/applications/http_logo.png ../../../../media/applications/http_logo.png Enable mod_perl if not already loaded: Activer mod_perl si ce n'est déjà fait : Preauthentication URL: Zimbra preauthentication URL, either with full URL (ex: http://zimbra.lan/service/preauth), either only with path (ex: /service/preauth) (by default: /service/preauth) URL de pré-authentification : URL de pré-authentification Zimbra, soit l'URL complète (ex : http://zimbra.lan/service/preauth), soit seulement le chemin absolu (ex : /service/preauth) (par défaut : /service/preauth) Validity time of a password reset request: number of seconds for password reset request validity. Durée de validité de la requête de réinitialisation de mot-de-passe : nombre de secondes pour la validité de la requête de réinitialisation. ../../documentation/1.4/authldap.html ../../documentation/1.4/authldap.html Source directory = [path/to/trunk/build/lemonldap-ng]/doc/ Répertoire des sources = [chemin/vers/trunk/build/lemonldap-ng]/doc/ Configure your SQL database Configurer la base de données SQL Restart fail2ban Redémarrer fail2ban See Yubico API page. Voir la page Yubico API. Second step: get the role name for the application. Seconde étape : obtenir le rôle dans cette application. LDAPCon LDAPCon "userobm_mail_quota" => "HTTP_OBM_MAILQUOTA", "userobm_mail_quota" => "HTTP_OBM_MAILQUOTA", Follow the next steps Suivre les étapes suivantes You can also use symbolic links in conf.d Apache directory. On peut aussi utiliser des liens symboliques dans le répertiore conf.d d'Apache. ssoRoles: user ssoRoles: admin ssoRoles: user ssoRoles: admin Then, go in Remote parameters: Ensuite, aller dans les paramètres Remote : Authorization => basic($uid,$_password) Authorization => basic($uid,$_password) To encode the redirection URL, the handler will use some Apache environment variables and also configuration settings: Pour encoder l'URL de redirection, l'agent utilise des variables d'environnement Apache et des paramètres de configuration : Fields to index Champs à indexer Using Redis, you just have to add the “Index” parameter in General parameters » Sessions » Session storage » Apache::Session module : Pour utiliser Redis, il faut ajouter le paramètre “Index” dans Paramètres généraux » Sessions » Stockage des sessions » Module Apache::Session : $ldapservers->SetValue($i,'server','auth_type','config'); $ldapservers->SetValue($i,'login','dn','cn=Manager,dc=example,dc=com'); $ldapservers->SetValue($i,'login','pass','secret'); $ldapservers->SetValue($i,'server','auth_type','config'); $ldapservers->SetValue($i,'login','dn','cn=Manager,dc=example,dc=com'); $ldapservers->SetValue($i,'login','pass','secret'); ~17000 ~17000 [portal]   # Custom error messages error_0 = Big brother is watching you, authenticated user [portal]   # Custom error messages error_0 = Big brother is watching you, authenticated user ../../../../media/applications/dokuwiki_logo.png ../../../../media/applications/dokuwiki_logo.png If your table is not named lmConfig, set it's name in dbiTable parameter. Si la table ne se nomme pas lmConfig, mettre son nom dans le paramètre dbiTable. svn checkout svn://svn.forge.objectweb.org/svnroot/lemonldap svn checkout svn://svn.forge.objectweb.org/svnroot/lemonldap Siteminder Authentication Siteminder Authentication get groups where user is registered obtenir les groupes dont l'utilisateur est membre ../../../documentation/1.4/extendedfunctions.html#basic ../../../documentation/1.4/extendedfunctions.html#basic This timeout allows to purge sessions of lost RelayState. Ce délai permet de supprimer les sessions des RelayState perdus. Go in Manager and click on SAML 2 Service node. Allez dans le Manager et cliquez sur le nœud Service SAML 2. Simple usage example: Exemple d'usage simple : API secret: API secret from Twitter Secret d'API: secret d'API donné par Twitter mailto:lemonldap-ng-changes@ow2.org mailto:lemonldap-ng-changes@ow2.org So a simple user can have admin rights on the LDAP directory if your access rules are too lazy. Ainsi un simple utilisateur aura un accès administrateur au serveur LDAP si votre règle d'accès est trop permisive. Login field name: name of authentication table column hosting login Nom du champ de compte : nom de la colonne de la table d'authentification contenant le login ../media/icons/knewsticker.png ../media/icons/knewsticker.png Using LL::NG in reverse proxy mode, you will not have the REMOTE_USER environment variable set. Lorsque LL::NG est utilisé en mode reverse-proxy, la variable d'environnement REMOTE_USER n'est pas renseignée. The following table list fields to index depending on the feature you want to increase performance: Le tableau suivant liste les champs à indexer suivant les fonctionnalités dont on souhaite améliorer les performances : /_detail/applications/liferay_logo.png?id=documentation%3A1.4%3Aapplications%3Aliferay /_detail/applications/liferay_logo.png?id=documentation%3A1.4%3Aapplications%3Aliferay User-Email User-Email LL::NG will then display a form with an OpenID input, wher users will type their OpenID login. LL::NG affiche alors un formulaire dans lequel les utilisateurs peuvent entrer leur identifiant OpenID. Configure LemonLDAP::NG to use LDAP as main database Configurer LemonLDAP::NG pour utiliser LDAP comme base de données principale Go in Manager, General parameters » Advanced parameters » Security: Aller dans le manager, Paramètres généraux » Paramètres avancés » Sécurité : Mail reset feature Fonctionnalité de réinitialisation de mot-de-passe ../../../../media/applications/obm_logo.png ../../../../media/applications/obm_logo.png Notifications are XML files containing: Les notifications sont des fichiers XML contenant : Liferay virtual host in Manager Hôte virtuel Liferay dans le manager If authentication succeed, Portal collect user data Si l'authentication est acceptée, le portail récupère les données de l'utilisateur Overloading is not available trough the manager La surcharge n'est pas paramètrable dans le manager Documentation install : Installer la documentation : It can be configured globally, or inside a virtual host. Il peut être configuré globalement, ou dans chaque hôte virtuel. http://search.cpan.org/search?query=Safe&mode=module http://search.cpan.org/search?query=Safe&mode=module Then you will be able to use it in your template like this: On peut ensuite l'utiliser dans le modèle comme suit : Enable SOAP in General parameters » Advanced parameters » SOAP Activer SOAP dans Paramètres généraux » Paramètres avancés » SOAP Secure Token attribute Attribut du jeton sécurisé features features You can also disable internal Sympa authentication to keep only LemonLDAP::NG by removing user_table paragraph Il est également possible de désactiver l'authentification interne de Sympa pour ne garder que celle de LemonLDAP::NG en supprimant le paragraphe user_table ../../documentation/1.4/authnull.html ../../documentation/1.4/authnull.html You have to set its value in Manager. Il faut en indiquer une dans le manager. Safe module is used to eval expressions in headers, rules, etc. Le module Safe est utilisé pour évaluer les expressions dans les en-têtes, règles, etc... Note that all LL::NG components must have access : Tous les composants de LL::NG doivent avoir accès : $uid eq "bart.simpson" $uid eq "bart.simpson" Interactive management of user passwords: Gestion interactive des mots-de-passe des utilisateurs: http://httpd.apache.org/docs/current/mod/mod_setenvif.html http://httpd.apache.org/docs/current/mod/mod_setenvif.html documentation:1.4:mysqlminihowto documentation:1.4:mysqlminihowto password: $_password (password of the user) password: $_password (mot-de-passe de l'utilisateur) You can preselect IDP with an IDP resolution rule. Il est possible de pré-selectionner l'IDP par une règle de résolution. ldapUsePasswordResetAttribute ldapUsePasswordResetAttribute LL::NG can use an LDAP directory to: LL::NG peut utiliser un annuaire LDAP pour : or to use lemonldap-ng.ini, install it (one line only) in [portal] section: ou pour utiliser lemonldap-ng.ini, écrire (sur une seule ligne) dans la section [portal] : 1 if user is admin 1 si l'utilisateur est administrateur LDAP Bind Password Mot-de-passe de connexion LDAP File session backend is the more simple session database. Le backend de sessions File est la plus simple des bases de données. DESTDIR: only for packaging, install the product in a jailroot (default: ””) DESTDIR : seulement pour la mise en paquet, installer le produit dans une cage (défaut : ””) /var/lib/lemonldap-ng/sessions /var/lib/lemonldap-ng/sessions liblemonldap-ng-common-perl: configuration and common files liblemonldap-ng-common-perl : fichiers communs et de configuration The path to the main directory Le chemin du répertoire principal The module must be loaded by Apache (LoadModule directive). Ce module doit être chargé par Apache (directive LoadModule). Secure Token protected URLs URL protégées du jeton sécurisé Configuring the virtual hosts is not sufficient to display an application in the menu. Configurer les hôtes virtuels n'est pas suffisant pour afficher une application dans le menu. </Location>   </Location>   ../../documentation/1.4/portalmenu.html#menu_modules ../../documentation/1.4/portalmenu.html#menu_modules You can import a certificate containing the public key instead the raw public key. Vous pouver importer un certificat contenant la clef publique au lieu d'une simple clef. my $param = shift;   my $param = shift;   Configure the virtual host like other protected virtual host but use AuthBaisc Handler instead of default Handler. Configurer l'hôte virtuel comme n'importe quel autre hôte virtuel protégé mais utiliser l'agent AuthBasic au lieu de l'agent par défaut. Don't forget to create an index on the field used to find users (uid by default) N'oubliez pas de créer un index sur le champ utilisé pour trouver les utilisateurs (uid par défaut) You should have configured LL::NG as an SAML Identity