Lightweight Directory Access Protocol Lightweight Directory Access Protocol screenshots:rbn:rbn-applis.png screenshots:rbn:rbn-applis.png /_detail/screenshots/1.0/manager/accordeon_dark.png?id=screenshots /_detail/screenshots/1.0/manager/accordeon_dark.png?id=screenshots http://www.cpantesters.org/distro/L/Lemonldap-NG-Manager.html http://www.cpantesters.org/distro/L/Lemonldap-NG-Manager.html This parameter is used by SAML IDP to fill the NameID in authentication responses. Ce paramètre est utilisé par l'IdP SAML pour construire le NameID dans les réponses d'authentification. ../media/screenshots/rbn/rbn-portal.png ../media/screenshots/rbn/rbn-portal.png Cache backend Module du cache local ../../documentation/1.0/authapache.html ../../documentation/1.0/authapache.html Dynamic application menu Menu dynamique des applications /_detail/screenshots/0.9.3/lemonldap-ng-testpage.png?id=screenshots /_detail/screenshots/0.9.3/lemonldap-ng-testpage.png?id=screenshots Perl expression: perl code snippet that returns 0 or 1 des expressions Perl : codes Perl qui renvoient 0 ou 1 ../pages/documentation/1.1/soapminihowto.html ../pages/documentation/1.1/soapminihowto.html documentation:1.0:soapsessionbackend documentation:1.0:soapsessionbackend Notification backend options Options du module de stockage des notifications This is the only service to configure, and it accept only the SOAP binding. C'est le seul service à configurer et il n'accepte que les connexions SOAP. Its SOAP API can also be used to dialog directly with your custom applications. Son API SOAP peut être utilisée pour dialoguer directement avec des applications spécifiques. Version 1.0 Version 1.0 Allow only one session per IP address N'autoriser qu'une session par adresse IP General parameters Paramètres généraux Application name (optional): Application name (visible in Twitter) Nom d'application (optionel) : nom de l'application (visible dans Twitter) screenshots:rbn:rbn-portal.png screenshots:rbn:rbn-portal.png /_detail/logos/logo_gn.png?id=references /_detail/logos/logo_gn.png?id=references Main internal databases are: Les principales bases de données internes sont : Performances Performances http://mail.ow2.org/wws/arc/lemonldap-ng-dev http://mail.ow2.org/wws/arc/lemonldap-ng-dev Syslog Syslog Ohloh statistics Statistiques Ohloh Using Active-Directory as authentication backend Utiliser Active-Directory comme système d'authentication URL: URL of your society URL: URL de votre organisation http://auth.example.com http://auth.example.com We split databases in two categories: Nous scindons les bases de données en deux catégories : LDAP groups objectClass ObjectClass des groupes LDAP Casimir ANTUNES Casimir ANTUNES PerlResponseHandler ModPerl::Registry </Files> PerlResponseHandler ModPerl::Registry </Files> Twitter is a famous short messaging server. Twitter est un service célèbre de messages cours. http://en.wikipedia.org/wiki/OpenID http://fr.wikipedia.org/wiki/OpenID authChoiceModules authChoiceModules /_detail/icons/wizard.png?id=documentation /_detail/icons/wizard.png?id=documentation translation memory directory = [path/to/trunk/build/lemonldap-ng]/omegat.files/zz/tm/ Répertoire des mémoires de traduction = [chemin/vers/trunk/build/lemonldap-ng]/omegat.files/zz/tm/ Local macros Macros locales A A http://perldoc.perl.org/functions/join.html http://perldoc.perl.org/functions/join.html Password Mots-de-passe If you want to become member of LL::NG team ask to lemonldap-ng-dev@ow2.org. SI vous souhaitez devenir membre de l'équipe LL::NG demandez-le également à lemonldap-ng-dev@ow2.org. /_detail/screenshots/0.9.4/0.9.4_logout_menu.png?id=screenshots /_detail/screenshots/0.9.4/0.9.4_logout_menu.png?id=screenshots LDAP mail search filter Filtre de recherche LDAP pour le courriel HTML templates: in <lang> tags, add your translation, they will be automaticaly used Les modèles HTML: dans les balises <lang>, ajoutez vos traductions, elles seront automatiquement utilisées 0.9.4_authentication_portal.png 0.9.4_authentication_portal.png U U T T /_detail/screenshots/0.9.3/lemonldap-ng-portal-appslist.png?id=screenshots /_detail/screenshots/0.9.3/lemonldap-ng-portal-appslist.png?id=screenshots W W Authorization Autorisations Past and present contributors Contributeurs passé et présent By default, the main session module is used to store SAML temporary data (like relay-states), but SAML sessions need to use a session module compatible with the sessions restrictions feature. Par défautBy, le module de session principal est utilisé pour stocker les données temporaires SAML (tel les états de relais), mais les sessions SAML doivent disposer d'un module compatible avec les fonctionnalités de restrictions des sessions. Authentication modules Modules d'authentification You just have to create error_zz and msg_zz subroutines (where zz is your international code, example: “fr” for France) by copying error_en and msg_en. Vous avez simplement à créer les fonctions error_zz et msg_zz (où zz est votre code international, exemple: “fr” pour le français) en copiant error_en et msg_en. Unifying authentications (federation) Unifier les authentifications (fédération) S S unprotect: all is open! unprotect: tout est ouvert ! Tarball Archive /_detail/screenshots/1.0/manager/accordeon_light.png?id=screenshots /_detail/screenshots/1.0/manager/accordeon_light.png?id=screenshots include /usr/local/lemonldap-ng/etc/portal-apache2.conf include /usr/local/lemonldap-ng/etc/handler-apache2.conf include /usr/local/lemonldap-ng/etc/manager-apache2.conf include /usr/local/lemonldap-ng/etc/portal-apache2.conf include /usr/local/lemonldap-ng/etc/handler-apache2.conf include /usr/local/lemonldap-ng/etc/manager-apache2.conf http://forge.ow2.org/svnsnapshots/lemonldap-svn-latest.tar.gz http://forge.ow2.org/svnsnapshots/lemonldap-svn-latest.tar.gz Z Z Facebook: Group / Page Facebook: Groupe / Page A computer with a GNU/Linux or recent UNIX system Un serveur équipé d'un GNU/Linux ou d'un système UNIX récent LL::NG is designed using Model–View–Controller software architecture, so you just have to change HTML/CSS files to custom portal. LL::NG a été conçu en utilisant l'architecture logicielle Modèle–Vue–Controlleur, ainsi vous avez juste à modifier les fichiers HTML/CSS pour personnaliser son portail. activeTimer activeTimer To use Active-Directory as LDAP backend, you must change few things in the manager : Pour utiliser Active-Directory comme serveur LDAP, vous devez effectuer quelques modifications dans le manager : Bibliothèque Publique d'Information Bibliothèque Publique d'Information Installation Installation All versions: Toutes les versions: 127.0.0.1:6379 127.0.0.1:6379 Persistent: NameID is restored from previous sessions Persistent: le NameID est restoré depuis la session précédente Portal: used to authenticate users, display applications list and provides identity provider service (SAML, OpenID, CAS). Portail: utilisé pour authentifier les utilisateurs, afficher la liste des applications et fournir le service d'identité (SAML, OpenID, CAS). http://lasso.entrouvert.org/download/ http://lasso.entrouvert.org/download/ Note that this feature is interesting only for the Lemonldap::NG systems protecting a high number of applications Notez que cette fonctionnalité n'est intéressante que pour les systèmes Lemonldap::NG protégeant un grand nombre d'applications LemonLDAP::NG is also able to catch logout request on protected applications, with different behavior: LemonLDAP::NG peut également intercepter les requêtes de déconnexion des applications protégées, avec différent comportements : Macros and groups Macros et groupes http://marcelhaise.com/rmll2009/#LemonLDAP http://marcelhaise.com/rmll2009/#LemonLDAP documentation/latest/installdeb.html#official_repository documentation/latest/installdeb.html#official_repository How it works Fonctionnement ../pages/documentation/1.1/authapache.html ../pages/documentation/1.1/authapache.html documentation:1.1:configlocation documentation:1.1:configlocation Mounir GZADY Mounir GZADY Use our own YUM repository. Utiliser votre propre dépôt YUM. ../../../css/print.css ../../../css/print.css documentation/latest/applications/bugzilla.html documentation/latest/applications/bugzilla.html Home Accueil Install Apache::Session::Redis Perl module. Installez le module Perl Apache::Session::Redis. Ohloh Ohloh When you use the multiple sessions restriction parameters, sessions are parsed for each authentication unless you use an Apache::Session::Browseable module. Lorsque sont activées les paramètres de restriction d'ouverture de session, celles-ci sont toutes examinées à chaque nouvelle authentification sauf lorsqu'un module de la famille Apache::Session::Browseable est utilisé. Twitter use OAuth protocol to allow applications to reuse its own authentication process (it means, if your are connected to Twitter, other applications can trust Twitter and let you in). Twitter utilise le protocole OAuth pour autoriser les applications à réutiliser son propre processus d'authentification (ce qui signifie que si vous êtes connecté à Twitter, d'autres applications peuvent agréer Twitter et vous laisser entrer). After logout process, the user is redirected on portal, or on a configured URL. Après déconnexion, l'utilisateur est redirigé vers une URL configurée ou vers le portail. ../documentation/latest/ssocookie.html ../documentation/latest/ssocookie.html Cache: cache for configuration and sessions Cache: cache pour la configuration et les sessions documentation:1.0:applications documentation:1.0:applications Practical Extraction and Report Language Practical Extraction and Report Language Location: Access Point for SLO request. Location: Point d'accès pour les requêtes de SLO. Display change password module Affiche le module de changement de mot-de-passe Twitter Twitter <OrganizationDisplayName xml:lang="en">Example</OrganizationDisplayName> <OrganizationDisplayName xml:lang="en">Exemple</OrganizationDisplayName> LemonLDAP::NG is a free software, released under GPL license. LemonLDAP::NG est un logiciel libre distribué sous licence GPL. /_detail/screenshots/1.0/pastel/portal.png?id=screenshots /_detail/screenshots/1.0/pastel/portal.png?id=screenshots LDAP search base Base de recherche LDAP pages/contact.html pages/contact.html ../pages/documentation/1.1/authremote.html ../pages/documentation/1.1/authremote.html Want Assertions Signed: set to On to require that received assertions are signed. Exiger des assertions signées : mettre à « activé » pour exiger de recevoir des assertions signées. SAML Session backend Module de stockage SAML Single Sign On for Web Applications Système d'authentification unique pour applications web In Manager, go in General Parameters > Authentication modules and choose Twitter for authentication module. Dans le manager, allez dans Paramètres generaux > Modules d'authentification et choisissez Twitter comme module d'authentication. <AttributeAuthorityDescriptor> <AttributeAuthorityDescriptor> Portal recognizes the user with its SSO cookies, and see he is coming from a different domain Le portail reconnaît l'utilisateur par son cookie SSO et voit qu'il sollicite une application d'un domaine différent Manager Manager ../pages/documentation/1.1/authssl.html ../pages/documentation/1.1/authssl.html <Files *.pl> <Files *.pl> Notification activation Activation des notifications Gendarmerie Nationale Gendarmerie Nationale To make the portal start faster when the server is relaunched, add those lines in Apache configuration file (as described in portal-apache2.conf): Pour accélérer le démarrage du portail lorsque le serveur est relancé, ajoutez les lignes suivantes dans les fichiers de configuration d'Apache (tel que proposé dans portal-apache2.conf): http://twitter.com/lemonldapng http://twitter.com/lemonldapng ../../documentation/1.0/exportedvars.html ../../documentation/1.0/exportedvars.html Use “LDAP” as authentication and userDB backends, Utiliser “LDAP” comme systèmes d'authentification et de gestion utilisateurs, ../../../css/screen.css ../../../css/screen.css A name Un nom Special Handlers for Zimbra, Sympa Des agents spéciaux pour Zimbra, Sympa rbac rbac Get the tarball on download page and follow next steps (or install using RPM or Debian packages): Récupérez l'archive sur la page de téléchargement et suivez les étapes suivantes (ou installez les paquets RPM ou Debian): Users Utilisateurs Session expiration Expiration des sessions It will use the authentication level registered in user session to match the SAML authentication context. Il utilise le niveau d'authentification enregistré dans la session de l'utilisateur pour établir le contexte d'authentification