<s54>'create_user'</s54> <s55>=></s55> <s56>$_SERVER</s56><s57>[</s57><s58>'HTTP_AUTH_SUPERADMIN'</s58><s59>]</s59><s60>,</s60> <s54>'create_user'</s54> <s55>=></s55> <s56>$_SERVER</s56><s57>[</s57><s58>'HTTP_AUTH_SUPERADMIN'</s58><s59>]</s59><s60>,</s60> Go to the <a0>SAML</a0> Single Sign On settings, and fill these information: Aller dans les paramètres SSO de <a0>SAML</a0> et y indiquer : <s119>"userobm_town"</s119> <s120>=></s120> <s121>"HTTP_OBM_L"</s121><s122>,</s122> <s119>"userobm_town"</s119> <s120>=></s120> <s121>"HTTP_OBM_L"</s121><s122>,</s122> mysqladmin create lemonldapng mysqladmin create lemonldapng Gender Gender <a0>DBI</a0> Authentication table Table d'authentification <a0>DBI</a0> user email Email de l'utilisateur If you use TLS, you can set any of the <a0>Net::LDAP</a0> start_tls() sub like <c1>ldap+tls://server/verify=none&capath=/etc/ssl</c1>. En utilisant TLS, il est possible d'utiliser toutes les options de la fonction start_tls() <a0>Net::LDAP</a0> telle <c1>ldap+tls://server/verify=none&capath=/etc/ssl</c1>. ldapGroupAttributeNameUser ldapGroupAttributeNameUser <s0>Transient</s0>: NameID is generated <s0>Transient</s0>: le NameID est généré <s0>time_correction</s0> (optional): hours to add or to subtract <s0>time_correction</s0> (optionnel) : heures à ajouter ou soustraire Here, the mail has been chosen as the user Name ID. Ici, le mail a été choisi comme identifiant utilisateur. SMTPAuthUser SMTPAuthUser All e By default, the allowed days and hours is an hexadecimal value, representing each hour of the week. Par défaut, les jours et heures autorisés sont des valeurs hexadécimales, représentant chaque heure de la semaine. mailCharset mailCharset cda cda With RPM Avec RPM … … openIdIDPList openIdIDPList <s13># OpenID Issuer</s13> <s13># Fournisseur d'identité OpenID</s13> Installation on RHEL/CentOS with packages Installation sur RHEL/CentOS avec les paquets 0 0 1 1 Remote portal Portail distant Then edit the property <c2>network.negotiate-auth.trusted-uris</c2> and set value <c3>example.com</c3>. Éditer la propriété <c2>network.negotiate-auth.trusted-uris</c2> et la mettre à la valeur <c3>example.com</c3>. 2 2 <s56>my</s56> <s57>$res</s57> <s58>=</s58> <s59>$r</s59><s60>-></s60><s61>result</s61><s62>(</s62><s63>)</s63><s64>;</s64> <s56>my</s56> <s57>$res</s57> <s58>=</s58> <s59>$r</s59><s60>-></s60><s61>result</s61><s62>(</s62><s63>)</s63><s64>;</s64> install_doc_site (/usr/local/lemonldap-ng/htdocs/doc) install_doc_site (/usr/local/lemonldap-ng/htdocs/doc) <s0>One <a1>IP</a1> only by user</s0>: a user can not open 2 sessions with different <a2>IP</a2>. <s0>Une <a1>IP</a1> par utilisateur</s0> : un utilisateur ne peut ouvrir 2 sessions avec différentes adresses <a2>IP</a2>. chmod 750 /var/lib/lemonldap-ng/sessions /var/lib/lemonldap-ng/sessions/lock chown www-data:www-data /var/lib/lemonldap-ng/sessions /var/lib/lemonldap-ng/sessions/lock chmod 750 /var/lib/lemonldap-ng/sessions /var/lib/lemonldap-ng/sessions/lock chown www-data:www-data /var/lib/lemonldap-ng/sessions /var/lib/lemonldap-ng/sessions/lock Variables defined in the main <c0>Exported variables</c0> will be used for each backend. Les variables définies dans le <c0>Variables exportées</c0> principal seront utilisées dans chaque backend. <s0>ldapServer</s0>: LDAP <a1>URL</a1>. <s0>ldapServer</s0> : <a1>URL</a1> du serveur LDAP. Each <a0>LL::NG</a0> authentication module has an authentication level, which can be associated to an <a1>SAML authentication context</a1>. Chaque module d'authentification de <a0>LL::NG</a0> dispose d'un niveau d'authentification qui peut être associé à un <a1>contexte d'authentification SAML</a1>. Proxy Granting Ticket Proxy Granting Ticket Reset password by mail (self service) Réinitialiser les mots-de-passe par mail (self-service) Persistent Session backend Backend des sessions persistantes To enable the FastCGI server at startup, copy the script <c0>llng-fastcgi-server</c0> installed in INITDIR (default <c1>/usr/local/lemonldap-ng/etc/init.d/</c1>) in <c2>/etc/init.d</c2> and enable it (links to <c3>/etc/rc<e4>x</e4>.d</c3>). Pour activer le serveur FastCGI au démarrage, copie le script <c0>llng-fastcgi-server</c0> installé dans INITDIR (défaut <c1>/usr/local/lemonldap-ng/etc/init.d/</c1>) dans <c2>/etc/init.d</c2> et l'activer (liens vers <c3>/etc/rc<e4>x</e4>.d</c3>). AuthCAS AuthCAS You can also choose a different session module to split <a0>SSO</a0> sessions and <a1>SAML</a1> sessions. Vous pouvez également utiliser un module différent pour répartir les sessions <a0>SSO</a0> et <a1>SAML</a1>. <s0>User source attribute</s0>: name of the attribute in users entries used in the link (default: dn). <s0>Attribut source utilisateur</s0> : nom de l'attribut utilisateur utilisé dans le lien (défaut: dn). mailSessionKey mailSessionKey You can change the separator with the <c2>fileNameSeparator</c2> option, and set another value, for example <c3>@</c3>. On peut changer ce séparateur en changeant la valeur de l'option <c2>fileNameSeparator</c2> par exemple <c3>@</c3>. SQL configuration Configuration SQL You can then access to the configuration of this OP. On peut ensuite accéder à la configuration de cet OP. phpLDAPadmin virtual host in Manager Hôte virtuel phpLDAPadmin dans le manager <a0>LL::NG</a0> can protect any Apache hosted application including Apache reverse-proxy mechanism. <a0>LL::NG</a0> peut protéger toute application hébergée par Apache y compris le mécanisme de proxy inverse d'Apache. logout_app_sso http://intranet/ logout_app_sso http://intranet/ See <a0>Yubico API</a0> page. Voir la page <a0>Yubico API</a0>. if you use “CDBI” or “RDBI” system, the notifications will be stored in the same database as configuration and in a table called “notifications”. si “CDBI” ou “RDBI” est utilisé, les notifications sont stockées dans la même base de données que la configuration et la table est nommée “notifications”. protect the manager by <a0>LL::NG</a0> protéger le manager par <a0>LL::NG</a0> httpOnly httpOnly <a0>LL::NG</a0> Null backend is a transparent backend: Le backend Null de <a0>LL::NG</a0> est un backend transparent : Directory Directory checkLogonHours checkLogonHours OpenID protocol is deprecated. Le protocole OpenID est obsolète. <s0><a1>SAML</a1> 2 Service</s0>: <a2>SAML</a2> metadata administration <s0>Service <a1>SAML</a1></s0> : administration des métadonnées <a2>SAML</a2> Presentation Présentation ... <s3><s4></AttributeAuthorityDescriptor<s5>></s5></s4></s3> ... <s3><s4></AttributeAuthorityDescriptor<s5>></s5></s4></s3> MySQL example (suppose that our servers are in 10.0.0.0/24 network): Exemple MySQL (on suppose que les serveurs sont sur le réseau 10.0.0.0/24): https://gist.github.com/njh/2432427 https://gist.github.com/njh/2432427 logout_sso http://intranet/ logout_sso http://intranet/ For example: <a0>http://auth.example.com/saml/singleSignOn?IDPInitiated=1&spConfKey=simplesamlphp</a0> Par exemple: <a0>http://auth.example.com/saml/singleSignOn?IDPInitiated=1&spConfKey=simplesamlphp</a0> Configure Bugzilla virtual host like other <a0>protected virtual host</a0>. Configurer l'hôte virtuel Bugzilla comme n'importe quel autre <a0>hôte virtuel protégé</a0>. ldapGroupBase ldapGroupBase # SAML2 Issuer # Fournisseur d'identité SAML2 $uid eq "coudot" $uid eq "coudot" <c0>status</c0> to see statistics (if enabled) <c0>status</c0> pour voir les statistiques (si activé) FastCGI server install (required for Nginx) Installation du serveur FastCGI (requis pour Nginx) <s2>DocumentRoot</s2> /var/lib/lemonldap-ng/portal/   <s2>DocumentRoot</s2> /var/lib/lemonldap-ng/portal/   http://search.cpan.org/search?query=Safe&mode=module http://search.cpan.org/search?query=Safe&mode=module Restart all your Apache servers Redémarrer tous vos serveurs Apache Check if user is already authenticated Vérifie si l'utilisateur n'est pas déjà authentifié user full name Nom complet de l'utilisateur <a0>DBI</a0> Mail column Colonne mail <a0>DBI</a0> Configure your new backend (create SQL database,…) Configurer le nouveau backend (creer la base de données SQL,…) Then connect to <a0>http://auth.example.com</a0> with your browser and log in with dwho/dwho. Se connecter ensuite à l'adresse <a0>http://auth.example.com</a0> avec un navigateur et se connecter avec dwho/dwho. LockDataSource LockDataSource <subtitle>: subtitle to display: will be inserted in <a0>HTML</a0> page enclosed in <h2 class=“notifText”>…</h2> <subtitle> : sous-titre : sera inséré dans la page <a0>HTML</a0> encadré dans <h2 class=“notifText”>…</h2> SHA SHA The reset password link must be activated, see <a0>portal customization</a0>. Le lien de réinitialisation de mot-de-passe doit être activé, voir <a0>la personnalisation du portail</a0>. increased (+1) if portal is protected by SSL (HTTPS) augmenté (+1) si le portail est protégé par SSL (HTTPS) You just have to configure a directory writable by Apache user and set it in [configuration] section in your lemonldap-ng.ini file: Il suffit de configurer un répertoire accessible en écriture à l'utilisateur Apache et l'indiquer dans la section [configuration] du fichier lemonldap-ng.ini : Create your Perl module with custom functions. Créer un module Perl avec des fonctions personnalisées. Internet Explorer Internet Explorer No headers are needed. Aucun en-tête n'est nécessaire. → User session has expired or handler does not have access to the same Apache::Session database than the portal → La session de l'utilisateur a expiré ou l'agent n'a pas accès à la même base de données Apache::Session que le portail randomPasswordRegexp randomPasswordRegexp mailBody mailBody lemonldap-ng-manager: contains administration interface and session explorer lemonldap-ng-manager : contient l'interface d'administration et l'explorateur de session (create one if none is present) (en créer un à défaut) Then, go in <c0>Slave parameters</c0>: Ensuite, aller dans les <c0>paramètres Slave</c0>: Write session path is needed only if you use a remote session explorer or a remote portal Le chemin d'écriture de session n'est nécessaire que si on utilise un explorateur de session ou un portail distant Objectclass of the entry Objectclass de l'entrée http://www.sympa.org http://www.sympa.org <s0># FASTCGI CONFIGURATION</s0> <s0># CONFIGURATION FASTCGI</s0> <s11># notifications.html and uncomment the 2 following lines:</s11> <s11># notifications.html, puis décommenter les 2 lignes suivantes :</s11> You've just to incicate to <a0>LLNG FastCGI server</a0> the file to read using either <c1>-f</c1> option or <c2>CUSTOM_FUNCTIONS_FILE</c2> environment variable. Il faut indiquer au <a0>serveur FastCGI de LLNG</a0> le fichier à lire en utilisant l'option <c1>-f</c1> ou la variable d'environnement <c2>CUSTOM_FUNCTIONS_FILE</c2>. <s0>Change password <a1>URL</a1></s0>: where users can change their password. <s0>Change password <a1>URL</a1></s0>: où les utilisateurs peuvent changer leur mot-de-passe. <s25><s26><NameIDFormat<s27>></s27></s26></s25>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress<s28><s29></NameIDFormat<s30>></s30></s29></s28> <s25><s26><NameIDFormat<s27>></s27></s26></s25>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress<s28><s29></NameIDFormat<s30>></s30></s29></s28> Manager performances Performances du Manager perl-Lemonldap-NG-Handler: CPAN - Handler modules perl-Lemonldap-NG-Handler : CPAN - modules agent <s0>Name</s0>: Text displayed on choice tab. <s0>Nom</s0> : Texte à afficher sur l'onglet. Connector Connecteur See <s0><a1>Writing rules and headers</a1></s0> to learn how to configure access control and HTTP headers sent to application by <a2>LL::NG</a2>. Voir <s0><a1>Écrire des règles et des en-têtes</a1></s0> pour savoir comment configurer le contrôle d'accès et les en-têtes HTTP transmis à l'application par <a2>LL::NG</a2>. documentation/latest/applications/zimbra.html documentation/latest/applications/zimbra.html APT-GET APT-GET To know more about the jail, check <a0>Safe module documentation</a0>. Pour en savoir plus sur la cage, consulter la <a0>documentation du module Safe</a0>. Edit Dokuwiki local configuration (<c0>conf/local.php</c0>) and set <c1>lemonldap</c1> as authentication type: Éditer la configuration locale Dokuwiki (<c0>conf/local.php</c0>) et indiquer <c1>lemonldap</c1> comme type d'authentification : Install <a0>Webserver Auth</a0> module, by downloading it, and unarchive it in the drupal modules/ directory. Télécharger et installer le module <a0>Webserver Auth</a0>, en le décompressant dans le répertoire modules/. ID Token validation Validation de jeton d'identité Configuration and sessions in LDAP Configuration et sessions dans LDAP Now imagine the following DIT: On suppose le schéma suivant : You can prefix the key name with a digit to order them. Il est possible d'ordonner les noms de clefs en utilisant un préfixe numérique. Add a new virtual host webmail.domain.tld Ajouter un nouvel hôte virtuel webmail.domain.tld All names must be registered in the <a0>DNS</a0> server (which is Active Directory). Tous les noms doivent être enregistrés dans le serveur <a0>DNS</a0> (qui est Active Directory). <a0>CAS</a0> access control policy Politique de contrôle d'accès <a0>CAS</a0> <s0>Domain</s0>: validity domain for the cookie (the cookie will not be sent on other domains) <s0>Domaine</s0> : domaine de valaidité du cookie (le cookie n'est pas envoyé vers d'autres domaines) Configuration reload Rechargement de la configuration <a0>CAS</a0>_proxiedServices <a0>CAS</a0>_proxiedServices Sometimes, PHP applications also check the PHP_AUTH_USER and PHP_AUHT_PW environment variables. Parfois, des applications PHP examinent également les variables d'environnement PHP_AUTH_USER et PHP_AUHT_PW. dbiAuthUser dbiAuthUser Now we will add CSOD as a new <a0>SAML</a0> Service Provider: Ajouter CSOD comme nouveau fournisseur de service <a0>SAML</a0> : Issuer rewrite rules: Régles de réécriture des IdP They will be tested in the specified order. Ils seront testés dans l'ordre indiqué. <s0>newNotification(xmlString)</s0>: insert a notification for a user (see <a1>Notifications system</a1> for more) <s0>newNotification(xmlString)</s0> : insert une notification pour un utilisateur (voir le <a1>système de notifications</a1> pour plus d'information) Also adapt your entityID to match the Assertion issuer: google.com/a/mydomain.org Adapter également l' "entityID" pour qu'elle corresponde à l'émetteur de l'assertion : google.com/a/mydomain.org Authentication module: <a0>SAML</a0> Module d'authentification : <a0>SAML</a0> If you configure form replay with <a0>LL::NG</a0>, the Handler will detect forms to fill, add a javascript in the html page to fill form fields with dummy datas and submit it, then intercept the POST request and add POST data in the request body. En configurant le rejeu de formulaire avec <a0>LL::NG</a0>, le handler détecte les formulaires à remplir, ajoute un petit javascript dans la page HTML pour préparer les champs avec de fausses données et les soumettre, le handler intercepte la requête POST et insère les bonnes données dans le corps de la requête. Facebook uses <a1>OAuth2</a1> protocol to allow applications to reuse its own authentication process (it means, if your are connected to Facebook, other applications can trust Facebook and let you in). Facebook utilise le protocole <a1>OAuth2</a1> pour autoriser les applications à réutiliser son propre prcessus d'authentification (ce qui signifie que si on est connecté à Facebook, d'autres applications peuvent agréer Facebook et accepter l'utilisateur). You need to know the technical name of configuration parameter to do this. Il est nécessaire de connaître le nom technique du paramètre de configuration pour le faire. <s0>Key name</s0>: name of the key in LemonLDAP::NG session <s0>Nom de clef</s0> : nom de la clef dans la session LemonLDAP::NG dwho dwho # OpenID Issuer # Fournisseur d'identité OpenID Write good rules Écrire de bonnes règles Go to the Manager and <a0>create a new virtual host</a0> for MediaWiki. Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour Mediawiki. <s0>jQuery button selector</s0>: button.validate <s0>Sélecteur de bouton jQuery</s0> : button.validate RPMs are available on the <a0>Download page</a0>. Les paquets RPM sont disponibles sur la <a0>page de téléchargement</a0>. documentation:liferay_2.png documentation:liferay_2.png http://freeradius.org/mod_auth_radius/ http://freeradius.org/mod_auth_radius/ <s0>New window</s0>: open menu links in new window <s0>Nouvelle fenêtre</s0> : ouvre les liens du menu dans de nouvelles fenêtres If you define mail contents in Manager, <a0>HTML</a0> templates will not be used. Si les contenus sont définis dans le manager, les modèles <a0>HTML</a0> ne sont pas utilisés. dwho@badwolf.org dwho@badwolf.org This function is not compliant with <a0>Safe jail</a0>, you will need to disable the jail to use it. Cette fonction n'est pas compatible avec la <a0>cage saine</a0>, il faut désactiver la mise en cage. <s109>"userobm_address1"</s109> <s110>=></s110> <s111>"HTTP_OBM_POSTALADDRESS"</s111><s112>,</s112> <s109>"userobm_address1"</s109> <s110>=></s110> <s111>"HTTP_OBM_POSTALADDRESS"</s111><s112>,</s112> It can be a brake for the portal: En revanche, ce peut-être un frein pour le portail : dbiUser dbiUser apt-get update apt-get update <s0>Display</s0>: As Google Apps is not a protected application, set to <c1>On</c1> to always display it <s0>Display</s0> : comme Google Apps n'est pas une application protégée, indiquer <c1>On</c1> pour toujours l'afficher CSOD needs two things to configure <a0>LL::NG</a0> as an IDP: CSOD nécessite 2 éléments pour configurer <a0>LL::NG</a0> comme IDP : if <c0>LLTYPE</c0> is set to another value or not set, FastCGI server works as handler. Si <c0>LLTYPE</c0> est mis à une autre valeur ou pas défini, le serveur FastCGI fonctionne en « handler ». http://drupal.org/project/Webserver_auth http://drupal.org/project/Webserver_auth <s0>+30s</s0>: 30 seconds from session creation <s0>+30s</s0> : 30 secondes après la création de la session <s0><s1><Organization<s2>></s2></s1></s0> <s0><s1><Organization<s2>></s2></s1></s0> <s4>RewriteRule</s4> ^/saml/metadata /metadata.pl <s4>RewriteRule</s4> ^/saml/metadata /metadata.pl You can find some configuration tips <a0>on this page</a0>. On peut trouver quelques éléments de configuration <a0>dans cette page</a0>. Password reset by mail form: where user enters mail to recover a lost password Formulaire de réinitialisation de mot-de-passe par courriel Skin files Fichiers thèmes <s0>Multiple sessions</s0>, you can restrict the number of open sessions: <s0>Sessions multiples</s0>, on peut retreindre le nombre de sessions ouvertes : Assertion Consumer Consommateur d'assertions Click on <c0>Metadata</c0> and set manually the metadata of the service, using <a1>France Connect endpoints</a1>. Cliquer sur <c0>Métadonnées</c0> et définir manuellement les métadonnées du service, en utilisant les <a1>points terminaux France Connect</a1>. It can be seen in system processes, for example: Il peut être vu dans les processus du système, par exemple : Net::OpenID::Consumer > 1.00 Net::OpenID::Consumer > 1.00 ldapPasswordResetAttribute ldapPasswordResetAttribute # LemonLDAP::NG repository deb http://lemonldap-ng.org/deb stable main deb-src http://lemonldap-ng.org/deb stable main # Dépôt LemonLDAP::NG deb http://lemonldap-ng.org/deb stable main deb-src http://lemonldap-ng.org/deb stable main For now, this feature is only supported by Apache handler. Pour l'instant, cette fonctionnalité n'est offerte qu'avec le handler Apache. http://tomcat.apache.org/ http://tomcat.apache.org/ https://developers.facebook.com/tools/explorer https://developers.facebook.com/tools/explorer vi /etc/yum.repos.d/lemonldap-ng.repo vi /etc/yum.repos.d/lemonldap-ng.repo Configure security settings Configurer les paramètres de sécurité You can create these two headers to fill user name and mail (see extension configuration): On peut créer ces 2 en-têtes pour qu'ils corresponde au nom d'utilisateur et a son adresse mail (voir la configuration de l'extension) : <a0>HTML</a0>::Template <a0>HTML</a0>::Template zimbraAccountKey zimbraAccountKey protection protection condition: condition to display the notification, can use all session variables. condition : condition pour afficher la notification, peut utiliser toutes les variables de session. Then: Ensuite : Here is an example using mod_fcgid</s23> Ici un exemple utilisant mod_fcgid</s23> <s0>Virtual Hosts</s0>: Access rules, headers, etc. <s0>Hôtes virtuels</s0> : règles d'accès, en-têtes, etc... If the rule evaluation is true, the corresponding skin is applied. Si la règle correspond, le thème correspondant est appliqué. Convert::PEM Convert::PEM Using LemonLDAP::NG with Active-Directory Utiliser Lemonldap::NG avec Active-Directory User-Email User-Email mailFrom mailFrom Other parameters Autres paramètres Keys are the name of attribute in the <a2>CAS</a2> response, values are the name of session key. Les clefs sont les noms des attributs de la réponse <a2>CAS</a2>, et les valeurs les noms des clefs de session. Login history Historique de connexion <s0>Multiple domains</s0>: enable <a1>cross domain mechanism</a1> (without this, you cannot extend <a2>SSO</a2> to other domains) <s0>Domaines multiples</s0> : active le <a1>mécanisme inter-domaines</a1> (sans ceci, on ne peut pas étendre le <a2>SSO</a2> aux autres domaines) <s114>//"userobm_address3" => ,</s114> <s114>//"userobm_address3" => ,</s114> Custom functions Fonctions personnalisées See <a0>mod_proxy</a0> and <a1>mod_rewrite</a1> documentation for more about configuring Apache reverse-proxies. Voir les documentation de <a0>mod_proxy</a0> et <a1>mod_rewrite</a1> pour plus d'information sur la configuration du proxy inverse d'Apache. <s0>Cookie name</s0> (optional): name of the cookie of internal portal, if different from external portal <s0>Nom du cookie</s0> (optionnel) : nom du cookie du portail interne s'il est différent de celui du portail externe <s0>ldapConfBase</s0>: <a1>DN</a1> of configuration branch <s0>ldapConfBase</s0> : <a1>DN</a1> de la branche des configurations You need <a0>Net::Twitter</a0> package, with a very recent version (>3). Vous devez installer une version récente (>3) du paquet <a0>Net::Twitter</a0>. Attribute storing index Attribut où stocker les index _samlToken _samlToken <s0>Display name</s0>: Name of the application <s0>Nom affiché</s0> : nom de l'application Link files directly in <c0>conf.d</c0> directory: Lier les fichiers directement dans le dossier <c0>conf.d</c0> : Twitter application name Nom d'application Twitter <s0>Force NameID session key</s0>: if empty, the NameID mapping defined in <a1>SAML service</a1> configuration will be used. <s0>Forcer la clef de session NameID</s0> : si vide, la correspondance NameID définie dans la configuration du <a1>service SAML</a1> sera utilisée. unicode2iso($name) unicode2iso($nom) <a0>SAML</a0> IDP preselection Préselection d'IDP <a0>SAML</a0> # PASSING HEADERS TO APPLICATION # # PASSER LES ENTÊTES À L'APPLICATION # Lock files are stored in another directory. Les fichiers verrous sont stockés dans un autre répertoire. Deploy Nginx configuration Deployer la configuration Nginx Go in <c0>Exported attributes</c0> to choose which attributes from “identité pivot” you want to collect. Aller dans les <c0>Attributs exportés</c0> pour choisir quels attributs de l'« identité pivot » on souhaite collecter. (o/n) n Le nouveau rôle doit-il être autorisé à créer des bases de données ? (o/n) n Le nouveau rôle doit-il être autorisé à créer des bases de données ? <s0>Default NameID format</s0>: if no NameID format is requested, or the NameID format undefined, this NameID format will be used. <s0>Format de NameID par défaut</s0> : si aucun fiormat de NameID n'est demandé, ou si le format n'est pas défini, ce format de NameID sera utilisé. <s7># Change domain cookies</s7> <s7># Changer le domaine des cookies</s7> Login as administrator: Se connecter comme administrateur: This script is called <c0>lemonldap-ng-cli</c0> and is stored in the LemonLDAP::NG bin/ directory, for example /usr/share/lemonldap-ng/bin: Ce script se nomme <c0>lemonldap-ng-cli</c0> et se trouve dans le répertoire bin/ de LemonLDAP::NG, par exemple /usr/share/lemonldap-ng/bin: Configure the <c0>Auth-User</c0> <a1>header</a1>. Configurer l'<a1>en-tête</a1> <c0>Auth-User</c0>. provide identities to other systems fournir une identité à d'autres systèmes This means that the user Name ID will be mapped to the Federation ID field. Ceci signifie que l'identifiant utilisateur correspondra avec le champ Federation ID. The password can be in plain text, or encoded with a standard SQL method: Le mot-de-passe peut être stocké en clair ou encodé avec une méthode SQL standard : documentation:status_standard.png documentation:status_standard.png macros macros Go to <c0>My Account</c0>: Aller dans <c0>My account</c0>: SQL SQL <s0>Force authentication</s0>: set ForceAuthn flag in authentication request <s0>Authentification forcée</s0> : positionne le drapeau ForceAuthn dans la requête d'authentification <s138>//"userobm_mail_server_id" => ,</s138> <s138>//"userobm_mail_server_id" => ,</s138> reloadTime reloadTime For example, we change it to <c2>ow2.org</c2>: Par exemple, pour le changer en <c2>ow2.org</c2>: You will also need to load some Apache modules: Il faut également charger quelques modules Apache : To configure <a0>SSO</a0> with Sympa, use <s1>Magic authentication</s1>: a special <a2>SSO</a2> <a3>URL</a3> is protected by <a4>LL::NG</a4>, Sympa will display a button for users who wants to use this feature. Pour configurer le <a0>SSO</a0> avec Sympa, utiliser l'<s1>authentification magique</s1> : une <a3>URL</a3> spéciale <a2>SSO</a2> est protégée par <a4>LL::NG</a4>, Sympa affichera un bouton pour les utilisateurs souhaitant utiliser cette fonctionnalité. RBAC model Modèle RBAC Sessions are stored using <a0>Apache::Session</a0> modules family. Les sessions sont stockées en utilisant les modules de la famille <a0>Apache::Session</a0>. if a user can access directly to the hidden application, it can bypass <a0>LL::NG</a0> protection Si un utilisateur peut accéder directement à l'application cachée, peut contourner la protection de <a0>LL::NG</a0> http://search.cpan.org/perldoc?Apache::Session::Oracle http://search.cpan.org/perldoc?Apache::Session::Oracle $uid $uid <s7>AuthLDAPBindDN</s7> <s8>"ou=websso,ou=applications,dc=example,dc=com"</s8> <s7>AuthLDAPBindDN</s7> <s8>"ou=websso,ou=applications,dc=example,dc=com"</s8> using own database (<a0>LDAP</a0>, <a1>SQL</a1>, …) utilisant une base de données propre (<a0>LDAP</a0>, <a1>SQL</a1>, …) Cookie expiration Expiration du cookie Authorization => "Basic ".encode_base64("$uid:$_password") Authorization => "Basic ".encode_base64("$uid:$_password") Then you got this value inside the Auth-Roles header: On les obtient dans l'en-tête Auth-Roles : whatToTrace whatToTrace Access rules Règles d'accès They are extracted from the users database by the <a1>users module</a1>. Elles sont extraites de la base de données des utilisateurs par le <a1>module utilisateurs</a1>. http://search.cpan.org/perldoc?CGI http://search.cpan.org/perldoc?CGI Then restart Apache. Redémarrer Apache ensuite. <s0><a1>CAS</a1> session module name and options</s0>: choose a specific module if you do not want to mix <a2>CAS</a2> sessions and normal sessions (see <a3>why</a3>). <s0>Nom et options du module session <a1>CAS</a1></s0> : choisir un module spécifique pour ne pas mêler les sessions <a2>CAS</a2> et les sessions normales (voir <a3>pourquoi</a3>). Categories and applications Catégories et applications Declare custom functions Declarer les fonctions personnalisées <s0>Undefined</s0>: Default NameID format is used <s0>Undefined</s0>: le format de NameID par défaut est utilisé LemonLDAP::NG ships 3 Nginx configuration files: LemonLDAP::NG fournit 3 fichiers de configuration Nginx : Extended functions Fonctions étendues _user _user To use custom files, delete links and copy them into your skin folder: Pour utiliser des fichiers personnalisés, effacer les liens et copier les fichiers dans le répertoire du thème : Attribute storing session ID Attribut où stocker l'idetifiant de session Options: redirection port and protocol Des options : port de redirection et protocole To achieve this, you can create a rule in the Manager: select <c0>General Parameters</c0> > <c1>Portal</c1> > <c2>Customization</c2> > <c3>Skin display rules</c3> on click on “New key”. Pour le réaliser, il faut créer une règle dans le manager : choisir <c0>paramètres généraux</c0> > <c1>Portail</c1> > <c2>Personnalisation</c2> > <c3>Règle d'affichage du thème</c3> et cliquer sur “Nouvelle clef”. This parameter is used by <a0>SAML IDP</a0> to fill the authentication context in authentication responses. Ce paramètre est utilisé par l'<a0>IdP SAML</a0> pour renseigner le contexte d'authentification dans les réponses. SSL SSL <a0>Session restrictions</a0> will not work Les <a0>restrictions de session</a0> ne fonctionnent pas With LDAP, login, mail, first name and last name are required attributes. Avec LDAP, login, mail, nom et prénom dont des attributs exigés. apachectl configtest apachectl restart apachectl configtest apachectl restart http://httpd.apache.org/docs/current/mod/mod_ssl.html http://httpd.apache.org/docs/current/mod/mod_ssl.html You should be redirected to <a0>LL::NG</a0> Portal. On doit être redirigé vers le portail <a0>LL::NG</a0>. Edit ~/.rpmmacros and set your build parameters: Editer ~/.rpmmacros et mettre les paramètres de construction : http://dev.twitter.com/pages/api_faq http://dev.twitter.com/pages/api_faq maintenance maintenance Auto reloading SSL Certificates Rechargement automatique des certificats SSL storePassword storePassword If using <a0>LL::NG</a0> as reverse proxy, configure the <c1>Auth-User</c1> <a2>header</a2>, else no headers are needed. Si <a0>LL::NG</a0> est utilisé par reverse-proxy, configurer l'<a2>en-tête</a2> <c1>Auth-User</c1>, aucun autre en-tête n'est utile. http://lasso.entrouvert.org/ http://lasso.entrouvert.org/ Compilation Compilation cd trunk cd trunk Add on your <c0>server.xml</c0> file a new valve entry like this (in host section): Ajouter dans le fichier <c0>server.xml</c0> une nouvelle valve comme ci-dessous (dans la section host): This mechanism can only work with authentication backends using a login/password form (<a0>LDAP</a0>, <a1>DBI</a1>, …) Ce mécanisme peut seulement fonctionner avec un backend d'authentification utilisant un formulaire login/mot-de-passe (<a0>LDAP</a0>, <a1>DBI</a1>, …) <s0>How do users authenticate?