Provider, Il est nécessaire d'avoir configuré LL::NG comme fournisseur d'identité SAML, http://search.cpan.org/perldoc?LWP::UserAgent http://search.cpan.org/perldoc?LWP::UserAgent _notification_id _notification_id Configure the connection string (see DBI manual page) Configurer la chaîne de connexion (voir la page de manuel DBI) ldapTimeout ldapTimeout More information about Safe on CPAN Plus d'information sur Safe sur le CPAN ../../../css/all.css ../../../css/all.css ^/Microsoft-Server-ActiveSync ^/Microsoft-Server-ActiveSync http://perldoc.perl.org/functions/package.html http://perldoc.perl.org/functions/package.html </Location>   </Location>   ../pages/documentation/1.1/authtwitter.html ../pages/documentation/1.1/authtwitter.html Service configuration will be used to generate LL::NG SAML metadata, that will be shared with other providers. La configuration du service est utilisée pour générer les métadatas SAML de LL::NG, qui sont partagées avec les autres fournisseurs. Internet Relay Chat Internet Relay Chat ../media/screenshots/1.0/sessionsexplorer/accordeon_dark.png?w=800&h=514 ../media/screenshots/1.0/sessionsexplorer/accordeon_dark.png?w=800&h=514 Backgound color: Background color displayed in the BrowserID login window Couleur d'arrière plan : Couleur d'arrière plan affichée dans la fenêtre d'authentification BrowserID This configuration storage can be shared between different hosts using: Ce type de stockage de configuration peut être partagé entre différents serveurs en utilisant : http://httpd.apache.org/docs/2.2/mod/mod_proxy.html http://httpd.apache.org/docs/2.2/mod/mod_proxy.html install_handler_site (/usr/local/lemonldap-ng/handler) install_handler_site (/usr/local/lemonldap-ng/handler) "userobm_zipcode" => "HTTP_OBM_POSTALCODE", "userobm_zipcode" => "HTTP_OBM_POSTALCODE", http://lanyrd.com/2011/jdll/smdct/ http://lanyrd.com/2011/jdll/smdct/ When the text is pasted, click on the Apply button to keep the value. Lorsque le texte est collé, cliquer sur le bouton appliquer pour sauver la valeur. Glossary directory = [path/to/trunk/build/lemonldap-ng]/omegat.files/zz/glossary/ Répertoire des glossaires = [path/to/trunk/build/lemonldap-ng]/omegat.files/zz/glossary/ [manager] ;protection = manager [manager] ;protection = manager Shareable Partageable Probe Probe So the above example can also be written like this: Ainsi l'exemple ci-dessous peut être écrit simplement : ../../documentation/1.4/authdemo.html ../../documentation/1.4/authdemo.html Mail charset Table de caractères des mails The default XSLT file is in portal/skins/common/notification.xsl. Le fichier XSLT par défaut est portal/skins/common/notification.xsl. Zimbra account type Type de compte Zimbra dbiAuthPasswordCol dbiAuthPasswordCol tar zxvf AuthCAS-1.4.tar.gz cd AuthCAS-1.4/ perl Makefile.PL make make test tar zxvf AuthCAS-1.4.tar.gz cd AuthCAS-1.4/ perl Makefile.PL make make test http://perldoc.perl.org/functions/shift.html http://perldoc.perl.org/functions/shift.html It can be used to delete a session Il peut être utilisé pour effacer une session documentation/current/prereq.html#yum documentation/current/prereq.html#yum browseablesessionbackend browseablesessionbackend Apache SSL global configuration Configuration globale de ssl dans Apache For example it can be stored as a second value of the uid attribute in the LDAP directory: Par exemple il peut être stocké comme seconde valeur de l'attibut uid dans un annuaire LDAP : Response Location: Access Point for SLO response. Response Location: Point d'accès pour les réponses SLO. download téléchargement https://www.public.com https://www.public.com This name is used in entry DN, for example cn=lmConf-1,ou=conf,ou=applications,dc=example,dc=com. Ce nom est utilisé dans l'entrée DN, par exemple cn=lmConf-1,ou=conf,ou=applications,dc=example,dc=com. Each LL::NG authentication module has an authentication level, which can be associated to an SAML authentication context. Chaque module d'authentification de LL::NG dispose d'un niveau d'authentification qui peut être associé à un contexte d'authentification SAML. dn: cn=lmConf-1,ou=conf,ou=applications,dc=example,dc=com objectClass: top objectClass: applicationProcess cn: lmConf-1 description: {globalStorage}'Apache::Session::File' description: {cookieName}'lemonldap' description: {whatToTrace}'$uid' ... dn: cn=lmConf-1,ou=conf,ou=applications,dc=example,dc=com objectClass: top objectClass: applicationProcess cn: lmConf-1 description: {globalStorage}'Apache::Session::File' description: {cookieName}'lemonldap' description: {whatToTrace}'$uid' ... You can also delete some notifications with SOAP, once SOAP is activated: On peut également effacer certaines notifications avec SOAP, si SOAP est activé : documentation:latest:installdeb documentation:latest:installdeb Apache::Session::Browseable is a wrapper for other Apache::Session modules that add the capability to manage indexes. Apache::Session::Browseable est une surcouche d'autres modules Apache::Session qui ajoute des capacités d'indexation. Genève Genève ../../documentation/1.4/start.html#configuration ../../documentation/1.4/start.html#configuration locationRules locationRules LimeSurvey virtual host in Manager Hôte virtuel LimeSurvey dans le manager ../../../media/documentation/remote-interoperability.png ../../../media/documentation/remote-interoperability.png Custom-Header => function1($uid) Custom-Header => function1($uid) # SOAP functions for sessions access (disabled by default) # Fonctions SOAP pour l'accès aux sessions (désactivées par défaut) ../../../media/applications/liferay_logo.png ../../../media/applications/liferay_logo.png ../pages/documentation/1.1/performances.html ../pages/documentation/1.1/performances.html Zimbra local SSO URL pattern Expression d'URL SSO locale pour Zimbra if you use “File” system and your “dirName” is set to /usr/local/lemonldap-ng/conf/, the notifications will be stored in /usr/local/lemonldap-ng/notifications/ si “File” est utilisé et que “dirName” vaut /usr/local/lemonldap-ng/conf/, les notifications seront stockées dans /usr/local/lemonldap-ng/notifications/ /_detail/screenshots/1.1/mailreset/mailreset_step3.png?id=screenshots /_detail/screenshots/1.1/mailreset/mailreset_step3.png?id=screenshots In General, fill at least the following information: Dans General, remplir au moins les informations suivantes : SOAP session backend Backend de sessions SOAP Paris Paris Reverse proxy Proxy inverse And run the “dist” target: Lancer la cible “dist” : LemonLDAP::NG ships 3 Apache configuration files: LemonLDAP::NG fournit 3 fichiers de configuration Apache : lemonldap-ng-conf: contains default configuration (DNS domain: example.com) lemonldap-ng-conf : contient la configuration par défaut (domaine DNS : example.com) Debian/Ubuntu Debian/Ubuntu Admin: can create surveys Admin : peut créer des surveillances SSL client certificate for the reverse-proxy (see SSLProxy* parameters in mod_ssl documentation) un certificat client SSL pour le proxy inverse (voir les paramètres SSLProxy* de la documentation de mod_ssl) SAML SAML Find us on Freenode, channel #lemonldap-ng Retrouvez-nous sur Freenode, canal #lemonldap-ng ../../../media/documentation/manager-saml-service-sp-ac.png ../../../media/documentation/manager-saml-service-sp-ac.png OpenID authentication can proposed as an alternate authentication scheme using the authentication choice method. L'authentification OpenID peut être proposée en choix alternatif en utilisant la méthode d'authentification choice. LDAP version Version LDAP documentation:1.4:soapservices documentation:1.4:soapservices SAML connectors Connecteurs SAML Accept some specificities: Autres possibilités : # Uncomment this line if you use portal SOAP capabilities # Décommentez cette ligne si vous utilisez les capacités SOAP du portail http://search.cpan.org/~manowar/RadiusPerl-0.12/Radius.pm http://search.cpan.org/~manowar/RadiusPerl-0.12/Radius.pm http://en.wikipedia.org/wiki/Role-based_access_control http://en.wikipedia.org/wiki/Role-based_access_control http://www.cpantesters.org/distro/L/Lemonldap-NG-Common.html http://www.cpantesters.org/distro/L/Lemonldap-NG-Common.html documentation:1.4:portal documentation:1.4:portal _timezone _timezone (o/n) n Le nouveau rôle doit-il être autorisé à créer de nouveaux rôles ? (o/n) n Le nouveau rôle doit-il être autorisé à créer de nouveaux rôles ? 'LDAP#Openldap' => { 'LDAP#Openldap' => { The next time you will access Manager, it will be trough LL::NG. En retournant vers le manager, ce sera via LL::NG. //"userobm_nomade_enable" => , //"userobm_nomade_enable" => , documentation:1.4:authchoice documentation:1.4:authchoice ../pages/documentation/1.1/authmulti.html ../pages/documentation/1.1/authmulti.html documentation:presentation documentation:presentation When a user access a Handler without a cookie, he is redirected on portal, and the target URL is encoded in redirection URL (to redirect user after authentication process). Lorsqu'un utilisateur accède à un agent sans cookie, il est redirigé vers le portail, et l'URL cible est encodée dans l'URL de redirection (pour rediriger l'utilisateur après authentification). Your application can know the connected user using: Une application peut connaître l'utilisateur connecté en utilisant : ../media/screenshots/1.1/mailreset/mailreset_step4.png?w=200&h=114 ../media/screenshots/1.1/mailreset/mailreset_step4.png?w=200&h=114 <property name="authenticationManager" ref="authenticationManager" /> </bean>   <bean id="preauthAuthProvider" class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider"> <property name="authenticationManager" ref="authenticationManager" /> </bean>   <bean id="preauthAuthProvider" class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider"> Note that Apache::Session::Browseable::MySQL doesn't use MySQL locks. Notez que Apache::Session::Browseable::MySQL n'utilise pas les verrous MySQL. SMTP Server: IP or hostname of the SMTP server Serveur SMTP : IP ou