SAML. ../media/logos/logo_rbn.png ../media/logos/logo_rbn.png ../media/icons/xfmail.png ../media/icons/xfmail.png it may be the backbone of a heterogeneous architecture. il peut être le pivot d'une architecture hétérogène. Macros and groups are calculated during authentication process by the portal: Les macros et les groupes sont calculées pendant le processus d'authentification par le portail : Tomcat SSO Valve Une valve SSO Tomcat User is redirected on portal and his SSO cookies is empty L'utilisateur est redirigé vers le portail et son cookie SSO est vide LemonLDAP::NG is the first SSO software deployed in French administrations. LemonLDAP::NG est le logiciel SSO le plus utilisé dans les administrations françaises. documentation/1.0/start.html documentation/1.0/start.html To update translations, ask to lemonldap-ng-dev@ow2.org to update your files. Pour télécharger les traductions, demandez à lemonldap-ng-dev@ow2.org pour les mettres en ligne. Prerequisites Pré-requis Application logout: the request is forwarded to application but SSO session is not closed Déconnexion applicative: la requête est transmise à l'application mais la session SSO n'est pas détruite sudo apt-get install liblasso3-perl sudo apt-get install liblasso3-perl /_detail/icons/bug.png?id=contact /_detail/icons/bug.png?id=contact This can be a file, an LDAP directory, … Ce peut être un fichier, en annuaire LDAP, … Some examples: Quelques exemples: <Perl> <Perl> /_detail/screenshots/0.9.3/lemonldap-ng-portal-auth.png?id=screenshots /_detail/screenshots/0.9.3/lemonldap-ng-portal-auth.png?id=screenshots Apache built-in modules (Kerberos, NTLM , OTP, …) Support des modules Apache (Kerberos, NTLM , OTP, …) icons:tux.png icons:tux.png SAML sessions module name and options Options et nom du module de sessions SAML Entry Identifier Identifiant d'entrée You can then choose any other module for users and password. Vous pouvez ensuite choisir vos modules d'utilisateurs et de mots-de-passe. http://mail.ow2.org/wws/arc/lemonldap-ng-changes http://mail.ow2.org/wws/arc/lemonldap-ng-changes <Organization> <Organization> https://auth.linagora.com/ https://auth.linagora.com/ /_detail/screenshots/0.9.4/0.9.4_application_menu.png?id=screenshots /_detail/screenshots/0.9.4/0.9.4_application_menu.png?id=screenshots lemonldap-ng-testpage.png lemonldap-ng-testpage.png /_detail/icons/kmenuedit.png?id=start /_detail/icons/kmenuedit.png?id=start Handler does not see SSO cookies (because it is not in main domain) and redirects user on Portal L'agent n'intercepte pas de cookie SSO (car il n'est pas dans le même domaine) et redirige l'utilisateur vers le portail http://search.cpan.org/perldoc?Apache::Session http://search.cpan.org/perldoc?Apache::Session /_detail/icons/access.png?id=start /_detail/icons/access.png?id=start Dokuwiki plugin Extension pour Dokuwiki icons:windowlist.png icons:windowlist.png Session explorer Explorateur de sessions ../media/icons/windowlist.png ../media/icons/windowlist.png ../pages/documentation/1.1/security.html ../pages/documentation/1.1/security.html Choose “Apache” as authentication module (“General Parameters » Authentication modules » Authentication module”) Choisir “Apache” comme module d'authentification (“Paramètres généraux » Modules d'authentification » Module d'authentification”) macros are used to extend (or rewrite) exported variables. les macros sont utilisées pour étendre (ou réécrire) les variables exportées. Portal URL URL du portail Protected cookies Cookies protégés One line code to integrate in Java, PHP, .Net, Perl, Ruby, Python, … Un code d'une ligne pour intégrer le SSO dans Java, PHP, .Net, Perl, Ruby, Python, … RewriteEngine On RewriteEngine On Custom functions Fonctions personnalisées make make test make make test http://jira.ow2.org/browse/LEMONLDAP?selectedTab=com.atlassian.jira.plugin.system.project%3Achangelog-panel http://jira.ow2.org/browse/LEMONLDAP?selectedTab=com.atlassian.jira.plugin.system.project%3Achangelog-panel ~10 ~10 CDA activation Activation du CDA Set macros: compute configured macros Installe les macros : calcule les macros demandées Customizable NameID formats are: Les formats de NameID personnalisables sont : Log4Perl compatibility Compatibilité Log4Perl Extract from the Wikipedia article: Extrait de l'article Wikipedia: ../media/icons/gpg.png ../media/icons/gpg.png ../pages/documentation/1.1/sessions.html ../pages/documentation/1.1/sessions.html ../pages/documentation/1.1/soapconfbackend.html ../pages/documentation/1.1/soapconfbackend.html Main parameters Paramètres principaux For security reason, a cookie provided for a domain cannot be sent to another domain. Pour des raisons de sécurité, un cookie fournit par un domaine ne peut être transmit à un autre. ../documentation/1.0/portal.html ../documentation/1.0/portal.html ldapgroups -> join(" ",($ldapgroups =~ /cn=(.*?),/g)) ldapgroups -> join(" ",($ldapgroups =~ /cn=(.*?),/g)) Set SAML end points Indiquer les points d'entrées SAML Activation: Set to On to enable Common Domain Cookie support. Activation : mettre à « activé » pour activer le support du domaine commun de cookie. Response Location should be empty, as SOAP responses are directly returned (synchronous binding). Le point d'accès des réponses peut être vide car les réponses SOAP sont directement retournées (connexions synchrones). documentation/latest/applications/dokuwiki.html documentation/latest/applications/dokuwiki.html svn checkout svn+ssh://developername@svn.forge.objectweb.org/svnroot/lemonldap svn checkout svn+ssh://nomDuDeveloppeur@svn.forge.objectweb.org/svnroot/lemonldap Download the Lasso tarball and compile it on your system. Téléchargez l'archive Lasso et compilez là sur votre système. If your LDAP suffix is not dc=example,dc=com, use: Si le suffixe de votre annuaire LDAP n'est pas dc=example,dc=com, utilisez : Authentication contexts Contextes d'authentification LemonLDAP::NG Manager Gestionnaire LemonLDAP::NG documentation/features.html documentation/features.html /_detail/icons/gpg.png?id=start /_detail/icons/gpg.png?id=start deny: nobody is welcomed deny: personne n'est autorisé SAML service configuration Configuration du service SAML Session lifetime for cronjob Durée de vie des sessions pour la tâche planifiée http://wiki.lemonldap.ow2.org/xwiki/bin/view/NG/Documentation http://wiki.lemonldap.ow2.org/xwiki/bin/view/NG/Documentation HTTP SOAP HTTP SOAP Protected application sends response to Handler L'application protégée renvoie sa réponse à l'agent Portal messages: all messages are grouped in lemonldap-ng/lib/Lemonldap/NG/Portal/_i18n.pm. Les messages du portail: tous les messages sont regroupés dans lemonldap-ng/lib/Lemonldap/NG/Portal/_i18n.pm. ../documentation/latest/start.html#authentication_users_and_password_databases ../documentation/latest/start.html#authentication_users_and_password_databases Undefined: Default NameID format is used Undefined: le format de NameID par défaut est utilisé Forward SSO trough HTTP Auth-Basic or form replay Possibilité d'étendre le SSO à des applications utilisant une authentification HTTP Auth-Basic ou un formulaire HTML Include LemonLDAP::NG configuration in your main Apache configuration: Incluez la configuration LemonLDAP::NG dans celle d'Apache : Configuration: where configuration is stored. Configuration: où est stocké la configuration. Apache logs Journalisation par Apache ../media/screenshots/rbn/rbn-applis.png ../media/screenshots/rbn/rbn-applis.png CAS CAS Headers are defined inside a virtualhost and takes effect only on it. Les en-têtes sont définies à l'intérieur d'un hôte virtuel (virtualhost) et n'ont d'effet que sur lui. Store password in session Stockage du mot-de-passe en session Name: Auth-Name Nom: Auth-Name Replace MySQL by Apache::Session::Flex Remplacer MySQL par Apache::Session::Flex http://freshmeat.net/projects/lemonldapng http://freshmeat.net/projects/lemonldapng SVN activity Activité SVN Authenticate: contact authentication database to check credentials Authentifie : contacte le dispositif d'authentication pour vérification If you modify /saml/metadata suffix you have to change corresponding Apache rewrite rule. Si vous modifiez le suffixe /saml/metadata, vous devez changer la règle de réécriture d'Apache. ../pages/documentation/1.1/applications.html ../pages/documentation/1.1/applications.html ../pages/documentation/1.1/samlservice.html ../pages/documentation/1.1/samlservice.html Common Domain Cookie Domaine commun de cookie css/screen.css css/screen.css Changes: lemonldap-ng-changes@ow2.org ( Subscribe | Archives ) Changements: lemonldap-ng-changes@ow2.org ( Souscrire | Archives ) ../media/icons/terminal.png ../media/icons/terminal.png icons:kmenuedit.png icons:kmenuedit.png Security Sécurité SOAP activation Activation SOAP Use our own Debian repository. Utiliser votre propre dépôt Debian. ../../../media/documentation/manager-saml-service-sp-slo.png ../../../media/documentation/manager-saml-service-sp-slo.png ... </IDPSSODescriptor> ... </IDPSSODescriptor> HTTP Artifact Artifact HTTP Artifact Resolution Résolution des artifacts translations traductions Example for groups: Exemples de groupes: ../pages/documentation/1.1/authnull.html ../pages/documentation/1.1/authnull.html Kinematics Cinématique ~50 ~50 User: where collect user data Utilisateurs: où trouver les données utilisateurs Database Base de données translations.html translations.html Handler gets session get from cookie and gets session L'agent récupère la session en utilisant la valeur du cookie Manager: used to manage LemonLDAP::NG configuration and to explore sessions. Manager: utilisé pour gérer la configuration LemonLDAP::NG et explorer les sessions. icons:agt_web.png icons:agt_web.png Security Assertion Markup Language Security Assertion Markup Language Strong authorization system Système strict de contrôle d'accès It simplifies the build of a protected area with a few changes in the application. Il simplifie la construction d'une aire protégée avec peu d'impact sur les applications. NameID formats Formats de NameID http://test1.example.com http://test1.example.com Administration Administration ../pages/documentation/1.1/writingrulesand_headers.html ../pages/documentation/1.1/writingrulesand_headers.html /_detail/screenshots/1.0/pastel/password.png?id=screenshots /_detail/screenshots/1.0/pastel/password.png?id=screenshots Download them here and install pre-required packages. Les télécharger ici et installer les paquets pre-requis. Install and launch a Redis server. Installez et lancer un serveur Redis. ../documentation/latest/notifications.html ../documentation/latest/notifications.html ../pages/documentation/1.1/resetpassword.html ../pages/documentation/1.1/resetpassword.html Response Location: Access Point for SSO response. Response Location : Point d'accès pour les réponses SSO. logos:logo_rbn.png logos:logo_rbn.png ../documentation/latest/ssocookie.html#sso_cookie ../documentation/latest/ssocookie.html#sso_cookie Notifications: messages displayed to connected users Notifications: messages à afficher aux utilisateurs connectés You need Net::Twitter package, with a very recent version (>3). Vous devez installer une version récente (>3) du paquet Net::Twitter. CAS Session backend options Options du module de stockage CAS ../css/screen.css ../css/screen.css documentation:1.0:authldap documentation:1.0:authldap A macro is stored as attributes: it can contain boolean results or any string Une macro est stockée comme un attribut : elle peut contenir le résultat d'un calcul booléen ou n'importe quelle chaîne de caractères Double cookie Double cookie Presentation Présentation URL matching trough regular expressions (subdirectories, file types, …) Examen des URL par expressions rationnelles (sous répertoires, types de fichiers, …) It will be prompted if you generate keys, else you can set it in the Private key password. Il vous sera demandé à la génération de la clef ou vous pouvez l'entrer dans le champ Mot-de-passe de la clef privée. documentation:lemonldapng-sso.png documentation:lemonldapng-sso.png Main external databases are: Les principales bases de données externes sont : SSO cookies is not detected, so Handler redirects user to Portal Si le cookies SSO n'est pas détecté, l'agent redirige l'utilisateur vers le portail ../pages/documentation/1.1/applications/authbasic.html ../pages/documentation/1.1/applications/authbasic.html Those macros are calculated only at the first usage and stored in the local session cache (only for this server) and only if the user access to the related applications. Ces macros sont calculées seulement à leur premier usage et stockées dans le cache local des sessions (uniquement pour ce serveur) et seulement