</s0>: by login <s0>How do users authenticate?</s0>: by login Then, go in <c0>Remote parameters</c0>: Ensuite, aller dans les <c0>paramètres Remote</c0> : <<s3>Directory</s3> /usr/local/lemonldap-ng/htdocs/portal/> <<s3>Directory</s3> /usr/local/lemonldap-ng/htdocs/portal/> Else it just will be sent trough an attribute response, if explicitly requested in an attribute request. Sinon, il ne sera envoyé dans les réponses que s'il est explicitement demandé dans les requêtes d'attributs. It will be prompted if you generate keys, else you can set it in the <c0>Private key password</c0>. Il vous sera demandé à la génération de la clef ou vous pouvez l'entrer dans le champ <c0>Mot-de-passe de la clef privée</c0>. <s0>EXAMPLE.COM</s0>: First AD domain <s0>EXAMPLE.COM</s0> : premier domaine AD <s0>User</s0>: Connection user <s0>Utilisateur</s0> : compte de connexion <s0>Value</s0> Service <a1>URL</a1> (<a2>CAS</a2> service identifier) <s0>Value</s0> Service <a1>URL</a1> (identifiant de service <a2>CAS</a2>) Sympa Sympa <s0><s1>[</s1>configuration<s2>]</s2></s0> <s3>type</s3><s4>=</s4><s5>File</s5> <s6>dirName</s6> <s7>=</s7><s8> /usr/local/lemonldap-ng/data/conf</s8> <s0><s1>[</s1>configuration<s2>]</s2></s0> <s3>type</s3><s4>=</s4><s5>File</s5> <s6>dirName</s6> <s7>=</s7><s8> /usr/local/lemonldap-ng/data/conf</s8> http://haproxy.1wt.eu/ http://haproxy.1wt.eu/ <s0>One session only by user</s0>: a user can not open 2 sessions with the same account. <s0>Une session seulement par utilisateur</s0> : on ne peut ouvrir 2 sessions avec le même compte. authChoiceParam authChoiceParam <s0>Login history</s0>: display user's last logins and last failed logins <s0>Historique de connexion</s0> : affiche les derniers succès et échecs de connexion Auth-Password => $_password Auth-Password => $_password The generated tarball is in the current directory. L'archive générée est dans le répertoire courant. Users module: <a0>SAML</a0> Module utilisateurs : <a0>SAML</a0> <s0>Adapt session lifetime</s0>: session lifetime will be adapted from <c1>SessionNotOnOrAfter</c1> value found in authentication response. <s0>Adaptation de la durée de vie de la session</s0> : la durée de vie de la session sera adaptée sur la base de la valeur de <c1>SessionNotOnOrAfter</c1> dans les réponses d'authentification. <s0>roleSeparator</s0> (optional): role values separator. <s0>roleSeparator</s0> (optionnel) : séparateur des valeurs de rôle. <text>: paragraph to display: will be inserted in <a0>HTML</a0> page enclosed in <p class=“notifText”>…</p> <text> : paragraphe à afficher : sera inséré dans la page <a0>HTML</a0> encadré dans <p class=“notifText”>…</p> When <c0>Choice</c0> is selected for authentication, values for Users and Password modules are also forced to <c1>Choice</c1>. Lorsque <c0>Choice</c0> est selectionné pour l'authentification, les valeurs pour les modules utilisateur et mots-de-passe sont forcées à <c1>Choice</c1>. SOAP configuration backend Backend de configuration SOAP Internet Protocol Internet Protocol <s0>Key name</s0>: name of the key in LemonLDAP::NG session (for example “uid” will then be used as $uid in access rules) <s0>Nom de clef</s0> : nom de la clef dans la session LemonLDAP::NG (par exemple “uid” équivaut à $uid dans les règles d'accès) ... <s5><s6></EntityDescriptor<s7>></s7></s6></s5> ... <s5><s6></EntityDescriptor<s7>></s7></s6></s5> uid: 123456789012 uid: 123456789012 <s0><a1>URL</a1> parameter</s0>: parameter name used to set choice value (default: <c2>lmAuth</c2>) Paramètres d'<s0><a1>URL</a1></s0> : nom du paramètre utilisé pour stocker la valeur du choix (défaut: <c2>lmAuth</c2>) Each virtual host is a protected resource, with access rules, headers, POST data and options. Chaque hôte virtuel est une ressource protégée, avec règles d'accès, en-têtes, options et données POST. To use TLS, set <c0>ldap+tls://server</c0> and to use LDAPS, set <c1>ldaps://server</c1> instead of server name. Pour utiliser TLS, utiliser <c0>ldap+tls://server</c0> et pour utiliser LDAPS, indiquer <c1>ldaps://server</c1> au lieu du nom de serveur. Choose “Apache” as authentication module <e0>(“General Parameters » Authentication modules » Authentication module”)</e0> Choisir “Apache” comme module d'authentification <e0>(“Paramètres généraux » Modules d'authentification » Module d'authentification”)</e0> <a0>SAML</a0> Identity Location: choose if the user Name ID is held in the subject or in some attribute <a0>SAML</a0> Identity Location : choisir si l'identifiant utilisateur est maintenu dans le sujet ou dans un autre attribut <s139>//"userobm_mail_server_hostname" => ,</s139> <s139>//"userobm_mail_server_hostname" => ,</s139> Edit first <c0>alfresco-global.properties</c0> and add the following: Éditer d'abord <c0>alfresco-global.properties</c0> et ajouter : install_site (all sites including install_doc_site) install_site (all sites including install_doc_site) Frameworks Frameworks <s0>jQuery form selector</s0>: #loginForm <s0>Sélecteur de formulaire jQuery</s0> : #loginForm LemonLDAP::NG configuration is mainly a key/value structure, so Manager will present all keys into a structured tree. La configuration de LemonLDAP::NG est essentiellement une structure clef/valeur, ainsi le manager présente toutes les clefs en un arbre structuré. → The specified node is not the uploaded tree. → Le nœud spécifié n'est pas dans l'arbre chargé. tar xzf lemonldap-ng-*.tar.gz cd lemonldap-ng-* make debian-packages tar xzf lemonldap-ng-*.tar.gz cd lemonldap-ng-* make debian-packages <a0>URI</a0> of the html page which contains the form L'<a0>URI</a0> de la page qui contient le formulaire <s0><a1>API</a1> client ID</s0>: <a2>API</a2> client ID from Yubico <s0>Identifiant client de l'<a1>API</a1></s0> : identifiant client de l'<a2>API</a2> obtenu auprès de Yubico <s0>ldapBindDN</s0>: LDAP user. <s0>ldapBindDN</s0> : utilisateur LDAP. http://phpldapadmin.sourceforge.net http://phpldapadmin.sourceforge.net # SOAP functions for sessions access (disabled by default) # Fonctions SOAP pour l'accès aux sessions (désactivées par défaut) <s168>)</s168><s169>;</s169> <s168>)</s168><s169>;</s169> The <a0>DBI</a0> string La chaîne <a0>DBI</a0> Configuration of LL::NG in Relying Party Configuration de LL::NG en "Relying Party" (client) lemonldapng lemonldapng <s0># SOAP functions for configuration access (disabled by default)</s0> <<s1>Location</s1> /index.pl/config> <s0># SOAP functions for configuration access (disabled by default)</s0> <<s1>Location</s1> /index.pl/config> Bugzilla administration Administration de Bugzilla http://oss.oetiker.ch/mrtg/ http://oss.oetiker.ch/mrtg/ <s6>AuthBasicProvider</s6> ldap <s6>AuthBasicProvider</s6> ldap <s0>Target <a1>URL</a1></s0>: /process.php <s0><a1>URL</a1> cible</s0> : /process.php msmith@badwolf.org msmith@badwolf.org In the <c1><endpoint></c1>, change <c2><connector-id></c2> value to <c3>alfrescoHeader</c3> and change the <c4><userHeader></c4> value to <c5>Auth-User</c5>: Dans le "<c1><endpoint></c1>", changer la valeur de <c2><connector-id></c2> en <c3>alfrescoHeader</c3> et changer la valeur de <c4><userHeader></c4> en <c5>Auth-User</c5> : Each configuration will be represented as an entry, which structural objectClass is by default <c0>applicationProcess</c0>. Chaque configuration est représentée par une entrée, dont l'objectClass structurel est <c0>applicationProcess</c0>. $groups =~ /\badmin\b/ $groups =~ /\badmin\b/ Remote LL::NG LL::NG distant <s0>Enable use of IDP initiated <a1>URL</a1></s0>: set to <c2>On</c2> to enable IDP Initiated <a3>URL</a3> on this SP. <s0>Activer l'<a1>URL</a1> initiée par l'IdP</s0> : mettre à <c2>On</c2> pour activer l'<a3>URL</a3> initiée par l'IdP sur ce SP. https://metacpan.org/module/Apache::Session::Flex https://metacpan.org/module/Apache::Session::Flex It provides many features: Il fournit de nombreuses fonctionnalités : This function will check the date of current request, and compare it to a start date and an end date. Cette fonction examine la date de la requête en cours et la compare avec une date de début et de fin. <s0>ad.example.com</s0>: <a1>DNS</a1> of First Active Directory <s0>ad.example.com</s0> : <a1>DNS</a1> du premier Active Directory <s99>//"userobm_fax2" => ,</s99> <s99>//"userobm_fax2" => ,</s99> 20090301000000Z 20090301000000Z <<s9>Location</s9> /index.pl/sessions> <<s9>Location</s9> /index.pl/sessions> $authenticationLevel > 2 $authenticationLevel > 2 Lemonldap::NG::Portal Lemonldap::NG::Portal LemonLDAP::NG FastCGI server Serveur FastCGI LemonLDAP::NG Macros Macros Automatic download of JWKS Téléchargement automatique de JWKS First, copy the current portal virtual host definition into a new one. Premièrement, copier l'actuelle définition de l'hôte virtuel du portail dans une nouvelle. This will bypass the authentication module for request from APPLICATIONS_<a0>IP</a0>. Ceci évite l'authentification des requêtes issues des adresses listées dans APPLICATIONS_<a0>IP</a0>. zimbraBy zimbraBy NameID formats Formats de NameID Portal SOAP services Services SOAP du portail The Manager displays main branches: Le manager affiche des branches principales : </<s6>IfModule</s6>>   </<s6>IfModule</s6>>   The servers and URLs can be configured in Manager, <c0>General Parameters</c0> > <c1>reload configuration URLs</c1>: keys are server names or <a2>IP</a2> the requests will be sent to, and values are the requested URLs. Les serveurs et URL peuvent être configurées dans le manager, <c0>Paramètres généraux</c0> > <c1>URL de rechargement de la configuration</c1> : les clefs sont les noms de serveurs ou les adresses <a2>IP</a2> à qui les requêtes seront envoyées, et les valeurs sont les URL à requêter. #local_file #local_file Claim name Nom affiché <s0>deleteNotification</s0>: delete notification(s) for a user (see <a1>Notifications system</a1> for more) <s0>deleteNotification</s0> : efface une ou plusieurs notifications d'un utilisateur (voir le <a1>système des notifications</a1>) Then creating a notification for <c0>alluserscustom</c0> will display the notification for all users. Ainsi, créer une notification pour <c0>alluserscustom</c0> affichera la notification à tous les utilisateurs. perl -MLemonldap::NG::Handler::Status -I/etc/perl -I/usr/local/lib/perl/5.10.1 -I/usr/local/share/perl/5.10.1 -I/usr/lib/perl5 -I/usr/share/perl5 -I/usr/lib/perl/5.10 -I/usr/share/perl/5.10 -I/usr/local/lib/site_perl -I. perl -MLemonldap::NG::Handler::Status -I/etc/perl -I/usr/local/lib/perl/5.10.1 -I/usr/local/share/perl/5.10.1 -I/usr/lib/perl5 -I/usr/share/perl5 -I/usr/lib/perl/5.10 -I/usr/share/perl/5.10 -I/usr/local/lib/site_perl -I. You can change this behavior and set a cookie duration, for example: On peut changer ce comportement et mettre une durée de vie, par exemple : managerDn managerDn The new password is sent to user Le nouveau mot-de-passe est envoyé à l'utilisateur ##################################   ######################################   By hand in Liferay administration screens À la main dans les écrans d'administration de Liferay Liferay Liferay <s4>RewriteRule</s4> ^/saml/.* /index.pl </<s5>IfModule</s5>> <s4>RewriteRule</s4> ^/saml/.* /index.pl </<s5>IfModule</s5>> Install dependencies on your system Installer les dépendances sur le système Other components needs just a read access. Les autres composants n'ont besoin que d'un accès en lecture. Users can see their own history in menu, if menu module <c0>Login history</c0> is enabled. Les utilisateurs peuvent voir leur historique dans le menu, si le module <c0>historique de connexion</c0> est activé. Request a service ticket: Demander un ticket de service : <s0>dbiChain</s0>: <a1>DBI</a1> connection. <s0>dbiChain</s0> : chaîne de connexion <a1>DBI</a1>. Choice of any certificate attribute as user main login Choix de n'importe quel attribut du certificat comme nom d'utilisateur principal You can preselect IDP with an IDP resolution rule. Il est possible de pré-selectionner l'IDP par une règle de résolution. You can call it <c0>google</c0> for example. On peut l'appeler <c0>google</c0> par exemple. <a0>The status page</a0> can be read by <a1>MRTG</a1> using the script <s2>lmng-mrtg</s2> that can be found in manager example directory. <a0>La page de statut</a0> peut être lue par <a1>MRTG</a1> en utilisant le script <s2>lmng-mrtg</s2> qui peut être trouvé dans le répertoire "example" du manager. Returns the date, in format YYYYMMDDHHMMSS, local time by default, GMT by calling Retourne la date au format AAAAMMJJHHMMSS, heure locale par défaut, GMT si demandé Example: <a3>http://auth.example.com/saml/singleSignOn</a3> Exemple : <a3>http://auth.example.com/saml/singleSignOn</a3> You can also add a rule for logout: Il est possible d'ajouter une règle pour la déconnexion : Compatibility with Identity Provider modules Compatibilité avec les modules fournisseurs d'identité It works by default with IDP intiated mechanism, but can works with the standard SP initiated cinematic. Il fonctionne par défaut avec un mécanisme initié par l'IDP mais permet un fonctionnement standard initié par le SP. Optional attributes: Attributs optionnels : # Values: TEXT # ignoreregex = # Values: TEXT # ignoreregex = <s0>handler</s0>: parameters only for Handler <s0>manager</s0> : paramètres réservés aux agents Protect only the administration pages Protéger seulement la page d'administration User clicks on the link <c0>Reset my password</c0> L'utilisateur clique sur le lien <c0>Réinitialiser mon mot-de-passe</c0> <s3>RewriteRule</s3> ^/saml/metadata /metadata.pl <s3>RewriteRule</s3> ^/saml/metadata /metadata.pl Configuration database Base de données de la configuration <s0>end</s0>: End date (GMT) <s0>end</s0>: date de fin (GMT) Go to the Manager and <a0>create a new virtual host</a0> for Sympa. Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour Sympa. Issuer rewrite rules (requires <c0>mod_rewrite</c0>): Règles de réécriture pour la fourniture d'identité (requiert <c0>mod_rewrite</c0>): </<s31>Location</s31>> </<s31>Location</s31>> Conditions: Conditions : <s0>Prompt</s0>: Value of prompt parameter (example: consent) <s0>Prompt</s0> : valeur du paramètre prompt (exemple : consent) If this attribute is missed all hosts are allowed. Si cet attribut est manquant, toutes les adresses seront autorisées. Yubikey secret key Clef secrète Yubikey http://zimbra.lan/service/preauth http://zimbra.lan/service/preauth # Internal authentication request # Requête interne d'authentification <s0>Allow proxied authentication</s0>: allow an authentication response to be issued from another IDP that the one we register (proxy IDP). <s0>Authentification proxy autorisée</s0> : autorise qu'une réponse d'authentification soit issue d'un autre IDP que celui enregistré (proxy IDP). <s0>Access control policy</s0>: define if access control should be done on <a1>CAS</a1> service. <s0>Politique de contrôle d'accès</s0> : definit si le contrôle d'accès doit être fait sur le service <a1>CAS</a1>. <s0>+10m</s0>: ten minutes from session creation <s0>+10m</s0> : dix minutes après la création de la session By default, the manager is restricted to the user 'dwho' (default backend is Demo). Par défaut, l'accès au manager est restreint à l'utilisateur "dwho" (le backend par défaut est Demo). Sessions Sessions You should now use <a0>OpenID Connect</a0>. Il faut maintenant utiliser <a0>OpenID-Connect</a0>. http://obm.org http://obm.org <s0>$VAR1</s0> <s1>=</s1> <s2>{</s2> <s0>$VAR1</s0> <s1>=</s1> <s2>{</s2> Choose one of the following: Choisir l'une des options suivantes : Choose and configure your main configuration storage system Choisir et configurer le système principal de stockage de la configuration The main portal is configured to use <a0>CDA</a0>. Le portail principal est configuré pour utiliser le <a0>CDA</a0>. Then, go in <c0>Proxy parameters</c0>: Ensuite, aller dans les <c0>paramètres Proxy</c0> : Key steps : Etapes clefs : A macro is stored as attributes: it can contain boolean results or any string Une macro est stockée comme un attribut : elle peut contenir le résultat d'un calcul booléen ou n'importe quelle chaîne de caractères http://httpd.apache.org/docs/current/mod/mod_authnz_ldap.html http://httpd.apache.org/docs/current/mod/mod_authnz_ldap.html <s0>Mail headers</s0>: <s0>En-têtes de courriel</s0> : You can for example set up a fail-over cluster with <a0>Heartbeat</a0> and <a1>HAproxy</a1>, like this: Par exemple on peut créer un cluster avec <a0>Heartbeat</a0> et <a1>HAproxy</a1> : _whatToTrace ipAddr _whatToTrace ipAddr This documentation explains how configure <a0>SAML</a0> service in <a1>LL::NG</a1>, in particular: Cette documentation explique comment configurer le service <a0>SAML</a0> dans <a1>LL::NG</a1>, en particulier : <s0>Opening conditions</s0>: rules which are evaluated before granting session. <s0>Conditions d'ouverture</s0> : règles à évaluer avant d'autoriser l'ouverture de session. <s0>Variables</s0>: User information, macros and groups used to fill <a1>SSO</a1> session <s0>Variables</s0> : informations utilisateur, macros et groupes utilisés pour renseigner la session <a1>SSO</a1> This documentation will explain how to use Active Directory as Kerberos server, and provide transparent authentication to AD domain users to <a0>LL::NG</a0>. Cette documentation explique comment utiliser Active Directory comme serveur Kerberos, et fournir une authentification transparente aux utilisateurs du domaine AD à <a0>LL::NG</a0>. Roles as entries in the directory Rôles comme entrée d'annuaire Reload virtual host Recharger l'hôte virtuel coudot@example.com coudot@example.com <s8><s9><security:custom-filter</s9> <s10>position</s10>=<s11>"PRE_AUTH_FILTER"</s11> <s12>/></s12></s8> <s8><s9><security:custom-filter</s9> <s10>position</s10>=<s11>"PRE_AUTH_FILTER"</s11> <s12>/></s12></s8> Apache based protection Protection basée sur Apache <a0>LL::NG</a0> use cron jobs to: <a0>LL::NG</a0> utilise des tâches planifiées pour : OBM_UID OBM_UID action=logout$ action=logout$ There are packages available here: <a0>http://deb.entrouvert.org/</a0>. Les paquets sont disponibles ici : <a0>http://deb.entrouvert.org/</a0>. <a0>LL::NG</a0> can delegate authentication to Apache, so it is possible to use any <a1>Apache authentication module</a1>, for example Kerberos, Radius, OTP, etc. <a0>LL::NG</a0> peut déléguer l'authentification à Apache, ainsi il est possible d'utiliser tous les <a1>modules d'authentification Apache</a1>, par exemple Kerberos, Radius, OTP, etc. any files sharing system (NFS, NAS, SAN,…) tout système de partage de fichiers (NFS, NAS, SAN,…) You can choose to store LemonLDAP::NG configuration in an LDAP directory. On peut choisir de stocker la configuration de LemonLDAP::NG dans un annuaire LDAP. But you can make your own, see Skin customization below. On peut faire le sien, voir comment personnaliser le thème ci-dessous. dbiAuthTable dbiAuthTable You can also edit the metadata directly in the textarea On peut aussi éditer la métadonnée directement dans le champ textarea <s59>//"userobm_kind" => ,</s59> <s59>//"userobm_kind" => ,</s59> HASH of login success and failures Table des connexion réussies ou échouées Handler use the default Apache error code for the following cases: Les agents utilisent le code d'erreur d'Apache dans les cas suivants : In Manager, you can configure categories and applications in <c0>General Parameters</c0> > <c1>Portal</c1> > <c2>Menu</c2> > <c3>Categories and applications</c3>. Dans le manager, on peut configurer les catégories et applications dans <c0>Paramètres généraux</c0> > <c1>Portail</c1> > <c2>Menu</c2> > <c3>Catégories et applications</c3>. http://httpd.apache.org/docs/current/howto/auth.html http://httpd.apache.org/docs/current/howto/auth.html You can also use Facebook as user database. On peut également utiliser Facebook comme base de données utilisateurs. When status feature is activated, Handlers and portal will collect statistics and save them in their local cache. Lorsque la fonctionnalité "status" est activée, les agents et le portail collectent des statistiques et les sauvegardent dans le cache local The user can choose a new password or ask to generate one L'utilisateur peut choisir un nouveau mot de passe ou demander sa génération To have a stronger integration, we will configure LimeSurvey to autocreate unknown users and use HTTP headers to fill name, mail and roles. Pour une meilleure integration, LimeSurvey doit être configuré pour créer automatiquement les utilisateurs inconnus et utiliser les en-têtes HTTP pour remplir le nom, le mail et les rôles. Test::POD Test::POD In “Apache::Session module” field, set “<a0>Apache::Session::Flex</a0>” and use the following parameters: Dans le champ “Module Apache::Session”, indiquez ”<a0>Apache::Session::Flex</a0>” et utilisez les paramètres suivants : https://developers.facebook.com/apps https://developers.facebook.com/apps Service configuration Configuration du service To avoid having group dn stored in sessions datas, you can use a macro to rewrite memberOf: Pour éviter de stocker les dn dans votre base de sessions, vous pouvez utiliser une macro pour réécrire memberOf : Principal names must be the same Principal names doit identique Some characters are encoded in URLs by the browser (such as space,…). Certains caractères sont encodés dans les URLs par le navigateur (tels les espaces,…). In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Twitter for authentication module. Dans le manager, allez dans <c0>Paramètres generaux</c0> > <c1>Modules d'authentification</c1> et choisissez Twitter comme module d'authentication. Patch it to replace PHP_AUTH_* by HTTP_AUTH_* Le modifier pour remplacer PHP_AUTH_* par HTTP_AUTH_* documentation:features documentation:features <a0>DBI</a0> table name Nom de table <a0>DBI</a0> Before, you have to create the virtual host <c0>manager.your.domain</c0> in the manager and set a <a1>rules</a1>, else access to the manager will be denied. Avant, il faut créer l'hôte virtuel <c0>manager.your.domain</c0> dans le manager et mettre une <a1>règle</a1>, sinon l'accès au manager sera interdit. <s11><s12><SPSSODescriptor</s12> <s13>protocolSupportEnumeration</s13>=<s14>"urn:oasis:names:tc:SAML:2.0:protocol"</s14><s15>></s15></s11> <s11><s12><SPSSODescriptor</s12> <s13>protocolSupportEnumeration</s13>=<s14>"urn:oasis:names:tc:SAML:2.0:protocol"</s14><s15>></s15></s11> <a0>LWP::UserAgent</a0> parameters Paramètre <a0>LWP::UserAgent</a0> Core Core In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose <a2>CAS</a2> for authentication. Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir <a2>CAS</a2> pour l'authentification. ldapPpolicyControl ldapPpolicyControl <s5>AuthType</s5> Basic <s5>AuthType</s5> Basic userDB userDB ldapBase ldapBase If you use the binary value (Active Directory), use this: Si une valeur binaire est utilisée (Active Directory) : <s0>default_access</s0> (optional): what result to return if <s1>start</s1> and <s2>end</s2> are empty <s0>default_access</s0> (optionnel) : resultat à retourner si <s1>start</s1> et <s2>end</s2> sont vides Then you can access to user datas On peut ensuite accéder aux données de l'utilisateur Handler Agent (Handler) Register on Google S'enregistrer chez Google Set '*' to accept all. Mettre '*' pour tout accepter. The Zimbra email and calendar server is available for Linux, Mac <a1>OS</a1> X and virtualization platforms. Le serveur de messagerie et calendrier Zimbra est disponible pour Linux, Mac OS X et les plateformes de virtualisation. ldapPasswordResetAttributeValue ldapPasswordResetAttributeValue Configure your tomcat home in <c0>build.properties</c0> files. Configurer votre tomcat home dans le fichier <c0>build.properties</c0>. <a0>OBM</a0> is enterprise-class messaging and collaboration platform for workgroup or enterprises with many thousands users. <a0>OBM</a0> est une plateforme collaborative et de messagerie pour entreprises ou groupes de travail comprenant plusieurs milliers d'utilisateurs. CAS CAS <s0>SSLProtocol</s0> <s1>all</s1> -SSLv2 <s2>SSLCipherSuite</s2> HIGH:MEDIUM <s3>SSLCertificateFile</s3> /etc/httpd/certs/ow2.cert <s4>SSLCertificateKeyFile</s4> /etc/httpd/certs/ow2.key <s5>SSLCACertificateFile</s5> /etc/httpd/certs/ow2-ca.cert <s0>SSLProtocol</s0> <s1>all</s1> -SSLv2 <s2>SSLCipherSuite</s2> HIGH:MEDIUM <s3>SSLCertificateFile</s3> /etc/httpd/certs/ow2.cert <s4>SSLCertificateKeyFile</s4> /etc/httpd/certs/ow2.key <s5>SSLCACertificateFile</s5> /etc/httpd/certs/ow2-ca.cert EntityId: Salesforce (the SP) Entity ID. EntityId : identifiant d'entité Salesforce (le SP). <s0>Shared secret</s0>: this is the passphrase to use to connect to the Radius server <s0>Secret partagé</s0> : la phrase de passe à utiliser pour se connecter au serveur Radius <s94>//"userobm_mobile" => ,</s94> <s94>//"userobm_mobile" => ,</s94> This FastCGI server can be used for all LLNG components. Le serveur FastCGI peut être utilisé pour tous les composants de LLNG. Yubikey Yubikey LockUserName LockUserName Restrict access to the directories only to the Apache server. Restreindre l'accès à ces répertoires au seul utilisateur Apache. The module must be loaded by Apache (LoadModule directive). Ce module doit être chargé par Apache (directive LoadModule). <s11><s12><OrganizationDisplayName</s12> <s13>xml:lang</s13>=<s14>"en"</s14><s15>></s15></s11>Example<s16><s17></OrganizationDisplayName<s18>></s18></s17></s16> <s11><s12><OrganizationDisplayName</s12> <s13>xml:lang</s13>=<s14>"en"</s14><s15>></s15></s11>Exemple<s16><s17></OrganizationDisplayName<s18>></s18></s17></s16> checkLogonHours($ssoLogonHours) checkLogonHours($ssoLogonHours) timezone timezone zimbraPreAuthKey zimbraPreAuthKey <s0>userKey</s0>: key in the HTTP header containing user login. <s0>userKey</s0> : nom de l'en-tête HTTP contenant le nom d'utilisateur. Check into security parameters that Kerberos authentication is allowed. Vérifier dans les paramètres de sécurité que l'authentification Kerberos est autorisée. SQL session backend Backend de sessions SQL → When you upgrade from Debian Lenny with customized index.pl files, you must upgrade them. → Lors d'une mise à jour d'une Debian Lenny avec un fichier index.pl personnalisé, il faut le mettre à jour. Now we will add Google Apps as a new <a0>SAML</a0> Service Provider: Ajouter ensuite Google Apps comme nouveau fournisseur de service <a0>SAML</a0> : <s0>configuration</s0>: where configuration is stored <s0>configuration</s0> : où la configuration est stockée Remote Session backend options Options du backend de sessions distant Run this to update packages cache: Lancer ceci pour rafraîchir le cache : http://search.cpan.org/dist/Apache-Session-LDAP/ http://search.cpan.org/dist/Apache-Session-LDAP/ activate <a0>CDA</a0> in <c1>General Parameters</c1> » <c2>Cookies</c2> » <c3>Multiple domains</c3> activer le <a0>CDA</a0> dans <c1>Paramètres généraux</c1> » <c2>Cookies</c2> » <c3>Domaines multiples</c3> Prepare database Préparer la base de données The request on logout <a0>URL</a0> will be sent after user is disconnected, so you should unprotect this <a1>URL</a1> if it is protected by an <a2>LL::NG</a2> Handler. Cette requête vers l'<a0>URL</a0> de déconnexion est envoyée après la déconnexion de l'utilisateur, il faut donc déprotéger cette <a1>URL</a1> si elle est protégée par un agent <a2>LL::NG</a2>. ldapGroupAttributeName ldapGroupAttributeName <s0>Trusted domains</s0>: domains on which the user can be redirected after login on portal. <s0>Domaines approuvés</s0> : domaines vers lesquels l'utilisateur peut être redirigé après authentification sur le portail. <s0>//==================================</s0> <s1>// WebSSO</s1> <s2>//==================================</s2>   <s3>$useWebserverAuth</s3> <s4>=</s4> <s5>true</s5><s6>;</s6> <s7>$WebserverAuth_autocreateUser</s7> <s8>=</s8> <s9>true</s9><s10>;</s10> <s11>$WebserverAuth_autouserprofile</s11> <s12>=</s12> <a13><s14>Array</s14></a13><s15>(</s15> <s0>//==================================</s0> <s1>// WebSSO</s1> <s2>//==================================</s2>   <s3>$useWebserverAuth</s3> <s4>=</s4> <s5>true</s5><s6>;</s6> <s7>$WebserverAuth_autocreateUser</s7> <s8>=</s8> <s9>true</s9><s10>;</s10> <s11>$WebserverAuth_autouserprofile</s11> <s12>=</s12> <a13><s14>Array</s14></a13><s15>(</s15> To configure requested attributes, edit <s0>Exported variables</s0> and define attributes: Pour configurer les attributs à récupérer, éditer les <s0>Variables exportées</s0> et definir les attributs : <s0>Mandatory</s0>: if set to On, then session will not open if this attribute is not given by IDP. <s0>Obligatoire</s0> : si activé, les sessions ne seront ouvertes que si l'attribut est fourni par l'IDP. Go in <c0>Exported attributes</c0> to choose which attributes you want to collect. Aller dans les <c0>attributs exportés</c0> pour choisir les attributs à collecter. LL::NG repository Dépôt LL::NG So instead of using LDAP groups recovery, you just have to store “memberOf” field in your exported variables. Ainsi au lieu d'utiliser la récupération des groupes LDAP, vous avez juste à stocker le champ “memberOf” dans vos variables exportées. <s0>Want Assertions Signed</s0>: set to On to require that received assertions are signed. <s0>Exiger des assertions signées</s0> : mettre à « activé » pour exiger de recevoir des assertions signées. Wiki Wiki Form page <a0>URI</a0>: /login.php <a0>URI</a0> de la page de formulaire : /login.php Date of validation of the notification <e0>id</e0> Date de validation de la notification <e0>id</e0> Do not allow several users for 1 <a0>IP</a0> Ne pas autoriser plusieurs utilisateurs venant de la même adresse <a0>IP</a0> Handle errors: Intercepter les erreurs : Then, to protect a standard virtual host, the only configuration line to add is: Protéger ensuite un hôte virtuel standard, la seul ligne de configuration à ajouter est : Create user and role: Créer un utilisateur et un rôle : Session Session Timezone Timezone secureTokenAllowOnError secureTokenAllowOnError You need to declare the new url in the manager: Portal → <a0>URL</a0>: <a1>https://auth.example.com/sslok/</a1> Il faut declarer la nouvelle url dans le manager : Portail → <a0>URL</a0>: <a1>https://auth.example.com/sslok/</a1> Default value Valeur par défaut <s21>Allow</s21> from <s22>all</s22> <s21>Allow</s21> from <s22>all</s22> Prefer then the other solutions (see below). Si c'est le cas, utiliser une autre solution (voir ci-dessous). soapSessionService soapSessionService Handler does not see <a0>SSO cookies</a0> (because it is not in main domain) and redirects user on Portal L'agent n'intercepte pas de <a0>cookie SSO</a0> (car il n'est pas dans le même domaine) et redirige l'utilisateur vers le portail Wildcard Carte blanche Lemonldap::NG::Handler::SharedConf: No cookie found Lemonldap::NG::Handler::SharedConf: No cookie found <s0>Import from LDAP</s0>: Yes (see <a1>presentation</a1>) <s0>Import from LDAP</s0>: Yes (voir <a1>présentation</a1>) You should then be able to open a Kerberos session on each domain: On doit pouvoir ouvrir une session Kerberos dans chaque domaine : Parameters for File backend are the same as <a0>File configuration backend</a0>. Les paramètres pour le backend File sont les mêmes que ceux du <a0>backend de configuration File</a0>. Enable SSL in Apache Activer SSL dans Apache <a0>Zimbra</a0> is open source server software for email and collaboration - email, group calendar, contacts, instant messaging, file storage and web document management. <a0>Zimbra</a0> est un logiciel serveur collaboratif et de messagerie open-source - messagerie, calendrier de groupe, contacts, messagerie instantanée, stockage de fichiers et gestion de documents web. impact impact Packages from <a0>Debian repository</a0> may not be up to date. Les paquets du <a0>dépôt Debian</a0> peuvent ne pas être à jour. To know this information, just take the portal <a0>URL</a0> and the Callback GET parameter, for example: Pour connaître cette information, prendre simplement l'<a0>URL</a0> et le paramètre GET de rappel, par exemple : Your application can know the connected user using: Une application peut connaître l'utilisateur connecté en utilisant : <s0>Change as user</s0>: enable to perform password modification with credentials of connected user. <s0>Change comme utilisateur</s0> : active la modification du mot-de-passe avec les éléments d'authentification de l'utilisateur connecté. Installation on Red Hat/CentOS Installation sur Red Hat/CentOS }?); }?); → Some <a0>URL</a0> parameters contain forbidden characters. → Certains paramètres de l'<a0>URL</a0> contiennent des caractères interdits. install http_authentication plugin installer le plugin http_authentication We will explain how to use <a0>Automatic REMOTE_USER</a0> extension. Nous expliquons ici comment utiliser l'extension <a0>REMOTE_USER automatique</a0>. http://fedoraproject.org/wiki/EPEL/ http://fedoraproject.org/wiki/EPEL/ Handler status page Page de statut de l'agent domain domain You can also add some other parameters On peut également ajouter quelques autres paramètres You will need a very recent version of Lasso (>= 2.3.0). Vous devez utiliser une version récente de Lasso (>= 2.3.0). <s5>Allow</s5> from <s6>all</s6> <s5>Allow</s5> from <s6>all</s6> For now, Zimbra isn't supported by Nginx handler. Pour l'instant, Zimbra n'est pas supporté par le handler Nginx. <s0>Check <a1>XSS</a1> Attacks</s0>: Set to 'Off' to disable <a2>XSS</a2> checks. <s0>Contrôler les attaques <a1>XSS</a1></s0> : mettre à 'désactivé' pour désactiver la détection des attaques <a2>XSS</a2>. yum install mod_ssl yum install mod_ssl $mailR $mailR ^/(?i)index.php\?.