nom d'hôte du serveur SMTP PerlSetVar LmLocationToReplace http://APPLICATION/,http://test2.example.com </VirtualHost> PerlSetVar LmLocationToReplace http://APPLICATION/,http://test2.example.com </VirtualHost> Before installing the packages, install dependencies. Avant d'installer les paquets, installer les dépendances. To use LemonLDAP::NG, you have to run an Apache server compiled with mod-perl Pour utiliser LemonLDAP::NG, il faut disposer d'un serveur compilé avec mod-perl </Files>   </Files>   Example: Exemple : The AuthBasic Handler is a special Handler that will us AuthBasic to authenticate to a virtual host, and then play authorizations rules to allow access to the virtual host. L'agent AuthBasic est un agent spécial qui utilise l'authentification web basique pour authentifier dans un hôte virtuel et qui utilise ensuite les règles d'autorisation pour valider les accès à l'hôte virtuel. Exploitation Exploitation LDAP server can be a brake when you use LDAP groups recovery. Le serveur LDAP peut être un frein lorsque vous utilisez la récupération des groupes LDAP. AuthCAS AuthCAS ServerName auth.example.com   ServerName auth.example.com   Put all custom HTML code in the custom template files. Mettre tous les codes HTML personnalisés dans les fichiers modèles personnalisés. ../../../../media/documentation/liferay_2.png ../../../../media/documentation/liferay_2.png If OpenID login is not set, it uses General Parameters » Logs » REMOTE_USER data, which is set to uid by default Si l'identifiant OpenID n'est pas renseigné, la donnée Paramètres généraux » Journalisation » REMOTE_USER est utilisée, mise à uid par défaut ../pages/documentation/1.1/applications/googleapps.html ../pages/documentation/1.1/applications/googleapps.html mailLDAPFilter mailLDAPFilter LimeSurvey LimeSurvey DN of sessions branch DN de la branche des sessions LL::NG can act as an CAS server, that can allow to federate LL::NG with: LL::NG peut agir en serveur CAS, ce qui permet de fédérer LL::NG avec : Eric GERMAN Eric GERMAN uid: the user login (it must correspond to the attribute set in whatToTrace parameter, uid by default), or the wildcard string (by default: allusers) if the notification should be displayed for every user. uid : le nom de connexion de l'utilisateur (il doit correspondre à l'attribut utilisé dans le paramètre whatToTrace, uid par défaut), ou la carte blanche (par défaut : allusers) si la notification doit être affichée à tous les utilisateurs. The # host must be matched by a group named "host". The # host must be matched by a group named "host". 'full_name' => $_SERVER['HTTP_AUTH_CN'], 'full_name' => $_SERVER['HTTP_AUTH_CN'], Subject for password mail Sujet du message de changement de mot de passe ../pages/documentation/1.1/selfmadeapplication.html ../pages/documentation/1.1/selfmadeapplication.html This key must be stored directly in portal index.pl file or in lemonldap-ng.ini: Cette clef doit être stockée directement dans le fichier index.pl du portail ou dans lemonldap-ng.ini : Use XForwardedFor for IP Utiliser XForwardedFor comme IP cliente ../../documentation/1.4/authssl.html ../../documentation/1.4/authssl.html documentation:1.4:applications:django documentation:1.4:applications:django Schema extension Extension de schéma +10y: ten years from session creation +10y : dix ans après la création de la session /_detail/documentation/manager-saml-idp-new.png?id=documentation%3A1.4%3Aauthsaml /_detail/documentation/manager-saml-idp-new.png?id=documentation%3A1.4%3Aauthsaml time_correction (optional): hours to add or to subtract time_correction (optionnel) : heures à ajouter ou soustraire https://rpmrepo.org/RPMforge/Using https://rpmrepo.org/RPMforge/Using ProxyPassReverse / http://APPLICATION_IP/   </VirtualHost> ProxyPassReverse / http://APPLICATION_IP/   </VirtualHost> Configure Apache to allow remote access: in portal-apache2.conf, remote SOAP access is disabled by default. Configurer Apache pour autoriser l'accès distant : dans portal-apache2.conf, l'accès distant à SOAP est désactivé par défaut. su - postgres createuser lemonldap-ng -P su - postgres createuser lemonldap-ng -P cfgNum int(11) NOT NULL, cfgNum int(11) NOT NULL, type = SOAP proxy = https://auth.example.com/index.pl/config type = SOAP proxy = https://auth.example.com/index.pl/config logout_sso logout_sso If you activate proxy mode, you must create the PGT file on your system, for example: Si le mode proxy est activé, il faut créer le fichier PGT sur le système, par exemple : Steps: Étapes : provide identities to other systems fournir une identité à d'autres systèmes LemonLDAP::NG uses Safe jail to evaluate all expressions: LemonLDAP::NG utilise une cage sécurisée pour évaluer toutes les expressions : If for an obscure reason, the WebSSO is not working and you want to access the Manager, remove the protection in lemonldap-ng.ini. Si pour une quelconque raison le WebSSO ne fonctionne pas, pour accéder au manager, supprimer la protection dans lemonldap-ng.ini. ../pages/documentation/1.4/applications/django.html ../pages/documentation/1.4/applications/django.html http://herve.vanmeerbeck.free.fr/?p=53 http://herve.vanmeerbeck.free.fr/?p=53 Soap Soap LemonLDAP::NG allows to use this model. LemonLDAP::NG permet d'utiliser ce modèle. SSO binding: force binding to use for SSO (http-redirect, http-post, etc.) Méthode SSO : force la méthode à utiliser pour le SSO (http-redirect, http-post, etc.) ../../../../media/applications/drupal_logo.png ../../../../media/applications/drupal_logo.png ../media/screenshots/1.1/mailreset/mailreset_step4.png?w=800&h=456 ../media/screenshots/1.1/mailreset/mailreset_step4.png?w=800&h=456 http://www.linagora.com http://www.linagora.com Object class: objectClass of the groups (default: groupOfNames). Classe d'object: objectClass du groupe (défaut: groupOfNames). Cache backend options Options du module du cache local Choose a repository which hosted Perl dependencies, for example: Choisir un dépôt qui héberge les dépendances Perl, par exemple : You can: Vous pouvez : Sympa mail session key Clef de session mail pour Sympa LDAPFilter LDAPFilter use any key name you want. utiliser n'importe quel nom de clef. # rule admin -> $admin ||= ($uid eq 'foo' or $uid eq 'bar') # header Display-Name -> $displayName ||= $givenName." ".$surName # règle admin -> $admin ||= ($uid eq 'foo' or $uid eq 'bar') # en-tête Display-Name -> $displayName ||= $givenName." ".$surName ../../../../media/documentation/liferay_3.png ../../../../media/documentation/liferay_3.png 1 if user is authorizated to access to it 1 si l'utilisateur est autorisé à y accéder CustomSOAPServices CustomSOAPServices Yubikey client ID ID client Yubikey Uniform Resource Locator Uniform Resource Locator In this case, you might want to disabling it. Dans ces cas, on peut vouloir le désactiver. ../pages/documentation/1.1/logs.html ../pages/documentation/1.1/logs.html http://www.slideshare.net/coudot/lemonldapng-un-websso-libre-en-perl http://www.slideshare.net/coudot/lemonldapng-un-websso-libre-en-perl ../media/screenshots/1.2/authentication_portal_1340022292201.png?w=800&h=503 ../media/screenshots/1.2/authentication_portal_1340022292201.png?w=800&h=503 You can use different dbiUser strings : Plusieurs chaînes dbiUser sont utilisables : kinit HTTP/auth.example.com kvno HTTP/auth.example.com@EXAMPLE.COM klist -e kinit -k -t /etc/lemonldap-ng/auth.keytab HTTP/auth.example.com kinit HTTP/auth.example.com kvno HTTP/auth.example.com@EXAMPLE.COM klist -e kinit -k -t /etc/lemonldap-ng/auth.keytab HTTP/auth.example.com LDAP authentication search filter Filtre de recherche LDAP pour l'authentification A session key can be associated to more than one SREG attribute. Une clef de session peut être associée à un ou plusieurs attributs SREG. http://www.bugzilla.org http://www.bugzilla.org Debian Debian User clicks on the link Reset my password L'utilisateur clique sur le lien Réinitialiser mon mot-de-passe documentation:manager-saml-namid-formats.png documentation:manager-saml-namid-formats.png SAML IDP preselection Préselection d'IDP SAML Memcached can be used with LL::NG, but some features will not work since Memcached doesn't provide any parsing system: Memcached peut être utilisé avec LL::NG, mais quelques fonctionnalités ne marcheront pas car Memcached ne fournit pas de dispositif de parcours des données : The encode_base64 subroutine Fonction encode_base64 ../documentation/1.0/applications.html ../documentation/1.0/applications.html <Directory /usr/local/lemonldap-ng/htdocs/manager/> <Directory /usr/local/lemonldap-ng/htdocs/manager/> Apache rewrite rules Régles de réécriture d'Apache In the Manager, go in General Parameters » Issuer modules » OpenID and configure: Dans le manager, aller dans Paramètres généraux > Modules fournisseurs » OpenID et configurer : …. …. Windows Windows singleIP singleIP applications:obm_logo.png applications:obm_logo.png The content of the SVN tarball is not the same as the official tarball. Le contenu de l'archive SVN n'est pas le même que l'officielle. LDAP server Serveur LDAP documentation:latest:start documentation:latest:start JSON File configuration backend Backend de configuration en fichier JSON Key: internal session key, can be prefixed by ! to make the attribute required Clef : clef de session interne, peut être prefixé par ! pour exiger ces attributs http://mb-c.pro/fr/archives/1468 http://mb-c.pro/fr/archives/1468 Sebastien DIAZ Sebastien DIAZ /_detail/documentation/liferay_2.png?id=documentation%3A1.4%3Aapplications%3Aliferay /_detail/documentation/liferay_2.png?id=documentation%3A1.4%3Aapplications%3Aliferay For example {ldapPort}389. Par exemple {ldapPort}389. You can also copy/paste the metadata: just click on the Edit button. Il est également possible de copier-coller les métadatas : cliquer simplement sur le bouton éditer. You can also add a rule for logout: Il est possible d'ajouter une règle pour la déconnexion : Toolinux Toolinux value longblob, value