si l'utilisateur accède à l'application relative. SAML Session backend options Options du module de stockage SAML require Lemonldap::NG::Portal::SharedConf; require Lemonldap::NG::Portal::SharedConf; It manages both authentication and authorization and provides headers for accounting. Il gère à la fois les authentifications et les autorisations et fournit des en-têtes HTTP pour la traçabilité. Redis session backend Module de stockage des sessions Redis You can also choose a different session module to split SSO sessions and SAML sessions. Vous pouvez également utiliser un module différent pour répartir les sessions SSO et SAML. User clicks on the logout link in Portal L'utilisateur clique sur le bouton déconnexion du portail Redis server Serveur Redis 2 kind of files may be translated: 2 types de fichiers peuvent être traduits : apacheAuthnLevel apacheAuthnLevel References Références Simple Object Access Protocol Simple Object Access Protocol Offline Hors ligne /_detail/screenshots/1.0/dark/password.png?id=screenshots /_detail/screenshots/1.0/dark/password.png?id=screenshots SAML service configuration is a common step to configure LL::NG as SAML SP or SAML IDP. La configuration du service SAML est une étape commune pour configurer LL::NG comme fournisseur de service SAML (SP) ou fournisseur d'identité SAML (IDP). Xavier GUIMARD: historic project leader, developer, administrator of big Lemonldap::NG instances Xavier GUIMARD: Leader historique du projet, developpeur, administrateur de grosses installations de Lemonldap::NG Portal (impact theme) Portail (thème impact) The portal is the biggest component of Lemonldap::NG. Le portail est le composant le plus gros de Lemonldap::NG. Using Lemonldap::NG with Active-Directory Utiliser Lemonldap::NG avec Active-Directory ../pages/screenshots.html ../pages/screenshots.html This option can then be overridden for each Service Provider. Cette option peut être surchargée pour chaque fournisseur de service. Authentication backend Module d'authentification Handlers check rights and calculate headers for each HTTP hit. Les agents vérifient les droits et calculent les en-têtes pour chaque requête HTTP. Leave blank to deactivate the feature. Laissez vide pour désactiver cette fonctionnalité. SSO and Application logout: the request is forwarded to application and SSO session is closed Déconnexion SSO et applicative: la requête est transmise à l'application et la session SSO est fermée Redirect: redirect user on protected application or on Portal (applications menu) Redirect: redirect user on protected application or on Portal (applications menu) ../media/icons/softwared.png ../media/icons/softwared.png Manager interface: all messages are grouped in lemonldap-ng-manager/lib/Lemonldap/NG/Manager/_i18n.pm. L'interface du Manager: tous les messages sont regroupés dans lemonldap-ng-manager/lib/Lemonldap/NG/Manager/_i18n.pm. ../pages/documentation/1.1/redirections.html ../pages/documentation/1.1/redirections.html Replace all .htaccess based security Remplace les systèmes de sécurité basé sur les .htaccess http://webchat.freenode.net http://webchat.freenode.net Use packages provided by Debian. Utiliser les paquets fournis par Debian. http://en.wikipedia.org/wiki/Central_Authentication_Service http://fr.wikipedia.org/wiki/Central_Authentication_Service Installation and configuration Installation et configuration X509 X509 These parameters are not mandatory to run SAML service, but can help to customize it: Ces paramètres ne sont pas obligatoires pour faire fonctionner le service SAML, mais peuvent aider à leur personnalisation : User tries to access protected application, his request is catched by Handler Lorsqu'un utilisateur tente d'accéder à une application protégée, il est intercepté par l'agent (handler) documentation:manager-saml-service-authn-contexts.png documentation:manager-saml-service-authn-contexts.png /_detail/documentation/manager-saml-namid-formats.png?id=documentation%3A1.0%3Asamlservice /_detail/documentation/manager-saml-namid-formats.png?id=documentation%3A1.0%3Asamlservice Graphical Manager Gestionnaire graphique ../../css/print.css ../../css/print.css Apache Apache Erwan LEGALL Erwan LEGALL nothing here... rien ici... ../pages/documentation/1.1/applications/tomcat.html ../pages/documentation/1.1/applications/tomcat.html Roadmap Feuille de route Edit configuration Editer la configuration require Lemonldap::NG::Portal::Menu; require Lemonldap::NG::Portal::Menu; 0.9.4_password_reset.png 0.9.4_password_reset.png Authentication level: authentication level for this module. Niveau d'authentification : niveau d'authentification accordé à ce module. Manager (sessions explorer) Manager (explorateur de sessions) HyperText Markup Language HyperText Markup Language Set local groups: compute configured groups Installe les groupes locaux : calcule les groupes demandés par la configuration See translations. Voir traductions. Display reset password form Affiche le module de réinitialisation de mot-de-passe /_detail/screenshots/1.0/impact/portal.png?id=screenshots /_detail/screenshots/1.0/impact/portal.png?id=screenshots documentation:latest:prereq documentation:latest:prereq Cookie security Sécurité du cookie Anonymous access Accès anonyme documentation:lasso.png documentation:lasso.png LemonLDAP::NG is an open source Web Single Sign On product (WebSSO) written in Perl, plugged into Apache Web Server. LemonLDAP::NG est un logiciel d'authentification unique web (WebSSO) écrit en Perl, intégré dans un serveur Apache. So for Handler on different physical servers than the Portal, a user with an expired session can still be authorized still the cache expires. Ainsi pour les agents installés sur des serveurs physiquement différent de celui hébergeant le portail, un utilisateur dont la session a expiré peut toujours être autorisé jusqu'à expiration du cache. Extract form info: get login/password, certificate, environment variable (depending on authentication module) Extrait les informations du formulaire: récupère le couple compte/mot-de-passe, le certificat, une variable d'environnement (suivant le module d'authentification) /_detail/icons/personal.png?id=contact /_detail/icons/personal.png?id=contact Accounting Traçabilité Back to main index Retour à l'index principal An HTTP header is defined by: Un en-tête HTTP est défini par : Sessions Sessions So instead of using LDAP groups recovery, you just have to store “memberOf” field in your exported variables. Ainsi au lieu d'utiliser la récupération des groupes LDAP, vous avez juste à stocker le champ “memberOf” dans vos variables exportées. ../media/icons/access.png ../media/icons/access.png Developer access Accès développeurs A little macro: Une petite macro : password.png password.png TLS client Client TLS A web browser launched from the computer (to access localhost) Un navigateur web lançé depuis ce serveur (pour accéder à la boucle locale) Handlers have a session cache, with a default lifetime of 10 minutes. Les agents disposent d'un cache de session d'une durée de vie par défaut de 10 minutes. DokuWiki offline version DokuWiki version hors-ligne Translators Translators Full access control Contrôle d'accès complet It is also used by SAML SP to fill the authentication level in user session, based on authentication response authentication context. Il est également utilisé par le SP SAML pour définir le niveau d'authentification dans la session de l'utilisateur en se basant sur la réponse d'authentification. download Téléchargement To extend SSO on several domains, a cross-domain mechanism is implemented in LemonLDAP::NG. Pour étendre le SSO sur plusieurs domaines, un mécanisme inter-domaines est intégré à LemonLDAP::NG. ../documentation/latest/start.html#sessions_database ../documentation/latest/start.html#sessions_database http://search.cpan.org/perldoc?Apache::Session::Browseable http://search.cpan.org/perldoc?Apache::Session::Browseable ~150 ~150 http://www.facebook.com/home.php?#!/group.php?gid=205544862557 http://www.facebook.com/home.php?#!/group.php?gid=205544862557 one unsecured for other applications un non-sécurisé pour les autres applications You can use #PORTAL# in values to replace the portal URL. Vous pouvez utiliser le mot clef #PORTAL# dans les valeurs pour remplacer l'URL du portail. ../media/icons/personal.png ../media/icons/personal.png Display Name: should be displayed on IDP, this is often your society name Nom affiché (display name) : peut être affiché par le fournisseur d'identité (IDP), this is often your society name require SOAP::Lite; </Perl> require SOAP::Lite; </Perl> ../media/logos/logo_gn.png ../media/logos/logo_gn.png Authentication, Authorization and Accounting (AAA) mechanisms Mécanismes d'authentification, d'autorisation et de traçabilité (AAA) Pascal PEJAC Pascal PEJAC To avoid having group dn stored in sessions datas, you can use a macro to rewrite memberOf: Pour éviter de stocker les dn dans votre base de sessions, vous pouvez utiliser une macro pour réécrire memberOf : Mail From address Adresse source des messages Try Freenode Webchat! Essayez le client web Freenode ! LDAP v2 and v3 protocol support Support des protocoles LDAP v2 et v3 /_detail/logos/sgs_white_small.jpg?id=references /_detail/logos/sgs_white_small.jpg?id=references logout_sso, logout_app, logout_app_sso: catch logout request logout_sso, logout_app, logout_app_sso: intercepte les requêtes de déconnexion http://www.facebook.com/home.php?#!/pages/LemonldapNG/328254254936 http://www.facebook.com/home.php?#!/pages/LemonldapNG/328254254936 User owns SSO cookies on the main domain (see Login kinematics) L'utilisateur dispose d'un cookie SSO dans le domaine principal (voir la cinématique de connexion) http://dev.twitter.com/pages/api_faq http://dev.twitter.com/pages/api_faq See Writing rules and headers chapter. Voir le chapître Écrire les règles et en-têtes. icons:personal.png icons:personal.png upgrade upgrade Sébastien BAHLOUL Sébastien BAHLOUL by double IP (sessions opened by the same user from multiple computers) par double IP (sessions ouvertes par le même utilisateur sur plusieurs machines) documentation:1.0:configlocation documentation:1.0:configlocation Identity Provider Fournisseur d'identité icons:chat.png icons:chat.png accept: all authenticated users can pass accept: tout utilisateur authentifié est autorisé Signed Authentication Request: set to On to always sign authentication request. Requête d'authentification signée : mettre à « activé » pour toujours signer les requêtes d'authentifications. lemonldap-ng-portal-appslist.png lemonldap-ng-portal-appslist.png ../../../media/documentation/manager-saml-private-key.png ../../../media/documentation/manager-saml-private-key.png Manager translation Traduction du manager sudo make postconf sudo make postconf Display applications list Affiche la liste des applications Default use case: Cas général: http://www.omegat.org/ http://www.omegat.org/ Go on http://manager.example.com Allez sur http://manager.example.com Value: $uid Valeur : $uid Example Exemple references.html references.html icons:utilities.png icons:utilities.png /_detail/icons/knewsticker.png?id=contact /_detail/icons/knewsticker.png?id=contact Writer URL: URL used by SAML IDP to write the cookie. URL d'écriture : URL utilisée par l'IdP SAML pour écrire le cookie. User tracking in Apache logs or syslog Traçabilité des utilisateurs dans les journaux d'Apache ou via syslog The common domain is used by SAML SP to find an Identity Provider for the user, and by SAML IDP to register itself in user's IDP list. Le domaine commun est utilisé par le SP SAML pour trouver le fournisseur d'identité de l'utilisateur et par l'IdP SAML pour s'enregistrer dans la liste des IDP. ../media/icons/wizard.png ../media/icons/wizard.png Many SSO-ready applications (OBM, Bugzilla, Dokuwiki, etc.) De nombreuses applications déjà prêtes pour le SSO (OBM, Bugzilla, Dokuwiki, etc.) Attribute Authority Autorité d'attributs Changelog Journal des changements Conferences Conférences http://deb.entrouvert.org/ http://deb.entrouvert.org/ /_detail/icons/neotux.png?id=start /_detail/icons/neotux.png?id=start sudo apachectl configtest sudo apachectl restart sudo apachectl configtest sudo apachectl restart You can enter a password to protect private key with a password. Vous pouvez entrer un mot de passe de protection de la clef privée. Configuration Configuration 0.9.3 0.9.3 sudo make install sudo make install 0.9.4 0.9.4 Send login in Auth-User: Envoi de l'identifiant dans Auth-User: You can avoid this by setting “memberOf” fields in your LDAP scheme: Vous pouvez contourner cette dificulté en utilisant les champs “memberOf” dans votre schéma LDAP : LemonLDAP::NG