*access.*access ^/(?i)index.php\?.*access.*access <s29>"server_ip_check"</s29> <s30>=></s30> <s31>false</s31><s32>,</s32> <s29>"server_ip_check"</s29> <s30>=></s30> <s31>false</s31><s32>,</s32> uid uid Manual download Téléchargement manuel Regexp::Assemble Regexp::Assemble userPivot userPivot You can allow these users instead of reject them: On peut autoriser ces utilisateurs au lieu de les rejeter : <s0>ACME.COM</s0>: Second AD domain <s0>ACME.COM</s0> : second domaine AD You must allow access to declared URLs to your Manager <a0>IP</a0>. Il faut autoriser l'accès à l'URL déclarée au manager. This documentation will explain how to configure <a0>LL::NG</a0> with the developer reserved space. Cette documentation présente la configuration de <a0>LL::NG</a0> avec l'environnement de développement. coudot coudot useXForwardedForIP useXForwardedForIP The configuration is the same as a single <a0>LL::NG</a0> server. La configuration est la même qie pour un serveur <a0>LL::NG</a0> unique. A Zimbra Handler is called Un handler Zimbra est appelé <s0>Configuration endpoint</s0>: <a1>URL</a1> of OP configuration endpoint <s0>Configuration endpoint</s0>: <a1>URL</a1> de point d'accès de configuration de l'OP Available parameters are: Paramètres disponibles : Force HTTPS in redirection Indicateur HTTPS pour les redirections Sunday is the first day. Dimanche est le premier jour. This virtual host will be used by clients that fail to use the Kerberos protocol. Cet hôte virtuel sera utilisé par les clients qui ne réussiront pas à utiliser le protocole Kerberos. It should be possible to have the same account for all SPN, but this may require some manipulations on AD (command setspn) that are not documented here. Il devrait être possible d'avoir le même compte pour tous les SPN, mais ça nécessite certaines manipulations de l'AD (commande setspn) non documentées ici. And fill it: et le remplir : Upgrade Mise à jour Groups are computed after macros, so a group rule may involve a macro value. Noter que les groupes sont calculés après les macros, donc une règle de groupe peut utiliser une valeur issue d'une macro. Signing Certificate: choose a certificate for SP signature. Signing Certificate : choisir un certificat pour la signature du SP. secureTokenExpiration secureTokenExpiration <s0>Group source attribute</s0>: name of the attribute in groups entries used in the link, for recursive group search (default: dn). <s0>Attribut source du groupe</s0> : nom de l'attribut dans l'entrée groupe utilisé dans le lien pour la recherche récursive de groupe (défaut : dn). Zimbra also features archiving and discovery for compliance. Zimbra propose aussi l'archivage et discovery for compliance. When it takes “false”, HTTP headers have to be sent by <a1>LL::NG</a1> to make authentication. Lorsqu'il est à “false”, les en-têtes HTTP doivent être renseignés par <a2>LL::NG</a2> pour valider l'authentification. <s0>Authentication level</s0>: authentication level for this module. <s0>Niveau d'authentification</s0> : niveau d'authentification accordé à ce module. Such configuration can have some security problems: Une telle configuration peut engendrer des problèmes de sécurité : rpmbuild -ta SOURCES/lemonldap-ng-VERSION.tar.gz rpmbuild -ta SOURCES/lemonldap-ng-VERSION.tar.gz <s127>"userobm_town"</s127> <s128>=></s128> <s129>"HTTP_OBM_L"</s129><s130>,</s130> <s127>"userobm_town"</s127> <s128>=></s128> <s129>"HTTP_OBM_L"</s129><s130>,</s130> Create a database if necessary: Créer une base de données si nécessaire : Applications protection Protection des applications Below are documented internal variables. Ci-dessous sont documentées les variables internes. <a0>CAS</a0> Session backend Module de stockage <a0>CAS</a0> secureTokenAttribute secureTokenAttribute <a0>France Connect</a0> is an authentication platform made by French government. <a0>France Connect</a0> est une plateforme d'authentification créée par le gouvernement français. Integration in Active Directory (LDAP and Kerberos) Integration dans Active Directory (LDAP et Kerberos) Shareable Partageable Handler parameters Paramètres de l'agent ($uid =~ /^admin0/i)[0] ? ($uid =~ /^admin0/i)[0] ? The choice will concern three backends: Ce choix concerne 3 backends: http://httpd.apache.org/docs/current/mod/mod_setenvif.html http://httpd.apache.org/docs/current/mod/mod_setenvif.html JSON File configuration backend Backend de configuration en fichier JSON Users module Module utilisateurs Tomcat Tomcat _authChoice _authChoice JSON JSON However, certificate will not be really validated by other <a0>SAML</a0> components (expiration date, common name, etc.), but will just be a public key wrapper. Toutefois, le certificat ne sera pas réellement validé par les autres composants <a0>SAML</a0> (date d'expiration, nom commun, etc.), mais simplement vu comme un conteneur de clef publique. …. …. To work with <a0>LL::NG</a0> it requires: Pour fonctionner avec <a0>LL::NG</a0> il faut : You need to concatenate the keytab files, thanks to <c0>ktutil</c0> command: Il faut concaténer les 2 fichiers, merci à la commande <c0>ktutil</c0> : ^/pub/ ^/pub/ Restrict /admin/ directory to user bart.simpson Restreindre le répertoire /admin/ à l'utilisateur bart.simpson ^/(css|js)/ ^/(css|js)/ Date of session creation Date et heure (timestamp) de la création de la session Common Domain Cookie Domaine commun de cookie OAuth 2.0 Token Endpoint: not used here OAuth 2.0 Token Endpoint : pas utilisé ici Password change form (in menu) Formulaire de changement de mot-de-passe (dans le menu) Oracle Oracle Rewrite rules must have been activated in <a0>Apache portal configuration</a0> or in <a1>Nginx portal configuration</a1>. Le module Rewrite d'Apache doit être activé dans la <a0>configuration Apache du portail</a0> ou dans la <a1>configuration du portail Nginx</a1>. <s0>Logo</s0>: file name to use as logo <s0>Logo</s0> : nom de fichier à utiliser comme logo vi /var/www/html/limesurvey/config.php vi /var/www/html/limesurvey/config.php If you are protecting Dokuwiki with <a0>LL::NG</a0> as reverse proxy, <a1>convert header into REMOTE_USER environment variable</a1>. Si Dokuwiki est protégé par un reverse-proxy <a0>LL::NG</a0>, <a1>convertir l'en-tête en variable d'environnement REMOTE_USER</a1>. <s0>Response Location</s0>: Access Point for SLO response. <s0>Response Location</s0>: Point d'accès pour les réponses SLO. If your sessions explorer is on the same server that the portal, either use the <s0>adminSessions</s0> end point in Manager configuration, or override the <c1>globalStorage</c1> and <c2>globalStorageOptions</c2> parameters in section all (and not portal) of <c3>lemonldap-ng.ini</c3>. Si l'explorateur de sessions est sur le même serveur que le portail, utiliser soit la terminaison <s0>adminSessions</s0> dans la configuration eu manager, ou surcharger les paramètres <c1>globalStorage</c1> et <c2>globalStorageOptions</c2> dans la section all (et pas portal) de <c3>lemonldap-ng.ini</c3>. Build: Build: Just set the authentication type to <c0>config</c0> and indicate <a1>DN</a1> and password inside the file <c2>config.php</c2>: Mettre juste le type d'authentification à <c0>config</c0> et indiquer le <a1>DN</a1> et le mot-de-passe dans le fichier <c2>config.php</c2>: openIdSecret openIdSecret List of attributes to query to fill user session. Liste d'attributs à interroger pour trouver la session utilisateur. one with just read rights for other servers une avec seulement des droits en lecture pour les autres serveurs 'namespace' => 'MyNamespace'? 'namespace' => 'MyNamespace'? SOAP end points (inactivated by default): Points d'accès SOAP (désactivés par défaut) : psql -h 127.0.0.1 -U lemonldap-ng -W lemonldap-ng psql -h 127.0.0.1 -U lemonldap-ng -W lemonldap-ng <s30># If you want to use mod_fastcgi, replace lines below by:</s30> <s30># Pour utiliser mod_fastcgi, remplacer les lignes suivantes par :</s30> tar zxvf AuthCAS-1.4.tar.gz cd AuthCAS-1.4/ perl Makefile.PL make make test tar zxvf AuthCAS-1.4.tar.gz cd AuthCAS-1.4/ perl Makefile.PL make make test See <a0>how to deploy them</a0>. Voir <a0>comment les déployer</a0>. Download the latest version: Télécharger la dernière version : Password: will not change any password Mots-de-passe : ne change aucun mot-de-passe icons:neotux.png icons:neotux.png If you modify <c0>/saml/metadata</c0> suffix you have to change corresponding Apache rewrite rule. Si vous modifiez le suffixe <c0>/saml/metadata</c0>, vous devez changer la règle de réécriture d'Apache. <s0>New</s0>: to write all configuration history <s0>New</s0> : pour écrire l'historique de la configuration Restrict network access to the backend. Restreindre l'accès réseau au backend. <s0>Authentication level</s0>: authentication level for this module <s0>Niveau d'authentification</s0> : niveau d'authentification pour ce module Password expiration workflow Procédé d'expiration du mot-de-passe https://authssl.example.com https://authssl.example.com portal is in a https virtualhost if securedCookie is set le portail est dans un hôte virtuel https si securedCookie est activé POST data: use form replay Des données POST : à utiliser pour répondre aux formulaires Indeed, by default, users without logon hours values are rejected. Sinon, par défaut, les utilisateurs sans créneau horaire de connexion sont rejetés. <s0>Address</s0>: <a1>URL</a1> of application <s0>Adresse</s0> : <a1>URL</a1> de l'application Use /adminSessions if the Handler need to modify the session, for example if you configured an idle timeout. Utiliser /adminSessions si l'agent doit modifier la session, par exemple si on configure un délai d'inactivité des sessions. https://my-profile.eu/ https://my-profile.eu/ For example, the user name Aladdin and password open sesame would be combined as Aladdin:open sesame – which is equivalent to QWxhZGRpbjpvcGVuIHNlc2FtZQ== when encoded in Base64. Par exemple, le nom Aladdin et le mot-de-passe "open sesame" vont être assemblés en "Aladdin:open sesame" – dont l'équivalent est QWxhZGRpbjpvcGVuIHNlc2FtZQ== en Base64. <a0>LL::NG</a0> can use a white list or a black list to filter allowed OpenID domains. <a0>LL::NG</a0> peut utiliser une liste blanche ou noire pour filtrer les domaines OpenID autorisés. Lemonldap::NG manage applications by their hostname (Apache's virtualHosts). Lemonldap::NG gère les applications par leurs noms d'hôtes(hôtes virtuels d'Apache). Maintenance mode Mode maintenance For example, if real sessions are stored in <a0>files</a0>: Par exemple, si les sessions réelels sont stockées dans des <a0>fichiers</a0> : <s0>CRONDIR</s0>: Cronfile directory (default: $PREFIX/etc/lemonldap-ng/cron.d) <s0>CRONDIR</s0> : répertoire des fichiers cron (défaut: $PREFIX/etc/lemonldap-ng/cron.d) All lemonldap-ng tools are in /usr/share/lemonldap-ng/bin/ Tous les outils lemonldap-ng se trouvent dans /usr/share/lemonldap-ng/bin/ You can add, delete or modify a virtual host here. Il est possible d'ajouter, effacer ou modifier un hôte virtuel ici. a15a18c8bb17e6f67886a9af1898c018b9f5a072 a15a18c8bb17e6f67886a9af1898c018b9f5a072 _userDB _userDB field champ Prepare the LDAP server and the LL::NG configuration file Préparer le serveur LDAP et le fichier de configuration LL::NG dob dob Selected by default during installation. Sélectionné par défaut lors de l'installation. status status The fields are defined in <a1>OpenID Connect standard</a1>, and depends on the scope requested by <a2>LL::NG</a2> (see options in next chapter). Les champs sont définis dans le <a1>standard OpenID-Connect</a1>, et dépendent de la portée requise par <a2>LL::NG</a2> (voir les options dans le prochain chapitre). server server It can be configured globally, or inside a virtual host. Il peut être configuré globalement, ou dans chaque hôte virtuel. Thomas CHEMINEAU Thomas CHEMINEAU SOAP services Services SOAP singleIP singleIP Then you will be able to use it in your template like this: On peut ensuite l'utiliser dans le modèle comme suit : skip skip <s0>CA file</s0>: CA certificate used to validate <a1>CAS</a1> server certificate <s0>Fichier CA</s0> : certificat de la CA utilisée pour valider le certificat du serveur <a1>CAS</a1> Each module can be activated trough a rule, using user session information. Chaque module peut être activé via une règle en utilisant les informations de session de l'utilisateur. exportedAttr exportedAttr install_manager_libs install_manager_libs You can also disable internal Sympa authentication to keep only LemonLDAP::NG by removing user_table paragraph Il est également possible de désactiver l'authentification interne de Sympa pour ne garder que celle de LemonLDAP::NG en supprimant le paragraphe user_table <s0>attribute</s0>: Name of group attribute <s0>attribute</s0> : Nom de l'attribut du groupe passwordDB passwordDB <s11>RewriteRule</s11> ^/cas/.* /index.pl <s11>RewriteRule</s11> ^/cas/.* /index.pl Register LemonLDAP::NG on partner Identity Provider Enregistrer LemonLDAP::NG dans le fournisseur d'identité partenaire Session key containing email address La clef de session contient l'adresse mail This name is used in entry <a1>DN</a1>, for example <c2>cn=lmConf-1,ou=conf,ou=applications,dc=example,dc=com</c2>. Ce nom est utilisé dans l'entrée <a1>DN</a1>, par exemple <c2>cn=lmConf-1,ou=conf,ou=applications,dc=example,dc=com</c2>. <s0>Account</s0>: <a1>DN</a1> used to connect to LDAP server. <s0>Compte</s0> : <a1>DN</a1> à utiliser pour se connecter au serveur LDAP. If you are protecting MediaWiki with <a0>LL::NG</a0> as reverse proxy, <a1>convert header into REMOTE_USER environment variable</a1>. Si Mediawiki est protégé par un reverse-proxy <a0>LL::NG</a0>, <a1>convertir l'en-tête en variable d'environnement REMOTE_USER</a1>. Notification backend options Options du module de stockage des notifications applications:phpldapadmin_logo.png applications:phpldapadmin_logo.png http://code.google.com/p/redis/ http://code.google.com/p/redis/ secureTokenUrls secureTokenUrls Register form: where user enters information to create a new account Formulaire d'enregistrement : où les utilisateurs entrent les informations nécessaires à la création de compte <s0>Name</s0>: display text <s0>Nom</s0> : texte à afficher SAML 2.0 / Shibboleth SAML 2.0 / Shibboleth <s0>Application list</s0>: display categories and applications allowed for the user <s0>Liste des applications</s0> : affiche les catégories et applications autorisée pour l'utilisateur <s4>Allow</s4> from <s5>all</s5> <s4>Allow</s4> from <s5>all</s5> http://search.cpan.org/~gbarr/perl-ldap/lib/Net/LDAP.pod http://search.cpan.org/~gbarr/perl-ldap/lib/Net/LDAP.pod A skin will often refer to the <c0>common</c0> skin, which is not a real skin, but shared skin objects (like scripts, images and <a1>CSS</a1>). Un thème se réfère souvent au thème <c0>common</c0>, qui n'est pas un thème réel mais contient des objects partagés (tels les scripts, images et <a1>CSS</a1>). dbiPasswordMailCol dbiPasswordMailCol ou=sessions,dc=example,dc=com ou=sessions,dc=example,dc=com Expression Expression The specific <c0>sub</c0> attribute is not defined here, but in User attribute parameter (see below). L'attribut spécifique <c0>sub</c0> n'est pas défini ici, mais dans le paramètre d'attribut "User" (voir ci-dessous). portalRequireOldPassword portalRequireOldPassword LemonLDAP::NG provides packages for Red Hat/Centos 7: LemonLDAP::NG fournit des packages pour Red Hat/Centos 7: phpLDAPadmin virtual host Hôte virtuel phpLDAPadmin Service configuration will be used to generate <a0>LL::NG</a0> <a1>SAML</a1> metadata, that will be shared with other providers. La configuration du service est utilisée pour générer les métadatas <a1>SAML</a1> de <a0>LL::NG</a0>, qui sont partagées avec les autres fournisseurs. Portal URL URL du portail Store -> MySQL Lock -> Null Generate -> MD5 Serialize -> Storable DataSource -> dbi:mysql:sessions;host=... Store -> MySQL Lock -> Null Generate -> MD5 Serialize -> Storable DataSource -> dbi:mysql:sessions;host=... Then edit rules and headers. Éditer ensuite les règles et en-têtes. <s0>Require old password</s0>: used only in the password changing module of the menu, will check the old password before updating it <s0>Exige l'ancien mot-de-passe</s0> : utilisé seulement dans le module de changement du mot-de-passe du menu, vérifie l'ancien mot-de-passse avant de le changer Keep the private key in a file, for example lemonldap-ng-priv.key, then use openssl to generate an auto-signed certificate: Garder la clef privée dans un fichier, par exemple lemonldap-ng-priv.key, et utiliser openssl pour générer un certificat auto-signé : Standard virtual host directives, to serve portal pages: Directives standard d'hôte virtuel pour servir les pages du portail : <a0>Apache::Session::Redis</a0> is the faster shareable session backend <a0>Apache::Session::Redis</a0> est le module de stockage des sessions en réseau le plus rapide mail mail tchemineau@example.com tchemineau@example.com <s33># /psgi/manager-server.fcgi and adapt the rewrite rules.</s33> <s33># /psgi/manager-server.fcgi et adapter les règles de réécriture.</s33> apt-cache search lemonldap-ng apt-cache search lemonldap-ng http://search.cpan.org/perldoc?Apache::Session::Browseable http://search.cpan.org/perldoc?Apache::Session::Browseable <s0>PROD</s0>: use minified JS and <a1>CSS</a1> files <s0>PROD</s0> : utiliser les fichiers JS et <a1>CSS</a1> compactés Krb5KeyTab /etc/lemonldap-ng/auth.keytab Krb5KeyTab /etc/lemonldap-ng/auth.keytab zimbraUrl zimbraUrl The database username Le login de la base de données sudo make configure STORAGECONFFILE=/etc/lemonldap-ng/lemonldap-ng.ini sudo make configure STORAGECONFFILE=/etc/lemonldap-ng/lemonldap-ng.ini Read-only functions (index.pl/sessions or index.pl/adminSessions paths): Fonctions en lecture seule (chemins index.pl/sessions ou index.pl/adminSessions) : </<s23>Location</s23>>   </<s23>Location</s23>>   Macros and groups are computed in alphanumeric order, that is, in the order they are displayed in the manager. Les macros et groupes sont calculés dans l'ordre alpha-numerique, c'est à dire dans l'ordre d'affichage dans le manager. Reset password on next logon workflow Réinitialisation du mot-de-passe à la connexion suivante Configure phpLDAPadmin virtual host like other <a0>protected virtual host</a0>. Configurer l'hôte virtuel phpLDAPadmin comme n'importe quel autre <a0>hôte virtuel protégé</a0>. All rules are concerned: Toutes les règles sont concernées : LimeSurvey configuration Configuration de LimeSurvey Note: since AD 2012, each user can have a specific password expiration policy. Note : depuis AD 2012, chaque utilisateur peut disposer d'une politique 'expiration de mot-de-passe différente. Browseable session backend Backend de session explorable Configuration reload will then be effective in less than 10 minutes. Le rechargement de la configuration sera effectif en moins de 10 minutes. → You use the Apache authentication backend, but Apache is not or bad configured (no REMOTE_USER send to LemonLDAP::NG). → Le backend d'authentification Apache est utilisé, mais Apache n'est pas ou mal configuré (la variable d'environnement REMOTE_USER n'est pas envoyée à LemonLDAP::NG). In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose OpenID for authentication and/or users. Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir <a2>OpenID</a2> pour les modules authentification, utilisateurs et/ou mots-de-passe. <s0>$_auth</s0> <s1>eq</s1> LDAP <s2>or</s2> <s3>$_auth</s3> <s4>eq</s4> DBI <s0>$_auth</s0> <s1>eq</s1> LDAP <s2>or</s2> <s3>$_auth</s3> <s4>eq</s4> DBI Single Sign On Authentification unique (Single Sign On) Edit then <c0>share-config-custom.xml</c0> and uncomment the last part. Éditer ensuite <c0>share-config-custom.xml</c0> et décommenter la dernière partie. <s0>Common domain</s0>: Name of the common domain (where common cookie is available). <s0>Domaine commun</s0> : Nom du domaine commun (où le cookie commun est disponible). <s0><s1>[</s1>configuration<s2>]</s2></s0> <s3>type</s3> <s4>=</s4><s5> File</s5> <s6>dirName</s6> <s7>=</s7><s8> /var/lib/lemonldap-ng/conf</s8> <s0><s1>[</s1>configuration<s2>]</s2></s0> <s3>type</s3> <s4>=</s4><s5> File</s5> <s6>dirName</s6> <s7>=</s7><s8> /var/lib/lemonldap-ng/conf</s8> For each attribute, you can set: Pour chaque attribut, on peut indiquer : MRTG configuration example: Exemple de configuration MRTG : <s0>Skin</s0>: the name of the skin to use. <s0>Thème</s0> : le nom du thème à utiliser. http://www.google.com/apps/intl/en/business/index.html http://www.google.com/apps/intl/en/business/index.html <a0>SAML</a0> Identity Type: choose Federation ID. <a0>SAML</a0> Identity Type : choisir "Federation ID". Syslog facility Facilité syslog Add a new rule: Ajouter une nouvelle règle : <s0>+1h</s0>: one hour from session creation <s0>+1h</s0> : une heure après la création de la session <s0>include</s0> /usr/local/lemonldap-ng/etc/portal-apache2.conf <s1>include</s1> /usr/local/lemonldap-ng/etc/handler-apache2.conf <s2>include</s2> /usr/local/lemonldap-ng/etc/manager-apache2.conf <s3>include</s3> /usr/local/lemonldap-ng/etc/test-apache2.conf <s0>include</s0> /usr/local/lemonldap-ng/etc/portal-apache2.conf <s1>include</s1> /usr/local/lemonldap-ng/etc/handler-apache2.conf <s2>include</s2> /usr/local/lemonldap-ng/etc/manager-apache2.conf <s3>include</s3> /usr/local/lemonldap-ng/etc/test-apache2.conf Configure LDAP configuration backend in <c0>lemonldap-ng.ini</c0>, section <c1>[configuration]</c1>: Configurer la backend de configuration LDAP dans <c0>lemonldap-ng.ini</c0>, section <c1>[configuration]</c1> : You have to install the corresponding Perl module. Il faut installer le module Perl correspondant. _idp _idp <s31>...</s31> <s31>...</s31> <s0>CREATE</s0> <s1>TABLE</s1> notifications <s2>(</s2> <s0>CREATE</s0> <s1>TABLE</s1> notifications <s2>(</s2> Real session backend Backend de session réel http://openid.net/specs/openid-simple-registration-extension-1_0.html http://openid.net/specs/openid-simple-registration-extension-1_0.html IO::String IO::String ldapSetPassword ldapSetPassword After configuration is saved by Manager, LemonLDAP::NG will try to reload configuration on distant Handlers by sending an HTTP request to the servers. Lorsque la configuration est sauvegardée par le manager, LemonLDAP::NG tente de recharger la configuration des agents distants en envoyant une requête HTTP aux serveurs. User rejected because VirtualHost XXXX has no configuration User rejected because VirtualHost XXXX has no configuration Multi modules display Affichage des modules de Multi Some Perl optimizations: Quelques optimisations Perl : You can test any <a0>URL</a0> to see if it's protected using testUri(). On peut tester toute <a0>URL</a0> pour voir si elle est protégée en utilisant testUri(). Local cache parameters Paramètres du cache local documentation:googleapps-menu.png documentation:googleapps-menu.png Else, current configuration is kept. Sinon, la configuration courante est gardée. User tries to access a protected application in a different domain L'utilisateur tente d'accéder à une application protégée d'un autre domaine Configuration Configuration Install packages Installer les paquets Notification format Format des notifications <s0>Exceptions</s0>: allow anonymous access for specific URLs (connectors, etc.) <s0>Exceptions</s0> : autoriser l'accès anonyme pour les URLs spécifiques (connecteurs, etc.) <a0>DBI</a0> user Utilisateur <a0>DBI</a0> Disable unused modules Désactiver les modules inutilisés LemonLDAP::NG in Docker LemonLDAP::NG dans Docker So you can define for example: Ainsi on peut définir par exemple: Those macros are calculated only at the first usage and stored in the local session cache (only for this server) and only if the user access to the related applications. Ces macros sont calculées seulement à leur premier usage et stockées dans le cache local des sessions (uniquement pour ce serveur) et seulement si l'utilisateur accède à l'application relative. To protect the manager by <a0>LL::NG</a0>, you just have to set this in <c1>lemonldap-ng.ini</c1> configuration file (section [manager]): Pour protéger le manager par <a0>LL::NG</a0>, il suffit de mettre ceci dans le fichier de configuration <c1>lemonldap-ng.ini</c1> (section [manager]) : _password _password tomcat >= 5.5 tomcat >= 5.5 In the manager: set “<a0>Apache::Session::File</a0>” in “General parameters » Sessions » Session storage » Apache::Session module” and add the following parameters (case sensitive): Dans le manager : indiquez <a0>Apache::Session::File</a0> dans Paramètres généraux » Sessions » Stockage des sessions » Module Apache::Session et ajoutez les paramètres suivant (sensibles à la casse): Clément OUDOT Clément OUDOT <a0>CAS</a0> server <a1>URL</a1> <a1>URL</a1> du serveur <a0>CAS</a0> Delete other session if <a0>IP</a0> differs Efface les autres sessions de l'utilisateur si les adresses <a0>IP</a0> diffèrent Nginx is fully supported by LemonLDAP::NG since version 1.9. Nginx est pleinement supporté par LemonLDAP::NG depuis la version 1.9. perl-Lemonldap-NG-Portal: CPAN - Portal modules perl-Lemonldap-NG-Portal : CPAN - modules portail <s0>Passive authentication</s0>: set IsPassive flag in authentication request <s0>Authentification passive</s0> : positionne le drapeau IsPassive dans la requête d'authentification <s0><s1>[</s1>all<s2>]</s2></s0> <s3>cda</s3> <s4>=</s4><s5> 1</s5> <s0><s1>[</s1>all<s2>]</s2></s0> <s3>cda</s3> <s4>=</s4><s5> 1</s5> These parameters are not mandatory to run <a0>SAML</a0> service, but can help to customize it: Ces paramètres ne sont pas obligatoires pour faire fonctionner le service <a0>SAML</a0>, mais peuvent aider à leur personnalisation : You can configure here which field of <a2>LL::NG</a2> session will be associated to a NameID format. Vous pouvez indiquer ici l'attribut de session de <a2>LL::NG</a2> qui sera associé au format du NameID. Now go in <c0>Options</c0>: Aller ensuite dans <c0>Options</c0>: SAML sessions module name and options Options et nom du module de sessions SAML <a0>URL</a0> for mail reset <a0>URL</a0> pour la réinitialisation par courriel This value will be used to know to which recipient the has to be sent (default: mail). Cette valeur peut être utilisée pour savoir à quel destinataire doit être envoyé le courriel (défaut : mail). An <a0>enterprise Google Apps account</a0> Un <a0>compte applicatif Google entreprise</a0> <s0>Size</s0>: length of captcha <s0>Taille</s0> : longueur du captcha <a0>Twitter</a0> is a famous microblogging server. <a0>Twitter</a0> est un serveur de microblog célèbre. It returns: Elle retourne : Zimbra Handler parameters Paramètres du handler Zimbra LemonLDAP::NG does not manage Apache configuration LemonLDAP::NG ne gère pas la configuration d'Apache uidR uidR Authorization Code flow Débit de code d'autorisation You need to forward the password, which can be the user main password (if <a0>password is stored in session</a0>, or any user attribute (if you keep secondary passwords in users database). Il est nécessaire d'exporter le mot-de-passe, qui peut être le mot-de-passe principal de l'utilisateur (si <a0>le mot-de-passe est stocké dans la session</a0>, ou n'importe quel attribut utilisateur (si d'autres mots-de-passe sont stockés dans la base de données des utilisateurs). https://github.com/9h37/django-lemonldap https://github.com/9h37/django-lemonldap See <a0>prerequisites and dependencies</a0> chapter for more. Voir le chapître <a0>pré-requis et dépendances</a0>. Key Clef Apache configuration file on <a0>LL::NG</a0> reverse proxy (hosting <a1>LL::NG</a1> Handler): le fichier de configuration d'Apache sur le reverse-proxy <a0>LL::NG</a0> (celui qui héberge l'agent <a1>LL::NG</a1>): To allow the Login History tab in Menu, configure it in <c0>General Parameters</c0> > <c1>Portal</c1> > <c2>Menu</c2> > <c3>Modules</c3> (see <a4>portal menu configuration</a4>). Pour activer l'onglet de l'historique de connexion dans le menu, le configurer dans <c0>Paramètres généraux</c0> > <c1>Portail</c1> > <c2>Menu</c2> > <c3>Modules</c3> (voir la <a4>configuration du menu du portail</a4>). Persistent Session backend options Options du backend des sessions persistantes <a0>LL::NG</a0> can use a lot of databases as authentication, users and password backend: <a0>LL::NG</a0> peut utiliser de nombreuses bases de données comme backend d'authentification, d'utilisateurs et de mots de passe : Skin name Nom du thème Rule name Nom de la règle This kind of <a0>SSO</a0> mechanism is not clean, and can lead to problems, like local password blocking, local session not well closed, etc. Ce type de mécanisme <a0>SSO</a0> n'est pas parfait et peut générer des problèmes tels des blocages de mots-de-passe, sessions locales mal closes, etc... documentation:latest:applications:zimbra documentation:latest:applications:zimbra <s0>KERB_AUTH</s0>: AD account to generate the keytab for <a1>LL::NG</a1> server (in single mode) <s0>KERB_AUTH</s0> : compte AD pour générer la table de clefs du serveur <a1>LL::NG</a1> (en mode serveur seul) Logout Déconnexion <s7># Uncomment this line if you use portal SOAP capabilities</s7> <s7># Décommenter cette ligne si les fonctions SOAP du portail sont utilisées</s7> XSS attack detected XSS attack detected You only need a reload <a0>URL</a0> per physical servers, as Handlers share the same configuration cache on each physical server. Une <a0>URL</a0> par serveur physique est nécessaire, car les agents partagent le même cache de configuration pour chaque serveur physique. → You do not use the new configuration syntax for application list. → La nouvelle syntaxe de configuration de la liste des applications n'est pas utilisée. http://help.sap.com/saphelp_nw70/helpdata/en/d0/a3d940c2653126e10000000a1550b0/frameset.htm http://help.sap.com/saphelp_nw70/helpdata/en/d0/a3d940c2653126e10000000a1550b0/frameset.htm You need to add the <c0>Index</c0> field and can also configure the <c1>ldapAttributeIndex</c1> field to set the attribute name where index values will be stored. Il faut ajouter le champ <c0>Index</c0>, on peut aussi configurer le champ <c1>ldapAttributeIndex</c1> pour indiquer le nom d'attribut dans lequel les index doivent être stockés. Does the html page load jQuery ? La page charge-elle jQuery ? Type <c0>about:config</c0> in a tab and search for <c1>trusted</c1>. Aller à <c0>about:config</c0> dans un onglet et chercher <c1>trusted</c1>. Go in Manager and create a new OpenID Connect provider. Aller dans le Manager et créer un fournisseur OpenID-Connect. Extra claims definition Définitions réclamées supplémentaires It provides full functionality you expect from an email client, including MIME support, address book, folder manipulation, message searching and spell checking. Il fournit toutes les fonctionnalités attendues d'un client email, y compris support MIME, carnet d'adresses, manipulation des dossiers, recherche de messages et correcteur d'orthographe. In <c0>General</c0>, fill at least the following information: Dans <c0>General</c0>, remplir au moins les informations suivantes : <s0>ldapBindPassword</s0>: LDAP password. <s0>ldapBindPassword</s0> : mot-de-passe LDAP. <c0>ValveLemonLDAPNG.jar</c0> is created under <c1>/dist</c1> directory. <c0>ValveLemonLDAPNG.jar</c0> est créé dans le répertoire <c1>/dist</c1>. http://perldoc.perl.org/functions/return.html http://perldoc.perl.org/functions/return.html <a41><s42>print</s42></a41> <s43>STDERR</s43> <s44>"SOAP Error: "</s44> <s45>.