longblob, ../../../../media/documentation/liferay_7.png ../../../../media/documentation/liferay_7.png SOAP sessions end point (optional): SOAP end point, if not based on internal portal URL with index.pl/sessions suffix Point terminal des sessions SOAP (optionnel): URL du service SOAP si elle n'est pas basée sur celle du portail interne avec le suffixe index.pl/sessions ../../../media/applications/http_logo.png ../../../media/applications/http_logo.png ../media/screenshots/1.0/pastel/portal.png?w=200&h=128 ../media/screenshots/1.0/pastel/portal.png?w=200&h=128 Restart Apache: Redémarrez Apache: Often the redirection takes some time because it is user's first access to the protected app, so a new app session has to be created : JavaScript redirection improves user experience by informing that authentication is performed, and by preventing from clicking again on the button because it is too slow. Souvent la redirection prend du temps car c'est le premier accès de l'utilisateur à l'application protégée et il faut créer la session applicative ; la redirection JavaScript améliore le ressenti utilisateur en l'informant que l'authentification est réussie et en évitant qu'il clique de nouveau sur le bouton. </Directory> </Directory> The logout request will be sent even if the user did not use the application. La requête de déconnexion est envoyée même si l'utilisateur ne s'est pas connecté à l'application. Categories and applications Catégories et applications /_detail/icons/flags/us.png?id=press /_detail/icons/flags/us.png?id=press ssoRoles ssoRoles Any CAS consumer N'importe quel client CAS Facebook application ID: the application ID you get ID de l'application Facebook : l'identifiant d'application obtenu Multipurpose Internet Mail Extension Multipurpose Internet Mail Extension LDAP base Base LDAP /_detail/icons/neotux.png?id=documentation%3A1.4%3Astart /_detail/icons/neotux.png?id=documentation%3A1.4%3Astart ServerName secure.example.com   ServerName secure.example.com   Encoded characters Caractères encodés Gateways authentication: force transparent authentication on CAS server Authentification des passerelles : force l'authentification transparente sur le serveur CAS generate new public and private keys (Generate button) générer de nouvelles clefs publiques et privées (bouton Générer) portal: parameters only for Portal portal : paramètres réservés au portail General options Options générales Use Apache::Session::Browseable Utiliser Apache::Session::Browseable LemonLDAP::NG LemonLDAP::NG Net::Twitter Net::Twitter documentation:1.4:applications:drupal documentation:1.4:applications:drupal This avoid to have to many datas stored. Ce dispositif évite de stocker trop de données. Default: will this binding be used by default for authentication response. Défaut : déclaration utilisée par défaut pour les réponses d'authentification. kdc = ad.example.com kdc = ad.example.com Tests Tests http://svn.forge.objectweb.org/cgi-bin/viewcvs.cgi/lemonldap/ http://svn.forge.objectweb.org/cgi-bin/viewcvs.cgi/lemonldap/ touch /tmp/pgt.txt touch /tmp/pgt.txt LemonLDAP::NG provides these packages: LemonLDAP::NG fournit ces paquets : To know more about the jail, check Safe module documentation. Pour en savoir plus sur la cage, consulter la documentation du module Safe. Solutions Linux Solutions Linux If you specify port in virtual host, then declare SSL port: SI le port est spécifié, déclarer le port SSL : ../../../documentation/1.4/writingrulesand_headers.html#rules ../../../documentation/1.4/writingrulesand_headers.html#rules 1.0 and 1.1 1.0 et 1.1 ldapsessionbackend ldapsessionbackend SOAP proxy mechanism SOAP proxy mechanism If needed, you can recompile the valve from the sources. Si besoin, recompiler la valve depuis les sources. ../../../media/documentation/dia_dit_roles.png ../../../media/documentation/dia_dit_roles.png You can install Lemonldap::NG using packages (rpm or deb) or by hand as described below. Vous pouvez installer Lemonldap::NG en utilisant des paquets (rpm ou deb) ou à la main comme décrit ci-après. The configuration is displayed as a big Perl Hash, that you can edit: La configuration est affichée en une grande table de hachage Perl, qu'on peut éditer : ../../documentation/1.4/upgrade.html ../../documentation/1.4/upgrade.html http://www.solutionslinux.fr/ http://www.solutionslinux.fr/ LDAP groups name attribute Attribut de nom de groupes LDAP Before transmission, the username and password are encoded as a sequence of base-64 characters. Avant la transmission, le nom et le mot de passe sont encodés en base-64. Password module Module mots-de-passe http://httpd.apache.org/docs/2.2/mod/mod_ssl.html http://httpd.apache.org/docs/2.2/mod/mod_ssl.html Bugzilla administration Administration de Bugzilla ../media/icons/tux.png ../media/icons/tux.png Auth-Password => $_password Auth-Password => $_password Single Logout Single Logout (SLO) Login as administrator: Se connecter comme administrateur: </Location>   </VirtualHost> </Location>   </VirtualHost> Install prerequisites Installer les pré-requis Name: internal name Name: nom interne Configure phpLDAPadmin virtual host like other protected virtual host. Configurer l'hôte virtuel phpLDAPadmin comme n'importe quel autre hôte virtuel protégé. If not Go on Manager, and declare Manager as a new virtual host, for example manager.example.com. Si non, aller dans le manager et déclarer le manager comme un nouvel hôte virtuel, par exemple manager.example.com. Indeed, any Perl DBD driver can be used. Ainsi, tout driver Perl DBD peut être utilisé. SOAP services Services SOAP ../../documentation/1.4/applications/dokuwiki.html ../../documentation/1.4/applications/dokuwiki.html Order deny,allow Order deny,allow _auth _auth Then, go in Facebook parameters: Ensuite, aller dans les paramètres Facebook: ../pages/documentation/1.4/handlerauthbasic.html ../pages/documentation/1.4/handlerauthbasic.html # Load Zimbra Handler # Load Zimbra Handler The header value is a Perl expression, returning a string. La valeur d'un en-tête est une expression Perl qui retourne une chaîne de caractères. Lanyrd Lanyrd [configuration] type=File dirName = /usr/local/lemonldap-ng/data/conf [configuration] type=File dirName = /usr/local/lemonldap-ng/data/conf ../../../../media/documentation/googleapps-manager-application.png ../../../../media/documentation/googleapps-manager-application.png You should be redirected to LL::NG Portal. On doit être redirigé vers le portail LL::NG. Secured cookie: the cookie can only be sent over HTTPS Cookie sécurisé : le cookie peut être envoyé via HTTPS <Location /> <Location /> "userobm_login" => "HTTP_OBM_UID", "userobm_login" => "HTTP_OBM_UID", But you can forward this key if it is really needed: Mais on peut le transmettre tout de même si nécessaire : Handler Status Page de statut de l'agent LL::NG is compatible with the OpenID Authentication protocol version 2.0 and version 1.0. LL::NG est compatible avec le protocole d'authentification OpenID version 2.0 et version 1.0. http://www.slideshare.net/coudot/rmll2010-lemon-ldapngsaml http://www.slideshare.net/coudot/rmll2010-lemon-ldapngsaml Search base: DN of groups branch. Base de recherche : DN de la branche des groupes. Facebook application secret: the corresponding secret Secret de l'application Facebook : le secret correspondant The “Multi” system can : Le système “Multi” peut : OpenID identity provider Fournisseur d'identité OpenID Mediawiki Mediawiki In Manager, go in General Parameters > Authentication modules and choose LDAP for authentication, users and/or password modules. Dans le manager, aller dans Paramètres généraux > Modules d'authentification et choisir LDAP) pour les modules authentification, utilisateurs et/ou mots-de-passe. ldapBindPassword: LDAP password. ldapBindPassword : mot-de-passe LDAP. dbiPassword: DBI password. dbiPassword : mot-de-passe DBI. ../media/screenshots/1.1/mailreset/mailreset_step5.png?w=200&h=91 ../media/screenshots/1.1/mailreset/mailreset_step5.png?w=200&h=91 http://tomcat.apache.org/ http://tomcat.apache.org/ Sign SLO message: sign SLO message Signature des messages SLO : signe les messages de déconnexion SLO (single logout) federationproxy federationproxy ../media/screenshots/0.9.4/0.9.4_logout_menu.png?w=200&h=133 ../media/screenshots/0.9.4/0.9.4_logout_menu.png?w=200&h=133 sudo make configure STORAGECONFFILE=/etc/lemonldap-ng/lemonldap-ng.ini sudo make configure STORAGECONFFILE=/etc/lemonldap-ng/lemonldap-ng.ini Each module can be disabled using the Null backend. Chaque module peut être désactivé en utilisant le backend Null. ->proxy('http://auth.example.com/index.pl/notification');     $r = $lite->deleteNotification('foo.bar', 'ABC');   if ( $r->fault ) { ->proxy('http://auth.example.com/index.pl/notification');     $r = $lite->deleteNotification('foo.bar', 'ABC');   if ( $r->fault ) { Token expiration: time in seconds for token expiration (remove from Memcached server). Expiration du jeton : délai en secondes pour l'expiration du jeton (effacement du serveur Memcached). You need to forward the password, which can be the user main password (if password is stored in session, or any user attribute (if you keep secondary passwords in users database). Il est nécessaire d'exporter le mot-de-passe, qui peut être le mot-de-passe principal de l'utilisateur (si le mot-de-passe est stocké dans la session, ou n'importe quel attribut utilisateur (si d'autres mots-de-passe sont stockés dans la base de données des utilisateurs). The date format is the LDAP date syntax, for example for the 1st March 2009: Le format de date est celui de la syntaxe des dates LDAP, par exemple pour le 1er Mars 2009 : Session backend options Options du module de stockage des sessions To protect a virtual host in Apache, the LemonLDAP::NG Handler must be activated (see Apache global configuration). Pour protéger un hôte virtuel dans Apache, l'agent LemonLDAP::NG doit être activé (voir configuration globale d'Apache). sample_notification.png