developer must have a account on OW2 platform, and could authenticate themselves via SSH 2 by using the following one: Les développeurs LemonLDAP::NG doivent posséder un compte sur la plateforme OW2, et peuvent s'authentifier via SSH 2 en utilisant : authentication authentification Many private firms use it too. De nombreuses sociétés privées l'utilisent également. URL for mail reset URL pour la réinitialisation par courriel documentation/1.1/start.html documentation/1.1/start.html Portal provides also many other features (see portal for more) Le portail fournit également de nombreux autres services (voir portail pour plus d'informations) documentation/latest/applications/sympa.html documentation/latest/applications/sympa.html Your EntityID, often use as metadata URL, by default #PORTAL#/saml/metadata. Votre EntityID, souvent utilisé comme URL des métadatas, par défaut #PORTAL#/saml/metadata. ../pages/references.html ../pages/references.html Kerberos Kerberos documentation:latest:applications:obm documentation:latest:applications:obm Portal Portail icons:terminal.png icons:terminal.png documentation:1.0:portal documentation:1.0:portal OW2 annual conference Conférence annuelle OW2 Logging application access Trace des accès aux applications Freshmeat Freshmeat http://search.cpan.org/perldoc?Apache::Session::Flex http://search.cpan.org/perldoc?Apache::Session::Flex Starting performances Performances au démarrage Macros and groups are stored in session database. Les macros et les groupes sont stockées dans la base de données des sessions. ../documentation/latest/logs.html ../documentation/latest/logs.html documentation:latest:applications:bugzilla documentation:latest:applications:bugzilla API key: API key from Twitter Clef d'API: clef d'API donnée par Twitter User name session field Champ de session stockant le nom d'utilisateur Store -> MySQL Lock -> Null Generate -> MD5 Serialize -> Storable DataSource -> dbi:mysql:sessions;host=... Store -> MySQL Lock -> Null Generate -> MD5 Serialize -> Storable DataSource -> dbi:mysql:sessions;host=... /_detail/icons/softwared.png?id=start /_detail/icons/softwared.png?id=start tomcat tomcat Recursive groups Groupes récursif Two steps here: Deux étapes ici : Hamza AISSAT Hamza AISSAT TikiWiki, … TikiWiki, … Restrict /admin to administrators group Restreint /admin au groupe des administrateurs documentation:conferences documentation:conferences /_detail/screenshots/rbn/rbn-portal.png?id=references /_detail/screenshots/rbn/rbn-portal.png?id=references Open SSO session Ouvrez une session SSO Project activity Activité du projet start Commencer LemonLDAP::NG - Offline Version LemonLDAP::NG - Version hors-ligne groups are stored as space-separated strings in the special attribute “groups”: it contains the names of groups whose rules were returned true for the current user les groupes sont stockées en chaîne de caractères séparées par des espaces dans l'attribut spécial “groups” : il contient les noms des groupes dont la règle à retournée une valeur non nulle pour l'utilisateur courant Send “Lastname, firstname” in Auth-Name: Envoi de “Lastname, firstname” dans Auth-Name: Authentication: how authenticate users Authentification: comment authentifier les utilisateurs Export sAMAccountName in a variable declared in exported variables Exporter sAMAccountName dans la liste des variables exportées documentation:latest:notifications documentation:latest:notifications South Bay Community Network South Bay Community Network Access rule: accept Règle d'accès : accept Apache authentication level Niveau d'authentification d'Apache Outlook Web Access, … Outlook Web Access, … Portal performances Performances du portail tree_dark.png tree_dark.png https://websso.dmz.bpi.fr/ https://websso.dmz.bpi.fr/ Secure Sockets Layer Secure Sockets Layer icons:neotux.png icons:neotux.png Main Features Fonctionnalités principales LL::NG can be configured to provides 2 cookies: LL::NG peut être configuré pour fournir 2 cookies: Protection scheme Schéma de protection ../../documentation/features.html#session_restrictions ../../documentation/features.html#session_restrictions Parameter list Liste des paramètres http://www.openldap.org/doc/admin24/overlays.html#Reverse%20Group%20Membership%20Maintenance http://www.openldap.org/doc/admin24/overlays.html#Reverse%20Group%20Membership%20Maintenance So if the http cookie is stolen, sensitive applications stay secured. Ainsi, si le cookie http cookie est volé, les applications sensibles restent protégées. dn: uid=foo,dmdName=people,dc=example,dc=com ... memberOf: cn=admin,dmdName=groups,dc=example,dc=com memberOf: cn=su,dmdName=groups,dc=example,dc=com dn: uid=foo,dmdName=people,dc=example,dc=com ... memberOf: cn=admin,dmdName=groups,dc=example,dc=com memberOf: cn=su,dmdName=groups,dc=example,dc=com LDAP server or Net::LDAP connexion string Serveur LDAP ou chaîne de connexion Net::LDAP For remote servers, you can use SOAP session backend in cunjunction to increase security for remote server that access through an unsecure network Pour les serveurs distants, vous pouvez utiliser le module SOAP d'accès aux sessions en complément pour augmenter la sécurité de ces serveurs qui accèdent aux sessions au travers d'un réseau non sûr http://jira.ow2.org/browse/LEMONLDAP http://jira.ow2.org/browse/LEMONLDAP Alphabetical Index Index alphabétique documentation:1.0:memcachedsessionbackend documentation:1.0:memcachedsessionbackend Update your /etc/hosts to map SSO URLs to localhost: Mettez à jour votre /etc/hosts pour faire correspondre les URLs du SSO à votre machine : LemonLDAP::NG SSO cookies are generated by Apache::Session, they are as secure as a 128-bit random cookie. Les cookies SSO de LemonLDAP::NG sont générés par Apache::Session, ils sont aussi sûrs que tout cookie basé sur un aléa de 128 bits. /_detail/documentation/manager-saml-private-key.png?id=documentation%3A1.0%3Asamlservice /_detail/documentation/manager-saml-private-key.png?id=documentation%3A1.0%3Asamlservice The real accounting has to be done by the application itself since SSO logs can not understand transactions. La réelle traçabilité doit être faite par l'application elle-même car les journaux du SSO ne peuvent interprêter les transactions. UserName -> ... UserName -> ... Control asked URL: prevent XSS attacks and bad redirections Control asked URL: prevent XSS attacks and bad redirections documentation:latest:ssocookie documentation:latest:ssocookie documentation/latest/applications/obm.html documentation/latest/applications/obm.html ../media/icons/chat.png ../media/icons/chat.png ../pages/documentation/1.1/authchoice.html ../pages/documentation/1.1/authchoice.html Offline 0.1 Hors-ligne 0.1 ~100 ~100 AuthLDAPFilter AuthLDAPFilter Translations Traductions https://auth.sso.sbay.org/ https://auth.sso.sbay.org/ User is redirected on protected application, with his new cookie L'utilisateur est redirigé vers l'application demandée avec son nouveau cookie Value: $sn + ”, ” + $gn Valeur: $sn + ”, ” + $gn You must install them first. Vous devez les installer au préalable. Project = [path/to/trunk/build/lemonldap-ng]/omegat.files/zz (where zz is your international code, example: “fr” for France) Projet = [chemin/vers/trunk/build/lemonldap-ng]/omegat.files/zz (où zz est votre code international, exemple: “fr” pour le français) Handler Agent (Handler) URL pattern: ^/admin/ Expression sur l'URL : ^/admin/ ../media/logos/sgs_white_small.jpg ../media/logos/sgs_white_small.jpg /_detail/logos/logo_bpi.png?id=references /_detail/logos/logo_bpi.png?id=references redirections redirections /_detail/screenshots/1.0/sessionsexplorer/tree_light.png?id=screenshots /_detail/screenshots/1.0/sessionsexplorer/tree_light.png?id=screenshots Architecture Architecture Logout Déconnexion Organization Organisation documentation/latest/installdeb.html#llng_repository documentation/latest/installdeb.html#llng_repository ../pages/documentation/1.1/ssocookie.html ../pages/documentation/1.1/ssocookie.html 0.9.4_password_menu.png 0.9.4_password_menu.png Force port in redirection Force le port dans les redirections Cross Site Scripting Cross Site Scripting # group admin -> $uid eq 'foo' or $uid eq 'bar'   # Use a group in a rule ^/admin -> $groups =~ /\badmin\b/ # groupe admin -> $uid eq 'foo' or $uid eq 'bar'   # Utiliser un groupe dans une règle ^/admin -> $groups =~ /\badmin\b/ Contributions Contributions sudo make install LDAPSUFFIX=mysuffix sudo make install LDAPSUFFIX=mysuffix LemonLDAP::NG is written in Perl and requires a lot of Perl dependencies. LemonLDAP::NG est écrit en Perl et nécessite de nombreuses dépendances Perl. \b means start or end of a word in PCRE (Perl Compatible Regular Expressions) \b signifie début ou fin de mot dans les PCRE (Expressions Rationnelles Compatible Perl) ../pages/documentation/1.1/authsaml.html ../pages/documentation/1.1/authsaml.html ../pages/documentation/1.1/applications/zimbra.html ../pages/documentation/1.1/applications/zimbra.html ../pages/documentation/1.1/upgrade.html ../pages/documentation/1.1/upgrade.html For example, if you are using AD as authentication backend, you can use sAMAccountName for the Windows NameID format. Par exemple, si vous utilisez Active-Directory comme système d'authentification, vous pouvez utiliser sAMAccountName come format de NameID Windows. Thomas CHEMINEAU: developer, graphics Thomas CHEMINEAU: développeur, concepteur graphique Authorization is controlled only by Handlers. Les autorisations sont vérifiées seulement par les agents (handlers). So to improve performances, avoid too complex rules by using the macro or the groups or local macros. Donc pour augmenter les performances, évitez les règles trop complexes en utilisant les macros, groupes ou macros locales. documentation/presentation.html documentation/presentation.html Portal destroys session and redirects user on itself with an empty SSO cookies Le portail détruit la session et redirige l'utilisateur sur lui-même avec un cookie SSO vide This does not include Apache configuration which is not managed by LemonLDAP::NG Ceci n'inclue pas la configuration propre d'Apache qui n'est pas gérée par LemonLDAP::NG SetHandler perl-script SetHandler perl-script Since MySQL does not have always transaction feature, Apache::Session::MySQL has been designed to use MySQL locks. Comme MySQL ne dispose pas toujours de dispositif de transaction, Apache::Session::MySQL a été conçu en utilisant les verrous MySQL. Sessions explorer Explorateur de sessions /_detail/icons/xfmail.png?id=contact /_detail/icons/xfmail.png?id=contact /_detail/screenshots/0.9.4/0.9.4_password_reset.png?id=screenshots /_detail/screenshots/0.9.4/0.9.4_password_reset.png?id=screenshots ... </AttributeAuthorityDescriptor> ... </AttributeAuthorityDescriptor> icons:access.png icons:access.png Portal checks authentication Le portail examine les données d'authentification ../media/icons/neotux.png ../media/icons/neotux.png documentation:features documentation:features ../../documentation/1.1/configlocation.html ../../documentation/1.1/configlocation.html Password backend Module de gestion de mots-de-passe Source RPM RPM sources Portal produce a notice message in Apache logs or syslog when a user authenticates (or fails to authenticate) and logs out. Le portail génère un message de niveau notice dans les journaux d'Apache ou dans syslog lorsqu'un utilisateur d'authentifie (ou échoue) ou se déconnecte. ../../../../media/applications/http_logo.png ../../../../media/applications/http_logo.png /_detail/screenshots/1.0/manager/tree_light.png?id=screenshots /_detail/screenshots/1.0/manager/tree_light.png?id=screenshots ../pages/documentation/1.1/applications/spring.html ../pages/documentation/1.1/applications/spring.html Headers sent En-têtes envoyés Source directory = [path/to/trunk/build/lemonldap-ng]/doc/ Répertoire des sources = [chemin/vers/trunk/build/lemonldap-ng]/doc/ ../../media/documentation/lemonldap-ng-architecture.png ../../media/documentation/lemonldap-ng-architecture.png You may use the securedCookie options to avoid session hijacking. Vous devriez utilisez les options securedCookie pour éviter le vol de session. LDAP integration Intégration LDAP This concerns all parameters for the Attribute Authority metadata section Ceci concerne tous les paramètres de la section « autorité d'attributs » des métadatas http://search.cpan.org/perldoc?Apache::Session::Redis http://search.cpan.org/perldoc?Apache::Session::Redis Common Domain Cookie is also know as WAYF Service. Le domaine commun de cookie est également connu comme service WAYF. http://en.wikipedia.org/wiki/Model%E2%80%93View%E2%80%93Controller http://fr.wikipedia.org/wiki/Mod%C3%A8le-Vue-Contr%C3%B4leur