</s45> <s46>$r</s46><s47>-></s47><s48>fault</s48><s49>-></s49><s50>{</s50>faultstring<s51>}</s51><s52>;</s52> <s53>}</s53> <s54>else</s54> <s55>{</s55> <a41><s42>print</s42></a41> <s43>STDERR</s43> <s44>"SOAP Error: "</s44> <s45>.</s45> <s46>$r</s46><s47>-></s47><s48>fault</s48><s49>-></s49><s50>{</s50>faultstring<s51>}</s51><s52>;</s52> <s53>}</s53> <s54>else</s54> <s55>{</s55> You can call it <c0>france-connect</c0> for example. On peut l'appeler <c0>france-connect</c0> par exemple. Parameter redirections Paramètrer les redirections By default, configuration is stored in <a0>files</a0>, so access trough network is not possible. Par défaut, la configuration est stockée dans des <a0>fichiers</a0>, donc l'accès par le réseau n'est en général pas possible. The metadata can be found at the standard “Well Known” <a0>URL</a0>: <a1>http://auth.example.com/.well-known/openid-configuration</a1> La métadonnée se trouve dans l'<a0>URL</a0> standard “Well Known” : <a1>http://auth.example.com/.well-known/openid-configuration</a1> <s3>AuthName</s3> <s4>"LL::NG Manager"</s4> <s3>AuthName</s3> <s4>"LL::NG Manager"</s4> http://www.wikipedia.org http://www.wikipedia.org _openid_<e0>id</e0> _openid_<e0>id</e0> XXXX was not found in tree XXXX was not found in tree Creation can take up to 1 hour. Cette création prend jusqu'à 1 heure. To get more information on user (name, mail, etc.), you have to read <a0>HTTP headers</a0>. Pour obtenir plus d'information sur l'utilisateur (nom, adresse de courriel, etc...), il faut lire les <a0>en-têtes HTTP</a0>. The configuration is the same as with a single AD domain. La configuration est la même que pour un domaine AD unique. Before installing the packages, install <a0>dependencies</a0>. Avant d'installer les paquets, installer les <a0>dépendances</a0>. You can set one or several <a3>IP</a3> addresses, separated by spaces, or let this parameter empty to disable the checking. Plusieurs adresses <a3>IP</a3> separées par des espaces peuvent être entrées, ou ce paramètre peut rester vide pour désactiver ce contrôle. Change the user attribute to store in Apache logs <e0>(“General Parameters » Logs » REMOTE_USER”)</e0>: use the variable declared above Changer l'attribut utilisateur à stocker dans les journaux d'Apache <e0>(“Paramètres généraux » Journaux » REMOTE_USER”)</e0> : utiliser la variable ci-dessus Go in <c0>General parameters</c0> > <c1>Portal</c1> > <c2>Captcha</c2>: Aller à <c0>Paramètres généraux</c0> » <c1>Portail</c1> » <c2>Captcha</c2> : Header name Nom d'en-tête You need to get a preauth key from Zimbra server. Il est nécessaire de récupérer une clef de pré-authentification auprès du serveur Zimbra. Restart all your remote Apache servers Redémarrer tous les serveurs Apache distants Template parameters Paramètres des modèles Other resources Autres documents You can also use the same user for all. On peut également utiliser le même compte pour tous. <s30>'lang'</s30> <s31>=></s31> <s32>'en'</s32><s33>,</s33> <s30>'lang'</s30> <s31>=></s31> <s32>'en'</s32><s33>,</s33> OBM includes Groupware, messaging server, CRM, LDAP, Windows Domain, smartphone and PDA synchronization… OBM inclut un groupware, un serveur de messagerie, un CRM, un annuaire LDAP, un domaine Windows, un dispositif de synchronisation pour smartphone et PDA… http://auth.example.com/?logout=1 http://auth.example.com/?logout=1 Note that Apache::Session::Browseable::MySQL doesn't use MySQL locks. Notez que Apache::Session::Browseable::MySQL n'utilise pas les verrous MySQL. Multi overridden parameters Paramètres surchargés pour "Multi" <s0>Cookie name</s0> (optional): name of the cookie of primary portal, if different from secondary portal <s0>Nom du cookie</s0> (optionnel) : nom du cookie du portail primaire, s'il est différent de celui du portail secondaire The # host must be matched by a group named "host". The # host must be matched by a group named "host". Must be secured by network access control. Doit être securisé par un contrôle d'accès réseau. Secure Token Handler Agent jeton sécurisé <s0>Master's <a1>IP</a1> address</s0>: the <a2>IP</a2> addresses of servers which are accredited to authenticate user. <s0>Adresse <a1>IP</a1> du maître</s0> : les adresses <a2>IP</a2> des serveurs autorisés à authentifier les utilisateurs. Let's go On y va SAML service configuration Configuration du service SAML documentation:liferay_6.png documentation:liferay_6.png <a0>RoundCube</a0> webmail is a browser-based multilingual IMAP client with an application-like user interface. Le webmail <a0>RoundCube</a0> est un client IMAP web multilingue une interface riche type application. The portal is the visible part of LemonLDAP::NG, all user interactions are displayed on it. Le portail est la partie visible de LemonLDAP::NG, toutes les interactions utilisateurs y sont affichées. <a0>DBI</a0> Login column Colonne de nom de connexion <a0>DBI</a0> casAccessControlPolicy casAccessControlPolicy Options Options Liferay virtual host Hôte virtuel Liferay localStorage localStorage spConfKey: SP configuration key spConfKey : clef de configuration du SP Sympa shared secret Secret partagé de Sympa Sympa mail session key Clef de session mail pour Sympa When <a0>writing rules and headers</a0>, you can use Perl expressions that will be evaluated in a jail, to prevent bad code execution. En <a0>écrivant des règles et en-têtes</a0>, on peut utiliser des expressions Perl qui seront évaluées dans une cage pour prévenir les codes malveillants. <s32># Or if you prefer to use CGI, use /psgi/manager-server.cgi instead of</s32> <s32># Ou pour utiliser simplement CGI, utiliser /psgi/manager-server.cgi à la place de</s32> Applications listed below are known to be easy to integrate in <a0>LL::NG</a0>. Les applications listées ci-dessous sont connues pour être faciles à intégrer à <a0>LL::NG</a0>. <s0><a1>CAS</a1> attributes</s0>: list of attributes that will be transmitted in validate response. <s0>Attributs <a1>CAS</a1></s0> : liste des attributs qui seront transmis dans les réponses validées. Example values Valeurs d'exemple cookieName cookieName kdestroy kdestroy SSLAuthnLevel SSLAuthnLevel <s0>USEDEBIANLIBS</s0>: use Debian packaged JS and <a1>CSS</a1> files <e2>(<s3>Note that this options isn't yet usable</s3> since Debian provides a too old AngularJS for now: LLNG manager needs at least version 1.4.0)</e2> <s0>USEDEBIANLIBS</s0> : utiliser les fichiers JS et <a1>CSS</a1> des paquets Debian <e2>(<s3>Noter que cette options n'est pas encore utilisable</s3> car Debian fournit une version trop ancienne de AngularJS pour l'instant : le manager LLNG nécessite à minima la version 1.4.0)</e2> He must contact his administrator. Il doit contacter son administrateur. Packages are available on the <a0>Download page</a0>. Les paquets sont disponibles sur la <a0>page de téléchargement</a0>. You can manage roles with the <a0>RBAC model</a0> or by using groups. On peut gérer les rôles avec le <a0>modèle RBAC</a0> ou en utilisant les groupes. my-profile.eu my-profile.eu Distinguished name Nom distinct (distinguished name) <s4>Order</s4> <s5>allow</s5>,<s6>deny</s6> <s4>Order</s4> <s5>allow</s5>,<s6>deny</s6> The content of the SVN tarball is not the same as the official tarball. Le contenu de l'archive SVN n'est pas le même que l'officielle. We suppose that LimeSurvey is installed in /var/www/html/limesurvey On suppose que LimeSurvey est installé dans /var/www/html/limesurvey <a0>Password database</a0>: where change password <a0>Base de données des mots-de-passe</a0> : où changer le mot-de-passe phpLDAPadmin phpLDAPadmin It is best known for their CRM products and social networking applications. Elle est connue pour ses CRM et applications de réseaux sociaux. You can use one or a combination of: On peut utiliser un ou plusieurs solution : A login is considered as successful if user get authenticated and is granted a session; as failed, if he fails to authenticate or if he is not allowed to open a session. Une connexion est considérée comme réussie si l'utilisateur est authentifié et autorisé à ouvrir une session ; comme échouée, sinon. You can use different dbiUser strings : Plusieurs chaînes dbiUser sont utilisables : <s45><s46><bean</s46> <s47>id</s47>=<s48>"userDetailsServiceWrapper"</s48> <s49>class</s49>=<s50>"org.springframework.security.userdetails.UserDetailsByNameServiceWrapper"</s50><s51>></s51></s45> <s45><s46><bean</s46> <s47>id</s47>=<s48>"userDetailsServiceWrapper"</s48> <s49>class</s49>=<s50>"org.springframework.security.userdetails.UserDetailsByNameServiceWrapper"</s50><s51>></s51></s45> Salesforce is not able to read metadata, you must fill the information into a form. Salesforce ne peut pas lire les métadatas, il faut les indiquer dans un formulaire. LemonLDAP::NG LemonLDAP::NG You can choose other Makefile targets: On peut choisir d'autres cibles du Makefile : This an experimental tool that may evolve in next releases. C'est un outil expérimental qui évoluera dans les prochaines versions. Modify the portal virtual host to match this example: Modifier l'hôte virtuel du portail comme suit : <s0>Address</s0>: set one of Google Apps <a1>URL</a1> (all Google Apps product a distinct <a2>URL</a2>), for example <a3>http://www.google.com/calendar/hosted/mydomain.org/render</a3> <s0>Address</s0> : indiquer une des <a1>URL</a1> de Google Apps (chaque application Google Apps produit une <a2>URL</a2> distincte), par exemple <a3>http://www.google.com/calendar/hosted/mydomain.org/render</a3> <s0>Display deleted sessions</s0>: display deleted sessions on authentication phase. <s0>Afficher les sessions effacées</s0> : affiche les sessions effacées lors de la phase d'authentification. vi /etc/lemonldap-ng/apache2.conf.rpmsave vi /etc/lemonldap-ng/apache2.conf.rpmsave <s1>RewriteEngine</s1> <s2>On</s2> <s1>RewriteEngine</s1> <s2>On</s2> <s0>Optimized</s0> for <a1>session explorer</a1> and <a2>single session</a2> features. <s0>Optimisé</s0> pour l'<a1>explorateur de sessions</a1> et les fonctionnalités de <a2>session unique</a2>. authorize: check if user is authorizated to access to this <a0>URL</a0> authorize : vérifie si l'utilisateur est autorisé à accèder à cette <a0>URL</a0> <s0>value</s0>: Value to check <s0>value</s0> : Valeur à chercher See full parameters list Voir la liste complète des paramètres Security Sécurité All handlers download the whole configuration, so many servers can serve the same virtual hosts Tous les agents téléchargent intégralement la configuration, donc plusieurs serveurs peuvent servir le même hôte virtuel [login] is the user login (or any other session information, <s0><a1>see below</a1></s0>) [login] est le nom de connexion (ou tout autre information de session, <s0><a1>voir ci-dessous</a1></s0>) You just have to load <a2>LL::NG</a2> FastCGI support and write a loop in the CGI. Il suffit de charger le support FastCGI de <a3>LL::NG</a3> et d'écrire une boucle dans la <a4>CGI</a4>. ✔ ✔ LL::NG based protection Protection basée sur LL::NG Define headers used in OBM mapping, for example: Definir les en-têtes utilisés pour les correspondances OBM, par exemple : In 1.3, <a0>LL::NG</a0> have a captcha feature which is used in this case. Dans la version 1.3, <a0>LL::NG</a0> dispose d'une fonctionnalité "captcha" qui est utilisée dans ce cas. ... <s3><s4></IDPSSODescriptor<s5>></s5></s4></s3> ... <s3><s4></IDPSSODescriptor<s5>></s5></s4></s3> logout_url http://sympa.example.com/wws/logout logout_url http://sympa.example.com/wws/logout You can also adapt Apache access control: On peut également adapter le contrôle d'accès d'Apache : An error occurs on server side: SERVER_ERROR (500) Une erreur est survenue côté serveur : SERVER_ERROR (500) portal/skins/common/mail_password.tpl portal/skins/common/mail_password.tpl yum localinstall lemonldap-ng-* perl-Lemonldap-NG-* yum localinstall lemonldap-ng-* perl-Lemonldap-NG-* Perl Perl <s0>Password</s0>: password to used to connect to LDAP server. <s0>Mot-de-passe</s0> : mot-de-passe à utiliser pour se connecter au serveur LDAP. If you close your session on <a0>LL::NG</a0> side, your Google session will still be open. Si on ferme la session <a0>LL::NG</a0>, celle de Google reste ouverte. It returns 1 if this match, 0 else. Elle retourne 1 si c'est bon, 0 sinon. <s0>roleKey</s0>: key in the HTTP header containing roles. <s0>roleKey</s0> : nom de l'en-tête HTTP contenant les rôles. Now configure all <a0>SAML</a0> parameters: Puis configurer tous les paramètres <a0>SAML</a0> : Add it to trustedDomains (or set <c0>*</c0> in trustedDomains to accept all). L'ajouter à trustedDomains (ou mettre <c0>*</c0> dans trustedDomains pour tout accepter). The common domain is used by <a0>SAML SP</a0> to find an Identity Provider for the user, and by <a1>SAML IDP</a1> to register itself in user's IDP list. Le domaine commun est utilisé par le <a0>SP SAML</a0> pour trouver le fournisseur d'identité de l'utilisateur et par l'<a1>IdP SAML</a1> pour s'enregistrer dans la liste des IDP. dirName dirName ^/(?i)index.php\?.*access=admin ^/(?i)index.php\?.*access=admin <s0>Location</s0>: Access Point for <a1>SSO</a1> request and response. <s0>Location</s0>: Point d'accès des requêtes et réponses <a1>SSO</a1>. <s134>//"userobm_web_list" => ,</s134> <s134>//"userobm_web_list" => ,</s134> Zimbra preauthentication <a0>URL</a0> <a0>URL</a0> de pré-authentification Zimbra Perl auto-protected CGI CGI aito-protégée Perl You can add this repository to have recent packages: Ajouter ce dépôt pour avoir les paquets les plus récents : <s0>isAuthorizedURI(cookieValue,url)</s0>: check if user is granted to access to the function <s0>isAuthorizedURI(cookieValue,url)</s0> : vérifie si l'utilisateur est autorisé à accéder à la fonction Add then extension configuration, for example: Puis, configuration de l'extension, par exemple : gender gender In this case, you can add in the Apache authentication module: Dans ce cas, il faut ajouter dans la configuratio du module Apache : http://www.limesurvey.org http://www.limesurvey.org # Keep original hostname # Conserver le nom d'hôte original Lemonldap\:\:NG \: Bad password for .* \(<HOST>\) # Option: ignoreregex # Notes.: regex to ignore. Lemonldap\:\:NG \: Bad password for .* \(<HOST>\) # Option: ignoreregex # Notes.: regex to ignore. secret secret Try also to create a global notification (to the uid “allusers”), and connect with any user, the message will be prompted. Essayer alors de créer une notification globale (à l'utilisateur “allusers”), et se connecter avec n'importe quel compte, le message sera affiché. Gigabyte Gigaoctet <s0>List</s0>: domains list (comma separated values) <s0>Liste</s0> : liste des domaines (séparés par des virgules) <s154>//"userobm_samba_home_drive" => ,</s154> <s154>//"userobm_samba_home_drive" => ,</s154> Web::ID::Certificate::Generator Web::ID::Certificate::Generator /var/lib/lemonldap-ng/sessions /var/lib/lemonldap-ng/sessions Configure Sympa virtual host like other <a0>protected virtual host</a0> but protect only magic authentication <a1>URL</a1>. Configurer l'hôte virtuel Sympa comme n'importe quel autre <a0>hôte virtuel protégé</a0> mais ne protéger que l'authentification magique. http://www.yubico.com/yubikey http://www.yubico.com/yubikey OBM_USERPASSWORD OBM_USERPASSWORD See <a0>Apache authentication module configuration</a0>. Voir la <a0>configuration du module d'authentification Apache</a0>. External portal Portail externe Configure your <a0>DNS</a0> server to resolve names with your server <a1>IP</a1>. Configurer le serveur <a0>DNS</a0> pour résoudre les noms avec l'adresse <a1>IP</a1> de votre serveur. $description eq "LDAP administrator" $description eq "LDAP administrator" POST data can be static values or computed from user's session. Les données postées peuvent être des valeurs statiques ou calculées à partir des données de session de l'utilisateur. For example, to configure the <c0>File</c0> configuration backend: Par exemple, pour configurer le backend de configuration <c0>File</c0> : Zimbra account type Type de compte Zimbra Auth-User Auth-User OBM_MAIL OBM_MAIL http://www.dokuwiki.org/ http://www.dokuwiki.org/ zimbraSsoUrl zimbraSsoUrl <s52><s53><property</s53> <s54>name</s54>=<s55>"userDetailsService"</s55> <s56>ref</s56>=<s57>"userDetailsService"</s57><s58>/></s58></s52> <s52><s53><property</s53> <s54>name</s54>=<s55>"userDetailsService"</s55> <s56>ref</s56>=<s57>"userDetailsService"</s57><s58>/></s58></s52> When session is granted, the Handler will then check the authorizations like the standard Handler. Lorsque la session est validée, l'agent examine les autorisations comme un agent standard. Backend choice by users Backend choisit par l'utilisateur CAS server Serveur CAS By default, default values are used. Sauf modification, les valeurs par défaut sont utilisées. Another <a0>LL::NG</a0> system configured with <a1>CAS authentication</a1> Un autre système <a0>LL::NG</a0> configuré avec <a1>authentification CAS</a1> <s0>Alias dereference</s0>: How to manage LDAP aliases. <s0>Déréférence d'alias</s0> : comment gérer les alias LDAP. service_id lemonldapng service_id lemonldapng We can distinguish several kind of variables: On peut distinguer plusieurs types de variables : Configure the connection string (see <a0>DBI manual page</a0>) Configurer la chaîne de connexion (voir la <a0>page de manuel DBI</a0>) Tips Astuces Display logout module Affiche le module de déconnexion Redirection to the portal of the main area and normal authentication (if not done before) Redirection vers le portail principal et authentification normale (sauf si déjà faite) For each variable, The first field is the name which will be used in rules, macros or headers and the second field is the name of the user database field. Pour chaque variable, le premier champ est le nom qui servira dans les règles, macros ou en-têtes et le second est le nom du champ dans la base de données utilisateurs. DBI DBI Soap Soap Reload virtual host: Hôte virtuel pour le rechargement : <s0>sessions/</s0>: read only access to sessions (enough for distant Handlers) <s0>sessions/</s0> : accès en lecture seule aux sessions (suffisant pour les agents distants) Roles are entries, below branches representing applications. Les rôles sont des entrées, les branches subordonnées représentant les applications. One of this module can be used to delegate authentication server to the web server: <a2>Webserver Auth</a2>. L'un de ses modules peut être utilisé pour déléger l'authentification serveur au serveur web : <a2>Webserver Auth</a2>. <<s0>IfModule</s0> mod_rewrite.c> <<s0>IfModule</s0> mod_rewrite.c> <a63><s64>print</s64></a63> <s65>"$res notification(s) have been inserted<s66>\n</s66>"</s65><s67>;</s67> <s68>}</s68> <a63><s64>print</s64></a63> <s65>"$res notification(s) have been inserted<s66>\n</s66>"</s65><s67>;</s67> <s68>}</s68> <s165>//"userobm_education" => ,</s165> <s165>//"userobm_education" => ,</s165> Portal <a0>URL</a0> is the address used to redirect users on the authentication portal by: L'<a0>URL</a0> du portail est l'adresse utilisée pour rediriger les utilisateurs bers le portail d'authentification par : Copy <c0>ValveLemonLDAPNG.jar</c0> in <c1><TOMCAT_HOME>/server/lib</c1>: Copier <c0>ValveLemonLDAPNG.jar</c0> dans <c1><TOMCAT_HOME>/server/lib</c1>: screenshots:1.1:mailreset:mailreset_step1.png screenshots:1.1:mailreset:mailreset_step1.png ...   </<s4>VirtualHost</s4>> ...   </<s4>VirtualHost</s4>> /testssl/ is a SSL protected page to check the certificate /testssl/ est une page protégée par SSL qui vérifie le certificat Lasso session dump Dump de session Lasso It looks like this: Ça ressemble à : To install them on system: Pour les installer sur le système : It must match AD policy Ça doit correspondre avec la politique de l'AD PerlInitHandler My::Handler PerlInitHandler My::Handler phpLDAPadmin will connect to the directory with a static <a0>DN</a0> and password, and so will not request authentication anymore. phpLDAPadmin se connecte au serveur avec un <a0>DN</a0> et un mot-de-passe statique et ne requiert ainsi aucune authentification. Fields to index Champs à indexer ^/admin/ ^/admin/ icons:lists.png icons:lists.png By default, if user process connection settings are empty, authentication process connection settings will be used. Par défaut, si les paramètres de processus de connexion utilisateur sont vides , ceux d'authentification seront utilisés. This message is displayed only when you upgrade from a version older than 1.0 Ce message n'est affiché que lors d'une mise à jour depuis une version inférieure à la 1.0 In General Parameters > Authentication modules, choose <c0>Apache</c0> as authentication backend. Dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> choisir Apache pour l'authentification. All identity provider protocols can be used simultaneously Tous les protocoles de fournisseur d'identité peuvent être utilisés simultanément ... <s3><s4></SPSSODescriptor<s5>></s5></s4></s3> ... <s3><s4></SPSSODescriptor<s5>></s5></s4></s3> #presentation #presentation <s0>Sign-in page <a1>URL</a1></s0>: <a2>SSO</a2> access point (HTTP-Redirect binding). <s0>Sign-in page <a1>URL</a1></s0>: point d'accès <a2>SSO</a2> (HTTP-Redirect binding). <a0>Apache Tomcat</a0> is an open source software implementation of the Java Servlet and JavaServer Pages technologies. <a0>Apache Tomcat</a0> est une implémentation libre des technologies Java Servlet et JavaServer Pages. SSLVar SSLVar Example for macros: Exemples de macros: Exploitation Exploitation <s0><a1>API</a1> key</s0>: <a2>API</a2> key from Twitter <s0>Clef d'<a1>API</a1></s0>: clef d'<a2>API</a2> donnée par Twitter Apache (Kerberos, NTLM, OTP, ...) Apache (Kerberos, NTLM, OTP, ...) As described in <a0>performances chapter</a0>, you can use macros, local macros,… Comme indiqué au <a0>chapître performances</a0>, on peut utiliser des macros, macros locales,… No configuration found No configuration found Key (<a0>LL::NG</a0> name) Clef (nom <a0>LL::NG</a0>) Use Safe Jail Utiliser la cage sécurisée <s1># DocumentRoot</s1> <s1># DocumentRoot</s1> Check Apache configuration and restart: Vérifier la configuration d'Apache et redémarrer : If you have run the Debian/Ubuntu install command, just use: Pour la commande d'installation Debian/Ubuntu, utiliser simplement : https://upgrade.yubico.com/getapikey/ https://upgrade.yubico.com/getapikey/ As LDAP is a login/password based module, the authentication level can be: Comme LDAP est un module de type login/mot-de-passe, le niveau d'authentification peut être : You then just have to add the <c0>Index</c0> parameter in <c1>General parameters</c1> » <c2>Sessions</c2> » <c3>Session storage</c3> » <c4>Apache::Session module</c4> : Il suffira juste d'ajouter le paramètre <c0>Index</c0> dans <c1>Paramètres généraux</c1> » <c2>Sessions</c2> » <c3>Stockage des sessions</c3> » <c4>Module Apache::Session</c4> : singleSession singleSession Convert HTTP header into environment variable Convertir les en-têtes HTTP en variables d'environnement http://en.wikipedia.org/wiki/Perl_Compatible_Regular_Expressions http://en.wikipedia.org/wiki/Perl_Compatible_Regular_Expressions When installing <a0>LL::NG</a0>, the Manager can only be accessed with the demo account <c1>dwho</c1>. Lorsqu'on installe <a0>LL::NG</a0>, le manager n'est accessible que via le compte de démonstration <c1>dwho</c1>. Issuer databases use rules les règles d'utilisation des bases de données des fournisseur d'identité <a0>LL::NG</a0> try to find the user in users database with the given information <a0>LL::NG</a0> tente de trouver l'utilisateur dans la base de données avec l'information donnée <s0>Logo</s0>: Logo of the RP application <s0>Logo</s0>: Logo l'application RP Set csod as Service Provider name. Mettre csod comme nom de fournisseur de service. If you use the <a0>choice backend</a0>, you need to add the choice parameter in redirect <a1>URL</a1> Si le <a0>backend choix</a0> est utilisé, il faut ajouter le paramètre choix dans l'<a1>URL</a1> de redirection Restrict network access to the database. Restreindre l'accès réseau à la base de données. Just call this <a1>URL</a1>: Lancer simplement cette <a1>URL</a1>: applications:spring_logo.png applications:spring_logo.png perl-Lemonldap-NG-Common: CPAN - Shared modules perl-Lemonldap-NG-Common : CPAN - modules partagés One of: Un parmi : Servers Servers Lemonldap::NG::Handler Lemonldap::NG::Handler Issuer: this is the LemonLDAP::NG (our IdP) Entity Id, which is by default #PORTAL#/saml/metadata Issuer : c'est l'identifiant d'entité de LemonLDAP::NG, qui est par défaut #PORTAL#/saml/metadata See the following chapters: Voir les chapîtres suivants : documentation:latest:sessions documentation:latest:sessions jQuery button selector: button.validate (if you let this parameter empty, the form will be submitted but no button will be clicked; if you set it to “none”, no button will be clicked and the form will be filled but not submitted) Sélecteur du bouton jQuery : button.validate (si vide, le formulaire sera soumis sans éulation d'un clic de bouton ; si mis à “none”, aucun clic ne sera émulé et le formulaire sera renseigné mais pas soumis) apt-get install libapache2-mod-auth-kerb apt-get install libapache2-mod-auth-kerb <s0>Hash schema</s0>: SQL method for hashing password. <s0>Schéma de hachage</s0> : méthode SQL pour hacher les mots-de-passe. Using packages, you just have to modify your <c3>/etc/default/llng-fastcgi-server</c3> (or <c4>/etc/default/lemonldap-ng-fastcgi-server</c4>) file: En utilisant les packages, il suffit de modifier le fichier <c3>/etc/default/llng-fastcgi-server</c3> (ou <c4>/etc/default/lemonldap-ng-fastcgi-server</c4>) : <a0>GRR</a0> is a room booking software. <a0>GRR</a0> est un logiciel de réservation de chambres. <s0>Password change</s0>: form to change the password <s0>Changement de mot-de-passe</s0> : formulaire de changement de mot-de-passe <s18>Order</s18> <s19>deny</s19>,<s20>allow</s20> <s18>Order</s18> <s19>deny</s19>,<s20>allow</s20> Authentication: select row in authentication table matching user and password Authentification : selectionne la ligne de la table d'authentification contenant l'utilisateur et le mot-de-passe Edit /etc/fail2ban/jail.conf Editer /etc/fail2ban/jail.conf To set a parameter, for example domain: Pour définir un paramètre, par exemple le domaine : <<s3>Directory</s3> /var/lib/lemonldap-ng/portal/> <<s3>Directory</s3> /var/lib/lemonldap-ng/portal/> Data should not contains accents or special characters, as HTTP protocol only allow <a0>ASCII</a0> values