sample_notification.png Activation: set to On. Activation : mettre à Activé. # SOAP functions for notification insertion (disabled by default) <Location /index.pl/notification> # SOAP functions for notification insertion (disabled by default) <Location /index.pl/notification> /_detail/documentation/lemonldap-ng-packages.png?id=documentation%3A1.4%3Ainstallrpm /_detail/documentation/lemonldap-ng-packages.png?id=documentation%3A1.4%3Ainstallrpm //"userobm_location" => , //"userobm_location" => , You need to activate LDAP authentication, else SSO authentication will not work. Il faut activer l'authentification LDAP sinon l'authentification SSO ne marchera pas. New: to write all configuration history New : pour écrire l'historique de la configuration .js: Javascript .js: Javascript documentation/quickstart.html documentation/quickstart.html chown apache /etc/lemonldap-ng/auth.keytab chown apache /etc/lemonldap-ng/auth.keytab Lemonldap::NG manage applications by their hostname (Apache's virtualHosts). Lemonldap::NG gère les applications par leurs noms d'hôtes(hôtes virtuels d'Apache). dbiAuthPasswordHash dbiAuthPasswordHash firewalls (but be careful if more than 1 server is behind the firewall) pare-feux (attention toutefois si plus d'une application se trouve derrière le pare-feu) Require old password (change) Impose la présentation de l'ancien mot-de-passe dans les changements Else it just will be sent trough an attribute response, if explicitly requested in an attribute request. Sinon, il ne sera envoyé dans les réponses que s'il est explicitement demandé dans les requêtes d'attributs. //================================== // WebSSO //==================================   $useWebserverAuth = true; $WebserverAuth_autocreateUser = true; $WebserverAuth_autouserprofile = Array( //================================== // WebSSO //==================================   $useWebserverAuth = true; $WebserverAuth_autocreateUser = true; $WebserverAuth_autouserprofile = Array( deleteNotification: delete notification(s) for a user (see Notifications system for more) deleteNotification : efface une ou plusieurs notifications d'un utilisateur (voir le système des notifications) ../../documentation/1.4/authmulti.html ../../documentation/1.4/authmulti.html http://jqueryui.com/themeroller/ http://jqueryui.com/themeroller/ LDAP password encoding: can allow to manage old LDAP servers using specific encoding for passwords (default: utf-8). Encodage de mot-de-passe LDAP : peut servir à gérer les vieux serveurs LDAP en utilisant un encodage spécifique des mots-de-passe (défaut : utf-8). http://ow2.org/view/OW2Con-2012/Session_OW2_Project_Spotlight http://ow2.org/view/OW2Con-2012/Session_OW2_Project_Spotlight configStorage configStorage User enters his email (or another information) in the password reset form L'utilisateur entre son adresse de courriel (ou une autre information) dans le formulaire de réinitialisation radiusAuthnLevel radiusAuthnLevel Go in Manager, Default parameters » Advanced parameters » Special handlers » Sympa, and edit the different keys: Aller dans le manager, Paramètres par défaut » Paramètres avancés » Handlers spéciaux » Sympa, et éditer les clefs suivantes : Hosted application Application hébergée authad authad # Fail2Ban configuration file # # Author: Adrien Beudin # # $Revision: 2 $ # [Definition] # Option: failregex # Notes.: regex to match the password failure messages in the logfile. # Fail2Ban configuration file # # Author: Adrien Beudin # # $Revision: 2 $ # [Definition] # Option: failregex # Notes.: regex to match the password failure messages in the logfile. http://search.cpan.org/perldoc?Apache::Session::Memcached http://search.cpan.org/perldoc?Apache::Session::Memcached RewriteRule ^/cas/.* /index.pl RewriteRule ^/cas/.* /index.pl http://forge.ow2.org/project/showfiles.php?group_id=274 http://forge.ow2.org/project/showfiles.php?group_id=274 User authenticates on Portal L'utilisateur d'authentifie sur le portail _samlToken _samlToken Packages from Debian repository may not be up to date. Les paquets du dépôt Debian peuvent ne pas être à jour. icons:tutorials.png icons:tutorials.png http://www.php.net/array http://www.php.net/array Common Gateway Interface Common Gateway Interface ../../documentation/1.2/upgrade.html ../../documentation/1.2/upgrade.html screenshots.html screenshots.html Required parameters Paramètres exigés You can change default parameters using the “notificationStorage” and “notificationStorageOptions” parameters with the same syntax as configuration storage parameters. On peut changer les paramètres par défaut en utilisant les paramètres “notificationStorage” et “notificationStorageOptions” avec la même syntaxe que les paramètres de stockage de la configuration. [portal] applicationList={ 'Menu' => { type => 'category', 'Example' => { type => 'category', 'test1' => { type => 'application', options => { name => 'Application Test 1', uri => 'http://test1.example.com/', description => 'A simple application displaying authenticated user', logo => 'wheels.png', display => 'auto', }, },'test2' => { type => 'application', options => { name => 'Application Test 2', uri => 'http://test2.example.com/', description => 'The same simple application displaying authenticated user', logo => 'wheels.png', display => 'auto', }, }, },'Administration' => { type => 'category', 'manager' => { type => 'application', options => { name => 'WebSSO Manager', uri => 'http://manager.example.com/', description => 'Configure LemonLDAP::NG WebSSO', logo => 'tools.png', display => 'on', }, },'sessions' => { type => 'application', options => { name => 'Sessions explorer', uri => 'http://manager.example.com/sessions.pl', description => 'Explore WebSSO sessions', logo => 'tools.png', display => 'on', }, }, },'Documentation' => { type => 'category', 'localdoc' => { type => 'application', options => { name => 'Local documentation', uri => 'http://manager.example.com/doc/', description => 'Documentation supplied with LemonLDAP::NG', logo => 'docs.png', display => 'on', }, },'officialwebsite' => { type => 'application', options => { name => 'Offical Website', uri => 'http://wiki.lemonldap.objectweb.org/xwiki/bin/view/NG/Presentation', description => 'Official LemonLDAP::NG Website', logo => 'web.png', display => 'on', }, }, }, }, } [portal] applicationList={ 'Menu' => { type => 'category', 'Example' => { type => 'category', 'test1' => { type => 'application', options => { name => 'Application Test 1', uri => 'http://test1.example.com/', description => 'A simple application displaying authenticated user', logo => 'wheels.png', display => 'auto', }, },'test2' => { type => 'application', options => { name => 'Application Test 2', uri => 'http://test2.example.com/', description => 'The same simple application displaying authenticated user', logo => 'wheels.png', display => 'auto', }, }, },'Administration' => { type => 'category', 'manager' => { type => 'application', options => { name => 'WebSSO Manager', uri => 'http://manager.example.com/', description => 'Configure LemonLDAP::NG WebSSO', logo => 'tools.png', display => 'on', }, },'sessions' => { type => 'application', options => { name => 'Sessions explorer', uri => 'http://manager.example.com/sessions.pl', description => 'Explore WebSSO sessions', logo => 'tools.png', display => 'on', }, }, },'Documentation' => { type => 'category', 'localdoc' => { type => 'application', options => { name => 'Local documentation', uri => 'http://manager.example.com/doc/', description => 'Documentation supplied with LemonLDAP::NG', logo => 'docs.png', display => 'on', }, },'officialwebsite' => { type => 'application', options => { name => 'Offical Website', uri => 'http://wiki.lemonldap.objectweb.org/xwiki/bin/view/NG/Presentation', description => 'Official LemonLDAP::NG Website', logo => 'web.png', display => 'on', }, }, }, }, } Use SOAP for Lemonldap::NG configuration Utiliser SOAP pour la configuration Lemonldap::NG LL::NG has a logout forward mechanism, that will add a step in logout process, to send logout requests (indeed, GET requests on application logout URL) inside hidden iframes. LL::NG dispose d'un dispositif de propagation de déconnexion qui ajoute une étape à ce processus pour envoyer des requêtes de déconnexion (en pratique, des requêtes GET vers des URL de déconnexion) dans des iframes cachées. } }, } }, You have to grant read/write access for the manager component. Il faut autoriser l'accès en lecture et écriture pour le manager. Deny from all Deny from all You will only need to install liblasso3-perl package: Seul le paquet liblasso3-perl est nécessaire : If you upgraded LL::NG, check all upgrade notes. Pour mettre à jour LL::NG, lisez toutes les notes de mise à jour. Apache Tomcat is an open source software implementation of the Java Servlet and JavaServer Pages technologies. Apache Tomcat est une implémentation libre des technologies Java Servlet et JavaServer Pages. Developers : lemonldap-ng-dev@ow2.org ( Subscribe | Archives ) Développeurs : lemonldap-ng-dev@ow2.org ( Souscrire | Archives ) //"userobm_web_perms" => , //"userobm_web_perms" => , If this attribute is missed all hosts are allowed. Si cet attribut est manquant, toutes les adresses seront autorisées. If you set useLocalConf to 1 in lemonldap-ng.ini (section [Portal]), the portal will use only a cached configuration. En mettant useLocalConf à 1 dans lemonldap-ng.ini (section [Portal]), le portail utilisera la configuration cachée. dbiUserTable dbiUserTable This concerns all parameters for the Service Provider metadata section: Ceci concerne tous les paramètres de la section « fournisseur de service » des metadatas : http://search.cpan.org/~mart/Net-OpenID-Consumer/ http://search.cpan.org/~mart/Net-OpenID-Consumer/ ../../documentation/1.4/writingrulesand_headers.html ../../documentation/1.4/writingrulesand_headers.html User can now access to the protected application L'utilisateur peut maintenant accéder aux applications ../../../media/applications/mediawiki_logo.png ../../../media/applications/mediawiki_logo.png Protect your application Protéger une application LDAP server can check password strength, and LL::NG portal will display correct errors (password too short, password in history, etc.) Le serveur LDAP peut mesurer la solidité du mot-de-passe et le portail LL::NG affichera les erreurs à corriger (mot-de-passe trop court, déjà dans l'historique, etc...) ../pages/press.html ../pages/press.html setAttributes(cookieValue,hashtable): update a session setAttributes(cookieValue,hashtable) : met à jour une session http://www.jcos.fr http://www.jcos.fr dob dob You have to include them in Apache main configuration, for example: Il faut les inclure dans la configuration d'Apache, par exemple : documentation documentation You can also use WebID as user database. On peut également utiliser WebID comme base de données utilisateurs. When status feature is activated, Handlers and portal will collect statistics and save them in their local cache. Lorsque la fonctionnalité "status" est activée, les agents et le portail collectent des statistiques et les sauvegardent dans le cache local http://www.dokuwiki.org/ http://www.dokuwiki.org/ Handler detects URL parameter and create a SSO cookies on its domain, with session ID as value L'agent détecte le paramètre d'URL et crée le cookie SSO dans son domaine, avec la valeur de l'identifiant de session This mode is not compatible with a lot of browsers which block pop-ups. Ce mode n'est pas compatible avec de nombreux navigateurs qui bloquent les pop-ups. The SSO cookie is build by the portal (as described in the login kinematic), or by the Handler for cross domain authentication (see CDA kinematic). Le cookie SSO est construit par le portail (tel que décrit dans la cinématique de connexion) ou par l'agent (handler) lors des authentification inter-domaines (voir la cinématique de l'authentification inter-domaine). When you change cookie expiration time, it is written on the user hard disk unlike session cookie Lorsqu'on change la durée de vie du cookie, il est écrit sur le disque dur de l'utilisateur contrairement à un cookie de session phpLDAPadmin is an LDAP administration tool written in PHP. phpLDAPadmin est un outil d'administration de serveur LDAP écrit en PHP. ../pages/documentation/1.1/sqlconfbackend.html ../pages/documentation/1.1/sqlconfbackend.html Cross Domain Authentication (CDA) Authentification inter-domaines (CDA) Sympa Sympa Rules can also be used to intercept logout URL: Les règles peuvent également être utilisées pour intercepter les URL de déconnexion : For each attribute, you can set: Pour chaque attribut, on peut indiquer : UTF8 metadata conversion: set to On to force partner's metadata conversion. Conversion des métadatas un UTF8 : mettre à « activé » pour forcer la conversion des métadata des partenaires. You need to get an client ID and a secret key from Yubico. Un identifiant client et une clef secrète doivent être obtenues auprès de Yubico. LL::NG is a web single-sign-on system, but unlike some systems it can manage rights on applications based on regular expressions on URL. LL::NG est un système d'authentification web unique (WebSSO), mais contrairement à d'autres, il peut gérer les droits d'accès en utilisant des expressions rationnelles sur les URL demandées. Configure the access rules and define the following headers: Configurer les règles d'accès et definir les en-têtes suivants : dark dark ../../../media/applications/googleapps_logo.png ../../../media/applications/googleapps_logo.png login login Applications Applications http://perldoc.perl.org/functions/return.html http://perldoc.perl.org/functions/return.html CustomLog /var/log/apache2/proxysite_access.log combined </VirtualHost> CustomLog /var/log/apache2/proxysite_access.log combined </VirtualHost> /_detail/screenshots/1.1/notifications/sample_notification.png?id=screenshots /_detail/screenshots/1.1/notifications/sample_notification.png?id=screenshots User: can answer to surveys User : peut répondre aux surveillances Authentication level: authentication level for Radius module Niveau d'authentification : niveau d'authentification pour Radius samlStorage samlStorage Then go in Options to define: Aller ensuite dans Options pour définir : The integration with LL::NG is the following: L'intégration avec LL::NG est la suivante : Key steps : Etapes clefs : maintenance maintenance http://en.wikipedia.org/wiki/INI_file http://en.wikipedia.org/wiki/INI_file You can add a rule for logout: Il est possible d'ajouter une règle pour la déconnexion : ../../../media/documentation/manager-formreplay-newurl.png ../../../media/documentation/manager-formreplay-newurl.png http://openid.net/specs/openid-simple-registration-extension-1_0.html http://openid.net/specs/openid-simple-registration-extension-1_0.html Key name: name of the key in LemonLDAP::NG session (for example “uid” will then be used as $uid in access rules) Nom de clef : nom de la clef dans la session LemonLDAP::NG (par exemple “uid” équivaut à $uid dans les règles d'accès) Authentication with login/password Authentification par nom-de-compte/mot-de-passe Now ldapgroups contains “admin su” Maintenant, ldapgroups contient “admin su” Detailled configuration backends documentation is available here. La configuration détaillée des backends de stockage est disponible ici. Disabling it can lead to security issues. La désactiver peut engendrer des trous de sécurité. Dokuwiki Dokuwiki You may also create these macros to manage OBM administrator account (Variables » Macros): Il est également possible de créer ces macros pour gérer le compte administrateur OBM (Variables » Macros): PerlOptions +GlobalRequest PerlRequire /var/lib/lemonldap-ng/handler/MyHandler.pm <VirtualHost *:443> PerlOptions +GlobalRequest PerlRequire /var/lib/lemonldap-ng/handler/MyHandler.pm <VirtualHost *:443> documentation:googleapps-sso.png documentation:googleapps-sso.png Install and launch a Memcached server. Installer et lancer un serveur Memcached. Upgrade from 1.3 to 1.4 Mettre à jour de la version 1.3 vers la version 1.4 Gender Gender Force password change with LDAP password policy password reset flag Forçage du changement de mot-de-passe avec le drapeau de réinitialisation de mot-de-passe de la politique de mots-de-passe LDAP If you use the binary value (Active Directory), use this: Si une valeur binaire est utilisée (Active Directory) : You just have to configure a directory writable by Apache user and set it in [configuration] section in your lemonldap-ng.ini file: Il suffit de configurer un répertoire accessible en écriture à l'utilisateur Apache et l'indiquer dans la section [configuration] du fichier lemonldap-ng.ini : portalAutocomplete portalAutocomplete CAS authentication level Niveau d'authentification CAS macro and groups les macro et groupes Redirect user to the asked URL or display menu Redirige l'utilisateur vers l'URL demandée ou affiche le menu CAS proxied services Services mandatés de CAS RewriteRule ^/saml/metadata /metadata.pl RewriteRule ^/saml/metadata /metadata.pl Skin files Fichiers thèmes <bean id="userDetailsServiceWrapper" class="org.springframework.security.userdetails.UserDetailsByNameServiceWrapper"> <bean id="userDetailsServiceWrapper" class="org.springframework.security.userdetails.UserDetailsByNameServiceWrapper"> SSL user field in certificate Champ utilisateur dans le certificat SSL ../documentation/current/start.html#sessions_database ../documentation/current/start.html#sessions_database LemonLDAP::NG portal menu has 4 modules: Le menu du portail LemonLDAP::NG est composé de 4 modules : </bean> </bean> http://mail.ow2.org/wws/subscribe/lemonldap-ng-users http://mail.ow2.org/wws/subscribe/lemonldap-ng-users Enable protection on Manager, by editing lemonldap-ng.ini: Activer la protection du manager, en éditant lemonldap-ng.ini: DBI UserDB connection chain Chaîne de connexion UserDB DBI whatToTrace whatToTrace } }, }) } }, }) Browseable (SQL, Redis or LDAP) Browseable (SQL, Redis ou LDAP) Internal portal Portail interne authmulti authmulti ../../../../media/applications/sympa_logo.png ../../../../media/applications/sympa_logo.png Access rules Règles d'accès http://obm.org http://obm.org (&(sAMAccountName=$user)(objectClass=person)) (&(sAMAccountName=$user)(objectClass=person)) ../pages/documentation/1.1/header_remote_user_conversion.html ../pages/documentation/1.1/header_remote_user_conversion.html Sessions module options: Options du module de sessions : ../pages/documentation/1.1/applications/sympa.html ../pages/documentation/1.1/applications/sympa.html LL::NG configured as SAML Identity Provider LL::NG configuré comme fournisseur d'identité SAML yum install mod_ssl yum install mod_ssl SQL configuration backends Backends de configuration SQL Destination directory = [path/to/trunk/build/lemonldap-ng]/po-doc/zz (where zz is your international code, example: “fr” for France) Répertoire de destination = [chemin/vers/trunk/build/lemonldap-ng]/po-doc/zz (où zz est votre code international, exemple: “fr” pour le français) Proxied services: list of services for which a proxy ticket is requested: Services Proxifiés : liste des services pour lesquels un ticket de proxy est requis : This part is based on SimpleSAMLPHP documentation. Cette section est basée sur la documentation SimpleSAMLPHP. ../pages/documentation/1.1/installdeb.html ../pages/documentation/1.1/installdeb.html Set '*' to accept all. Mettre '*' pour tout accepter. Display deleted sessions Affiche les sessions effacées Zimbra use a specific preauthentication protocol to provide SSO on its application. Zimbra utilise un protocole de pré-authentification pour s'intégrer à un SSO. Google Google User module Module utilisateurs <role rolename="role1"/> <role rolename="role1"/> Selected by default during installation. Sélectionné par défaut lors de l'installation. Create a database if necessary: Créer une base de données si nécessaire : Create new notifications