Delete other session Efface les autres sessions (session unique par utilisateur) ../documentation/latest/sessions.html ../documentation/latest/sessions.html In particular, it use Apache2 threads capabilities so to optimize performances, prefer using mpm-worker. En particulier, il utilise les capacités multi-threads d'Apache-2, donc pour optimiser les performances, utilisez de préférence mpm-worker. You can configure here which field of LL::NG session will be associated to a NameID format. Vous pouvez indiquer ici l'attribut de session de LL::NG qui sera associé au format du NameID. Authentication Authorization Accounting Authentification Autorisation Traçabilité Lemonldap::NG handlers use a local cache to store sessions (for 10 minutes). Les agents (handlers) Lemonldap::NG utilisent un cache local pour stocker les sessions (pour 10 minutes). Name Nom Portal redirects user on protected application with his session ID as URL parameter Portal redirige l'utilisateur vers l'application demandée avec son identifiant de session en paramètre de l'URL svn checkout svn://svn.forge.objectweb.org/svnroot/lemonldap svn checkout svn://svn.forge.objectweb.org/svnroot/lemonldap You can define keys for SAML message signature and encryption. Vous pouver définir des clefs pour la signature et le chiffrement des messages SAML. ../pages/wiki/syntax.html ../pages/wiki/syntax.html logos:logo_bpi.png logos:logo_bpi.png It is recommended to use ModPerl::Registry instead of using cgi-script as described in Apache configuration file example (portal-apache2.conf): Il est recommendé d'utiliser ModPerl::Registry au lieu d'utiliser le dispositif "cgi-script" tel qu'indiqué dans les fichiers de configuration d'Apache proposés en exemple (portal-apache2.conf): /_detail/icons/windowlist.png?id=documentation /_detail/icons/windowlist.png?id=documentation Go in Manager and click on SAML 2 Service node. Allez dans le Manager et cliquez sur le nœud Service SAML 2. API secret: API secret from Twitter Secret d'API: secret d'API donné par Twitter ../media/icons/knewsticker.png ../media/icons/knewsticker.png LDAP Bind DN DN de connexion LDAP Users : lemonldap-ng-users@ow2.org ( Subscribe | Archives ) Utilisateurs : lemonldap-ng-users@ow2.org ( Souscrire | Archives ) Documentation for latest stable version Documentation for latest stable version Sources are currently available on OW2. Les sources sont disponibles sur OW2. /_detail/documentation/manager-saml-service-sp-ac.png?id=documentation%3A1.0%3Asamlservice /_detail/documentation/manager-saml-service-sp-ac.png?id=documentation%3A1.0%3Asamlservice Then, go in Twitter parameters: Allez ensuite dans Paramètres Twitter : Handler: Apache modules used to protect applications Agent (Handler): module Apache utilisé pour protéger les applications Easy to customize Facile à personnaliser icons:bug.png icons:bug.png references Références LDAP groups member attribute Attribut de membre d'un groupe LDAP If authentication succeed, Portal collect user data Si l'authentication est acceptée, le portail récupère les données de l'utilisateur Protected sites: Sites protégés: http://www.ow2.org http://www.ow2.org SSO logout: the request is not forwarded to application, only the SSO session is closed Déconnexion SSO: la requête n'est pas transmise à l'application, seule la session SSO est fermée Older versions Versions précédentes Skin name Nom du thème Body for confirmation mail Corps du message de confirmation https://www.portail.crbn.fr https://www.portail.crbn.fr ../../css/all.css ../../css/all.css ../../../media/documentation/manager-saml-namid-formats.png ../../../media/documentation/manager-saml-namid-formats.png ../index.html ../index.html Version 0.9.4 (old wiki) Version 0.9.4 (ancien wiki) Email Email Packages and archives Paquets et archives LDAP Bind Password Mot-de-passe de connexion LDAP icons:clock.png icons:clock.png /_detail/logos/logo_rbn.png?id=references /_detail/logos/logo_rbn.png?id=references Since MySQL performances are very bad using this, if you want to store sessions in a MySQL database, prefer one of the following Ceci dégrade fortement les performances de MySQL, si vous voulez stocker les sessions dans une base de données MySQL, utilisez l'une des solutions suivantes ../documentation/latest/writingrulesand_headers.html#headers ../documentation/latest/writingrulesand_headers.html#headers https://twitter.com https://twitter.com de fr ../../documentation/1.0/memcachedsessionbackend.html ../../documentation/1.0/memcachedsessionbackend.html You can import a certificate containing the public key instead the raw public key. Vous pouver importer un certificat contenant la clef publique au lieu d'une simple clef. http://jira.ow2.org http://jira.ow2.org Session backend Module de stockage des sessions Don't forget to create an index on the field used to find users (uid by default) N'oubliez pas de créer un index sur le champ utilisé pour trouver les utilisateurs (uid par défaut) <OrganizationName xml:lang="en">Example</OrganizationName> <OrganizationName xml:lang="en">Exemple</OrganizationName> ../documentation/latest/portalcustom.html ../documentation/latest/portalcustom.html Password policy Politique de mots-de-passe Password reset by mail Réinitialisation de mots-de-passe par courriel /_detail/screenshots/1.0/sessionsexplorer/accordeon_dark.png?id=screenshots /_detail/screenshots/1.0/sessionsexplorer/accordeon_dark.png?id=screenshots They use LemonLDAP::NG! Ils utilisent LemonLDAP::NG! Handler performance Performance des agents (handlers) Active Directory compliance Compatibilité Active Directory Documentation: use OmegaT to translate offline documentation and configure it: Documentation: utilisez OmegaT pour traduire la dcumentation hors-ligne et configurez le : Password change form Formulaire de changement de mots-de-passe ../pages/documentation/1.1/authcas.html ../pages/documentation/1.1/authcas.html ../../../css/all.css ../../../css/all.css In this case, you can choose a different module to manage SAML sessions. Dans ce cas, vous devez utiliser un module différent pour gérer les sessions SAML. ../../../media/documentation/manager-saml-service-authn-contexts.png ../../../media/documentation/manager-saml-service-authn-contexts.png icons:knewsticker.png icons:knewsticker.png Setup Mise en marche In the manager: set Apache::Session::Redis in General parameters » Sessions » Session storage » Apache::Session module and add the following parameters (case sensitive): Dans le manager : indiquez Apache::Session::Redis dans Paramètres généraux » Sessions » Stockage des sessions » Module Apache::Session et ajoutez les paramètres suivant (sensibles à la casse): ../pages/documentation/1.1/authtwitter.html ../pages/documentation/1.1/authtwitter.html Service configuration will be used to generate LL::NG SAML metadata, that will be shared with other providers. La configuration du service est utilisée pour générer les métadatas SAML de LL::NG, qui sont partagées avec les autres fournisseurs. Set groups: request user database to find groups Installe les groupes : interroge la base de données utilisateurs pour trouver les groupes documentation/latest/prereq.html#apt-get documentation/latest/prereq.html#apt-get Syslog facility Facilité syslog Internet Relay Chat Internet Relay Chat documentation:latest:writingrulesand_headers documentation:latest:writingrulesand_headers Advanced Avancé SSL / TLS SSL / TLS Central Authentication Service Central Authentication Service quickstart Démarrage rapide documentation:lemonldap-ng-architecture.png documentation:lemonldap-ng-architecture.png There are no global headers. Il n'y a pas d'en-tête global. icons:database.png icons:database.png en fr RPM RPM ../media/icons/kmenuedit.png ../media/icons/kmenuedit.png Glossary directory = [path/to/trunk/build/lemonldap-ng]/omegat.files/zz/glossary/ Répertoire des glossaires = [path/to/trunk/build/lemonldap-ng]/omegat.files/zz/glossary/ Security parameters Paramètres de sécurité ../css/print.css ../css/print.css Little effort is required to translate the encoded string back into the user name and password, and many popular security tools will decode the strings “on the fly”. Un petit effort est requis pour décoder ces chaînes et de nombreux outils de sécurité les décodent à la volée. /_detail/icons/tux.png?id=contact /_detail/icons/tux.png?id=contact logos:logo_linagora.png logos:logo_linagora.png For example, the user name Aladdin and password open sesame would be combined as Aladdin:open sesame – which is equivalent to QWxhZGRpbjpvcGVuIHNlc2FtZQ== when encoded in Base64. Par exemple, le nom Aladdin et le mot-de-passe "open sesame" vont être assemblés en "Aladdin:open sesame" – dont l'équivalent est QWxhZGRpbjpvcGVuIHNlc2FtZQ== en Base64. Authentication Authentification It can be used to delete a session Il peut être utilisé pour effacer une session tar zxvf lemonldap-ng-*.tar.gz cd lemonldap-ng-* tar zxvf lemonldap-ng-*.tar.gz cd lemonldap-ng-* documentation:1.0:exportedvars documentation:1.0:exportedvars Build Construction So you can have a full AAA protection for your web space as described below. Vous vouvez ainsi avoir une protection AAA complète pour votre espace web tel qu'indiqué ci-dessus. Response Location: Access Point for SLO response. Response Location: Point d'accès pour les réponses SLO. ../css/all.css ../css/all.css zimbra zimbra Each LL::NG authentication module has an authentication level, which can be associated to an SAML authentication context. Chaque module d'authentification de LL::NG dispose d'un niveau d'authentification qui peut être associé à un contexte d'authentification SAML. Exported variables Variables exportées LemonLDAP::NG Common Fichiers communs LemonLDAP::NG Service configuration Configuration du service documentation:latest:installdeb documentation:latest:installdeb Apache::Session::Browseable is a wrapper for other Apache::Session modules that add the capability to manage indexes. Apache::Session::Browseable est une surcouche d'autres modules Apache::Session qui ajoute des capacités d'indexation. Choice modules Modules de "Choice" Attribute Service Service d'attribut Getting sources from SVN repository Obtenir les sources depuis le dépôt SVN Portal creates SSO cookies with session key as value Le portail crée le cookie SSO avec la clef de la session comme valeur /_detail/icons/personal.png?id=start /_detail/icons/personal.png?id=start 0.9.4_application_menu.png 0.9.4_application_menu.png documentation:quickstart documentation:quickstart LemonLDAP::NG can export HTTP headers either using a proxy or protecting directly the application. LemonLDAP::NG peut exporter des en-têtes HTTP qu'on l'utilise sur une reverse-proxy ou directement sur le serveur à protéger LemonLDAP::NG Portal Portail LemonLDAP::NG ../media/icons/database.png ../media/icons/database.png ../pages/documentation/1.1/soapsessionbackend.html ../pages/documentation/1.1/soapsessionbackend.html ../../documentation/1.0/authsaml.html ../../documentation/1.0/authsaml.html import your own private and public keys (Load from a file input) importer vos propres clefs privées et publiques (entrée Charger depuis un fichier) ../../css/screen.css ../../css/screen.css Reporting a bug Rapporter un bogue /_detail/screenshots/0.9.4/0.9.4_authentication_portal.png?id=screenshots /_detail/screenshots/0.9.4/0.9.4_authentication_portal.png?id=screenshots Debian/Ubuntu Debian/Ubuntu Hosted by Hébergé par Find us on Freenode, channel #lemonldap-ng Retrouvez-nous sur Freenode, canal #lemonldap-ng authChoiceParam authChoiceParam ../../../media/documentation/manager-saml-service-sp-ac.png ../../../media/documentation/manager-saml-service-sp-ac.png LDAP main search filter Filtre de recherche LDAP principal http://www.linuxpicnic.org/ http://www.linuxpicnic.org/ ../media/logos/logo_linagora.png ../media/logos/logo_linagora.png Easy to integrate Facile à intégrer HTTP POST HTTP POST Multiple and Choice (modules stacking) Multiple et Choice (empilement d'autres modules) Run Test #a #a #b #b #f #f # Uncomment this line if you use portal SOAP capabilities # Décommentez cette ligne si vous utilisez les capacités SOAP du portail #e #e LDAP Port Port LDAP #d #d http://www.ohloh.net/p/lemonldap-ng http://www.ohloh.net/p/lemonldap-ng #c #c #i #i http://en.wikipedia.org/wiki/Role-based_access_control http://en.wikipedia.org/wiki/Role-based_access_control #h #h #g #g #n #n http://www.cpantesters.org/distro/L/Lemonldap-NG-Common.html http://www.cpantesters.org/distro/L/Lemonldap-NG-Common.html #m #m #l #l In the context of an HTTP transaction, the basic access authentication is a method designed to allow a web browser, or other client program, to provide credentials – in the