in header (but depending on the HTTP server, you can use ISO encoded values) Les données ne doivent pas contenir de caractères spéciaux, car le protocole HTTP n'autorise que les caractères <a0>ASCII</a0> dans les en-têtes (mais suivant le serveur HTTP, vous pouvez utiliser des valeurs encodées ISO) <s0>Sign <a1>SSO</a1> message</s0>: sign <a2>SSO</a2> message <s0>Signature des messages <a1>SSO</a1></s0> : signe les messages <a2>SSO</a2> #compilation #compilation gen-webid-cert.sh gen-webid-cert.sh <s0>Target attribute</s0>: name of the attribute in the groups storing the link to the user (default: member). <s0>Attribut cible</s0> : nom de l'attribut du groupe stockant le lien vers l'utilisateur (défaut: member). Next, configure SOAP for your remote servers Ensuite, configurer SOAP pour les serveurs distants To get information about current configuration: Pour obtenir quelques informations sur la configuration actuelle : Examples with a <a0>configured header</a0> named 'Auth-User': Exemples avec un <a0>en-tête configuré</a0> nommé 'Auth-User': <s1>AuthzLDAPAuthoritative</s1> <s2>On</s2> <s1>AuthzLDAPAuthoritative</s1> <s2>On</s2> You can avoid this by setting “memberOf” fields in your LDAP scheme: Vous pouvez contourner cette dificulté en utilisant les champs “memberOf” dans votre schéma LDAP : LockPassword LockPassword Define here the mapping between the <a0>LL::NG</a0> session content and the fields provided in UserInfo response. Définir ici la correspondance entre le contenu de la sessions <a0>LL::NG</a0> et les champs fournis dans la réponse UserInfo. <s0>One Time Use</s0>: set the OneTimeUse flag in authentication response (<c1><Condtions></c1>). <s0>Usage unique</s0> : active le drapeau OneTimeUse dans les réponses d'authentification (<c1><Condtions></c1>). a warning before password expiration is possible in AD, but only in GPO (Computer Configuration\Windows Settings\Local Policies\Security Options under Interactive Logon: Prompt user to change password before expiration) However it as no reality in LDAP referential. un avertissement avant expiration du mot de passe est possible dans AD, mais seuleent dans une GPO (Configuration de l'ordinateur\Paramètres Windows\Politiques locales\Options de sécurité pour le logon interactif: Demander à l'utilisateur de changer son mot de passe avant expiration). Toutefois, ça n'a pas de matérialisation dans le référentiel LDAP. vi /etc/apt/sources.list.d/lemonldap-ng.list vi /etc/apt/sources.list.d/lemonldap-ng.list SMTPAuthPass SMTPAuthPass Authentication response Réponse d'authentification For remote servers, you can use <a0>SOAP session backend</a0> in cunjunction to increase security for remote server that access through an unsecure network Pour les serveurs distants, vous pouvez utiliser le <a0>module SOAP d'accès aux sessions</a0> en complément pour augmenter la sécurité de ces serveurs qui accèdent aux sessions au travers d'un réseau non sûr <s0>manager-nginx.conf</s0>: Manager virtual host <s0>manager-nginx.conf</s0> : hôte virtuel du manager For each IDP, you can configure attributes that are collected. Pour chaque IDP, il faut configurer les attributs à collecter. <s0>CREATE</s0> <s1>TABLE</s1> sessions <s2>(</s2> <s0>CREATE</s0> <s1>TABLE</s1> sessions <s2>(</s2> $groups $groups In this case you will be able to use <c1>$_password</c1> to fill any password POST field. Dans ce cas, la variable <c1>$_password</c1> peut être utilisée dans tous les champs à envoyer. each area has 2 portals: chacune a 2 portails: aptitude install lemonldap-ng aptitude install lemonldap-ng <s0>Protected URLs</s0>: Regexp of URLs for which the secure token will be sent, separated by spaces <s0>URLs protégées</s0> : expressions régulières correspondant aux URLs pour lesquels un jeton sécurisé doit être envoyé, separées par des espaces Lemonldap::NG::Manager Lemonldap::NG::Manager <a0>LL::NG</a0> can act as an OpenID Connect Provider (OP). <a0>LL::NG</a0> peut agir comme fournisseur OpenID-Connect (OP). <s13><s14><property</s14> <s15>name</s15>=<s16>"principalRequestHeader"</s16> <s17>value</s17>=<s18>"Auth-User"</s18><s19>/></s19></s13> <s13><s14><property</s14> <s15>name</s15>=<s16>"principalRequestHeader"</s16> <s17>value</s17>=<s18>"Auth-User"</s18><s19>/></s19></s13> See <a0>how configure logging in Tomcat</a0> . Voir <a0>how configure logging in Tomcat</a0> . LimeSurvey LimeSurvey Create Salesforce domain Créer le domaine Salesforce SOAP configuration backend proxy le proxy de backend de configuration SOAP tchemineau tchemineau OpenID Connect is a protocol based on REST, OAuth 2.0 and JOSE stacks. OpenID Connect est un protocole basé sur les piles REST, OAuth 2.0 et JOSE. managerPassword managerPassword dn: cn=lmConf-1,ou=conf,ou=applications,dc=example,dc=com objectClass: top objectClass: applicationProcess cn: lmConf-1 description: {globalStorage}'Apache::Session::File' description: {cookieName}'lemonldap' description: {whatToTrace}'$uid' ... dn: cn=lmConf-1,ou=conf,ou=applications,dc=example,dc=com objectClass: top objectClass: applicationProcess cn: lmConf-1 description: {globalStorage}'Apache::Session::File' description: {cookieName}'lemonldap' description: {whatToTrace}'$uid' ... yum install perl-Authen-Radius yum install perl-Authen-Radius <s13>"auto_update_force_user"</s13> <s14>=></s14> <s15>true</s15><s16>,</s16> <s13>"auto_update_force_user"</s13> <s14>=></s14> <s15>true</s15><s16>,</s16> Then, go in <c0>Null parameters</c0>: Aller ensuite dans les <c0>paramètres Null</c0>: <a0>CAS</a0> proxied services Services mandatés de <a0>CAS</a0> SQL configuration backends Backends de configuration SQL Authentication, users and password databases Bases de données d'authentification, des utilisateurs et des mots-de-passe Edit the file “auth.conf”, for example: Éditer le fichier “auth.conf” de Sympa, par exemple : Sessions are stored as files in a single directory. Les sessions sont stockées dans des fichiers dans un unique répertoire. Add <c0><a1>https://auth.example.com</a1></c0> as trusted site. Ajouter <c0><a1>https://auth.example.com</a1></c0> comme site approuvé. Use XForwardedFor for <a0>IP</a0> Utiliser XForwardedFor comme <a0>IP</a0> cliente <c0>manager</c0> for the manager <c0>manager</c0> pour le manager <a0>phpLDAPadmin</a0> is an LDAP administration tool written in PHP. <a0>phpLDAPadmin</a0> est un outil d'administration LDAP écrit en PHP. That is why it is important to set APACHEUSER variable when you launch “make install” C'est pourquoi il est important de renseigner la variable APACHEUSER lorsqu'on lance “make install” <s0>url_logout</s0>: <a1>URL</a1> used by OBM to logout, will be caught by <a2>LL::NG</a2> <s0>url_logout</s0>: <a1>URL</a1> utilisée par OBM pour les déconnexions, sera appelée par <a2>LL::NG</a2> <a0>LL::NG</a0> Slave backend relies on HTTP headers to retrieve user login and/or attributes. Le backend Slave de <a0>LL::NG</a0> utilise les en-têtes <a1>HTTP</a1> pour récupérer le nom d'utilisateur et/ou les attributs. Kinematics: Cinématique : Storage Stockage Portal customization Personnalisation du portail <s0><s1><EntityDescriptor</s1> <s2>entityID</s2>=<s3>"http://auth.example.com/saml/metadata"</s3><s4>></s4></s0> <s0><s1><EntityDescriptor</s1> <s2>entityID</s2>=<s3>"http://auth.example.com/saml/metadata"</s3><s4>></s4></s0> Before transmission, the username and password are encoded as a sequence of base-64 characters. Avant la transmission, le nom et le mot de passe sont encodés en base-64. Put your own files instead of <c0>ow2.cert</c0>, <c1>ow2.key</c1>, <c2>ow2-ca.cert</c2>: Placer vos propres fichiers au lieu de <c0>ow2.cert</c0>, <c1>ow2.key</c1>, <c2>ow2-ca.cert</c2>: User: can answer to surveys User : peut répondre aux surveillances The portal is the main component of <a0>LL::NG</a0>. Le portail est le principal composant de <a0>LL::NG</a0>. Siteminder Authentication Siteminder Authentication When you change cookie expiration time, it is written on the user hard disk unlike session cookie Lorsqu'on change la durée de vie du cookie, il est écrit sur le disque dur de l'utilisateur contrairement à un cookie de session ################################## ###################################### When you use the multiple sessions restriction parameters, sessions are parsed for each authentication unless you use an <a0>Apache::Session::Browseable</a0> module. Lorsque sont activées les paramètres de restriction d'ouverture de session, celles-ci sont toutes examinées à chaque nouvelle authentification sauf lorsqu'un module de la famille <a0>Apache::Session::Browseable</a0> est utilisé. The script uses the <c0>editor</c0> system command, that links to your favorite editor. Ce script utilise la commande système <c0>editor</c0>, qui est liée à l'éditeur favori. <s152>//"userobm_samba_perms" => ,</s152> <s152>//"userobm_samba_perms" => ,</s152> This should be set as Default. Peut être défini par défaut. <s0>Timeout</s0>: server idle timeout. <s0>Timeout</s0> : délai maximum de connexion. documentation:ha-sessions-configuration.png documentation:ha-sessions-configuration.png <s0>Enable Single Sign-On</s0>: check the box. <s0>Enable Single Sign-On</s0>: sélectionner. ipAddr ipAddr You must register IDP metadata here. Il faut enregistrer les métadatas de l'IDP ici. http://httpd.apache.org/docs/current/mod/mod_proxy.html http://httpd.apache.org/docs/current/mod/mod_proxy.html ldapUsePasswordResetAttribute ldapUsePasswordResetAttribute Storage directory Répertoire de stockage https://metacpan.org/release/Web-ID https://metacpan.org/release/Web-ID using Apache authentication system (used for <a0>SSL</a0>, <a1>Kerberos</a1>, <a2>HTTP basic authentication</a2>, …) utilisant le système d'authentification d'Apache (utilisé pour <a0>SSL</a0>, <a1>Kerberos</a1>, l'<a2>authentification HTTP basique</a2>, …) Auth-Admin Auth-Admin remoteGlobalStorage remoteGlobalStorage <s27>'failedLoginNumber'</s27> <s28>=></s28> <s29>'5'</s29><s30>,</s30> <s27>'failedLoginNumber'</s27> <s28>=></s28> <s29>'5'</s29><s30>,</s30> Apache portal SSL configuration Configuration SSL du portail dans Apache LDAP sever can block brute-force attacks, and <a0>LL::NG</a0> will display that account is locked Le serveur LDAP peut bloquer les attaques par force brute et <a0>LL::NG</a0> affichera que le compte est bloqué <s137>//"userobm_mail_ext_perms" => ,</s137> <s137>//"userobm_mail_ext_perms" => ,</s137> Reset password by mail Réinitialisation des mots-de-passe par courriel POST data Données POST <a0>DBI</a0> UserDB connection user Compte de connexion UserDB <a0>DBI</a0> For now, ldapgroups contains “cn=admin,dmdName=groups,dc=example,dc=com cn=su,dmdName=groups,dc=example,dc=com” Pour l'instant, ldapgroups contient “cn=admin,dmdName=groups,dc=example,dc=com cn=su,dmdName=groups,dc=example,dc=com” In this case, you can choose a different module to manage <a1>SAML</a1> sessions. Dans ce cas, vous devez utiliser un module différent pour gérer les sessions <a1>SAML</a1>. See <a0>Manager protection documentation</a0> to know how to use Apache modules or <a1>LL::NG</a1> to manage access to Manager. Voir la <a0>documentation de protection du manager</a0> pour savoir comment utiliser les modules d'Apache ou <a1>LL::NG</a1> pour gérer l'accès au manager. The <a0>LDAP schema extension</a0> can be used to store these values L'<a0>extension de schéma LDAP</a0> peut être utilisée pour stocker ces valeurs. Mail reset request timeout Délai maximal des requêtes de réinitialisation des mails An example is given under the source tree : lemonldap-ng-portal/example/index.fcgi Un exemple est disponible dans l'arborescence des sources : lemonldap-ng-portal/example/index.fcgi Finally, just ensure that at least: Finalement, vérifier que : You have to create the branch by yourself Il faut toutefois créer manuellement la branche Go to <c0>Configuration</c0> » <c1>Authentication</c1>: Aller dans <c0>Configuration</c0> » <c1>Authentication</c1>: For example, if you are using <a0>AD as authentication backend</a0>, you can use sAMAccountName for the Windows NameID format. Par exemple, si vous utilisez <a0>Active-Directory comme système d'authentification</a0>, vous pouvez utiliser sAMAccountName come format de NameID Windows. <s11># Perl script</s11> <s11># Perl script</s11> Crypt::OpenSSL::RSA Crypt::OpenSSL::RSA DNS DNS SAML assertion Assertion SAML You just have to share configuration and sessions databases between those servers: Il faut juste partager les bases de données de configuration et des sessions entre ces serveurs : Follow the <a0>next steps</a0>. Suivre les <a0>étapes suivantes</a0>. Manager protection Protection du manager documentation:liferay_5.png documentation:liferay_5.png <s0><a1>PGT</a1> file</s0>: temporary file where proxy tickets are stored (by default, <c2>/tmp/pgt.txt</c2>) <s0>Fichier <a1>PGT</a1></s0> : fichier temporaire où les tickets de proxy sont stockés (par défaut, <c2>/tmp/pgt.txt</c2>) CDBI / RDBI CDBI / RDBI Before enabling Manager protection by <a0>LL::NG</a0>, you must have configured how users authenticate on Portal, and test that you can log in without difficulties. Avant d'activer la protection du manager par <a0>LL::NG</a0>, il faut avoir configuré la méthode d'authentification sur le portail et véifier qu'on peut s'y connecter sans difficultés. Yubikey authentication level Niveau d'authentification de Yubikey Regular expression Expression régulière checkXSS checkXSS The GPG key can be downloaded here: <a0>rpm-gpg-key-ow2</a0> La clef GPG peut être téléchargée ici : <a0>rpm-gpg-key-ow2</a0> enable http_authentication plugin in main.inc.php : activer le plugin http_authentication dans main.inc.php : Portal recognizes the user with its <a0>SSO cookies</a0>, and see he is coming from a different domain Le portail reconnaît l'utilisateur par son <a0>cookie SSO</a0> et voit qu'il sollicite une application d'un domaine différent You can check these documentations to get more information: Pour en savoir plus : etc. etc... <a0>LL::NG</a0> provides a valve, available on <a1>download page</a1>. <a0>LL::NG</a0> fournit une valve, disponible sur <a1>page de téléchargement</a1>. <s0>default_access</s0> (optional): what result to return if <s1>logon_hours</s1> is empty <s0>default_access</s0> (optionnel) : resultat à retourner si <s1>logon_hours</s1> est vide Deletion example in Perl Exemple d'effacement en Perl Configure sessions specificities Configurer les spécificités des sessions Read/Write functions (index.pl/adminSessions paths): Fonctions en lecture/écriture (chemin index.pl/adminSessions) : rpm --import rpm-gpg-key-ow2 rpm --import rpm-gpg-key-ow2 With tarball installation, Apache configuration files will be installed in <c0>/usr/local/lemonldap-ng/etc/</c0>, else they are in <c1>/etc/lemonldap-ng</c1>. Depuis une installation par les sources, les fichiers de configuration d'Apache se trouvent dans <c0>/usr/local/lemonldap-ng/etc/</c0>, sinon, ils sont dans <c1>/etc/lemonldap-ng</c1>. The two domains must be defined in <c0>/etc/krb5.conf</c0>: Les deux domaines doivent être définis dans <c0>/etc/krb5.conf</c0> : Activate auto accept timer Activer le compte-à-rebours d'acceptation automatique <s0>Resolution Rule</s0>: rule that will be applied to preselect an IDP for a user. <s0>Règle de résolution</s0> : règle à appliquer pour pré-sélectionner cet IDP. <s0>allows</s0> (optional): Define allowed remote <a1>IP</a1> (use “,” separator for multiple <a2>IP</a2>). <s0>allows</s0> (optionnel) : Definit les adresses <a1>IP</a1> autorisées (ustiliser le séparateur ”,” pour de multiples <a2>IP</a2>). Then edit MediaWiki local settings Éditer ensuite les paramètres locaux MediaWiki For Active Directory, the default authentication filter is: Pour Active Directory, le filtre d'authentification par défaut est : login login Notification send function (index.pl/notification): Fonction d'envoi de notifications (index.pl/notification): # Insert then your configuration (fastcgi_* or proxy_*) # Insérer ensuite la configuration (fastcgi_* ou proxy_*) <s0>Key</s0>: internal session key, can be prefixed by <c1>!</c1> to make the attribute required <s0>Clef</s0> : clef de session interne, peut être prefixé par <c1>!</c1> pour exiger ces attributs Configuration parameters are: Les paramètres de configuration sont : Dynamic registration Enregistrement dynamique Display other sessions Affiche les autres sessions <s0>RDBI</s0> : triple store storage <s0>RDBI</s0> : stockage en triplets <s0>Login field name in user table</s0>: name of user table column hosting login <s0>Nom du champ login dans la table utilisateur</s0> : nom de la colonne de la table utilisateur contenant le login "\@example.com" "\@example.com" <s0>.js</s0>: Javascript <s0>.js</s0>: Javascript <s131>//"userobm_expresspostal" => ,</s131> <s131>//"userobm_expresspostal" => ,</s131> rtyler rtyler Usage Utilisation Allow no certificate to chain with other authentication methods Autoriser les clients sans certificat dans le chaînage avec d'autres méthodes d'authentification This How To explains how change this default behavior to protect Manager with other rules. Ce document explique comment changer ce comportement par défaut pour protéger le manager avec d'autres règles. http://httpd.apache.org/docs/2.2/mod/mod_rewrite.html http://httpd.apache.org/docs/2.2/mod/mod_rewrite.html <a0>LL::NG</a0> can use two tables: <a0>LL::NG</a0> peut utiliser deux tables : <s0>Display</s0>: Value of display parameter (example: page) <s0>Affichage</s0> : valeur du paramètre d'affichage (exemple : page) <s18>DirectoryIndex</s18> index.pl index.html <s18>DirectoryIndex</s18> index.pl index.html <a0>SAML</a0> token Jeton <a0>SAML</a0> MD5 MD5 install_handler_libs install_handler_libs <<s1>Location</s1> /status> <<s1>Location</s1> /status> Password -> ... Password -> ... Then list the tickets: Lister ensuite les tickets : Bugzilla virtual host Hôte virtuel Bugzilla unprotect unprotect You need to restart Tomcat to apply changes. Un redémarrage de Tomcat est nécessaire pour appliquer les changements. openssl req -new -key lemonldap-ng-priv.key -out cert.csr openssl x509 -req -days 3650 -in cert.csr -signkey lemonldap-ng-priv.key -out cert.pem openssl req -new -key lemonldap-ng-priv.key -out cert.csr openssl x509 -req -days 3650 -in cert.csr -signkey lemonldap-ng-priv.key -out cert.pem Configure Single Sign On cookie and portal URL Configurer le cookie SSO (Single Sign On) et l'URL du portail Install the package <c0>lemonldap-ng-conf</c0> on all server which contains one of those packages. Installer le paquet <c0>lemonldap-ng-conf</c0> sur tous les serveurs qui contiennent un de ces paquets. Session opening Ouverture de session <s23># You can choose any FastCGI system. <s23># On peut utiliser n'importe quel système FastCGI. Rule for session granting Règle pour l'autorisation d'ouverture de session When all is ok, click on <c0>Save</c0>. Lorsque tout est bon, cliquer sur <c0>Sauver</c0>. <s0>start</s0>: Start date (GMT) <s0>start</s0> : date de début (GMT) In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Choice for authentication. Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir Choice pour l'authentification. Link files into <c0>sites-available</c0> directory (should already have been done if you used packages): Créer les lliens symboliques dans le dossier <c0>sites-available</c0> (devrait être effectué automatiquement avec les packages): A virtual host contains: Un hôte vituel contient : mysuperpassword mysuperpassword Unoptimized for <a0>session explorer</a0> and <a1>single session</a1> features. Pas optimisé pour l'<a0>exlorateur de sessions</a0> et les fonctionnalités de <a1>session unique</a1>. File File And with Nginx: Et avec Nginx: mailUrl mailUrl Radius Radius In Portal virtual host, you will find several configuration parts: Dans l'hôte virtuel du portail se trouve plusieurs éléments de configuration : <a0>LL::NG</a0> will then display a form with an OpenID input, wher users will type their OpenID login. <a0>LL::NG</a0> affiche alors un formulaire dans lequel les utilisateurs peuvent entrer leur identifiant OpenID. You can set the default access to: Il est possible de mettre l'accès par défaut à : <s38>'templatelist'</s38> <s39>=></s39> <s40>'default,basic,MyOrgTemplate'</s40><s41>,</s41> <s38>'templatelist'</s38> <s39>=></s39> <s40>'default,basic,MyOrgTemplate'</s40><s41>,</s41> An example of its content: Un exemple de son contenu : Write custom functions library Écrire une librairie de fonctions personnalisées Authentication and UserDB Authentification et base d'utilisateurs Windows Windows <s0>Path</s0>: keep <c1>^/cas/</c1> unless you have change <a2>Apache portal configuration</a2> file. <s0>Chemin</s0> : laisser <c1>^/cas/</c1> sauf si le fichier de <a2>configuration Apache du portail</a2> a été modifiée. ^/logout ^/logout <s0># Best performance under ModPerl::Registry</s0> <s1># Uncomment this to increase performance of Portal</s1> <Perl> <s0># Meilleures performances sous ModPerl::Registry</s0> <s1># A décommenter pour augmenter les performances du portail</s1> <Perl> <s0>Authorizated domain</s0>: <s0>Domaines autorisés</s0> : All data is stored in plain text files – no database is required. Toutes les données sont stockées dans des fichiers texte, aucune base de données n'est nécessaire. Zimbra Zimbra It is particularly important for smart cards: when the card is not inserted before the browser starts, the user must restart his browser, or at least refresh (F5) the page. C'est particulièrement important pour les cartes à puce : lorsqu'elle n'est pas insérée avant que le navigateur ne démarre, l'utilisateur doit redémarrer ce dernier, ou au moins recharger la page (F5). _idpConfKey _idpConfKey Notification uid for all users Nom de compte de notification pour tous les utilisateurs <s0>Use rule</s0>: a rule to allow user to use this module, set to 1 to always allow. <s0>Règle d'utilisation</s0> : une règle pour autoriser l'usage de ce module, mettre 1 pour toujours l'autoriser. portal/skins/common/mail_confirm.tpl portal/skins/common/mail_confirm.tpl An Apache restart will work, but LemonLDAP::NG offers the mean to reload them through an HTTP request. Un redémarrage d'Apache marchera, mais LemonLDAP::NG offre le moyen de les recharger via une requête HTTP. <s0>ERASECONFIG</s0>: set to 0 if you want to keep your configuration files (default: 1) <s0>ERASECONFIG</s0> : mettre à 0 pour conserver les fichiers de configuration (défaut : 1) <s0>headers_map</s0>: map OBM internal field to <a1>LL::NG</a1> header <s0>headers_map</s0>: établit la correspondance entre les champs internes d'OBM et les en-têtes <a1>LL::NG</a1> <s0>Mail filter</s0>: Filter to find user from its mail (default: <c1>(&(mail=$mail)(objectClass=inetOrgPerson))</c1>) <s0>Filtre mail</s0> : filtre pour trouver l'utilisateur à partir de son mail (défaut: <c1>(&(mail=$mail)(objectClass=inetOrgPerson))</c1>) Web based for normal users: Basé sur du web pour les utilisateurs normaux : <a0>URI</a0> the html form is sent to L'<a0>URI</a0> vers laquelle le formulaire est envoyé For Debian/Ubuntu with Apache2, you can use: Pour Debian/Ubuntu avec Apache2, utiliser : <s7># CAS Issuer</s7> <s7># Fournisseur d'identité CAS</s7> <s0><s1>[</s1>configuration<s2>]</s2></s0> <s3>type</s3> <s4>=</s4><s5> JSONFile</s5> <s6>dirName</s6> <s7>=</s7><s8> /var/lib/lemonldap-ng/conf</s8> <s0><s1>[</s1>configuration<s2>]</s2></s0> <s3>type</s3> <s4>=</s4><s5> JSONFile</s5> <s6>dirName</s6> <s7>=</s7><s8> /var/lib/lemonldap-ng/conf</s8> <s16>'full_name'</s16> <s17>=></s17> <s18>$_SERVER</s18><s19>[</s19><s20>'HTTP_AUTH_CN'</s20><s21>]</s21><s22>,</s22> <s16>'full_name'</s16> <s17>=></s17> <s18>$_SERVER</s18><s19>[</s19><s20>'HTTP_AUTH_CN'</s20><s21>]</s21><s22>,</s22> <a0>API</a0> Name: filled automatically <a0>API</a0> Name : renseigné automatiquement Official repository Dépôt officiel Configuration and sessions in MySQL Configuration et sessions dans MySQL <a0>Memcached</a0> can be used with <a1>LL::NG</a1>, but some features will not work since Memcached doesn't provide any parsing system: <a0>Memcached</a0> peut être utilisé avec <a1>LL::NG</a1>, mais quelques fonctionnalités ne marcheront pas car Memcached ne fournit pas de dispositif de parcours des données : Parameters for <a0>DBI</a0> backend are the same as <a1>DBI configuration backend</a1>. Les paramètres pour le backend <a0>DBI</a0> sont les mêmes que ceux du <a1>backend de configuration DBI</a1>. notifyOther notifyOther Then, go in <c0>WebID parameters</c0>: Ensuite, aller dans les <c0>paramètres WebID</c0>: _lastAuthnUTime _lastAuthnUTime authenticate: check if user is authenticated; if not, redirect it to the portal authenticate : vérifie que l'utilisateur est authentifié ; sinon, il est redirigé vers le portail <s157>"userobm_ext_id"</s157> <s158>=></s158> <s159>"HTTP_OBM_SERIALNUMBER"</s159><s160>,</s160> <s157>"userobm_ext_id"</s157> <s158>=></s158> <s159>"HTTP_OBM_SERIALNUMBER"</s159><s160>,</s160> <s0>manager-apache2.conf</s0>: Manager virtual host <s0>manager-apache2.conf</s0> : hôte virtuel du manager <s54>//"userobm_password_type" => ,</s54> <s54>//"userobm_password_type" => ,</s54> <s0>table</s0>: Notifications table name. <s0>table</s0> : nom de la table des notifications. Read the service ticket: Lire le ticket de service : The log level can be set with Apache <c0>LogLevel</c0> parameter. Le niveau de journalisation peut être configuré via le paramètre <c0>LogLevel</c0> d'Apache. Zimbra can also be connected to <a0>LL::NG</a0> via <a1>SAML protocol</a1> (see <a2>Zimbra blog</a2>). Zimbra peut aussi être connecté à <a0>LL::NG</a0> via le <a1>protocole SAML</a1> (voir le <a2>blog de Zimbra</a2>). Logout user from Lemonldap::NG and redirect it to http://intranet/ Déconnecte l'utilisateur de Lemonldap::NG le redirige vers http://intranet/ install_examples_site (/usr/local/lemonldap-ng/examples) install_examples_site (/usr/local/lemonldap-ng/examples) Cross Domain Authentication (CDA) Authentification inter-domaines (CDA) Set <c0>Email</c0> in <c1>Options</c1> » <c2>Authentication Response</c2> » <c3>Default NameID format</c3> Mettre <c0>Email</c0> dans <c1>Options</c1> » <c2>Réponse d'authentification</c2> » <c3>Format NameID par défaut</c3> Steps: Étapes : Access rule in virtual host Règle d'accès à un hôte virtuel Attribute storing session content Attribut où stocker le contenu de la session lemonldap-ng-fr-doc: French translation for documentation lemonldap-ng-fr-doc : traduction en français de la documentation Sybase Sybase You should be prompted to enter password. Un mot-de-passe peut être demandé. Core modules must be installed on the system. Les modules "core" doivent être installés sur le système. ^/pub/admin/ ^/pub/admin/ A mail with a token is sent to user Un courriel avec une valeur est envoyé à l'utilisateur The Manager let you define comments in rules, to order them: Le manager permet de définir des commentaires de règles, ce qui permet de les ordonner : <s0><Valve</s0> <s1>className</s1>=<s2>"org.lemonLDAPNG.SSOValve"</s2> <s3>userKey</s3>=<s4>"AUTH-USER"</s4> <s5>roleKey</s5>=<s6>"AUTH-ROLE"</s6> <s7>roleSeparator</s7>=<s8>","</s8> <s9>allows</s9>=<s10>"127.0.0.1"</s10><s11>/></s11> <s0><Valve</s0> <s1>className</s1>=<s2>"org.lemonLDAPNG.SSOValve"</s2> <s3>userKey</s3>=<s4>"AUTH-USER"</s4> <s5>roleKey</s5>=<s6>"AUTH-ROLE"</s6> <s7>roleSeparator</s7>=<s8>","</s8> <s9>allows</s9>=<s10>"127.0.0.1"</s10><s11>/></s11> http://search.cpan.org/perldoc?Apache::Session http://search.cpan.org/perldoc?Apache::Session <s19># SSO protection</s19> <s19># Protection SSO</s19> Store password in session Stockage du mot-de-passe en session These parameters can be overwritten in LemonLDAP::NG ini file, in the section <c0>apply</c0>. Ces paramètres peuvent être surchargés dans le fichier ini de LemonLDAP::NG ini file, à la section <c0>apply</c0>. Target <a0>URI</a0>: /process.php (if you let this parameter empty, target <a1>URI</a1> is supposed to be the same as form page <a2>URI</a2>) <a0>URI</a0> cible : /process.php (en laissant ce paramètre vide, l'<a1>URI</a1> cible est supposée être la même que celle du formulaire) Protection scheme Schéma de protection http://search.cpan.org/~massyn/Auth-Yubikey_WebClient/ http://search.cpan.org/~massyn/Auth-Yubikey_WebClient/ default default <s0>Server <a1>URL</a1></s0>: <a2>CAS</a2> server <a3>URL</a3> (must use https://) <s0><a1>URL</a1> du serveur</s0> : <a3>URL</a3> du serveur <a2>CAS</a2> (doit utiliser https://) You can refer to <a0>parameter list</a0> to find it. Se référer à la <a0>liste des paramètres</a0> pour le trouver. icons:access.png icons:access.png <a0>LL::NG</a0> uses <a1>Apache SSL module</a1>, like any other <a2>Apache authentication module</a2>, with extra features: <a0>LL::NG</a0> utilise le <a1>module SSL d'Apache</a1>, comme n'importe quel <a2>module d'authentification d'Apache</a2> avec quelques fonctionnalités supplémentaires : <s0>Client secret</s0>: Client secret given by OP <s0>Secret client</s0> : secret client donné par l'OP Secondary portal check if remote session is available. Le portail secondaire vérifie que la session distante est valable. You can also modify list of exported variables. On peut également modifier la liste des variables exportées. Apache configuration files are in /etc/lemonldap-ng and linked in /etc/apache2/sites-available Les fichiers de configuration Apache se trouvent dans /etc/lemonldap-ng et liés dans /etc/apache2/sites-available Be sure that mod_rewrite is installed and that SAML2 rewrite rules are activated in <a0>Apache portal configuration</a0>: Assurez-vous que mod_rewrite est installé et que les règles de réécriture SAML2 sont activées dans la <a0>configuration Apache du portail</a0>: Then set: et indiquez : <s105>"userobm_service"</s105> <s106>=></s106> <s107>"HTTP_OBM_OU"</s107><s108>,</s108> <s105>"userobm_service"</s105> <s106>=></s106> <s107>"HTTP_OBM_OU"</s107><s108>,</s108> documentation:googleapps-sso.png documentation:googleapps-sso.png <s0>Mail field name</s0>: name of authentication table column hosting mail (for password reset) <s0>Nom du chmap mail</s0> : nom de la colonne de la table d'authentification contenant le mail (pour la réinitialisation du mot-de-passe) Consent to share attribute <e0>id</e0> trough OpenID Consentement de partage de l'attribut <e0>id</e0> via OpenID install_portal_site (/usr/local/lemonldap-ng/htdocs/portal) install_portal_site (/usr/local/lemonldap-ng/htdocs/portal) Advantages: Avantages : You can also use yum on local RPMs file: On peut aussi utiliser yum sur des fichiers RPMs locaux : If you are protecting Drupal with <a0>LL::NG</a0> as reverse proxy, <a1>convert header into REMOTE_USER environment variable</a1>. Si Drupal est protégé par un reverse-proxy <a0>LL::NG</a0>, <a1>convertir l'en-tête en variable d'environnement REMOTE_USER</a1>. dbiUserUser dbiUserUser Check configStorage and configStorageOptionsor file permissions. Vérifier les options configStorage and configStorageOptions ou les droits associés à ces fichiers. Other Autres You need to activate LDAP authentication, else <a0>SSO</a0> authentication will not work. Il faut activer l'authentification LDAP sinon l'authentification <a0>SSO</a0> ne marchera pas. <s0>getCookies(user,password)</s0>: authentication system. <s0>getCookies(user,password)</s0> : système d'authentification. With the above solution, all the Drupal site will be protected, so no anonymous access will be allowed. Avec la solution ci-dessus, tout le site Drupal sera protégé, ainsi aucun accès anonyme ne sera autorisé. <a0>SAML</a0> Session backend options Options du module de stockage <a0>SAML</a0> Go in Manager, <c0>General parameters</c0> » <c1>Advanced parameters</c1> » <c2>Logout forward</c2> and click on <c3>Add a key</c3>, then fill: Aller dans le manager, <c0>Paramètres généraux</c0> » <c1>Paramètres avancés</c1> » <c2>Transfert de la déconnexion</c2> et cliquer sur <c3>Ajouter une clef</c3>, renseigner ensuite : OBM_GROUPS OBM_GROUPS Kerberos Kerberos <s163>//"userobm_nomade_dateend" => ,</s163> <s163>//"userobm_nomade_dateend" => ,</s163> OpenID Connect Service Service OpenID-Connect A session key can be associated to more than one SREG attribute. Une clef de session peut être associée à un ou plusieurs attributs SREG. Google Apps has a configuration parameter to redirect user on a specific <a0>URL</a0> after Google Apps logout (see <a1>Google Apps control panel</a1>). Google Apps ne dispose pas de paramètre de configuration pour rediriger les utilisateurs vers une <a0>URL</a0> spécifique après la déconnexion Google Apps (voir <a1>Google Apps control panel</a1>). Proxy portal <a0>URL</a0> <a0>URL</a0> du portail mandataire Reload the Manager to see the order that will be used Recharger le manager pour voir l'ordre dans lequel elles seront appliquées Session expiration Expiration des sessions Configure LemonLDAP::NG to use MySQL as main database Configurer LemonLDAP::NG pour utiliser MySQL comme base de données principale Display applications list Affiche la liste des applications You can download the code here: <a0>https://www.mediawiki.org/wiki/Special:ExtensionDistributor/Auth_remoteuser</a0> Il est possible de télécharger le code source ici : <a0>https://www.mediawiki.org/wiki/Special:ExtensionDistributor/Auth_remoteuser</a0> This option can then be overridden for each Service Provider. Cette option peut être surchargée pour chaque fournisseur de service. ^/caldav ^/caldav It is possible with AJAX code and 3 Apache locations to bypass this limitation. Il est possible d'éviter ceci avec un code AJAX et 3 "locations" Apache. Use custom functions Utiliser les fonctions personnalisées Import custom functions in LemonLDAP::NG Importer les fonctions personnalisées dans LemonLDAP::NG If so, get a jQuery selector for the form you want to post Si oui, donner un sélecteur à jQuery identifiant le bon formulaire <s0>Redirection addresses</s0>: Space separated list of redirect addresses allowed for this RP <s0>Adresses de redirection</s0> : liste d'adresses de redirection autorisées pour ce RP, séparées par des espaces Secure Token expiration Expiration du jeton sécurisé If using <a0>LL::NG</a0> as reverse proxy, configure also the <c1>Auth-User</c1> <a2>header</a2>, Si <a0>LL::NG</a0> est utilisé par reverse-proxy, configurer l'<a2>en-tête</a2> <c1>Auth-User</c1>, <s0>Session key containing mail address</s0>: name of the session key containing email address. <s0>Clef de session contenant l'adresse mail</s0> : nom de la clef de session contenant l'adresse de courriel. <s7>Allow</s7> from <s8>all</s8> <s7>Allow</s7> from <s8>all</s8> string chaîne After configuring <a0>SAML</a0> Service, you can export metadata to your partner Service Provider. Après avoir configuré le service <a0>SAML</a0>, exporter les métadonnéesvers le fournisseur de service partenaire. <a0>Bugzilla</a0> is server software designed to help you manage software development. <a0>Bugzilla</a0> est un logiciel serveur conçu pour assister la gestion de développement logiciel. In the Manager, go in <c0>General Parameters</c0> » <c1>Issuer modules</c1> » <c2>OpenID</c2> and configure: Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules fournisseurs</c1> » <c2>OpenID</c2> et configurer : To protect a virtual host in Apache, the LemonLDAP::NG Handler must be activated (see <a0>Apache global configuration</a0>). Pour protéger un hôte virtuel dans Apache, l'agent LemonLDAP::NG doit être activé (voir <a0>configuration globale d'Apache</a0>). phpLDAPadmin will have no idea of the user connected to the WebSSO. phpLDAPadmin ne connaît donc pas le nom du l'utilisateur connecté au WebSSO. Do you we have to present <a0>Google</a0>? Devons-nous présenter <a0>Google</a0> ? <a39><s40>print</s40></a39> <s41>STDERR</s41> <s42>"SOAP Error: "</s42> <s43>.</s43> <s44>$r</s44><s45>-></s45><s46>fault</s46><s47>-></s47><s48>{</s48>faultstring<s49>}</s49><s50>;</s50> <s51>}</s51> <s52>else</s52> <s53>{</s53> <a39><s40>print</s40></a39> <s41>STDERR</s41> <s42>"SOAP Error: "</s42> <s43>.</s43> <s44>$r</s44><s45>-></s45><s46>fault</s46><s47>-></s47><s48>{</s48>faultstring<s49>}</s49><s50>;</s50> <s51>}</s51> <s52>else</s52> <s53>{</s53> You should have configured <a0>LL::NG</a0> as a <a1>SAML Identity Provider</a1>. Il est nécessaire d'avoir configuré <a0>LL::NG</a0> comme <a1>fournisseur d'identité SAML</a1>, You should change the <c0>Allow</c0> directive to match administration <a1>IP</a1>, or use another Apache protection mean. On peut changer la directive <c0>Allow</c0> pour réserver l'adresse <a1>IP</a1> d'administration, ou utiliser une autre protection. soapAuthService soapAuthService To test this, you can build your own WebID certificate using one of : Pour tester ceci, on peut se construire son propre certificat WebID en utilisant au choix : <s0>Allowed modules</s0>: click on <c1>New chain</c1> to add a choice. <s0>Modules autorisés</s0> : cliquer sur <c1>Nouveau choix</c1> pour ajouter un choix. The NameID is the main user identifier, carried in <a1>SAML</a1> messages. NameID est l'identifiant principal de l'utilisateur transmis dans les messages <a1>SAML</a1>. Configure LemonLDAP::NG to use LDAP as main database Configurer LemonLDAP::NG pour utiliser LDAP comme base de données principale Easy to share between servers with remote LDAP access Facilité de partage entre serveurs avec un accès LDAP distant RHEL/CentOS/Fedora RHEL/CentOS/Fedora customheader.tpl : <a0>HTML</a0> code int the header div customheader.tpl : code <a0>HTML</a0> inséré dans le div d'en-tête Registered users on CSOD with the same email than those used by <a0>LL::NG</a0> (email will be the NameID exchanged between CSOD and <a1>LL::NG</a1>) Enregistrer les utilisateurs dans CSOD avec la même adresse mail que celle utilisée dans <a0>LL::NG</a0> (l'adresse mail sera le NameID échangé entre CSOD et <a1>LL::NG</a1>) Service Provider Fournisseur de service How it works Fonctionnement Demonstration backend has hard coded user accounts: Le backend de démonstration dispose de compte codés en dur : The configuration name is the same that files, so lmConf-1, lmConf-2, etc. Le nom de la configuration est le même que pour File : lmConf-1, lmConf-2, etc... Password expiration warning workflow Procédé d'avertissement avant expiration du mot-de-passe YUM repository Dépôt YUM Configuration overview Vue d'ensemble de la configuration <s0>Portal</s0>: the portal redirect on itself in many cases (credentials POST, <a1>SAML</a1>, etc.) le <s0>portail</s0> : le portail redirige vers lui-même dans plusieurs cas (POST d'authentification, <a1>SAML</a1>, etc...) <s0>Want Authentication Request Signed</s0>: set to On to require that received authentication request are signed. <s0>Exiger des requêtes d'authentification signées</s0> : mettre à « activer » pour exiger de recevoir des requêtes d'authentification signées. LemonLDAP::NG configuration can be managed in a local file with <a0>INI format</a0>. La configuration LemonLDAP::NG peut être gérée par un fichier local au <a0>format INI</a0>. http://search.cpan.org/~manowar/RadiusPerl-0.12/Radius.pm http://search.cpan.org/~manowar/RadiusPerl-0.12/Radius.pm Distinguished Name Distinguished Name ldapVersion ldapVersion Indeed, a virtual host can contain several applications (<a1>http://vhost.example.com/appli1</a1>, <a2>http://vhost.example.com/appli2</a2>). En effet, un hôte virtuel peut contenir plusieurs applications (<a1>http://vhost.example.com/appli1</a1>, <a2>http://vhost.example.com/appli2</a2>). http://test1.example.com/status http://test1.example.com/status Database must be prepared exactly like in <a0>SQL session backend</a0> except that a field must be added for each data to index. La base de donnée doit être préparée exactement comme celle du <a0>backend de session SQL</a0> si ce n'est qu'un champ doit être ajouté pour chaque donnée à indexer. If this regex matches, the line is ignored. Si cette expression régulière correspond, la ligne est ignorée. Other NameID formats are automatically managed: Les autres formats de NameID sont automatiquement gérés : User module Module utilisateurs Secure reverse-proxies Securiser les proxies inverses Prepare the database and the LL::NG configuration file Preparer la base de donnée et le fichier de configuration LL::NG Underscore characters are also replaced by spaces. Les caractères « _ » sont alors remplacés par des espaces. # OR # OU You can then access to the configuration of this RP. On peut ensuite accéder à la configuration de ce RP. http://www.yubico.com http://www.yubico.com <s64>"userobm_firstname"</s64> <s65>=></s65> <s66>"HTTP_OBM_GIVENNAME"</s66><s67>,</s67> <s68>// "userobm_title" => "HTTP_OBM_TITLE",</s68> <s64>"userobm_firstname"</s64> <s65>=></s65> <s66>"HTTP_OBM_GIVENNAME"</s66><s67>,</s67> <s68>// "userobm_title" => "HTTP_OBM_TITLE",</s68> <s11>'loginHistoryEnabled'</s11> <s12>=></s12> <s13>'1'</s13><s14>,</s14> <s11>'loginHistoryEnabled'</s11> <s12>=></s12> <s13>'1'</s13><s14>,</s14> -iniFile: the lemonldap-ng.ini file to use if not default value. -iniFile : le fichier lemonldap-ng.ini à utiliser si ce n'est pas la valeur par défaut. <s0><s1><?xml</s1> <s2>version</s2>=<s3>"1.0"</s3> <s4>encoding</s4>=<s5>"UTF-8"</s5> <s6>standalone</s6>=<s7>"no"</s7><s8>?></s8></s0> <s9><s10><root<s11>></s11></s10></s9> <s12><s13><notification</s13> <s14>uid</s14>=<s15>"foo.bar"</s15> <s16>date</s16>=<s17>"2009-01-27"</s17> <s18>reference</s18>=<s19>"ABC"</s19><s20>></s20></s12> <s21><s22><title<s23>></s23></s22></s21>You have new authorizations<s24><s25></title<s26>></s26></s25></s24> <s27><s28><subtitle<s29>></s29></s28></s27>Application 1<s30><s31></subtitle<s32>></s32></s31></s30> <s33><s34><text<s35>></s35></s34></s33>You have been granted to access to appli-1<s36><s37></text<s38>></s38></s37></s36> <s39><s40><subtitle<s41>></s41></s40></s39>Application 2<s42><s43></subtitle<s44>></s44></s43></s42> <s45><s46><text<s47>></s47></s46></s45>You have been granted to access to appli-2<s48><s49></text<s50>></s50></s49></s48> <s51><s52><subtitle<s53>></s53></s52></s51>Acceptation<s54><s55></subtitle<s56>></s56></s55></s54> <s57><s58><check<s59>></s59></s58></s57>I know that I can access to appli-1 <s60><s61></check<s62>></s62></s61></s60> <s63><s64><check<s65>></s65></s64></s63>I know that I can access to appli-2 <s66><s67></check<s68>></s68></s67></s66> <s69><s70></notification<s71>></s71></s70></s69> <s72><s73><notification</s73> <s74>uid</s74>=<s75>"allusers"</s75> <s76>date</s76>=<s77>"2009-01-27"</s77> <s78>reference</s78>=<s79>"disclaimer"</s79> <s80>condition</s80>=<s81>"$ipAddr =~ /^192/"</s81><s82>></s82></s72> <s83><s84><title<s85>></s85></s84></s83>This is your first access on this system<s86><s87></title<s88>></s88></s87></s86> <s89><s90><text<s91>></s91></s90></s89>Be a nice user and do not break it please.<s92><s93></text<s94>></s94></s93></s92> <s95><s96><check<s97>></s97></s96></s95>Of course I am not evil!<s98><s99></check<s100>></s100></s99></s98> <s101><s102></notification<s103>></s103></s102></s101> <s104><s105></root<s106>></s106></s105></s104> <s0><s1><?xml</s1> <s2>version</s2>=<s3>"1.0"</s3> <s4>encoding</s4>=<s5>"UTF-8"</s5> <s6>standalone</s6>=<s7>"no"</s7><s8>?></s8></s0> <s9><s10><root<s11>></s11></s10></s9> <s12><s13><notification</s13> <s14>uid</s14>=<s15>"foo.bar"</s15> <s16>date</s16>=<s17>"2009-01-27"</s17> <s18>reference</s18>=<s19>"ABC"</s19><s20>></s20></s12> <s21><s22><title<s23>></s23></s22></s21>Vous avez de nouvelles autorisations<s24><s25></title<s26>></s26></s25></s24> <s27><s28><subtitle<s29>></s29></s28></s27>Application 1<s30><s31></subtitle<s32>></s32></s31></s30> <s33><s34><text<s35>></s35></s34></s33>Vous êtes autorisé à accéder à appli-1<s36><s37></text<s38>></s38></s37></s36> <s39><s40><subtitle<s41>></s41></s40></s39>Application 2<s42><s43></subtitle<s44>></s44></s43></s42> <s45><s46><text<s47>></s47></s46></s45>Vous êtes autorisé à accéder à appli-2<s48><s49></text<s50>></s50></s49></s48> <s51><s52><subtitle<s53>></s53></s52></s51>Acceptation<s54><s55></subtitle<s56>></s56></s55></s54> <s57><s58><check<s59>></s59></s58></s57>Je reconnais savoir que je peux accéder à appli-1 <s60><s61></check<s62>></s62></s61></s60> <s63><s64><check<s65>></s65></s64></s63>Je reconnais savoir que je peux accéder à appli-2 <s66><s67></check<s68>></s68></s67></s66> <s69><s70></notification<s71>></s71></s70></s69> <s72><s73><notification</s73> <s74>uid</s74>=<s75>"allusers"</s75> <s76>date</s76>=<s77>"2009-01-27"</s77> <s78>reference</s78>=<s79>"disclaimer"</s79> <s80>condition</s80>=<s81>"$ipAddr =~ /^192/"</s81><s82>></s82></s72> <s83><s84><title<s85>></s85></s84></s83>Ceci est votre premier accès à ce système<s86><s87></title<s88>></s88></s87></s86> <s89><s90><text<s91>></s91></s90></s89>Soyez sage et ne le cassez pas.<s92><s93></text<s94>></s94></s93></s92> <s95><s96><check<s97>></s97></s96></s95>Bien sûr, je ne suis pas méchant !<s98><s99></check<s100>></s100></s99></s98> <s101><s102></notification<s103>></s103></s102></s101> <s104><s105></root<s106>></s106></s105></s104> <s2>DocumentRoot</s2> /usr/local/lemonldap-ng/htdocs/portal/ <s2>DocumentRoot</s2> /usr/local/lemonldap-ng/htdocs/portal/ Certificate authorities file Fichiers des autorités de certification You should have configured <a0>LL::NG</a0> as an <a1>SAML Identity Provider</a1>, Il est nécessaire d'avoir configuré <a0>LL::NG</a0> comme <a1>fournisseur d'identité SAML</a1>, You can change the default skin in Manager: <c0>General Parameters</c0> > <c1>Portal</c1> > <c2>Customization</c2> > <c3>Default skin</c3>. On peut changer le thème par défaut dans le manager : <c0>paramètres généraux</c0> > <c1>Portail</c1> > <c2>Personnalisation</c2> > <c3>Skin</c3>. <a0>SAML</a0> can use different NameID formats. <a0>SAML</a0> peut utiliser plusieurs formats de NameID. <s7>'notificationWildcard'</s7> <s8>=></s8> <s9>'allusers'</s9><s10>,</s10> <s7>'notificationWildcard'</s7> <s8>=></s8> <s9>'allusers'</s9><s10>,</s10> Redirect user to the asked <a0>URL</a0> or display menu Redirige l'utilisateur vers l'<a0>URL</a0> demandée ou affiche le menu <s0>Check SLO message signature</s0>: check SLO message signature <s0>Vérifie la signature des messages SLO</s0> : vérifie la signature des messages SLO Zimbra account session key Clef de session de compte Zimbra By default, configuration interface access is not protected by Nginx but by LemonLDAP::NG itself (see <c0>lemonldap-ng.ini</c0>). L'accès à l'interface de configuration n'est pas protégée par Nginx mais par LemonLDAP::NG lui-même (voir <c0>lemonldap-ng.ini</c0>) : Prerequisites: Pré-requis ^/index.php\?.*access=admin ^/index.php\?.*access=admin <a0>LL::NG</a0> rely on a session mechanism with the session ID as a shared secret between the user (in <a1>SSO cookie</a1>) and the <a2>session database</a2>. <a0>LL::NG</a0> utilise un mécanisme de session basé sur un identifiant de session secret partagé entre l'utilisateur (dans un <a1>cookie SSO</a1>) et la <a2>base des sessions</a2>. <s0>Password policy control</s0>: enable to use LDAP password policy. <s0>Contrôle de politique de mot-de-passe</s0> : active l'utilisation de la politique de mots-de-passe LDAP. Allow only admin and superadmin roles Autorisé seulement pour les rôles admin et superadmin If enabled, if the user group is a member of another group (group of groups), all parents groups will be stored as user's groups. Si activé et si le groupe de l'utilisateur est membre d'un autre groupe (groupes de groupes), tous les groupes parents seront considérés comme groupes de l'utilisateur. Rule Règle <a0>Configure the Apache server</a0> that host the portal to use the Apache Kerberos authentication module <a0>Configurer le serveur Apache</a0> qui héberge le portail utilisant le module d'authentification Kerberos d'Apache <s84>//"userobm_archive" => ,</s84> <s84>//"userobm_archive" => ,</s84> Put LemonLDAP::NG tarball in %_topdir/SOURCES Mettre l'archive LemonLDAP::NG dans %_topdir/SOURCES The <a0>encode_base64</a0> subroutine Fonction <a0>encode_base64</a0> documentation:liferay_1.png documentation:liferay_1.png <s82>'manage_template'</s82> <s83>=></s83> <s84>$_SERVER</s84><s85>[</s85><s86>'HTTP_AUTH_SUPERADMIN'</s86><s87>]</s87><s88>,</s88> <s82>'manage_template'</s82> <s83>=></s83> <s84>$_SERVER</s84><s85>[</s85><s86>'HTTP_AUTH_SUPERADMIN'</s86><s87>]</s87><s88>,</s88> Click on <c0>Metadata</c0>, and use the OpenID Connect configuration <a1>URL</a1> to load them: <a2>https://accounts.google.com/.well-known/openid-configuration</a2>. Cliquer sur <c0>Métadonnées</c0>, et utiliser l'<a1>URL</a1> de configuration OpenID-Connect pour les charger : <a2>https://accounts.google.com/.well-known/openid-configuration</a2>. <<s1>IfModule</s1> mod_rewrite.c> <<s1>IfModule</s1> mod_rewrite.c> Configure local cache first. Configurer d'abord le cache local. Forward logout to applications Propager les déconnexions aux applications Apache::Session performances Performances d'Apache::Session <s148>//"userobm_vacation_enable" => ,</s148> <s148>//"userobm_vacation_enable" => ,</s148> activeTimer activeTimer ldap.auth.enabled=true ldap.auth.enabled=true Get UserInfo as JSON or as JWT Récupérer UserInfo au format JSON ou JWT Create database: Créer la base de données : <s19><s20><OrganizationURL</s20> <s21>xml:lang</s21>=<s22>"en"</s22><s23>></s23></s19>http://www.example.com<s24><s25></OrganizationURL<s26>></s26></s25></s24> <s27><s28></Organization<s29>></s29></s28></s27> <s19><s20><OrganizationURL</s20> <s21>xml:lang</s21>=<s22>"en"</s22><s23>></s23></s19>http://www.example.com<s24><s25></OrganizationURL<s26>></s26></s25></s24> <s27><s28></Organization<s29>></s29></s28></s27> The Apache configuration depends on the module you choose, you need to look at the module documentation, for example: La configuration Apache dépend du module choisi, se référer à sa documentation. Exemple : In <c0>General Parameters</c0> > <c1>Authentication modules</c1>, set: Dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1>, choisir : <a0>CDA</a0> activation Activation du <a0>CDA</a0> The OP should publish its metadata in a JSON file (see for example <a0>Google metadata</a0>). L'OP peut publier sa métadonnée dans un fichier JSON (voir par exemple la <a0>métadonnée Google</a0>). It is recommended to create an AD account for each <a0>LL::NG</a0> server. Il est recommandé de créer un compte AD pour chaque serveur <a0>LL::NG</a0>. <s0>Location</s0>: Access Point for <a1>SSO</a1> request. <s0>Location</s0>: Point d'accès pour les requêtes <a1>SSO</a1>. More than one server can be set here separated by spaces or commas. Plusieurs serveurs peuvent être renseignés séparés par des virgules ou espaces. <s0>Persistent</s0>: NameID is restored from previous sessions <s0>Persistent</s0>: le NameID est restoré depuis la session précédente <s0>Reply address</s0>: address seen in the “Reply-To” field <s0>Adresse pour la réponse</s0> : adresse vue dans le champ “Reply-To” If you modify directly the skin files, your modifications will certainly be erased on the next upgrade. Les modifications apportées directement sur les fichiers thèmes risquent d'être perdus à la prochaine mise-à-jour. Default skin Thème par défaut If the OpenID Connect provider only uses symmetric encryption, JWKS data is not useful. Si le fournisseur OpenID-Connect n'utilise qu'une clef symétrique de chiffrement, la donnée JWKS n'est pas nécessaire. notification notification Filters Filters If no value, will use first NameID Format activated in metadata. Si aucune valeur n'est indiquée, le premier format de NameID activé dans les métadatas sera utilisé. Kinematics Cinématique HyperText Markup Language HyperText Markup Language <a0>exported variables</a0> collected from UserDB backend les <a0>variables exportées</a0> collectées depuis le backend utilisateur <s150>//"userobm_vacation_dateend" => ,</s150> <s150>//"userobm_vacation_dateend" => ,</s150> <s19>'samlIDPSSODescriptorSingleSignOnServiceHTTPPost'</s19> <s20>=></s20> <s21>'urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST;#PORTAL#/saml/singleSignOn;'</s21><s22>,</s22> <s19>'samlIDPSSODescriptorSingleSignOnServiceHTTPPost'</s19> <s20>=></s20> <s21>'urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST;#PORTAL#/saml/singleSignOn;'</s21><s22>,</s22> Password module Module mots-de-passe The configuration is displayed as a big Perl Hash, that you can edit: La configuration est affichée en une grande table de hachage Perl, qu'on peut éditer : <a0>LL::NG</a0> can propose a password reset form, for users who loose their password (this kind of application is also called a self service password interface). <a0>LL::NG</a0> peut proposer un formulaire de réinitialisation de mot-de-passe pour les utilisateurs qui ont perdu leur mot-de-passe (ce type d'application est également appelée interface de mot-de-passe self-service). It can deal with both SP and IdP initiated modes. Il peut utiliser les modes initiés par le SP ou l'IdP. <s0>dbiUser</s0>: <a1>DBI</a1> user. <s0>dbiUser</s0> : utilisateur <a1>DBI</a1>. $uid eq “root” $uid eq “root” <a0>Liferay</a0> is an enterprise portal. <a0>Liferay</a0> est un portail d'entreprise. SOAP SOAP http://www.linux-ha.org/wiki/Heartbeat http://www.linux-ha.org/wiki/Heartbeat This avoid to have to many datas stored. Ce dispositif évite de stocker trop de données. This function will check the day and the hour of current request, and compare it to allowed days and hours. Cette fonction examine le jour et l'heure de la requête courante et la compare aux jours et heures autorisés. <s0><s1>[</s1>manager<s2>]</s2></s0> <s3>;protection = manager</s3> <s0><s1>[</s1>manager<s2>]</s2></s0> <s3>;protection = manager</s3> <s0>fileNameSeparator</s0>: file name separator. <s0>fileNameSeparator</s0> : séparateur de nom de fichier. Now you can log in with a simple HTTP header. On peut ensuite se connecter avec un simple en-tête HTTP. Change it: Le Changer : If you manage different timezones, you have to take the jetlag into account in ssoLogonHours values, or use the $_timezone parameter. Si plusieurs fuseaux sont utilisés, le jetlag doit être introduit dans le compte dans la valeur ssoLogonHours, ou utiliser le paramètre $_timezone. <s0>type</s0> <s1>=</s1><s2> SOAP</s2> <s3>proxy</s3> <s4>=</s4><s5> https://auth.example.com/index.pl/config</s5> <s0>type</s0> <s1>=</s1><s2> SOAP</s2> <s3>proxy</s3> <s4>=</s4><s5> https://auth.example.com/index.pl/config</s5> mailOnPasswordChange mailOnPasswordChange documentation:latest:ssocookie documentation:latest:ssocookie http://search.cpan.org/~mart/Net-OpenID-Consumer/ http://search.cpan.org/~mart/Net-OpenID-Consumer/ Identity Provider Logout <a0>URL</a0>: the logout location on the IdP Identity Provider Logout <a0>URL</a0> : l'URL de déconnexion de l'IdP caPath caPath "admin0\@global.virt" : $uid "admin0\@global.virt" : $uid remoteCookieName remoteCookieName It compiles enabled components on-the-fly. Il compile les composants activés à la volée. http://www.openldap.org/doc/admin24/overlays.html#Reverse%20Group%20Membership%20Maintenance http://www.openldap.org/doc/admin24/overlays.html#Reverse%20Group%20Membership%20Maintenance <a0>LL::NG</a0> can also request proxy tickets for its protected services. <a0>LL::NG</a0> peut également requérir des tickets de proxy pour les services qu'il protège. First name Prénom Once <a0>OpenID Connect service</a0> is configured, you need to register to France Connect. Une fois le <a0>service OpenID-Connect</a0> configuré, on peut s'enregistrer dans France Connect. <s0>Renew authentication</s0>: force authentication renewal on <a1>CAS</a1> server <s0>Renouveler l'authentification</s0> : force le renouvellement de l'authentification sur le serveur <a1>CAS</a1> Then, go in <c0>SSL parameters</c0>: Aller ensuite dans <c0>Paramètres SSL</c0> : User found from login process Nom d'utilisateur trouvé dans le processus d'authentification 127.0.0.1:6379 127.0.0.1:6379 <s59><s60></bean<s61>></s61></s60></s59> <s59><s60></bean<s61>></s61></s60></s59> AuthLDAPFilter AuthLDAPFilter <a0>DBI</a0> Password column Colonne du mot-de-passe <a0>DBI</a0> Connection settings can be configured differently for authentication process and user process. Les paramètres de connexion peuvent être configurés différemment pour les processus d'authentification et de recherche d'utilisateur. <a0>LL::NG</a0> can use an LDAP directory to: <a0>LL::NG</a0> peut utiliser un annuaire LDAP pour : http://openid.net/specs/openid-authentication-2_0.html http://openid.net/specs/openid-authentication-2_0.html user user Old sessions are deleted by a cron script. Les anciennes sessions sont effacées par un script cron. They can be set by environment variables (read by startup script) or by command line options. Il peuvent être définis par variables d'environnement (lues par le script de démarrage) ou ar des options de la ligne de commande. Example of a protected virtual host for a local application: Exemple d'hôte virtuel protégé pour une application locale : If no value, disable group searching. La recherche des groupes est désactivé si cette valeur est vide. Only uid, cn and mail attributes are available. Seuls les attributs uid, cn et mail sont disponibles. # Drop post datas # Ignorer les données postées You can create a special virtual host and use <a0>Apache rewrite module</a0> to switch between open and protected hosts: Vous pouvez créer un hôte virtuel particulier et utiliser <a0>le module rewrite d'Apache</a0> pour choisir entre le site ouvert et le protégé : <s0>Version</s0>: LDAP protocol version. <s0>Version</s0> : version du protocole LDAP. Entry Identifier Identifiant d'entrée Documentation below explains how set index on ipAddr and _whatToTrace. La documentation ci-dessous explique comment fixer les index à ipAddr et _whatToTrace. See <a1>https://doc.integ01.dev-franceconnect.fr/identite-pivot</a1> Voir <a1>https://doc.integ01.dev-franceconnect.fr/identite-pivot</a1> <s0><s1>[</s1>portal<s2>]</s2></s0> <s3>portalSkin</s3> <s4>=</s4><s5> dark</s5> <s0><s1>[</s1>portal<s2>]</s2></s0> <s3>portalSkin</s3> <s4>=</s4><s5> dark</s5> Twitter authentication level Niveau d'authentification de Twitter <a0>CAS</a0> Session backend options Options du module de stockage <a0>CAS</a0> <s87>//"userobm_local" => ,</s87> <s87>//"userobm_local" => ,</s87> http://static.springsource.org/spring-security/site/docs/3.0.x/reference/preauth.html http://static.springsource.org/spring-security/site/docs/3.0.x/reference/preauth.html <<s17>Location</s17> /index.pl/config> <<s17>Location</s17> /index.pl/config> <s0>ldapAttributeId</s0>: RDN attribute of configuration entry (optional) <s0>ldapAttributeId</s0> : attribut RDN de l'entrée de configuration (optionnel) Captcha is a security mechanism aimed to prevent robots to submit forms. Captcha est un mécanisme de sécurité utilisé pour éviter des des robots ne soumettent des formulaires. “static-value” “static-value” proxy proxy <a0>LL::NG</a0> can be configured to restrict OpenID exchange using a white or a black list of domains. <a0>LL::NG</a0> peut être configuré pour restreindre les échanges OpenID en utilisant les listes blanches ou noires de domaines. <s0>Sessions module options</s0>: <s0>Options du module de sessions</s0> : <s0>Authentication table</s0>: authentication table name <s0>Table d'authentification</s0> : nom de la table d'authentification Choose <a0>DBI</a0> type (RDBI, CDBI or <a1>DBI</a1>) Choisir le type <a0>DBI</a0> (RDBI, CDBI or <a1>DBI</a1>) Local file Fichier local You can also use the binary value from the logonHours attribute of Active Directory La valeur binaire de l'attribut logonHours d'Active Directory peut également être utilisée When <a0>LL::NG</a0> is configured as OpenID identity provider, users can share their authentication using [PORTAL]/openidserver/[login] where: Lorsque <a0>LL::NG</a0> est configuré en fournisseur d'identité OpenID, les utilisateurs peuvent partager leur authentification en utilisant [PORTAIL]/openidserver/[login] où : You have then to install all the downloaded packages: Il faut ensuite installer tous les paquets téléchargés : Authentication Authorization Accounting Authentification Autorisation Traçabilité sympaMailKey sympaMailKey ----</s156> ----</s156> <s0>ID Token signature algorithm</s0>: Select one of <c1>none</c1>, <c2>HS256</c2>, <c3>HS384</c3>, <c4>HS512</c4>, <c5>RS256</c5>, <c6>RS384</c6>, <c7>RS512</c7> <s0>Algorithme de signature des jetons d'identité</s0> : Choisir entre <c1>none</c1>, <c2>HS256</c2>, <c3>HS384</c3>, <c4>HS512</c4>, <c5>RS256</c5>, <c6>RS384</c6>, <c7>RS512</c7> Handler Redirections Redirections des agents Once <a0>SAML</a0> cinematics are working, you can then put your domain, and delete the login form, and you'll have an automatic redirection to your Identity Provider (no need for the user to click). Une fois que la cinématique <a0>SAML</a0> fonctionne, mettre le domaine, et supprimer le formulaire de connexion, la redirection se fera alors automatiquement vers le fournisseur d'identité (plus besoin de cliquer pour l'utilisateur). mailConfirmBody mailConfirmBody This is a security point, to prevent someone to create a session by sending