with notifications explorer Créer de nouvelles notifications avec l'explorateur des notifications ../pages/documentation/1.1/ldapsessionbackend.html ../pages/documentation/1.1/ldapsessionbackend.html RewriteEngine On RewriteEngine On When modifying a value, always click on the Apply button if available, to be sure the value is saved. Lorsqu'une valeur est modifiée, cliquer toujours sur le bouton Appliquer s'il est affiché pour être sûr que la valeur soit sauvegardée. OTP public ID part size: Part of Yubikey OTP that will be used as the media identifier (default: 12) Taille de la partie publique de l'OTP : Partie du mot-de-passe unique Yubikey utilisée pour identifier les matériels (défaut: 12) Mailing lists Mailing lists soapsessionbackend soapsessionbackend documentation:latest:sessions documentation:latest:sessions LDAP groups member link value Valeur de lien de membre de groupe LDAP if you use “LDAP” system, the notifications will be stored in the same directory as configuration and in a branch called “notifications”. si “LDAP” est utilisé, les notifications sont stockées dans la même arborescence que la configuration et la branche est nommée “notifications”. # SSO protection # SSO protection <SPSSODescriptor> <SPSSODescriptor> Handler sends the response to user Celui-ci la renvoie à l'utilisateur For example, to preselect this IDP for users coming from 129.168.0.0/16 network: Par exemple, pour pré-sélectionner cet IDP pour les utilisateurs provenant dui réseau 129.168.0.0/16 : Next, you have to configure the SOAP access as described here since SOAP access is denied by default. Ensuite, il faut configure l'accès SOAP tel que décrit ici car l'accès SOAP est refusé par défaut. references références Manager (configuration management) Manager (gestion de la configuration) <IfModule mod_rewrite.c> <IfModule mod_rewrite.c> //"userobm_education" => , //"userobm_education" => , http://www.slideshare.net/coudot/jdll-2010-lemonldapng100preview http://www.slideshare.net/coudot/jdll-2010-lemonldapng100preview This function will check the date of current request, and compare it to a start date and an end date. Cette fonction examine la date de la requête en cours et la compare avec une date de début et de fin. Configuration and sessions in LDAP Configuration et sessions dans LDAP In Manager, go in General Parameters > Authentication modules and choose Null for authentication, users or password module. Dans le manager, aller dans Paramètres généraux > Modules d'authentification et choisir Null) pour les modules authentification, utilisateurs et/ou mots-de-passe. Update translations Télécharger les traductions When all is ok, click on Create. Lorsque tout est bon, cliquer sur Créer. The notifications module uses a wildcard to manage notifications for all users. Le module de notifications utilise une carte blanche pour gérer les notifications destinées à tous les utilisateurs. LDAP bind password Mot-de-passe de connexion LDAP Authorizations are defined inside a virtualhost and takes effect only on it. Les autorisations sont définies à l'intérieur d'un hôte virtuel (virtualhost) et n'ont d'effet que sur lui. Configure the virtual host like other protected virtual host but use Secure Token Handler instead of default Handler. Configurer l'hôte virtuel Sympa comme n'importe quel autre hôte virtuel protégé mais utiliser l'agent jeton sécurisé au lieu de l'agent par défaut. Send mail on password change Envoyer des courriels lors des changements de mots-de-passe ../media/screenshots/1.2/lemonldap_ng_session_explorer_1340022388573.png?w=800&h=496 ../media/screenshots/1.2/lemonldap_ng_session_explorer_1340022388573.png?w=800&h=496 Auth-Roles => $aaaRoles Auth-Roles => $aaaRoles id char(32) NOT NULL PRIMARY KEY, id char(32) NOT NULL PRIMARY KEY, Link Apache configuration Lier la configuration d'Apache HTTP Basic Authentication Authentification basique HTTP cn=admin,dc=example,dc=password cn=admin,dc=example,dc=password You can also use different user/password for your servers by overriding parameters globalStorage and globalStorageOptions in lemonldap-ng.ini file. On peut utiliser différent login/mot-de-passe pour les serveurs en surchargeant les paramètres globalStorage et globalStorageOptions dans le fichier lemonldap-ng.ini. PerlModule Lemonldap::NG::Handler::Proxy PerlModule Lemonldap::NG::Handler::Proxy perl-Lemonldap-NG-Common: CPAN - Shared modules perl-Lemonldap-NG-Common : CPAN - modules partagés ldapGroupAttributeName ldapGroupAttributeName ../../documentation/1.4/ssocookie.html ../../documentation/1.4/ssocookie.html These options override service signature options (see SAML service configuration). Ces options surchargent les options de signature du service (voir la configuration du service SAML). documentation:1.4:authyubikey documentation:1.4:authyubikey Those capabilities can be used simultaneously or separately. Ces capacités peuvent être utilisées simultanément ou séparemment. These options can then be overridden for each Identity Provider. Ces options peuvent être surchargées pour chaque fournisseur d'identité. Nb protected applications Nb d'applications protégées http://www.mediawiki.org/wiki/Extension:HttpAuth http://www.mediawiki.org/wiki/Extension:HttpAuth documentation:1.4:handlerauthbasic documentation:1.4:handlerauthbasic Django Django “static-value” “static-value” ldapGroupObjectClass ldapGroupObjectClass one with just read rights for other servers une avec seulement des droits en lecture pour les autres serveurs ServerName www.public.com   ServerName www.public.com   The value will be use in metadata main markup: Cette valeur est utilisé dans les metadatas : checkLogonHours($ssoLogonHours, '', '+2') checkLogonHours($ssoLogonHours, '', '+2') Known supported applications Applications connues pour être supportées ../../documentation/1.4/header_remote_user_conversion.html ../../documentation/1.4/header_remote_user_conversion.html Sympa virtual host in Apache Hôte virtuel Sympa dans le manager 'htmleditormode' => 'inline', 'htmleditormode' => 'inline', http://tomcat.apache.org/tomcat-5.5-doc/logging.html http://tomcat.apache.org/tomcat-5.5-doc/logging.html Magic authentication: a special SSO URL is protected by LL::NG, Sympa will display a button for users who wants to use this feature. Magic authentication: une URL SSO spéciale est protégée pas LL::NG, Sympa affiche un bouton pour les utilisateurs souhaitant bénéficier de cette fonction. newNotification(xmlString): insert a notification for a user (see Notifications system for more) newNotification(xmlString) : insert une notification pour un utilisateur (voir le système de notifications pour plus d'information) Change the user attribute to store in Apache logs (“General Parameters » Logs » REMOTE_USER”): use the variable declared above Changer l'attribut utilisateur à stocker dans les journaux d'Apache (“Paramètres généraux » Journaux » REMOTE_USER”) : utiliser la variable ci-dessus tar zxvf lemonldap-ng-*.tar.gz tar zxvf lemonldap-ng-*.tar.gz <check>: paragraph to display with a checkbox: will be inserted in HTML page enclosed in <p class=“notifCheck”><input type=“checkbox” />…</p> <check> : paragraphe à afficher avec une case à cocher : sera inséré dans la page HTML encadré dans <p class=“notifCheck”><input type=“checkbox” />…</p> ../../documentation/1.4/start.html#authentication_users_and_password_databases ../../documentation/1.4/start.html#authentication_users_and_password_databases → User does not have Lemonldap::NG cookie, handler redirect it to the portal → L'utilisateur ne dispose pas d'un cookie Lemonldap::NG, l'agent le redirige vers le portail If using LL::NG as reverse proxy, configure the Auth-User header, else no headers are needed. Si LL::NG est utilisé par reverse-proxy, configurer l'en-tête Auth-User, aucun autre en-tête n'est utile. Load Handler in Apache memory: Charger l'agent dans la mémoire d'Apache : sudo make install PARAM=VALUE PARAM=VALUE ... sudo make install PARAM=VALUE PARAM=VALUE ... contact.html contact.html The Tomcat Valve is only available for tomcat 5.5 or greater. La valve Tomcat est uniquement disponible pour les versions 5.5 et supérieures de Tomcat. ../../../media/documentation/remote-principle.png ../../../media/documentation/remote-principle.png http://www.slideshare.net/coudot/ldapcon-2011-the-lemonldapng-project http://www.slideshare.net/coudot/ldapcon-2011-the-lemonldapng-project /_detail/documentation/googleapps-manager-application.png?id=documentation%3A1.4%3Aapplications%3Agoogleapps /_detail/documentation/googleapps-manager-application.png?id=documentation%3A1.4%3Aapplications%3Agoogleapps An Apache session module was created by LL::NG team to store sessions in an LDAP directory. Un module Apache::Session a été créé par l'équipe de développement de LL::NG pour stocker les sessions dans un annuaire LDAP. secureTokenAllowOnError secureTokenAllowOnError This module is a LL::NG specific identity federation protocol. Ce module fournit un protocole de fédération d'identité spécifique à LL::NG. Enabled: Yes Enabled: Yes ../../media/icons/flags/us.png ../../media/icons/flags/us.png Click on a column header to sort table. Cliquez sur un en-tête de colonne pour trier le tableau. RHEL/CentOS/Fedora RHEL/CentOS/Fedora playground playground screenshots:1.1:mailreset:mailreset_step4.png screenshots:1.1:mailreset:mailreset_step4.png ../pages/documentation/features.html ../pages/documentation/features.html Follow the next steps. Suivre les étapes suivantes. In Bugzilla administration interface, go in Parameters » User authentication Dans l'interface d'administration, allez dans Parameters » User authentication Location: Access Point for SSO request and response. Location: Point d'accès des requêtes et réponses SSO. [portal] notification = 1 [portal] notification = 1 httpOnly httpOnly dbiAuthPassword dbiAuthPassword +10m: ten minutes from session creation +10m : dix minutes après la création de la session # SOAP functions for notification