form of a user name and password – when making a request. Dans le contexte d'une transaction HTTP, l'authentification basique est une méthode qui permet au navigateur ou un autre programme client de fournir des éléments d'authentification – sous la forme d'un nom et d'un mot de passe – à chaque requête. #r #r DataSource -> dbi:mysql:sessions;host=... DataSource -> dbi:mysql:sessions;host=... #q #q #p #p Access rules values can be: Les valeurs des règles d'accès peuvent être : #o #o #u #u ../pages/documentation/1.1/authmulti.html ../pages/documentation/1.1/authmulti.html documentation:presentation documentation:presentation /_detail/screenshots/1.0/dark/portal.png?id=screenshots /_detail/screenshots/1.0/dark/portal.png?id=screenshots by IP par adresses IP #s #s #t #t With OpenLDAP, you can use the memberof overlay to do it automaticaly. Avec OpenLDAP, vous pouvez utiliser memberof overlay qui le fera automatiquement. #z #z Note that Apache::Session::Browseable::MySQL doesn't use MySQL locks. Notez que Apache::Session::Browseable::MySQL n'utilise pas les verrous MySQL. #w #w LINAGORA LINAGORA In “Apache::Session module” field, set ”Apache::Session::Flex” and use the following parameters: Dans le champ “Module Apache::Session”, indiquez ”Apache::Session::Flex” et utilisez les paramètres suivants : There are packages available here: http://deb.entrouvert.org/. Les paquets sont disponibles ici : http://deb.entrouvert.org/. Configure authentication filter (“General Parameters » Authentication modules » LDAP parameters » Filters”) with: Configurer le filtre d'authentification (“Paramètres généraux » Module d'authentification » Paramètres LDAP » Filtres”) avec : LDAP server can be a brake when you use LDAP groups recovery. Le serveur LDAP peut être un frein lorsque vous utilisez la récupération des groupes LDAP. /_detail/icons/tutorials.png?id=documentation /_detail/icons/tutorials.png?id=documentation ../../documentation/1.0/configlocation.html ../../documentation/1.0/configlocation.html ../../documentation/1.0/idpsaml.html ../../documentation/1.0/idpsaml.html Secure Shell Shell sécurisé (SSH) applications:http_logo.png applications:http_logo.png LDAP performances Performances LDAP /_detail/icons/database.png?id=start /_detail/icons/database.png?id=start Eric GERMAN Eric GERMAN Install Installation Subject for password mail Sujet du message de changement de mot de passe http://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf http://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf ../pages/documentation/1.1/selfmadeapplication.html ../pages/documentation/1.1/selfmadeapplication.html Use XForwardedFor for IP Utiliser XForwardedFor comme IP cliente Force HTTPS in redirection Indicateur HTTPS pour les redirections http://wiki.sbay.org/ http://wiki.sbay.org/ http://lasso.entrouver.org http://lasso.entrouver.org resetpassword resetpassword ✔ ✔ documentation:manager-saml-service-sp-ac.png documentation:manager-saml-service-sp-ac.png Packages should be available soon. Les paquets seront disponible d'ici peu. http://code.google.com/p/redis/ http://code.google.com/p/redis/ /_detail/screenshots/1.0/impact/password.png?id=screenshots /_detail/screenshots/1.0/impact/password.png?id=screenshots ~500 ~500 ../../documentation/1.0/authldap.html ../../documentation/1.0/authldap.html Be sure that mod_rewrite is installed and that SAML2 rewrite rules are activated in Apache portal configuration: Assurez-vous que mod_rewrite est installé et que les règles de réécriture SAML2 sont activées dans la configuration Apache du portail: OpenID OpenID Password protected transport Transport protégé du mot-de-passe Habib ZITOUNI Habib ZITOUNI The session expires after 2 hours by default. Toute session expire au boût de 2 heures par défaut. Local macros is a special feature of handler that permit to have macros useable localy only. Les macros locales sont une fonctionnalité spéciale des agents qui permettent d'avoir des macros utilisables localement seulement. If no encryption keys are defined, signature keys are used for signature and encryption. Si aucune clef de chiffrement n'est définie, la clef de signature est aussi utilisée pour le chiffrement. http://www.linagora.com http://www.linagora.com Cache backend options Options du module du cache local ../documentation/presentation.html#login ../documentation/presentation.html#login You can: Vous pouvez : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E F G H I J K L M N O P Q R S T U V W X Y Z documentation:1.0:authsaml documentation:1.0:authsaml RewriteRule ^/saml/metadata /metadata.pl RewriteRule ^/saml/metadata /metadata.pl # rule admin -> $admin ||= ($uid eq 'foo' or $uid eq 'bar') # header Display-Name -> $displayName ||= $givenName." ".$surName # règle admin -> $admin ||= ($uid eq 'foo' or $uid eq 'bar') # en-tête Display-Name -> $displayName ||= $givenName." ".$surName Uniform Resource Locator Uniform Resource Locator ../pages/documentation/1.1/authslave.html ../pages/documentation/1.1/authslave.html Download Téléchargement ... </EntityDescriptor> ... </EntityDescriptor> This is not the case of Memcached for example. C'est par exemple le cas de Memcached. LDAP authentication search filter Filtre de recherche LDAP pour l'authentification ../media/icons/tutorials.png ../media/icons/tutorials.png Debian Debian pages/documentation.html pages/documentation.html Portal (pastel theme) Portail (thème pastel) documentation:manager-saml-namid-formats.png documentation:manager-saml-namid-formats.png 0.9.4_logout_menu.png 0.9.4_logout_menu.png pages/start.html pages/start.html ../documentation/1.0/applications.html ../documentation/1.0/applications.html Apache rewrite rules Régles de réécriture d'Apache This parameter is used by SAML IDP to fill the authentication context in authentication responses. Ce paramètre est utilisé par l'IdP SAML pour renseigner le contexte d'authentification dans les réponses. You can first check on LemonLDAP::NG JIRA project that your bug is not already referenced, and then create it (with a registered account). Commencez par vérifier sur le site JIRA du projet LemonLDAP::NG que votre bogue n'est pas déjà référencé, et créez le sinon (avec un compte préalablement créé). Windows Windows documentation:latest:start documentation:latest:start Apache::Session::Redis is the faster shareable session backend Apache::Session::Redis est le module de stockage des sessions en réseau le plus rapide /_detail/screenshots/1.0/manager/tree_dark.png?id=screenshots /_detail/screenshots/1.0/manager/tree_dark.png?id=screenshots Hubert GAULTIER Hubert GAULTIER Sebastien DIAZ Sebastien DIAZ ... </SPSSODescriptor> ... </SPSSODescriptor> Configure the Apache server that host the portal Configurer le serveur Apache qui héberge le portail icons:wizard.png icons:wizard.png /_detail/screenshots/rbn/rbn-applis.png?id=references /_detail/screenshots/rbn/rbn-applis.png?id=references /_detail/documentation/manager-saml-service-sp-slo.png?id=documentation%3A1.0%3Asamlservice /_detail/documentation/manager-saml-service-sp-slo.png?id=documentation%3A1.0%3Asamlservice Restart Apache: Redémarrez Apache: Note that you have to use UTF-8 characters Notez que vous devez utiliser des caractères UTF-8 Display logout module Affiche le module de déconnexion Région Basse-Normandie Région Basse-Normandie Transient: NameID is generated Transient: le NameID est généré UserName -> user Password -> password Index -> ipAddr uid UserName -> user Password -> password Index -> ipAddr uid Handler stores user data in its cache Il stocke ces données dans son cache documentation/conferences.html documentation/conferences.html You can simply checkout sources with the following command: Utilisez simplement la commande suivante pour télécharger les sources : http://www.cpantesters.org/distro/L/Lemonldap-NG-Portal.html http://www.cpantesters.org/distro/L/Lemonldap-NG-Portal.html Portal translation Traduction du portail screenshots captures d'écran accordeon_dark.png accordeon_dark.png ../pages/translations.html ../pages/translations.html Assertion Consumer Consommateur d'assertions Cookie expiration Expiration du cookie Identity provider Fournisseur d'identité Full name Nom complet Allow only one session per user N'autoriser qu'une session par utilisateur Lasso Lasso User tries to access a protected application in a different domain L'utilisateur tente d'accéder à une application protégée d'un autre domaine SAML 2.0 / Shibboleth SAML 2.0 / Shibboleth An access rule Une règle d'accès generate new public and private keys (Generate button) générer de nouvelles clefs publiques et privées (bouton Générer) Other Autres General options Options générales Allow form autocompletion Autorise l'autocompletion du formulaire Use Apache::Session::Browseable Utiliser Apache::Session::Browseable LemonLDAP::NG LemonLDAP::NG download.html download.html /_detail/applications/http_logo.png?id=documentation%3A1.0%3Aapplications%3Aauthbasic /_detail/applications/http_logo.png?id=documentation%3A1.0%3Aapplications%3Aauthbasic This avoid to have to many datas stored. Ce dispositif évite de stocker trop de données. Default: will this binding be used by default for authentication response. Défaut : déclaration utilisée par défaut pour les réponses d'authentification. Key name Nom de la clef http://svn.forge.objectweb.org/cgi-bin/viewcvs.cgi/lemonldap/ http://svn.forge.objectweb.org/cgi-bin/viewcvs.cgi/lemonldap/ Attributes exported in SOAP Attributs exportés par SOAP A value Une valeur LDAP groups base Base des groupes LDAP Daniel RIVIERE Daniel RIVIERE tree_light.png tree_light.png Documentation Documentation URL pattern: default Expression sur l'URL : default start.html start.html Example for macros: Exemples de macros: You can install Lemonldap::NG using packages (rpm or deb) or by hand as described below. Vous pouvez installer Lemonldap::NG en utilisant des paquets (rpm ou deb) ou à la main comme décrit ci-après. ldapgroups -> memberOf ldapgroups -> memberOf Handler will then check SSO cookies for each HTTP request. L'agent examinera le cookie SSO pour chaque requête HTTP. Before transmission, the username and password are encoded as a sequence of base-64 characters. Avant la transmission, le nom et le mot de passe sont encodés en base-64. All pages Toutes les pages See Twitter FAQ on how to do that:. Reportez-vous à la FAQ Twitter pour en savoir plus. ../pages/documentation/1.1/authopenid.html ../pages/documentation/1.1/authopenid.html In other words, take the time to configure this part before sharing metadata. En d'autres mots, prenez le temps de bien configurer cette partie avant de partager les metadatas. ../media/icons/tux.png ../media/icons/tux.png Single Logout Single Logout (SLO) Install prerequisites Installer les pré-requis Single Sign On Authentification unique (Single Sign On) Name: internal name Name: nom interne Name of the cookie Nom du cookie Build cookie: build SSO cookies with session ID Construit les cookies: construit les cookies SSO avec l'identifiant de session The only authorized binding is SOAP. La seule déclaration possible est SOAP. Compatibility with Apache mod_security Compatibilité avec le module mod_security d'Apache Regular expression for random password Expression rationnelle pour la génération aléatoire des mots-de-passe /_detail/screenshots/1.0/impact/menu.png?id=screenshots /_detail/screenshots/1.0/impact/menu.png?id=screenshots ../documentation/latest/start.html#configuration_database ../documentation/latest/start.html#configuration_database The header value is a Perl expression, returning a string. La valeur d'un en-tête est une expression Perl qui retourne une chaîne de caractères. SMTP server Serveur SMTP lemonldap-ng-portal-auth.png lemonldap-ng-portal-auth.png ../pages/start.html ../pages/start.html LL::NG can easy talk to other authentication systems using SAML, OpenID, CAS. LL::NG peut aisément dialoguer avec d'autres systèmes d'authentification en utilisant SAML, OpenID, CAS. This documentation explains how configure SAML service in LL::NG, in particular: Cette documentation explique comment configurer le service SAML dans LL::NG, en particulier : documentation:manager-saml-private-key.png documentation:manager-saml-private-key.png Password: where change the password Mots-de-passe: où changer les mots-de-passe Choice URL parameter Paramètre d'URL pour "Choice" Configuration backend Stockage de la configuration Open links in new window Ouvre les liens dans une nouvelle fenêtre screenshots captures d'écran documentation:1.0:authapache documentation:1.0:authapache Common domain: Name of the common domain (where common cookie is available). Domaine commun : Nom du domaine commun (où le cookie commun