custom headers. Il s'agit d'un élément de sécurité pour éviter à quelqu'un de créer une session en envoyant des en-têtes personnalisés. <s0>OpenID login</s0>: the session key used to match OpenID login. <s0>Identificant OpenID</s0> : la clef de session utilisée pour correspondre au login OpenID. http://perldoc.perl.org/functions/exit.html http://perldoc.perl.org/functions/exit.html Check <a0>XSS</a0> Attacks Recherche les attaques <a0>XSS</a0> Xavier GUIMARD Xavier GUIMARD <s0>Scope</s0>: Value of scope parameter (example: openid profile). <s0>Portée</s0> : valeur du paramètre de portée (exemple : profil openid). <s95>"userobm_fax"</s95> <s96>=></s96> <s97>"HTTP_OBM_FACSIMILETELEPHONENUMBER"</s97><s98>,</s98> <s95>"userobm_fax"</s95> <s96>=></s96> <s97>"HTTP_OBM_FACSIMILETELEPHONENUMBER"</s97><s98>,</s98> nickname nickname Superadmin: no one can stop him! Superadmin : personne ne peut l'arrêter ! By default, the main session module is used to store <a0>SAML</a0> temporary data (like relay-states), but <a1>SAML</a1> sessions need to use a session module compatible with the <a2>sessions restrictions feature</a2>. Par défautBy, le module de session principal est utilisé pour stocker les données temporaires <a0>SAML</a0> (tel les états de relais), mais les sessions <a1>SAML</a1> doivent disposer d'un module compatible avec les <a2>fonctionnalités de restrictions des sessions</a2>. update-alternatives --config editor update-alternatives --config editor <s0>Thursday, 25-Apr-1999 00:40:33 GMT</s0>: at the indicated time and date (but this is probably a bad idea) <s0>Thursday, 25-Apr-1999 00:40:33 GMT</s0> : jusqu'à la date indiquée (généralement une mauvaise idée) <s0># SAML2 Issuer</s0> <s0># Fournisseur d'identité SAML2</s0> <s29>Allow</s29> from <s30>all</s30> <s29>Allow</s29> from <s30>all</s30> The menu is displayed if authentication is successful. Le menu est affiché si l'authentification est réussie. http://en.wikipedia.org/wiki/FastCGI http://en.wikipedia.org/wiki/FastCGI uid: coudot uid: coudot This part is based on <a0>SimpleSAMLPHP documentation</a0>. Cette section est basée sur la <a0>documentation SimpleSAMLPHP</a0>. lemonldap-ng-handler: contains Apache Handler implementation (agent) lemonldap-ng-handler : contient l'implémentation de l'agent pour Apache (handler) http://wiki.zimbra.com/index.php?title=Preauth#Preparing_a_domain_for_preauth http://wiki.zimbra.com/index.php?title=Preauth#Preparing_a_domain_for_preauth This is currently unsupported in LemonLDAP::NG because every policy must be computed with their precedence to know which maximum password age to apply. Ce n'est actuellement pas supporté par LemonLDAP::NG car toute politique doit etre calculée avec sa priorité pour connaître l'âge maximum à appliquer. It will force conversion from UTF-8 to ISO-8859-1 of user and password data. Elle force la conversion de UTF-8 en ISO-8859-1 du nom de compte et du mot-de-passe. <s0>Name</s0>: internal name <s0>Name</s0>: nom interne <s0>proxy</s0>: SOAP sessions end point (see <a1>SOAP session backend</a1> documentation) <s0>proxy</s0>: point d'accès SOAP (voir la documentation du <a1>backend de session SOAP</a1>) You can name your module as you want, for example <c0>SSOExtensions.pm</c0>: Le module peut être appelé à la diligence du rédacteur, par exemple <c0>SSOExtensions.pm</c0> : yum install mod_auth_kerb yum install mod_auth_kerb http://perldoc.perl.org/Safe.html http://perldoc.perl.org/Safe.html <s0>SLO binding</s0>: force binding to use for SLO (http-redirect, http-post, etc.) <s0>Méthode SLO</s0> : force la méthode à utiliser pour le SLO (http-redirect, http-post, etc.) This page can be browsed for example by <a0>MRTG</a0> using the <a1>MRTG monitoring script</a1>. Cette page peut être parcourue par exemple par <a0>MRTG</a0> en utilisant le <a1>script de surveillance MRTG</a1>. <s0>User Header</s0>: Auth-User (case sensitive) <s0>User Header</s0>: Auth-User (case sensitive) Port Port If not Go on Manager, and declare Manager as a new <a0>virtual host</a0>, for example <c1>manager.example.com</c1>. Si non, aller dans le manager et déclarer le manager comme un nouvel <a0>hôte virtuel</a0>, par exemple <c1>manager.example.com</c1>. Then, go in <c0>Yubikey parameters</c0>: Ensuite, aller dans les <c0>paramètres Yubikey</c0>: # Internal call to FastCGI server # Appe interne au serveur FastCGI language language <s0>SSLOptions</s0>: set to <c1>+StdEnvVars</c1> to get certificate fields in environment variables <s0>SSLOptions</s0> : mettre à <c1>+StdEnvVars</c1> pour obtenir les champs du certificat dans les variables d'environnement Redirect policy La politique de redirection employeeNumber employeeNumber You can also get the <a0>LemonLDAP::NG archive</a0> and make the package yourself: On peut également construire les paquets à partir de l'<a0>archive LemonLDAP::NG</a0> : In LDAP filters, $user is replaced by user login, and $mail by user email. Dans les filtres LDAP, $user est remplacé par le nom du compte et $mail par l'adresse email. touch /tmp/pgt.txt touch /tmp/pgt.txt A known problematic is that many browser (Firefox, Chrome) remembers the fact that the certificate is not available at a certain time. Problème connu : de nombreux navigateurs (Firefox, Chrome) enregistrent le fait qu'un certificat n'est pas disponible un certain temps. Apache configuration Configuration d'Apache <s0>auth.example.com</s0>: <a1>DNS</a1> of the <a2>LL::NG</a2> portal <s0>auth.example.com</s0> : <a1>DNS</a1> du portail <a2>LL::NG</a2> FastCGI support Support FastCGI Protect your application Protéger une application <s3># Configuration reload mechanism (only 1 per physical server is</s3> <s3># Mécanisme de rechargement de la configuration (un seul par serveur physique</s3> en fr <a0>Using Apache::Session::Browseable::MySQL</a0> (recommended for best performances) <a0>Utiliser Apache::Session::Browseable::MySQL</a0> (recommandé pour de meilleures performances) AuthApache authentication Authentification AuthApache In other cases which result on impossibility to authenticate user, to retrieve data or to create a session, nothing is stored. Dans les autres cas résultant de l'impossibilité d'authentifier l'utilisateur ou de récupérer les données pour créer la session, rien n'est stocké. Portal Redirections Redirections du portail <s0>Mail sender</s0>: address seen in the “From” field (default: noreply@[DOMAIN]) <s0>Expéditeur</s0> : adresse vue dans le champ “From” (défaut : noreply@[DOMAINE]) In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose SSL for authentication. Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir SSL pour l'authentification. <<s25>Location</s25> /index.pl/notification> <<s25>Location</s25> /index.pl/notification> The <c0>convertConfig</c0> utility reads 2 <a1>LL::NG</a1> configuration files (<c2>lemonldap-ng.ini</c2>): L'utilitaire <c0>convertConfig</c0> lit 2 fichiers de configuration <a1>LL::NG</a1> (<c2>lemonldap-ng.ini</c2>) : For apache configuration, you may have to remove the old symbolic link, if not done by the RPM: Pour la configuration apache, il faut peut-être supprimer l'ancien lien symbolique si ce n'est pas fait par le RPM: All SSL options are documented in <a0>Apache mod_ssl page</a0>. Toutes les options SSL sont documentées dans la <a0>page mod_ssl d'Apache</a0>. yubikeySecretKey yubikeySecretKey If you can not access the Manager anymore, you can unprotect it by editing <c0>lemonldap-ng.ini</c0> and changing the <c1>protection</c1> parameter: SI l'accès au manager est perdu, on peut le déprotéger en éditant <c0>lemonldap-ng.in</c0> et en changeant le paramètre <c1>protection</c1> : See <a0>OpenID Connect service</a0> configuration chapter. Voir le chapître de configuration du <a0>service OpenID-Connect</a0>. Nick name Nick name <s0>Check <a1>SSO</a1> message signature</s0>: check <a2>SSO</a2> message signature <s0>Vérification de la signature des messages <a1>SSO</a1></s0> : vérifie la signature des messages <a2>SSO</a2> If you don't know jQuery selector, just be aware that they are similar to css selectors: for example, button#foo points to the html button whose id is “foo”, and .bar points to all html elements of css class “bar”. Si vous ne connaissez pas les sélecteurs jQuery, sachez juste qu'ils sont similaires aux sélecteurs CSS : par exemple, button#foo pointe sur le bouton dont l'« id » est « foo », and « .bar » identifie tous les éléments HTML de la classe “bar”. The client Kerberos configuration is the same as a single <a0>LL::NG</a0> server. La configuration du client Kerberos est la même qie pour un serveur <a0>LL::NG</a0> unique. cn=admin,dc=example,dc=password cn=admin,dc=example,dc=password All Perl modules are in the VENDOR perl directory Tous les modules Perl se trouvent dans le répertoire VENDOR de Perl Go in Manager, “Virtual Hosts” » <e0>virtualhost</e0> » “Form replay” and click on “New form replay”. Aller dans le manager, “Hôtes virtuels” » <e0>virtualhost</e0> » “Rejeu de formulaires” et cliquer sur “Nouveau rejeu”. liblemonldap-ng-manager-perl: Manager files liblemonldap-ng-manager-perl : fichiers du manager Use then the <a0>Multiple authentication module</a0>, for example: Utiliser alors le <a0>module d'authentification multiple</a0>, exemple: ID Token signature (HS256/HS384/HS512/RS256/RS384/RS512) Signature du jeton identifiant (HS256/HS384/HS512/RS256/RS384/RS512) Use rule comments to order your rules Utiliser les commentaires pour ordonner les règles samlStorage samlStorage xguimard xguimard UserName -> ... UserName -> ... http://fr.lutece.paris.fr http://fr.lutece.paris.fr -force: set it to 1 to save a configuration earlier than latest. -force: mettre à 1 pour sauver une configuration plus ancienne que la dernière. Register on France Connect S'enregistrer dans France Connect So write your rules using normal characters. Il faut donc écrire les règles en utilisant les caractères normaux. You just need to choose if the authenticated user will be a “user” or a “guest”. Il suffit de choisir si l'utilisateur authentifié sera un "utilisateur" ou un "invité". createdb -O lemonldap-ng lemonldap-ng createdb -O lemonldap-ng lemonldap-ng ldapPwdEnc ldapPwdEnc Then go to trunk directory: Aller ensuite dans le répertoire trunk : specification spécification This requires to request user old password (see <a1>portal customization</a1>). Nécessite de requérir l'ancien mot-de-passe (voir <a1>personnalisation du portail</a1>). To change it, go in General Parameters > Advanced Parameters > Notifications > Wildcard for all users, and set for example <c0>alluserscustom</c0>. Pour le changer, aller dans Paramètres généraux > Paramètres avancés > Notifications > Carte blanche pour tous les utilisateurs, et mettre par exemple <c0>alluserscustom</c0>. OpenID Connect Provider Fournisseur OpenID-Connect You need to provide the callback URLs, for example <a0>https://auth.domain.com/?openidcallback=1</a0>. Il faut fournir les URLs de rappel, par exemple <a0>https://auth.domain.com/?openidcallback=1</a0>. Save the configuration and exit the Manager. Sauver la configuration et quitter le manager. LDAP server can check password strength, and <a0>LL::NG</a0> portal will display correct errors (password too short, password in history, etc.) Le server LDAP server peut vérifier la solidité du mot de passe et le portail <a0>LL::NG</a0> affichera les erreurs correctes (mot-de-passe trop court, dans l'historique, etc…) <s69>"userobm_email"</s69> <s70>=></s70> <s71>"HTTP_OBM_MAIL"</s71><s72>,</s72> <s69>"userobm_email"</s69> <s70>=></s70> <s71>"HTTP_OBM_MAIL"</s71><s72>,</s72> Sympa virtual host Hôte virtuel Sympa <a0>LL::NG</a0> requires at least Red Hat/CentOS 7 <a0>LL::NG</a0> nécessite Red Hat/CentOS 7 Use extended functions Utiliser les fonctions étendues <s0>Protocol</s0>: <s0>Protocole</s0> : <a0>Alfresco</a0> is an ECM/BPM software. <a0>Alfresco</a0> est un logiciel ECM/BPM. http://auth.example.com http://auth.example.com Configuration is stored as JSON. La configuration est stockée au format JSON. Install the new lemonldap-ng.ini file at the place of the old file in all <a0>LL::NG</a0> servers Installer le nouveau fichier lemonldap-ng.ini à la place de l'ancien dans tous les serveurs <a0>LL::NG</a0> To do this, use the Manager, and go in <c0>Virtual Hosts</c0> branch. Pour ce faire, utiliser le manager, et aller dans la branche <c0>Virtual Hosts</c0>. http://en.wikipedia.org/wiki/Role-based_access_control http://en.wikipedia.org/wiki/Role-based_access_control Auth-Mail Auth-Mail Secure Token attribute Attribut du jeton sécurisé Userlogout => logout_sso Userlogout => logout_sso twitterAuthnLevel twitterAuthnLevel ^/Microsoft-Server-ActiveSync ^/Microsoft-Server-ActiveSync documentation:configuration-ldap.png documentation:configuration-ldap.png Assertion decryption Certificate: choose a certificate only if you want to cipher your assertion. Assertion decryption Certificate : choisir un certificat seulement si on veut chiffrer les assertions. https https id id portal portail <s0>Reader <a1>URL</a1></s0>: <a2>URL</a2> used by <a3>SAML</a3> SP to read the cookie. <s0><a1>URL</a1> de lecture</s0> : <a2>URL</a2> utilisée par le SP <a3>SAML</a3> pour lire le cookie. <s0>APACHEGROUP</s0>: group running Apache <s0>APACHEGROUP</s0>: groupe de fonctionnement d'Apache This can be useful to allow an third party application to access a virtual host with users credentials by sending a Basic challenge to it. Ce peut être pratique pour autoriser une application cliente à accéder à un hôte virtuel avec un authentifiant en envoyant un en-tête basique. Uniform Resource Locator Uniform Resource Locator http://httpd.apache.org/docs/current/mod/mod_rewrite.html http://httpd.apache.org/docs/current/mod/mod_rewrite.html <a0>LL::NG</a0> uses <a1>Perl Authen::Radius </a1> as a simple authentication backend. <a0>LL::NG</a0> utilise <a1>Authen::Radius de Perl</a1> comme simple backend d'authentification. The LDIF view of such entry can be: La vue LDIF d'une telle entrée ressemble à : You can force here another session key that will be used as NameID content. On peut forcer ici une autre clef de session qui sera utilisée comme contenu sde NameID. checkDate($ssoStartDate, $ssoEndDate) checkDate($ssoStartDate, $ssoEndDate) → LemonLDAP::NG uses a key to crypt/decrypt some datas. → LemonLDAP::NG utilise une clef pour chiffrer/déchiffrer certaines données. Date of session last modification Date de la dernière modification de la session <s8># For performances, you can delete the previous RewriteRule line after</s8> <s8># Pour de meilleures performances, on peut effacer la ligne RewriteRule après</s8> icons:personal.png icons:personal.png You can import a certificate containing the public key instead the raw public key. Vous pouver importer un certificat contenant la clef publique au lieu d'une simple clef. The upgrade process will also have migrate old configuration files into <c0>/etc/lemonldap-ng/lemonldap-ng.ini</c0>. Le processus de mise-à-jour va également migrer les anciens fichiers de configuration dans <c0>/etc/lemonldap-ng/lemonldap-ng.ini</c0>. dbiUserTable dbiUserTable If a user does not comply with any condition, he is prompted a customized message. Si un utilisateur ne remplit pas une condition, il est averti par un message personnalisé. using external identity provider (<a0>SAML</a0>, <a1>OpenID</a1>, <a2>CAS</a2>, <a3>Twitter</a3>, other <a4>LL::NG</a4> system, …) utilisant un fournisseur d'identité externe (<a0>SAML</a0>, <a1>OpenID</a1>, <a2>CAS</a2>, <a3>Twitter</a3>, autres systèmes <a4>LL::NG</a4>, …) <s0>Attribute to store</s0>: the session key that will be stored in Memcached. <s0>Attribut à stocker</s0> : la clef de session qui doit être stockée dans Memcached. Activation Activation <s0>STORAGECONFFILE</s0>: location of default storage configuration file (default: /usr/local/lemonldap-ng/etc/lemonldap-ng.ini) <s0>STORAGECONFFILE</s0> : emplacement du du fichier de configuration du stockage par défaut (défaut : /usr/local/lemonldap-ng/etc/lemonldap-ng.ini) <s164>//"userobm_location" => ,</s164> <s164>//"userobm_location" => ,</s164> Authorization Autorisations How to change configuration backend Comment changer le backend de configuration You can use the same Facebook access token in your applications. On peut réutiliser le même ticket d'accès Facebook dans les applications. No parameters needed. Aucun paramètres n'est requis. The PasswordDBDemo will allow you to change the password with some basic checks, but as the data are hard coded, the password will never be really changed. PasswordDBDemo permet de changer de mot-de-passe avec quelques tests de base, mais comme les données sont codées en dur, le mot-de-passe ne sera jamais réellement changé. <a0>LL::NG</a0> can delegate authentication to an OpenID server. <a0>LL::NG</a0> peut deleguer l'authentification à un serveur OpenID. This feature can be enabled and configured in Manager, in <c0>General Parameters</c0> » <c1>Advanced Parameters</c1> » <c2>Login History</c2>. Cette fonctionnalité peut être activée et configurée dans le manager dans <c0>Paramètres généraux</c0> » <c1>Paramètres avancés</c1> » <c2>Historique de connexion</c2>. _issuerDB _issuerDB Zimbra can be deployed on-premises or as a hosted email solution. Zimbra peut être déployé sur site ou hébergé telle une messagerie. To protect the manager, you have to choose one or both of : Pour protéger le manager, il faut choisir l'une où les deux solutions : http://www.mediawiki.org/wiki/Extension:Siteminder_Authentication http://www.mediawiki.org/wiki/Extension:Siteminder_Authentication macros are used to extend (or rewrite) <a0>exported variables</a0>. les macros sont utilisées pour étendre (ou réécrire) les <a0>variables exportées</a0>. yubikeyClientID yubikeyClientID On your main server, configure a <a0>File</a0>, <a1>SQL</a1> or <a2>LDAP</a2> backend Sur le serveur principal, configurer un backend <a0>File</a0>, <a1>SQL</a1> or <a2>LDAP</a2> you've restart all Apache server after having change cookie name or domain tous les serveurs Apache ont été rechargés après un changement du nom de cookie ou du domaine Databases (DBI) Bases de données (DBI) <a0>RBAC</a0> stands for Role Based Access Control. <a0>RBAC</a0> signifie contrôle d'accès basé sur les rôles (Role Based Access Control). The statistics are collected trough a daemon launched by the Handler. Ces statistiques sont collectées via un démon lancé par l'agent. 1 if user is superadmin 1 si l'utilisateur est super-administrateur By default, Tomcat provides a file called <c0>users.xml</c0> to manage authentication: Par défaut, Tomcat fournit un fichier nommé <c0>users.xml</c0> pour gérer l'authentification : The extension is presented here: <a0>http://www.mediawiki.org/wiki/Extension:AutomaticREMOTE_USER</a0> L'extension est présentée ici : <a0>http://www.mediawiki.org/wiki/Extension:AutomaticREMOTE_USER</a0> Twitter application key Clef d'application de Twitter when pwdLastSet = 0 in the user entry, it means that password has been reset, and a form is presented to the user for him to change his password. Lorsque le paramètre pwdLastSet est positionné à 0 dans l'entrée utilisateur, ça signifie que le mot de passe a été réinitialisé et qu'un formulaire est présenté à l'utilisateur pour qu'il change son mot de passe. icons:xeyes.png icons:xeyes.png It is recommended to secure the channel between reverse-proxies and application to be sure that only request coming from the <a0>LL::NG</a0> protected reverse-proxies are allowed. Il est donc recommandé de sécurisé le canal entre le proxy inverse et l'application pour être sûr que seules les requêtes issues des proxies inverses protégés par <a0>LL::NG</a0> sont autorisées. echo "127.0.0.1 reload.example.com" >> /etc/hosts echo "127.0.0.1 reload.example.com" >> /etc/hosts Radius server Serveur Radius qw(delete <s3>header</s3> cache read_from_client cookie <s4>redirect</s4> unescapeHTML)); qw(delete <s3>header</s3> cache read_from_client cookie <s4>redirect</s4> unescapeHTML)); X509 X509 The portal <a0>URL</a0> <s1>must</s1> be inside <a2>SSO</a2> domain. L'<a0>URL</a0> du portail <s1>doit</s1> être dans le domaine <a2>SSO</a2>. Use comment to correct this: Utiliser des commentaires pour corriger ça : Code snippet Exemple de code https://metacpan.org/module/Apache::Session::Browseable::LDAP https://metacpan.org/module/Apache::Session::Browseable::LDAP Error messages Messages d'erreur Check if <a0>URL</a0> asked is valid Vérifie que l'<a0>URL</a0> demandée est validée Liferay administration Administration Liferay <s0>Name</s0>: <a1>SAML</a1> attribute name. <s0>Nom</s0>: Nom de l'attribut <a1>SAML</a1>. http://search.cpan.org/perldoc?Apache::Session::File http://search.cpan.org/perldoc?Apache::Session::File <s0><s1><IDPSSODescriptor<s2>></s2></s1></s0> <s0><s1><IDPSSODescriptor<s2>></s2></s1></s0> All Perl modules are in the VENDOR perl directory (/usr/share/perl5/) Tous les modules Perl se trouvent dans le répertoire VENDOR de Perl (/usr/share/perl5/) In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Slave for authentication or users module. Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir <a2>Slave</a2>) pour les modules authentification ou utilisateurs. Portal performances Performances du portail <s22># 2) FastCGI engine</s22>   <s22># 2) Moteur FastCGI</s22>   <s60>"userobm_lastname"</s60> <s61>=></s61> <s62>"HTTP_OBM_SN"</s62><s63>,</s63> <s60>"userobm_lastname"</s60> <s61>=></s61> <s62>"HTTP_OBM_SN"</s62><s63>,</s63> <s0><a1>CAS</a1> login</s0>: the session key used to fill user login (value will be transmitted to <a2>CAS</a2> clients). <s0>Identifiant <a1>CAS</a1></s0> : la clef de session à utiliser pour compléter le login (valeur transmise au clients <a2>CAS</a2>). <s0><a1>API</a1> secret key</s0>: <a2>API</a2> secret key from Yubico <s0>Clef secrète de l'<a1>API</a1></s0> : clef secrète de l'<a2>API</a2> obtenue auprès de Yubico <s0>Display Name</s0>: should be displayed on IDP, this is often your society name <s0>Nom affiché (display name)</s0> : peut être affiché par le fournisseur d'identité (IDP), this is often your society name <<s17>IfModule</s17> mod_dir.c> <<s17>IfModule</s17> mod_dir.c> <s44>//"userobm_gid" => "HTTP_OBM_GID",</s44> <s44>//"userobm_gid" => "HTTP_OBM_GID",</s44> user login nom de connexion Apache authentication level Niveau d'authentification d'Apache Require old password (change) Impose la présentation de l'ancien mot-de-passe dans les changements Restart fail2ban Redémarrer fail2ban <s45>//"userobm_domain_id" => ,</s45> <s45>//"userobm_domain_id" => ,</s45> GLPI GLPI Display change password module Affiche le module de changement de mot-de-passe With YUM Avec YUM Declare France Connect in your LL::NG server Déclarer France Connect dans le serveur LL::NG <s0>Cookie expiration time</s0>: by default, <a1>SSO</a1> cookie is a session cookie, which mean it will be destroyed when the browser is closed. <s0>Durée de vie du cookie</s0> : par défaut, le cookie <a1>SSO</a1> est un cookie de session, ce qui signifie qu'il n'est pas conservé lorsque le navigateur est clos. Macros and groups are calculated during authentication process by the portal: Les macros et les groupes sont calculées pendant le processus d'authentification par le portail : Using "make install" En utilisant "make install" If you need it, you can rebuild RPMs: Si besoin, on peut reconstruire les RPMs : <s3><s4><OrganizationName</s4> <s5>xml:lang</s5>=<s6>"en"</s6><s7>></s7></s3>Example<s8><s9></OrganizationName<s10>></s10></s9></s8> <s3><s4><OrganizationName</s4> <s5>xml:lang</s5>=<s6>"en"</s6><s7>></s7></s3>Exemple<s8><s9></OrganizationName<s10>></s10></s9></s8> Encryption types must be the same Encryption types doit être identique You have to install mod_ssl for Apache. Installer mod_ssl pour Apache. Leave blank to deactivate the feature. Laissez vide pour désactiver cette fonctionnalité. http://search.cpan.org/perldoc?Apache::Session::Informix http://search.cpan.org/perldoc?Apache::Session::Informix <a0>DBI</a0> Pivot from user table Pivot <a0>DBI</a0> pour la table utilisateur Connection login Login de connexion logout_app https://auth.example.com/ logout_app https://auth.example.com/ http://search.cpan.org/search?query=DBD%3A%3A&mode=module http://search.cpan.org/search?query=DBD%3A%3A&mode=module Access Control List Liste de contrôle d'accès RDBI RDBI portalUserAttr portalUserAttr <a0>Django</a0> is a high-level Python Web framework that encourages rapid development and clean, pragmatic design. <a0>Django</a0> est un framework web de haut niveau écrit en Python qui favorise le développement rapide et propre et un design pragmatique. dbiAuthnLevel dbiAuthnLevel valeur valeur Example for groups: Exemples de groupes: <s0>OpenID Connect Service</s0>: OpenID Connect service configuration <s0>Service OpenID-Connect</s0>: configuration du service OpenID-Connect Example: interoperability between 2 organizations Exemple : interoperabilité entre 2 organisations User table Table utilisateurs Key name Nom de la clef Commit Commit mailReplyTo mailReplyTo Global performance Performance globale It means that if the IDP propose to close session earlier than the default LemonLDAP::NG timeout, the session _utime will be modified so that session is erased at the date indicated by the IDP. Celà signifie que si l'IDP propose de clore la session au-delà de la durée de vie par défaut dans LemonLDAP::NG, la valeur de _utime sera modifiée afin que la session ne soit effacée qu'au moment indiqué par l'IDP. # Other requests # Autres requêtes Security Assertion Markup Language Security Assertion Markup Language This is because the client often need to request directly the IDP, and the Apache authentication will block the request. En effet, le client doit souvent interroger directement l'IDP et l'authentification Apache va bloquer la requête. <s0>NameID format</s0>: force NameID format here (email, persistent, transient, etc.). <s0>Format du NameID</s0> : force le format du NameID (email, persistent, transient, etc.). cp lemonldap.class.php inc/auth/ cp lemonldapuserdatabackend.class.php inc/auth/ cp lemonldap.class.php inc/auth/ cp lemonldapuserdatabackend.class.php inc/auth/ <s75>'configurator'</s75> <s76>=></s76> <s77>$_SERVER</s77><s78>[</s78><s79>'HTTP_AUTH_SUPERADMIN'</s79><s80>]</s80><s81>,</s81> <s75>'configurator'</s75> <s76>=></s76> <s77>$_SERVER</s77><s78>[</s78><s79>'HTTP_AUTH_SUPERADMIN'</s79><s80>]</s80><s81>,</s81> You can change default parameters using the “notificationStorage” and “notificationStorageOptions” parameters with the same syntax as configuration storage parameters. On peut changer les paramètres par défaut en utilisant les paramètres “notificationStorage” et “notificationStorageOptions” avec la même syntaxe que les paramètres de stockage de la configuration. Be careful with URL parameters Attention aux paramètres des URL The <c0>basic</c0> function will also force conversion from UTF-8 to ISO-8859-1, which should be accepted by most of HTTP servers. La fonction <c0>basic</c0> force la conversion des caractères UTF-8 en ISO-8859-1, qui peut être accepté par la plupart des serveurs HTTP. <s20><s21><property</s21> <s22>name</s22>=<s23>"authenticationManager"</s23> <s24>ref</s24>=<s25>"authenticationManager"</s25> <s26>/></s26></s20> <s27><s28></bean<s29>></s29></s28></s27>   <s30><s31><bean</s31> <s32>id</s32>=<s33>"preauthAuthProvider"</s33> <s34>class</s34>=<s35>"org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider"</s35><s36>></s36></s30> <s20><s21><property</s21> <s22>name</s22>=<s23>"authenticationManager"</s23> <s24>ref</s24>=<s25>"authenticationManager"</s25> <s26>/></s26></s20> <s27><s28></bean<s29>></s29></s28></s27>   <s30><s31><bean</s31> <s32>id</s32>=<s33>"preauthAuthProvider"</s33> <s34>class</s34>=<s35>"org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider"</s35><s36>></s36></s30> Password is not a common attribute. Le mot-de-passe n'est pas un attribut commun. mailLDAPFilter mailLDAPFilter http://search.cpan.org/perldoc?Apache::Session::Postgres http://search.cpan.org/perldoc?Apache::Session::Postgres <a0>Download</a0> the plugin and copy the files in dokuwiki <c1>inc/auth/</c1> directory: <a0>Télécharger</a0> le plugin et le copier dans le répertoire dokuwiki <c1>inc/auth/</c1> : The Basic Authentication relies on a specific HTTP header, as described above. L'authentification basique est portée par un en-tête HTTP spécifique, tel que décrit ci-dessous. screenshots:1.1:mailreset:mailreset_step4.png screenshots:1.1:mailreset:mailreset_step4.png Apache <a0>SetEnvIf module</a0> will let you transform the Auth-User HTTP header in <c1>REMOTE_USER</c1> environment variable: Le <a0>module SetEnvIf</a0> d'Apache peut transformer l'en-tête HTTP Auth-User en variable d'environnement <c1>REMOTE_USER</c1> : These parameters can be configured in Manager, in <c0>General Parameters</c0> > <c1>Advanced parameters</c1> > <c2>Handler redirections</c2>: Ces paramètres peuvent être configurés dans le manager, dans <c0>Paramètres généraux</c0> > <c1>Paramètres avancés</c1> > <c2>Redirections des agents</c2>: You will be prompted. Le message sera affiché. <a0>Configuring the virtual hosts</a0> is not sufficient to display an application in the menu. <a0>Configurer les hôtes virtuels</a0> n'est pas suffisant pour afficher une application dans le menu. <a0>LL::NG</a0> use 2 internal databases to store its configuration and sessions. <a0>LL::NG</a0> utilise 2 bases de données interne pour stocker ses configuration et sessions. You need to find the following files in your Alfresco installation: Les fichiers suivants sont nécessaires dans l'installation Alfresco : If you upgraded <a0>LL::NG</a0>, check all <a1>upgrade notes</a1>. Pour mettre à jour <a0>LL::NG</a0>, lisez toutes les <a1>notes de mise à jour</a1>. <a0><s1>package</s1></a0> SSOExtensions<s2>;</s2>   <s3>sub</s3> function1 <s4>{</s4> <a0><s1>package</s1></a0> SSOExtensions<s2>;</s2>   <s3>sub</s3> function1 <s4>{</s4> These options are used to build redirection <a0>URL</a0> (when user is not logged, or for <a1>CDA</a1> requests). Ces options sont utilisées dans la construction des <a0>URL</a0> de redirection (lorsque l'utilisateur n'est pas connecté ou pour les requêtes <a1>CDA</a1>). documentation:remote-principle.png documentation:remote-principle.png Main <a0>DNS</a0> domain Domaine <a0>DNS</a0> principal SP Initiated Binding: chose any of the supported binding (every one listed there is currently supported on LemonLDAP::NG) HTTP POST is a good choice SP Initiated Binding : choisir n'importe quel