insertion (disabled by default) # Fonctions SOAP pour insérer des notifications (désactivées par défaut) http://www.google.com/calendar/hosted/mydomain.org/render http://www.google.com/calendar/hosted/mydomain.org/render *.partner.com *.partenaire.com Then you can take any virtual host, and simply add this line to protect it: Ainsi n'importe quel hôte virtuel peut être protégé en ajoutant cette ligne : We use OW2 JIRA to list bugs and features. Nous utilisons OW2 JIRA pour tous les bogues et fonctionnalités. A cup of coffee (or tea, we are open minded) Une tasse de café (ou de thé, nous sommes ouverts) security security /_detail/screenshots/0.9.4/0.9.4_password_menu.png?id=screenshots /_detail/screenshots/0.9.4/0.9.4_password_menu.png?id=screenshots RelayState session timeout: timeout for RelayState sessions. Durée de vie d'une session RelayState : durée de vie d'une session RelayState. tchemineau tchemineau User table: user table name Table utilisateurs : nom de la table utilisateurs Do not allow several users for 1 IP Ne pas autoriser plusieurs utilisateurs venant de la même adresse IP password password impact impact Default filter: default LDAP fitler for searches, should not be modified. Filtre par défaut : filtre LDAP par défaut pour les recherches, ne devrait pas être modifié. documentation:1.4:authgoogle documentation:1.4:authgoogle The servers and URLs can be configured in Manager, General Parameters > reload configuration URLs: keys are server names or IP the requests will be sent to, and values are the requested URLs. Les serveurs et URL peuvent être configurées dans le manager, Paramètres généraux > URL de rechargement de la configuration : les clefs sont les noms de serveurs ou les adresses IP à qui les requêtes seront envoyées, et les valeurs sont les URL à requêter. ../../../../css/screen.css ../../../../css/screen.css It can not be used to share sessions between different servers except if you share directories (with NFS,…) or if you use SOAP proxy. Il ne peut être utilisé pour partager les sessions entre serveurs sauf si les répertoires sont partagés (avec NFS,…) ou en utilisant le proxy SOAP. trustedDomains trustedDomains ^/limesurvey/admin/ ^/limesurvey/admin/ You need to disable default Manager protection in lemonldap-ng.ini to rely only on Apache: Il faut alors désactiver la protection du manager dans lemonldap-ng.ini pour la confier à Apache : authdemo authdemo ../media/screenshots/1.0/dark/portal.png?w=800&h=515 ../media/screenshots/1.0/dark/portal.png?w=800&h=515 Go in Manager, Default parameters » Advanced parameters » Special handlers » Secure Token, and edit the different keys: Aller dans le manager, Paramètres par défaut » Paramètres avancés » Handlers spéciaux » Jeton sécurisé, et éditer les clefs suivantes : ../../documentation/1.0/sqlconfbackend.html ../../documentation/1.0/sqlconfbackend.html Logging portal access Trace des authentification Handler inform Apache of connected user (parameter whatToTrace), so you can see user login in Apache access logs. L'agent fournit à Apache l'identifiant de l'utilisateur (paramètre whatToTrace), ainsi vous pouvez voir l'identifiant dans les journaux d'accès d'Apache. You can use one or a combination of: On peut utiliser un ou plusieurs solution : Authentication: will check user login in a header and create session without prompting any credentials (but will register client IP and creation date) Authentification : recherche le nom d'utilisateur dans un en-tête et crée la session sans exiger de mot-de-passe (mais enregistre l'adresse IP cliente et la date) /_detail/icons/chat.png?id=contact /_detail/icons/chat.png?id=contact <Location /index.pl/config> <Location /index.pl/config> casAccessControlPolicy casAccessControlPolicy HTTP Redirect Redirection HTTP documentation:googleapps-export-priv-key.png documentation:googleapps-export-priv-key.png managerCssTheme managerCssTheme Copy en subroutine to zz (where zz is your international code, example: “fr” for France) then translate messages. Copiez la fonction en en zz (où zz est votre code international, exemple: “fr” pour le français) et traduisez ensuite les messages. PerlSetVar LmLocationToReplace http://www.private.com/,https://www.public.com PerlSetVar LmLocationToReplace http://www.private.com/,https://www.public.com All other elements will be removed including HTML elements like <b>. Tous les autres éléments seront supprimés y compris les balises HTML telles <b>. Apache (Kerberos, NTLM, OTP, ...) Apache (Kerberos, NTLM, OTP, ...) /_detail/screenshots/1.1/manager/notifications_explorer_create.png?id=screenshots /_detail/screenshots/1.1/manager/notifications_explorer_create.png?id=screenshots Write session path is needed only if you use a remote session explorer or a remote portal Le chemin d'écriture de session n'est nécessaire que si on utilise un explorateur de session ou un portail distant DBI Login column Colonne de nom de connexion DBI default default Other NameID formats are automatically managed: Les autres formats de NameID sont automatiquement gérés : MySQL example (suppose that our servers are in 10.0.0.0/24 network): Exemple MySQL (on suppose que les serveurs sont sur le réseau 10.0.0.0/24): Session restrictions Resctriction d'ouverture de session OBM, RoundCube, Sympa, MediaWiki,… OBM, RoundCube, Sympa, MediaWiki,… Control existing session: detect SSO session, apply configured constraints (1 session per user, 1 session per IP, …) Recherche d'une session valide : détecte les sessions SSO, applique les contraintes configurées (1 session par utilisateur, 1 session par IP, …) # CAS Issuer # Fournisseur d'identité CAS Auto login is very secure for Sympa 5, as Sympa cookie is only exchanged between LL::NG Handler and Sympa (user cannot see it) Auto login est très sécurisé pour Sympa 5 car le cookie Sympa est seulement échangé entre le handler LL::NG et Sympa (les utilisateurs ne le voient pas) ../pages/documentation/1.1/configlocation.html ../pages/documentation/1.1/configlocation.html If you run Debian testing or unstable, the packages are directly installable: Pour les utilisateurs de Debian testing ou unstable, les paquets sont directement installables : ../../documentation/1.4/exportedvars.html ../../documentation/1.4/exportedvars.html By alphabetical order: Par ordre alphabétique : $VAR1 = { $VAR1 = { ../../documentation/1.4/authtwitter.html ../../documentation/1.4/authtwitter.html Internet Protocol Internet Protocol PerlHandler Lemonldap::NG::Handler::Proxy   PerlHandler Lemonldap::NG::Handler::Proxy   Connection Connexion apache2ctl configtest apache2ctl restart apache2ctl configtest apache2ctl restart The Secure Token Handler is a special Handler that create a token for each request and send it to the protected application. L'agent jeton sécurisé est un agent particulier qui crée un jeton pour chaque requête et l'envoie à l'application protégée. /_detail/applications/limesurvey_logo.png?id=documentation%3A1.4%3Aapplications%3Alimesurvey /_detail/applications/limesurvey_logo.png?id=documentation%3A1.4%3Aapplications%3Alimesurvey Mail reset request timeout Délai maximal des requêtes de réinitialisation des mails Internal Proxy (lmProxy) Proxy interne (lmProxy) https://github.com/coudot/apache-session-ldap https://github.com/coudot/apache-session-ldap How to change configuration backend Comment changer le backend de configuration my $cgi = Lemonldap::NG::Handler::CGI->new ({}); $cgi->authenticate(); $cgi->authorize(); ... my $cgi = Lemonldap::NG::Handler::CGI->new ({}); $cgi->authenticate(); $cgi->authorize(); ... For Debian/Ubuntu, you can use: Pour Debian/Ubuntu, utiliser : ../pages/documentation/1.1/soapservices.html ../pages/documentation/1.1/soapservices.html Store: store user info in session database Stocke: stocke les données utilisateurs dans la base de données des sessions LDAPFilter => '(&(sAMAccountName=$user)(objectClass=person))', LDAPFilter => '(&(sAMAccountName=$user)(objectClass=person))', File File ../pages/menu1.html ../pages/menu1.html You have to register the media identifer in your user backend (LDAP or SQL) to match the yubikey with a real user. Il faut enregistrer le matériel dans le backend utilisateurs (LDAP ou SQL) pour le faire correspondre à un utilisateur. LL::NG is compatible with LDAP password policy: LL::NG est compatible avec la politique de mots-de-passe LDAP : So on each main portal, internal users can access normally, and users issued from the other organization have just to click on the link: Ainsi sur chacun des portails principaux, les utilisateurs internes peuvent accéder normalement et les utilisateurs de l'autre organisation n'ont qu'à cliquer sur le lien : mailBody mailBody perl-Lemonldap-NG-Portal: CPAN - Portal modules perl-Lemonldap-NG-Portal : CPAN - modules portail ../media/icons/flags/us.png ../media/icons/flags/us.png vi /etc/sympa/auth.conf vi /etc/sympa/auth.conf We call “database” a backend where we can read or write a data. Nous appelons “base de données” un dispositif dans lequel nous pouvons lire et écrire des données. SAML2 SAML2 apachectl configtest apachectl restart apachectl configtest apachectl restart administrator administrator Handler check access rule and send headers to protected applications L'agent vérifie les droits d'accès à l'application et envoie des en-têtes HTTP à l'application protégée Since many HTTP servers refuse non ascii headers, it is recommended to use encode_base64() function to transmit those headers Comme la plupart des serveurs HTTP refusent les en-têtes non-ascii, il est recommandé d'utiliser la fonction encode_base64() pour transmettre ces en-têtes http://jira.ow2.org/browse/LEMONLDAP?selectedTab=com.atlassian.jira.plugin.system.project%3Aroadmap-panel http://jira.ow2.org/browse/LEMONLDAP?selectedTab=com.atlassian.jira.plugin.system.project%3Aroadmap-panel icons:flags:ua.png icons:flags:ua.png documentation:1.4:authfacebook documentation:1.4:authfacebook ../../../media/icons/colors.png ../../../media/icons/colors.png