est disponible). Hyper Text Transfer Protocol Hyper Text Transfer Protocol Extract Extraction samlservice samlservice Using Kerberos Utiliser Kerberos ../pages/documentation/1.1/sqlsessionbackend.html ../pages/documentation/1.1/sqlsessionbackend.html Apache::Session performances Performances d'Apache::Session Development Développement Activate auto accept timer Activer le compte-à-rebours d'acceptation automatique ../media/icons/utilities.png ../media/icons/utilities.png Notification backend Module de stockage des notifications Dedicated to administrators Dédié aux administrateurs accordeon_light.png accordeon_light.png User interfaces Interfaces utilisateur by users par utilisateurs General performances Performances générales The NameID is the main user identifier, carried in SAML messages. NameID est l'identifiant principal de l'utilisateur transmis dans les messages SAML. Session backend options Options du module de stockage des sessions icons:xfmail.png icons:xfmail.png LDAP password policy control Activation du contrôle de conformité à la politique LDAP ../media/logos/ow2.png ../media/logos/ow2.png ../pages/documentation/1.1/authproxy.html ../pages/documentation/1.1/authproxy.html Grant session: check rights to open SSO session Autorise la session : vérifie le droit d'ouvrir une session SSO documentation:manager-saml-service-sp-slo.png documentation:manager-saml-service-sp-slo.png Clément “KPTN” OUDOT: project leader, lead developer, graphics, documentation, community management Clément “KPTN” OUDOT: Leader du projet, développeur principal, graphisme, documentation, gestion de la communauté /_detail/screenshots/1.0/pastel/menu.png?id=screenshots /_detail/screenshots/1.0/pastel/menu.png?id=screenshots logos:sgs_white_small.jpg logos:sgs_white_small.jpg documentation/quickstart.html documentation/quickstart.html Require old password (change) Impose la présentation de l'ancien mot-de-passe dans les changements Accept all authenticated users: Accepte tout utilisateur authentifié : Tomcat valve Valve Tomcat Reader URL: URL used by SAML SP to read the cookie. URL de lecture : URL utilisée par le SP SAML pour lire le cookie. User backend Module utilisateurs Delete other session if IP differs Efface les autres sessions de l'utilisateur si les adresses IP diffèrent Lemonldap::NG::Portal::SharedConf->compile( Lemonldap::NG::Portal::SharedConf->compile( http://forge.ow2.org/project/showfiles.php?group_id=274 http://forge.ow2.org/project/showfiles.php?group_id=274 User authenticates on Portal L'utilisateur d'authentifie sur le portail SSL X509 SSL X509 LL::NG can be used to prompt users with a message. LL::NG peut être utilisé pour présenter des messages aux utilisateurs. Authentication portal Portails d'authentification documentation:1.0:idpsaml documentation:1.0:idpsaml icons:gpg.png icons:gpg.png icons:tutorials.png icons:tutorials.png screenshots.html screenshots.html Required parameters Paramètres exigés writingrulesand_headers writingrulesand_headers Structured Query Language Structured Query Language You will only need to install liblasso3-perl package: Seul le paquet liblasso3-perl est nécessaire : CAS_authnLevel CAS_authnLevel You can also change the host and port with options LDAPHOST and LDAPPORT. Vous pouvez aussi changer le nom d'hôte et le port avec les options LDAPHOST et LDAPPORT. An LDAP directory with a user account (default suffix: dc=example,dc=com) Un annuaire LDAP avec un compte (suffixe par défaut : dc=example,dc=com) <EntityDescriptor entityID="http://auth.example.com/saml/metadata"> <EntityDescriptor entityID="http://auth.example.com/saml/metadata"> ../../documentation/1.0/soapsessionbackend.html ../../documentation/1.0/soapsessionbackend.html Developers : lemonldap-ng-dev@ow2.org ( Subscribe | Archives ) Développeurs : lemonldap-ng-dev@ow2.org ( Souscrire | Archives ) /_detail/icons/utilities.png?id=start /_detail/icons/utilities.png?id=start http://lemonldap.ow2.org/NG/devel-doc/ http://lemonldap.ow2.org/NG/devel-doc/ Sessions: where sessions are stored. Sessions: où sont stockées les sessions. ../../../media/documentation/lasso.png ../../../media/documentation/lasso.png This concerns all parameters for the Service Provider metadata section: Ceci concerne tous les paramètres de la section « fournisseur de service » des metadatas : Rule for session granting Règle pour l'autorisation d'ouverture de session API documentation Documentation de l'interface de programmation (API) Application Programming Interface Interface de programmation Social Networks and News Réseaux sociaux et nouvelles If a user is not authenticated and attempts to connect to an area protected by a LemonLDAP::NG compatible Handler, he is redirected to a portal. Si un utilisateur n'est pas authentifié et tente de se connecter à une application protégée par un agent compatible LemonLDAP::NG, il est redirigé vers le portail. documentation documentation CAS Session backend Module de stockage CAS DEB bundle Paquets DEB Handler detects URL parameter and create a SSO cookies on its domain, with session ID as value L'agent détecte le paramètre d'URL et crée le cookie SSO dans son domaine, avec la valeur de l'identifiant de session Status page Page de status GNU General Public License Licence publique générale GNU Integrating applications in LL::NG is easy since its dialog with applications is based on customizable HTTP headers. Integrer des applications dans LL::NG est facile car leur dialogue est basé sur des en-têtes HTTP personnalisables. ../pages/documentation/1.1/sqlconfbackend.html ../pages/documentation/1.1/sqlconfbackend.html Cross Domain Authentication (CDA) Authentification inter-domaines (CDA) LemonLDAP::NG Handler Agent LemonLDAP::NG (handler) Main components Composants principaux For each binding you can set: Pour chaque déclaration, vous pouvez indiquer : translations traductions UTF8 metadata conversion: set to On to force partner's metadata conversion. Conversion des métadatas un UTF8 : mettre à « activé » pour forcer la conversion des métadata des partenaires. By default, a user can open several sessions. Par défaut, un utilisateur peut ouvrir plusieurs sessions. Try http://test1.example.com or http://test2.example.com Essayez http://test1.example.com ou http://test2.example.com LL::NG is a web single-sign-on system, but unlike some systems it can manage rights on applications based on regular expressions on URL. LL::NG est un système d'authentification web unique (WebSSO), mais contrairement à d'autres, il peut gérer les droits d'accès en utilisant des expressions rationnelles sur les URL demandées. /_detail/screenshots/0.9.3/lemonldap-ng-portal-password.png?id=screenshots /_detail/screenshots/0.9.3/lemonldap-ng-portal-password.png?id=screenshots Applications Applications Go on http://auth.example.com and log with LDAP user account. Allez sur http://auth.example.com et connectez-vous avec le compte LDAP. So Apache::Session module is not a problem for handlers. Ainsi, les modules Apache::Session ne posent pas de problèmes aux agents. CPAN test reports: Rapports de test du CPAN: documentation/latest/start.html documentation/latest/start.html You need some prerequisites: Certains pré-requis sont nécessaire : No IRC client? Pas de client IRC ? An authorization is defined by: Une autorisation est définie pas : Body for password mail Corps du message de changement de mot-de-passe css/print.css css/print.css SVN access Accès au dépôt SVN Now ldapgroups contains “admin su” Maintenant, ldapgroups contient “admin su” Databases Bases de données Sponsored by Sponsorisé par menu.png menu.png index/alphabetical.html index/alphabetical.html CAS authentication level Niveau d'authentification CAS For now, ldapgroups contains “cn=admin,dmdName=groups,dc=example,dc=com cn=su,dmdName=groups,dc=example,dc=com” Pour l'instant, ldapgroups contient “cn=admin,dmdName=groups,dc=example,dc=com cn=su,dmdName=groups,dc=example,dc=com” Configuration parameters are: Les paramètres de configuration sont : Start Commencer http://httpd.apache.org/docs/2.2/misc/perf-tuning.html#compiletime http://httpd.apache.org/docs/2.2/misc/perf-tuning.html#compiletime documentation:latest:installrpm documentation:latest:installrpm This tutorial will guide you into a minimal installation and configuration procedure. Ce tutoriel vous guidera pour réaliser une installation et une configuration minimale. portal.png portal.png This should be set as Default. Peut être défini par défaut. ../download.html ../download.html Want Authentication Request Signed: set to On to require that received authentication request are signed. Exiger des requêtes d'authentification signées : mettre à « activer » pour exiger de recevoir des requêtes d'authentification signées. Access rule: $groups =~ /\badministrators\b/ Règle d'accès : $groups =~ /\badministrators\b/ System Système Access rules Règles d'accès Oliver BOIREAU Oliver BOIREAU (&(sAMAccountName=$user)(objectClass=person)) (&(sAMAccountName=$user)(objectClass=person)) /_detail/screenshots/1.0/dark/menu.png?id=screenshots /_detail/screenshots/1.0/dark/menu.png?id=screenshots Multi values separator Séparateur des multiples valeurs /_detail/documentation/lemonldapng-sso.png?id=documentation%3Apresentation /_detail/documentation/lemonldapng-sso.png?id=documentation%3Apresentation ../pages/documentation/1.1/applications/sympa.html ../pages/documentation/1.1/applications/sympa.html ../media/icons/bug.png ../media/icons/bug.png one secured (SSL only) for sensitive applications un sécurisé (SSL seulement) pour les applications sensibles Nb users Nb d'utilisateurs Destination directory = [path/to/trunk/build/lemonldap-ng]/po-doc/zz (where zz is your international code, example: “fr” for France) Répertoire de destination = [chemin/vers/trunk/build/lemonldap-ng]/po-doc/zz (où zz est votre code international, exemple: “fr” pour le français) Quick start tutorial Tutoriel rapide qw(delete header cache read_from_client cookie redirect unescapeHTML)); qw(delete header cache read_from_client cookie redirect unescapeHTML)); SGS SGS An URL pattern (or default to match other URLs) Une expression sur l'URL (ou default pour les URLs ne correspondant pas aux règles) However, certificate will not be really validated by other SAML components (expiration date, common name, etc.), but will just be a public key wrapper. Toutefois, le certificat ne sera pas réellement validé par les autres composants SAML (date d'expiration, nom commun, etc.), mais simplement vu comme un conteneur de clef publique. /_detail/icons/clock.png?id=start /_detail/icons/clock.png?id=start documentation:latest:logs documentation:latest:logs /_detail/icons/agt_web.png?id=start /_detail/icons/agt_web.png?id=start documentation:1.0:start documentation:1.0:start Display deleted sessions Affiche les sessions effacées server server Attributes from user backend Attributs récupérés du module utilisateur Subject for confirmation mail Sujet du message de confirmation ../documentation/latest/installrpm.html ../documentation/latest/installrpm.html documentation:latest:applications:dokuwiki documentation:latest:applications:dokuwiki http://en.wikipedia.org/wiki/OAuth http://fr.wikipedia.org/wiki/OAuth Mailing lists Mailing lists documentation:latest:sessions documentation:latest:sessions Restrict network access to the redis server. Restreignez l'accès réseau au serveur Redis. documentation.html documentation.html RPM bundle Paquets RPM External databases: not managed by LemonLDAP::NG, for example user database Les bases de données externes: non gérées par LemonLDAP::NG, par exemple la base des utilisateurs <SPSSODescriptor> <SPSSODescriptor> Handler sends the response to user Celui-ci la renvoie à l'utilisateur references références Allow only one IP address per user N'autoriser qu'une adresse IP par utilisateur When you commit OmegaT files in svn repository, don't push backup files. Lorsque vous validez les fichiers OmegaT dans le dépôt svn, n'y poussez pas les fichiers de sauvegarde. Check our references! Consultez nos références! SAML can use different NameID formats. SAML peut utiliser plusieurs formats de NameID. Manager (configuration management) Manager (gestion de la configuration) <IfModule mod_rewrite.c> <IfModule mod_rewrite.c> Internal databases: only used by LemonLDAP::NG Les bases de données internes: utilisées seulement par LemonLDAP::NG <IDPSSODescriptor> <IDPSSODescriptor> http://www.svwux.org/ http://www.svwux.org/ You can find all versions on OW2 forge download page. Vous pouvez trouver toutes les versions sur la page de téléchargement de la forge OW2. /_detail/documentation/lemonldap-ng-architecture.png?id=documentation%3Apresentation /_detail/documentation/lemonldap-ng-architecture.png?id=documentation%3Apresentation http://manager.example.com http://manager.example.com ../documentation/latest/installdeb.html ../documentation/latest/installdeb.html Core team Équipe prinicpale See Writing rules and headers for more. Voir Écrire les règles et en-têtes pour plus d'informations. ../pages/documentation/1.1/status.html ../pages/documentation/1.1/status.html Update translations Télécharger les traductions Comment Commentaire Don't forget to install cron files ! N'oubliez pas d'installer les fichiers cron ! http://search.cpan.org/~mmims/Net-Twitter/ http://search.cpan.org/~mmims/Net-Twitter/ documentation/latest/applications/zimbra.html documentation/latest/applications/zimbra.html There are no global authorizations except the right to open a session in the portal. Il n'y a pas d'autorisation globale, à l'exception de la règle accordant l'ouverture de session dans le portail. /_detail/documentation/lasso.png?id=documentation%3A1.0%3Asamlservice /_detail/documentation/lasso.png?id=documentation%3A1.0%3Asamlservice Authorizations are defined inside a virtualhost and takes effect only on it. Les autorisations sont définies à l'intérieur d'un hôte virtuel (virtualhost) et n'ont d'effet que sur lui. HTTP Basic Authentication Authentification basique HTTP ../documentation/latest/writingrulesand_headers.html ../documentation/latest/writingrulesand_headers.html icons:softwared.png icons:softwared.png ../media/icons/clock.png ../media/icons/clock.png 105.000 105.000 Lemonldap::NG is designed to be very performant. Lemonldap::NG a été conçu pour être très performant. ../../../../css/print.css ../../../../css/print.css Those capabilities can be used simultaneously or separately. Ces capacités peuvent être utilisées simultanément ou séparemment. These options can then be overridden for each Identity Provider. Ces options peuvent être surchargées pour chaque fournisseur d'identité. Nb protected applications Nb d'applications protégées It can be a brake for the portal: En revanche, ce peut-être un frein pour le portail : documentation:latest:portalcustom documentation:latest:portalcustom contact contact Local groups Groupes locaux ../pages/documentation/1.1/activedirectoryminihowto.html ../pages/documentation/1.1/activedirectoryminihowto.html This concerns all parameters for the Organization metadata section: Ceci concerne tous les paramètres de la section "organization" des métadatas : The value will be use in metadata main markup: Cette valeur est utilisé dans les metadatas : Change the user attribute to store in Apache logs (“General Parameters » Logs » REMOTE_USER”): use the variable declared above Changer l'attribut utilisateur à stocker dans les journaux d'Apache (“Paramètres généraux » Journaux » REMOTE_USER”) : utiliser la variable ci-dessus Hypertext Preprocessor Hypertext Preprocessor Available bindings are: Les déclarations disponibles sont : Main DNS domain Domaine DNS principal contact.html contact.html http://www.switch.ch/aai/support/tools/wayf.html http://www.switch.ch/aai/support/tools/wayf.html The team L'équipe Service Provider Fournisseur de service ../documentation/latest/prereq.html ../documentation/latest/prereq.html Trusted domains Domaines agréés Wordpress, GLPI, OBM, Dokuwiki, … Wordpress, GLPI, OBM, Dokuwiki, … Click on a column header to sort table. Cliquez sur un en-tête de colonne pour trier le tableau. LL::NG can restrict this: LL::NG peut restreindre cet usage : RHEL/CentOS/Fedora RHEL/CentOS/Fedora Import or generate security keys Importer ou generer les clefs de securité You need to register a new application on Twitter to get API key and API secret. Vous devez enregistrer votre nouvelle application dans Twitter pour obtenir la clef de l'API et son secret. documentation/latest/prereq.html#yum documentation/latest/prereq.html#yum Location: Access Point for SSO request and response. Location: Point d'accès des requêtes et réponses SSO. IDP resolution cookie name: by default, it's the LL::NG cookie name suffixed by idp, for example: lemonldapidp. Nom du cookie de résolution de l'IDP: par défaut, c'est le nom du cookie LL::NG auquel est adjoint idp, par exemple: lemonldapidp. LL::NG Manager has a session explorer module that can be used to browse opened sessions: Le gestionnaire de LL::NG dispose d'un explorateur de sessions qui peut être utilisé pour parcourir sessions ouvertes : ../pages/documentation/1.1/authdbi.html ../pages/documentation/1.1/authdbi.html RBAC model Modèle RBAC http://test2.example.com http://test2.example.com We use OW2 JIRA to list bugs and features. Nous utilisons OW2 JIRA pour tous les bogues et fonctionnalités. A cup of coffee (or tea, we are open minded) Une tasse de café (ou de thé, nous sommes ouverts) Name: Auth-User Nom : Auth-User /_detail/screenshots/0.9.4/0.9.4_password_menu.png?id=screenshots /_detail/screenshots/0.9.4/0.9.4_password_menu.png?id=screenshots /_detail/documentation/manager-saml-service-authn-contexts.png?id=documentation%3A1.0%3Asamlservice /_detail/documentation/manager-saml-service-authn-contexts.png?id=documentation%3A1.0%3Asamlservice Notifications Notifications Do not allow several users for 1 IP Ne pas autoriser plusieurs utilisateurs venant de la même adresse IP ../media/icons/agt_web.png ../media/icons/agt_web.png ../../../../css/screen.css ../../../../css/screen.css The attribute key name can be used directly in lemonldap-ng.ini or in Perl scripts to override configuration parameters (see configuration location). Le nom de la clef d'un attribut peut être utilisé directement dans le fichier lemonldap-ng.ini ou dans les scripts Perl pour surcharger les paramètres de configuration (voir emplacement de la configuration). ../../../../css/all.css ../../../../css/all.css ../pages/documentation/1.1/authldap.html ../pages/documentation/1.1/authldap.html Sessions are deleted by a scheduled task. Les sessions sont effacées par des tâches planifiées. It can handle more than 200 000 users. Il peut gérer plus de 200 000 utilisateurs. http://mail.ow2.org/wws/arc/lemonldap-ng-users http://mail.ow2.org/wws/arc/lemonldap-ng-users XSS and SQL/LDAP injection protection Protection contre les injections XSS et SQL/LDAP Jean-Thomas CHECCO Jean-Thomas CHECCO ~5 ~5 Logging portal access Trace des authentification documentation/latest/installrpm.html#yum_repository documentation/latest/installrpm.html#yum_repository Handler inform Apache of connected user (parameter whatToTrace), so you can see user login in Apache access logs. L'agent fournit à Apache l'identifiant de l'utilisateur (paramètre whatToTrace), ainsi vous pouvez voir l'identifiant dans les journaux d'accès d'Apache. Authentication process main steps are: Les étapes du processus d'authentication sont : Location: Access Point for SSO request. Location: Point d'accès pour les requêtes SSO. /_detail/icons/chat.png?id=contact /_detail/icons/chat.png?id=contact portal portail HTTP Redirect Redirection HTTP LDAP LDAP Screenshots Captures d'écran Portal creates a session to store user data Le portail crée une session et y stocke les données Copy en subroutine to zz (where zz is your international code, example: “fr” for France) then translate messages. Copiez la fonction en en zz (où zz est votre code international, exemple: “fr” pour le français) et traduisez ensuite les messages. /_detail/logos/logo_linagora.png?id=references /_detail/logos/logo_linagora.png?id=references # Uncomment this line if you use Lemonldap::NG menu # Décommentez cette ligne si vous utilisez le menu Lemonldap::NG Translators that want to help us are welcome ! Les traducteurs qui veulent nous aider sont les bienvenus ! ../../media/documentation/lemonldapng-sso.png ../../media/documentation/lemonldapng-sso.png Display other sessions Affiche les autres sessions Other NameID formats are automatically managed: Les autres formats de NameID sont automatiquement gérés : lemonldap-ng-portal-password.png <lemonldap-ng-portal-password.png Access protected application Accéder aux applications protégées logos:logo_gn.png logos:logo_gn.png Session restrictions Resctriction d'ouverture de session OBM, RoundCube, Sympa, MediaWiki,… OBM, RoundCube, Sympa, MediaWiki,… http://www.gendarmerie.interieur.gouv.fr/ http://www.gendarmerie.interieur.gouv.fr/ To define keys, you can: Pour définir les clefs, vous pouvez : Control existing session: detect SSO session, apply configured constraints (1 session per user, 1 session per IP, …) Recherche d'une session valide : détecte les sessions SSO, applique les contraintes configurées (1 session par utilisateur, 1 session par IP, …) LemonLDAP::NG is a modular WebSSO (Single Sign On) based on Apache::Session modules. LemonLDAP::NG est en WebSSO (Single Sign On) modulaire basé sur les modules Apache::Session. ~1800 ~1800 Portal gets the session key Le portail récupère la clef de session Login Connexion Anti frame protection Protection anti-frame Main features Fonctionnalités principales http://en.wikipedia.org/wiki/SAML http://fr.wikipedia.org/wiki/SAML Portal (dark theme) Portail (thème dark) By alphabetical order: Par ordre alphabétique : Internet Protocol Internet Protocol documentation:latest:applications:sympa documentation:latest:applications:sympa Use of any user session information to build access rule N'importe quelle donnée utilisateur peut être utilisée pour construire la règle ../../documentation/1.0/configlocation.html#portal ../../documentation/1.0/configlocation.html#portal It means that if you modify some settings here, you will have to share again the metadata with other providers. Ceci signifie que si vous modifiez quelque chose ici, vous devez ré-exporter les metadatas aux autres fournisseurs. http://en.wikipedia.org/wiki/Basic_access_authentication http://fr.wikipedia.org/wiki/HTTP_Authentification css/all.css css/all.css Some Apache::Session module are not useable by Lemonldap::NG such as Apache::Session::Memcached since this module does not offer capability to browse sessions Certains modules Apache::Session ne sont pas utilisables par Lemonldap::NG tel Apache::Session::Memcached, car ce module n'offre pas de dispositif de parcours des sessions ../pages/documentation/1.1/soapservices.html ../pages/documentation/1.1/soapservices.html documentation:1.1:start documentation:1.1:start Store: store user info in session database Stocke: stocke les données utilisateurs dans la base de données des sessions This can be used to notify right changes,… See notifications for more. Ceci peut être utilisé pour notifier des changements de droits,... Consultez la page notifications pour plus d'information. ../media/logos/logo_bpi.png ../media/logos/logo_bpi.png Contact Contact SVN nightly builds Extraction nocturne du dépôt SVN You will need a very recent version of Lasso (>= 2.3.0). Vous devez utiliser une version récente de Lasso (>= 2.3.0). # boolean macro isAdmin -> $uid eq 'foo' or $uid eq 'bar' # other macro displayName -> $givenName." ".$surName   # Use a boolean macro in a rule ^/admin -> $isAdmin # Use a string macro in a HTTP header Display-Name -> $displayName # macro booléenne isAdmin -> $uid eq 'foo' or $uid eq 'bar' # autre macro displayName -> $givenName." ".$surName   # Utiliser une macro booléenne dans une règle ^/admin -> $isAdmin # Utiliser une macro chaîne dans un en-tête HTTP Display-Name -> $displayName http://www.cpantesters.org/distro/L/Lemonldap-NG-Handler.html http://www.cpantesters.org/distro/L/Lemonldap-NG-Handler.html /_detail/icons/terminal.png?id=documentation /_detail/icons/terminal.png?id=documentation <OrganizationURL xml:lang="en">http://www.example.com</OrganizationURL> </Organization> <OrganizationURL xml:lang="en">http://www.example.com</OrganizationURL> </Organization> We call “database” a backend where we can read or write a data. Nous appelons “base de données” un dispositif dans lequel nous pouvons lire et écrire des données. Handler check access rule and send headers to protected applications L'agent vérifie les droits d'accès à l'application et envoie des en-têtes HTTP à l'application protégée SAML2 implementation is based on Lasso. L'implementation SAML est basée sur Lasso. Get user info: contact user database to collect attributes Récupère les informations utilisateur : contacte la base de données utilisateurs pour les obtenir http://jira.ow2.org/browse/LEMONLDAP?selectedTab=com.atlassian.jira.plugin.system.project%3Aroadmap-panel http://jira.ow2.org/browse/LEMONLDAP?selectedTab=com.atlassian.jira.plugin.system.project%3Aroadmap-panel RewriteRule ^/saml/.* /index.pl </IfModule> RewriteRule ^/saml/.* /index.pl </IfModule> documentation:latest:applications:zimbra documentation:latest:applications:zimbra Password -> ... Password -> ...