protocole supporté (ils le sont actuellement tous par LemonLDAP::NG), HTTP POST est un bon choix <s0>syntax</s0> (optional): <c1>hexadecimal</c1> (default) or <c2>octetstring</c2> <s0>syntax</s0> (optionnel) : <c1>hexadecimal</c1> (défaut) ou <c2>octetstring</c2> <s0>Secured cookie</s0>: 4 options: <s0>Cookie sécurisé</s0> : 4 options : Skin customization Personnalisation du thème Then you must <s0>deploy</s0> this domain in order to go on with the configuration. Ensuite <s0>deployer</s0> ce domaine pour accéder à sa configuration. Compatible password modification Compatibilité des modifications de mots-de-passe Form replay allows you to open a session on a protected application by filling a <a0>HTML</a0> POST login form and autosubmitting it, without asking anything to the user. Le rejeu de formulaire permet d'ouvrir une session dans une application protégée par un formulaire POST sans rien demander à l'utilisateur. These parameters can be configured in Manager, in <c0>General Parameters</c0> > <c1>Advanced parameters</c1> > <c2>Handler redirections</c2>. Cesparamètres peuvent être configurés dans le manager, dans <c0>Paramètres généraux</c0> > <c1>Paramètres avancés</c1> > <c2>Redirections des agents</c2>. Do this in the control panel or in the configuration file: Faire ceci dans le panneau de contrôle ou dans le fichier de configuration : <s0>SSLCertificateKeyFile</s0>: Server private key <s0>SSLCertificateKeyFile</s0> : clef privée du serveur Radius secret Secret Radius $_auth $_auth Header En-tête To see available actions, do: Pour connaître les actions possibles, lancer : In the Manager, select node <c0><a1>SAML</a1> identity providers</c0> and click on <c2>Add <a3>SAML</a3> IDP</c2>. Dans le Manager, selectionner le noeud <c0>Fournisseurs d'identité <a1>SAML</a1></c0> et cliquer sur <c2>Ajouter un IdP <a3>SAML</a3></c2> : Code to replace: Code à remplacer : The <a0>SSO</a0> cookie is build by the portal (as described in the <a1>login kinematic</a1>), or by the Handler for cross domain authentication (see <a2>CDA kinematic</a2>). Le cookie <a0>SSO</a0> est construit par le portail (tel que décrit dans la <a1>cinématique de connexion</a1>) ou par l'agent (handler) lors des authentification inter-domaines (voir <a2>la cinématique de l'authentification inter-domaine</a2>). You may want to failback to another authentication backend in case of the Apache authentication fails. On peut choisir de basculer sur un autre backend d'authentification en cas d'échec de l'authentification Apache. This page do not reference all error messages, but only the frequentest Cette page ne référence pas tous les messages d'erreur, mais simplement les plus fréquents Last name Nom ldapRaw ldapRaw Get the tarball Récupérer l'archive Variable name Nom de Variable Session-ID => $_session_id Session-ID => $_session_id If <c0>exportedAttr</c0> is set, only those attributes are copied in the session database of the secondary <a1>LL::NG</a1> structure. Si <c0>exportedAttr</c0> est défini, seuls ces attributs sont copiés dans la base des sessions du système <a1>LL::NG</a1> secondaire. It is recommended to use NTP to do this. Il est recommandé d'utilisé NTP à cet effet. <s10>Order</s10> <s11>deny</s11>,<s12>allow</s12> <s10>Order</s10> <s11>deny</s11>,<s12>allow</s12> CAS (authentication module) CAS (module d'authentification) sn sn Files Fichiers You must come back later to fill this parameter. Il faudra revenir plus tard pour adapter ce paramètre. email email Select the key, and export it (button <c0>Download</c0>). Selectionner la clef, et l'exporter (bouton <c0>Télécharger</c0>): The Kerberos configuration is quite complex. La configuration Kerberos est assez complexe. <s0>Authentication level</s0>: level of authentication to associate to this module <s0>Niveau d'authentification</s0> : niveau d'authentification associé à ce module <s31><s32></SPSSODescriptor<s33>></s33></s32></s31> <s34><s35></md:EntityDescriptor<s36>></s36></s35></s34> <s31><s32></SPSSODescriptor<s33>></s33></s32></s31> <s34><s35></md:EntityDescriptor<s36>></s36></s35></s34> As <a0>DBI</a0> is a login/password based module, the authentication level can be: Comme <a0>DBI</a0> est un module de type login/mot-de-passe, le niveau d'authentification peut être : You just have to install lemonldap-ng-fastcgi-server package, it will be started automatically. Il suffit d'installer le package lemonldap-ng-fastcgi-server, il démarre automatiquement. Nginx configuration Configuration de Nginx Form replay Rejeu de formulaires In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Yubikey for authentication module. Dans le manager, allez dans <c0>Paramètres generaux</c0> > <c1>Modules d'authentification</c1> et choisissez Yubikey comme module d'authentication. Can be overridden by an LDAP <a1>URI</a1> in server host. Peut être surchargé par une <a3>URI</a3> LDAP dans le nom du serveur. To protect a virtual host in Nginx, the LemonLDAP::NG FastCGI server must be launched (see <a0>LemonLDAP::NG FastCGI server</a0>). Pour protéger un hôte virtuel dans Nginx, le serveur FastCGI de LemonLDAP::NG doit être lancé (voir <a0>Serveur FastCGI de LemonLDAP::NG</a0>). customhead.tpl : <a0>HTML</a0> header markups (like <a1>CSS</a1>, js inclusion) customhead.tpl : en-têtes <a0>HTML</a0> (tels les inclusions <a1>CSS</a1>, js) Indeed, this variable is set by the Handler on the physical server hosting the Handler, and not on other servers where the Handler is not installed. Toutefois, cette variable est renseignée par l'agent dans le serveur physique l'hébergeant mais pas dans les autres serveurs sans agents. http://auth.example.com/openidserver/foo.bar http://auth.example.com/openidserver/foo.bar Note that this feature is interesting only for the Lemonldap::NG systems protecting a high number of applications Notez que cette fonctionnalité n'est intéressante que pour les systèmes Lemonldap::NG protégeant un grand nombre d'applications So you can configure it to authenticate users using a federation protocol and simultaneously to provide identities using other(s) federation protocols. Ainsi on peut le configurer pour authentifier les utilisateurs en utilisant un protocole de fédération et simultanément pour fournir les identités en en utilisant en autre. country country This requires <a1>Perl OpenID consumer module</a1> with at least version 1.0. Ceci requiert le <a1>module client OpenID pour Perl</a1>, version au moins supérieure ou égale à 1.0. <s0>KERB_NODE1</s0>: AD account to generate the keytab for the first <a1>LL::NG</a1> server (in cluster mode) <s0>KERB_NODE1</s0> : compte AD pour générer la table de clefs du premier serveur <a1>LL::NG</a1> (en mode cluster) Specific default values for filters to match AD schema Valeurs spécifiques par défaut des filtres pour correspondre au schéma AD # Log format include /path/to/lemonldap-ng/nginx-lmlog.conf; server { # Format des journaux include /path/to/lemonldap-ng/nginx-lmlog.conf; server { If <c0><a1>CAS</a1> login</c0> is not set, it uses <c2>General Parameters</c2> » <c3>Logs</c3> » <c4>REMOTE_USER</c4> data, which is set to <c5>uid</c5> by default Si le <c0>login <a1>CAS</a1></c0> n'est pas défini, la donnée <c2>Paramètres généraux</c2> » <c3>Journalisation</c3> » <c4>REMOTE_USER</c4> est utilisée, mise à <c5>uid</c5> par défaut # ELSE # SINON dbiPassword dbiPassword Name Nom <s0>ServerName</s0> auth.example.com   <s0>ServerName</s0> auth.example.com   The normal portal has a link included in the authentication form pointing to the remote portal for the users of the other organization Le portail normal dispose d'un lien dans le formulaire d'authentification pointant vers le portail destiné aux utilisateurs de l'autre organisation Exported variables are the variables available to <a0>write rules and headers</a0>. Les variables exportées sont des variables disponibles pour <a0>écrire des règles d'accès et des en-têtes</a0>. 'directory_umask' => '007',? 'directory_umask' => '007',? SSL authentication (https) does not seem to be checked anyway. "SSL authentication (https)" ne semble pas devoir être sélectionné. Subject for password mail Sujet du message de changement de mot de passe It will be the link between the <a0>SAML</a0> assertion coming from LemonLDAP::NG (the IdP) and a given user in Salesforce. Ce sera le lien entre l'assertion <a0>SAML</a0> provenant de LemonLDAP::NG (l'IdP) et l'identifiant Salesforce. Setup Mise en marche The value will be use in metadata main markup: Cette valeur est utilisé dans les metadatas : Several IDPs are allowed, in this case the user will choose the IDP he wants. Plusieurs IDPs peuvent être autorisés, dans ce cas l'utilisateur peut choisir l'IDP qu'il souhaite. Apache is not configured to authenticate users ! Apache is not configured to authenticate users ! Install rpm-build package Install rpm-build package <a0><s1>print</s1></a0> <s2>"Connected user: "</s2><s3>.</s3><s4>$ENV</s4><s5>{</s5>HTTP_AUTH_USER<s6>}</s6><s7>;</s7> <a0><s1>print</s1></a0> <s2>"Connected user: "</s2><s3>.</s3><s4>$ENV</s4><s5>{</s5>HTTP_AUTH_USER<s6>}</s6><s7>;</s7> http://wiki.zimbra.com/index.php?title=Preauth http://wiki.zimbra.com/index.php?title=Preauth <s0>DNSDOMAIN</s0>: Main <a1>DNS</a1> domain (default: example.com) <s0>DNSDOMAIN</s0> : domaine <a1>DNS</a1> proncipal (défaut : example.com) To use this feature only locally, edit <c0>lemonldap-ng.ini</c0> in section [all]: Pour utiliser cette fonctionnalité seulement localement, éditer <c0>lemonldap-ng.ini</c0> dans la section [all]: notificationStorage notificationStorage # Client requests # Requêtes clients File session backend Backend de sessions File Then fill all inputs to create the notification. Remplir ensuite tous les champs pour créer la notification. There is a time tolerance of 60 seconds in <c0><Conditions></c0> Il y a une tolérance de 60 seconds dans les <c0><Conditions></c0> New code: Nouveau code: Handler performance Performance des agents (handlers) <s0>Activation in register form</s0>: set to 1 to display captcha in register form <s0>Activation dans le formulaire d'enregistrement</s0> : mettre à 1 pour activer le captcha dans ce formulaire File location Emplacement du fichier If some of your servers are not in the same (secured) network than the database, it is recommended to use <a3>SOAP access</a3> for those servers. Si certains des serveurs ne se trouvent pas sur le même réseau (securisé) que la même base de données, il est recommandé d'utiliser <a3>l'accès SOAP</a3> pour ces serveurs. # SOAP functions for configuration access (disabled by default) # Fonctions SOAP pour accéder à la configuration (désactivées par défaut) So you have just to declare this header for the virtual host in Manager. Il suffit donc de déclarer cet en-tête pour l'hôte virtuel dans le manager. <s0>VHOSTLISTEN</s0>: how listen parameter is configured for virtual hosts in Apache (default: *:80) <s0>VHOSTLISTEN</s0> : comment est configuré le paramètre d'écoute des hôtes virtuels dans Apache (défaut : *:80) http://auth.example.com/saml/singleSignOn http://auth.example.com/saml/singleSignOn Twitter Twitter You need to give access to status path in the Handler Apache configuration: Il faut autoriser l'accès au chemin du statut dans le configuration Apache de l'agent : ldapAuthnLevel ldapAuthnLevel <s0><a1>Notifications</a1></s0>: prompt users with a message if found in the notification database <s0><a1>Notifications</a1></s0> : interrompt les utilisateurs avec un message s'il est trouvé dans la base de données des notifications In Manager, go in <c0>General Parameters</c0> » <c1>Authentication modules</c1> and choose Remote for authentication and users. Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir Remote pour les modules authentification et utilisateurs. <s0>Redirect on error</s0>: use 302 instead 500 or 503 <s0>Redirection pour les erreurs</s0> : utilise 302 au lieu de 500 ou 503 Known problems Problèmes connus ldapBindPassword ldapBindPassword Clone Clone Here you can go in <a0>API</a0> Manager and get new credentials (<c1>client_id</c1> and <c2>client_secret</c2>). Aller ensuite dans « <a0>API</a0> Manager » et récupérer les nouveaux éléments (<c1>client_id</c1> and <c2>client_secret</c2>). Fast CGI support Support FastCGI applications:dokuwiki_logo.png applications:dokuwiki_logo.png portalDisplayAppslist portalDisplayAppslist If you want to refuse access when a data is missing, just add a “!” before the key name Pour imposer qu'une valeur soit renseignée, ajouter un ”!” devant le nom de clef Logout forward Propagation de déconnexion You need to get an client ID and a secret key from Yubico. Un identifiant client et une clef secrète doivent être obtenues auprès de Yubico. <s0>ACR values</s0>: Value acr_values parameters (example: loa-1) <s0>Valeurs ACR</s0> : valeur des paramètres acr_values (exemple : loa-1) Install Authen::Radius Installer Authen::Radius Hide old password in reset form Masquer l'ancien mot-de-passe dans le formulaire de réinitialisation It will get the user identity trough an ID Token, and grab user attributes trough UserInfo endpoint. L'identité utilisateur sera récupérée via in jeton d'identification, et les attributs utilisateurs via le point d'accès UserInfo. You can also delete some notifications with SOAP, once SOAP is activated: On peut également effacer certaines notifications avec SOAP, si SOAP est activé : So, to keep user password in session, you cannot just export the password variable in session. Donc pour conserver le mot-de-passe utilisateur dans la session, on ne peut seulement exporter la variable mot-de-passe dans la session. URL contains a non protected host URL contains a non protected host All Perl scripts/pages are in /var/lib/lemonldap-ng/ Tous les scripts/pages Perl se trouvent dans /var/lib/lemonldap-ng/ OpenID secret token Secret OpenID /index.php?access=admin&access=other /index.php?access=admin&access=other LemonLDAP::NG is highly scalable, so easy to insert behind a load-balancer: LemonLDAP::NG est hautement scalable, donc facile à insérer derière un répartisseur de charge : Then you can take any virtual host, and simply add this line to protect it: Ainsi n'importe quel hôte virtuel peut être protégé en ajoutant cette ligne : You can use Null backend to bypass some authentication process steps. Le backend Null peut être utilisé pour sauter des étapes du processus d'authentication. <a0>LL::NG</a0> can grab them automatically if jwks_uri is defined in metadata. <a0>LL::NG</a0> peut les récupérer autoatiquement si jwks_uri est défini dans la métadonnée. In “External authentications” click “Others” and in “Field holding the login in the _SERVER array” select “REMOTE_USER” Dans “External authentications” cliquer sur “Others” et dans “Field holding the login in the _SERVER array” choisir “REMOTE_USER” User ID User ID Then, go in <c0><a1>CAS</a1> parameters</c0>: Aller ensuite dans <c0>Paramètres <a1>CAS</a1></c0> : Crypt::OpenSSL::X509 Crypt::OpenSSL::X509 You need to set the PHP_AUTH_USER variable to have the Webserver authentication mode working. Il faut renseigner la variable PHP_AUTH_USER pour faire fonctionner le mode d'authentification par serveur web. <s0>deleteSession</s0>: delete a session <s0>deleteSession</s0> : efface une session Config::IniFiles Config::IniFiles <a0>CDA</a0> is set if the handler is not in the same domain Le <a0>CDA</a0> ne fonctionne que si l'agent n'est pas dans le même domaine Headers are used to give user datas to the application. Les en-têtes sont utilisés pour donner aux applications les données utilisateurs. <s0>Login field name</s0>: name of authentication table column hosting login <s0>Nom du champ de compte</s0> : nom de la colonne de la table d'authentification contenant le login LWP::UserAgent LWP::UserAgent If you run Debian testing or unstable, the packages are directly installable: Pour les utilisateurs de Debian testing ou unstable, les paquets sont directement installables : Single Sign On cookie, domain and portal URL Cookie SSO, URL du portail et domaine <a0>MediaWiki</a0> is a wiki software, used by the well known <a1>Wikipedia</a1>. <a0>MediaWiki</a0> est un logiciel wiki utilisé par le très connu <a1>Wikipedia</a1>. ^/minig ^/minig phpLDAPadmin local configuration Configuration locale phpLDAPadmin Register LL::NG to an OpenID Connect Provider Enregistrer LL::NG dans un fournisseur d'identité OpenID-Connect SOAP proxy mechanism SOAP proxy mechanism Display reset password form Affiche le module de réinitialisation de mot-de-passe The notifications module uses a wildcard to manage notifications for all users. Le module de notifications utilise une carte blanche pour gérer les notifications destinées à tous les utilisateurs. <s17>-></s17><s18>proxy</s18><s19>(</s19><s20>'http://auth.example.com/index.pl/notification'</s20><s21>)</s21><s22>;</s22>     <s23>$r</s23> <s24>=</s24> <s25>$lite</s25><s26>-></s26><s27>deleteNotification</s27><s28>(</s28><s29>'foo.bar'</s29><s30>,</s30> <s31>'ABC'</s31><s32>)</s32><s33>;</s33>   <s34>if</s34> <s35>(</s35> <s36>$r</s36><s37>-></s37><s38>fault</s38> <s39>)</s39> <s40>{</s40> <s17>-></s17><s18>proxy</s18><s19>(</s19><s20>'http://auth.example.com/index.pl/notification'</s20><s21>)</s21><s22>;</s22>     <s23>$r</s23> <s24>=</s24> <s25>$lite</s25><s26>-></s26><s27>deleteNotification</s27><s28>(</s28><s29>'foo.bar'</s29><s30>,</s30> <s31>'ABC'</s31><s32>)</s32><s33>;</s33>   <s34>if</s34> <s35>(</s35> <s36>$r</s36><s37>-></s37><s38>fault</s38> <s39>)</s39> <s40>{</s40> This function convert a string from ISO-8859-1 to UTF-8. Cette fonction convertit une chaîne ISO-8859-1 en UTF-8. Handler Status Page de statut de l'agent OpenID authentication can proposed as an alternate authentication scheme using the <a0>authentication choice</a0> method. L'authentification OpenID peut être proposée en choix alternatif en utilisant la méthode d'authentification <a0>choice</a0>. Main LL::NG structure Système LL::NG principal <s0>my</s0> <s1>$cgi</s1> <s2>=</s2> Lemonldap<s3>::</s3><s4>NG</s4><s5>::</s5><s6>Handler</s6><s7>::</s7><s8>CGI</s8><s9>-></s9><s10>new</s10> <s11>(</s11><s12>{</s12><s13>}</s13><s14>)</s14><s15>;</s15> <s16>$cgi</s16><s17>-></s17><s18>authenticate</s18><s19>(</s19><s20>)</s20><s21>;</s21> <s22>$cgi</s22><s23>-></s23><s24>authorize</s24><s25>(</s25><s26>)</s26><s27>;</s27> <s28>...</s28> <s0>my</s0> <s1>$cgi</s1> <s2>=</s2> Lemonldap<s3>::</s3><s4>NG</s4><s5>::</s5><s6>Handler</s6><s7>::</s7><s8>CGI</s8><s9>-></s9><s10>new</s10> <s11>(</s11><s12>{</s12><s13>}</s13><s14>)</s14><s15>;</s15> <s16>$cgi</s16><s17>-></s17><s18>authenticate</s18><s19>(</s19><s20>)</s20><s21>;</s21> <s22>$cgi</s22><s23>-></s23><s24>authorize</s24><s25>(</s25><s26>)</s26><s27>;</s27> <s28>...</s28> You can also find on this page the SVN tarball if you want to test latest features. On peut aussi trouver sur cette page l'archive SVN pour tester les dernières évolutions. <s0>Password max age</s0> : number of seconds after the last password change, before it expires. <s0>Âge macimum du mot-de-passe</s0> : nombre de secondes entre le changement de mot-de-passe et son expiration. If you specify port in virtual host, then declare SSL port: SI le port est spécifié, déclarer le port SSL : msmith msmith LemonLDAP::NG configuration (edited by the Manager) is in /var/lib/lemonldap-ng/conf/ La configuration LemonLDAP::NG (editée par le manager) se trouve dans /var/lib/lemonldap-ng/conf/ So, if the user is not recognized or HTTP headers not present, a 403 error is sent. Donc, si l'utilisateur n'est pas reconnu ou si l'en-tête HTTP n'est pas présent, une erreur 403 est retournée. For example with this rule on the <c0>access</c0> parameter: Par exemple avec cette règle sur le paramètre <c0>access</c0> : Modify Manager protection Modifier la protection du manager Remote cookie name Nom du cookie distant Install it to trust packages: L'installer pour certifier les paquets : <s4>Deny</s4> from <s5>all</s5> <s4>Deny</s4> from <s5>all</s5> → User does not have Lemonldap::NG cookie, handler redirect it to the portal → L'utilisateur ne dispose pas d'un cookie Lemonldap::NG, l'agent le redirige vers le portail <s0>Reset value</s0>: value to set in reset attribute to activate password reset (default: TRUE). <s0>Valeur de reset</s0> : valeur à mettre dans l'attribut reset pour activer la réinitialisation du mot-de-passe (défaut : TRUE). service_name Centralized auth service service_name Centralized auth service General parameters Paramètres généraux <s0>Facebook application ID</s0>: the application ID you get <s0>ID de l'application Facebook</s0> : l'identifiant d'application obtenu ^/public/ ^/public/ Register LemonLDAP::NG on partner Service Provider Enregistrer LemonLDAP::NG sur le fournisseur de service partenaire If you disallow this, you should also disallow direct login form IDP, because proxy restriction is set in authentication requests. En interdisant ceci, on risque d'interdire aussi les authentification directe des IDP car la restriction est indiquée dans la requête d'authentification. You can do the same check for the keytab as with the single <a0>LL::NG</a0> server. On peut faire le même contrôle que pour un serveur <a0>LL::NG</a0> isolé. (adapt the domain if necessary) (adapter le domaine si nécessaire) <s0>Auth-Cn</s0>: $cn <s0>Auth-Cn</s0>: $cn As you may have guessed, these accounts are famous characters from the TV show <a0>Doctor Who</a0>. Comme on peut le voir, ces comptes sont les fameux caractères du show TV <a0>Doctor Who</a0>. <s26>Order</s26> <s27>deny</s27>,<s28>allow</s28> <s26>Order</s26> <s27>deny</s27>,<s28>allow</s28> dark dark Configure Dokuwiki virtual host like other <a0>protected virtual host</a0>. Configurer l'hôte virtuel Dokuwiki comme n'importe quel autre <a0>hôte virtuel protégé</a0>. So on each main portal, internal users can access normally, and users issued from the other organization have just to click on the link: Ainsi sur chacun des portails principaux, les utilisateurs internes peuvent accéder normalement et les utilisateurs de l'autre organisation n'ont qu'à cliquer sur le lien : Go in the Manager and set the session module (<a0>Apache::Session::Browseable::MySQL</a0> for MySQL) in <c1>General parameters</c1> » <c2>Sessions</c2> » <c3>Session storage</c3> » <c4>Apache::Session module</c4> and add the following parameters (case sensitive): Aller dans le manager et mettre le module de session (<a0>Apache::Session::Browseable::MySQL</a0> pour MySQL) dans <c1>Paramètres généraux</c1> » <c2>Sessions</c2> » <c3>Stockage des sessions</c3> » <c4>Module Apache::Session</c4> et ajouter le paramètre suivant (sensible à la casse) : <s140>"userobm_mail_quota"</s140> <s141>=></s141> <s142>"HTTP_OBM_MAILQUOTA"</s142><s143>,</s143> <s140>"userobm_mail_quota"</s140> <s141>=></s141> <s142>"HTTP_OBM_MAILQUOTA"</s142><s143>,</s143> Required parameters Paramètres exigés Access to Liferay (first time): Accès à Liferay (première connexion): You can find a Docker image for LemonLDAP::NG in this repository: <a0>https://hub.docker.com/r/coudot/lemonldap-ng/</a0> On peut trouver des images Docker pour LemonLDAP::NG dans ce dépôt : <a0>https://hub.docker.com/r/coudot/lemonldap-ng/</a0> Sessions database Base de données des sessions Change <s0>mydomain.org</s0> into your Google Apps domain Mettre <s0>mydomain.org</s0> dans le domaine Google Apps In this case, the Apache authentication module should not require a valid user and not be authoritative, else Apache server will return an error and not let <a0>LL::NG</a0> Portal manage the failback authentication. Dans ce cas, la module d'authentification Apache ne doit pas exiger un utilisateur valide et ne dois pas être impératif, sinon le serveur Apache va retourner une erreur sans passer la main au portail <a0>LL::NG</a0>. lemonldap-ng-test: contains sample CGI test page lemonldap-ng-test : contient une simple page CGI de test <s132>//"userobm_host_id" => ,</s132> <s132>//"userobm_host_id" => ,</s132> A little floating menu can be added to application with this simple Apache configuration: Un petit menu flottant peut être ajouté aux applications par une seimple configuration Apache : Only current application is concerned by logout_app* targets. Seule l'application est concernée par les cibles logout_app*. <s0>Password expire warning</s0> : number of seconds between password expiration and the date from which user is warned his password will expire. <s0>Délai d'avertissement d'expiration du mot-de-passe</s0> : nombre de secondes entre la date d'avertissement et l'expiration effective. <a0>Create a protocol proxy</a0> <e1>(<a2>SAML</a2> to OpenID, <a3>CAS</a3> to <a4>SAML</a4> ,…)</e1> <a0>Créer un proxy de protocoles </a0> <e1>(<a2>SAML</a2> vers OpenID, <a3>CAS</a3> vers <a4>SAML</a4> ,…)</e1> The path to the lock directory Le chemin du répertoire des verrous <c0>prompt</c0>, <c1>display</c1>, <c2>ui_locales</c2>, <c3>max_age</c3> parameters paramètres <c0>prompt</c0>, <c1>display</c1>, <c2>ui_locales</c2> et <c3>max_age</c3> LL::NG LL::NG If you need to add a template parameter for your customization, then add to <c0>lemonldap-ng.ini</c0>: Pour ajouter un paramètre de modèle, l'ajouter dans <c0>lemonldap-ng.ini</c0>: LDAP server can be a brake when you use LDAP groups recovery. Le serveur LDAP peut être un frein lorsque vous utilisez la récupération des groupes LDAP. You need <a0>Auth::Yubikey_WebClient</a0> package. Le paquet <a0>Auth::Yubikey_WebClient</a0> est nécessaire. REMOTE_USER environment variable (with local Handler or SetEnvIf trick) la variable d'environnement REMOTE_USER (avec un agent local ou une conversion SetEnvIf) <a65><s66>print</s66></a65> <s67>"$res notification(s) have been deleted<s68>\n</s68>"</s67><s69>;</s69> <s70>}</s70> <a65><s66>print</s66></a65> <s67>"$res notification(s) have been deleted<s68>\n</s68>"</s67><s69>;</s69> <s70>}</s70> logout_sso logout_sso Login policy La politique de connexion su - postgres createuser lemonldap-ng -P su - postgres createuser lemonldap-ng -P (&(sAMAccountName=$user)(objectClass=person)) (&(sAMAccountName=$user)(objectClass=person)) <s0># Get attributes (or macros)</s0> <s1>my</s1> <s2>$cn</s2> <s3>=</s3> <s4>$cgi</s4><s5>-></s5><s6>user</s6><s7>-></s7><s8>{</s8>cn<s9>}</s9>   <s10># Test if user is member of a Lemonldap::NG group (or LDAP mapped group)</s10> <s11>if</s11><s12>(</s12> <s13>$cgi</s13><s14>-></s14><s15>group</s15><s16>(</s16><s17>'admin'</s17><s18>)</s18> <s19>)</s19> <s20>{</s20> <s0># Obtenir des attributs (ou macros)</s0> <s1>my</s1> <s2>$cn</s2> <s3>=</s3> <s4>$cgi</s4><s5>-></s5><s6>user</s6><s7>-></s7><s8>{</s8>cn<s9>}</s9>   <s10># Tester si l'utilisateur est membre d'un groupe Lemonldap::NG (ou d'un groupe LDAP translaté)</s10> <s11>if</s11><s12>(</s12> <s13>$cgi</s13><s14>-></s14><s15>group</s15><s16>(</s16><s17>'admin'</s17><s18>)</s18> <s19>)</s19> <s20>{</s20> List of columns to query to fill user session. Liste de colonnes à interroger pour trouver la session utilisateur. <a0>Download the Lasso tarball</a0> and compile it on your system. <a0>Téléchargez l'archive Lasso</a0> et compilez là sur votre système. encode_base64($givenName." ".$surName) encode_base64($givenName." ".$surName) Nginx handler is provided by the <a0>LemonLDAP::NG FastCGI server</a0>. Le handler Nginx est fourni par le <a0>serveur FastCGI LemonLDAP::NG</a0>. Then, go in <c0>Choice Parameters</c0>: Ensuite, aller dans les <c0>paramètres Choice</c0>: You should see a krbtgt ticket: On doit trouver un ticket krbtgt : And run the “dist” target: Lancer la cible “dist” : # Then (if LUA not supported), change cookie header to hide LLNG cookie # Ensuite (si LUA n'est pas supporté), changer l'en-tête Cookie pour masquer celui de LLNG <s0><s1>[</s1>configuration<s2>]</s2></s0> <s3>type</s3> <s4>=</s4><s5> RDBI</s5> <s6>dbiChain</s6> <s7>=</s7><s8> DBI:mysql:database=lemonldap-ng</s8><s9>;host=1.2.3.4</s9> <s10>dbiUser</s10> <s11>=</s11><s12> lemonldap</s12> <s13>dbiPassword</s13> <s14>=</s14><s15> password</s15> <s16>; optional</s16> <s17>dbiTable</s17> <s18>=</s18><s19> mytablename</s19> <s0><s1>[</s1>configuration<s2>]</s2></s0> <s3>type</s3> <s4>=</s4><s5> RDBI</s5> <s6>dbiChain</s6> <s7>=</s7><s8> DBI:mysql:database=lemonldap-ng</s8><s9>;host=1.2.3.4</s9> <s10>dbiUser</s10> <s11>=</s11><s12> lemonldap</s12> <s13>dbiPassword</s13> <s14>=</s14><s15> password</s15> <s16>; optional</s16> <s17>dbiTable</s17> <s18>=</s18><s19> mytablename</s19> Go in Manager, <c0>General Parameters</c0> » <c1>Advanced Parameters</c1> » <c2>Custom functions</c2> and set: Aller dans le manager, <c0>Paramètres généraux</c0> » <c1>Paramètres avancés</c1> » <c2>Fonctions personnalisées</c2> et indiquer : Install and launch a <a0>Redis server</a0>. Installez et lancer un <a0>serveur Redis</a0>. Cache::Cache Cache::Cache <s0>$conf</s0><s1>[</s1>authtype<s2>]</s2> <s3>=</s3> lemonldap<s4>;</s4> <s0>$conf</s0><s1>[</s1>authtype<s2>]</s2> <s3>=</s3> lemonldap<s4>;</s4> To do this, go in Manager > General Parameters > Advanced Parameters > Security > Use Safe Jail and disable it. Pour ce faire, aller dans le manager > Paramètres généraux > Paramètres avancés > Sécurité > Utiliser la cage sécurisée et la désactiver. The configuration is done in config.php: La configuration est effectuée via config.php: Nginx is a very fast web server. Nginx est un serveur web particulièrement performant. Zimbra local <a0>SSO</a0> <a1>URL</a1> pattern Expression d'<a1>URL</a1> <a0>SSO</a0> locale pour Zimbra To keep Memcached performance level and <a0>LL::NG</a0> features, you can replace <a1>Memcached</a1> by <a2>Redis</a2> using <a3>NoSQL session backend</a3>. Pour maintenir un niveau de performance tel celui de Memcached et préserver les fonctionnalités de <a0>LL::NG</a0>, on peut remplacer <a1>Memcached</a1> par <a2>Redis</a2> en utilisant le <a3>backend de sessions NoSQL</a3>. Your EntityID, often use as metadata <a0>URL</a0>, by default #PORTAL#/saml/metadata. Votre EntityID, souvent utilisé comme <a0>URL</a0> des métadatas, par défaut #PORTAL#/saml/metadata. Name of IDP used for authentication Nom de l'IDP utilisé pour l'authentification <a0>LL::NG</a0> is compatible with the OpenID Authentication protocol <a1>version 2.0</a1> and <a2>version 1.0</a2>. <a0>LL::NG</a0> est compatible avec le protocole d'authentification OpenID <a1>version 2.0</a1> et <a2>version 1.0</a2>. Install it to trust RPMs: L'installer pour certifier les RPMs: Secure configuration access Securiser l'accès à la configuration LL::NG Cluster / Two AD domains Cluster LL::NG / Deux domaines AD Prerequisites and dependencies Pré-requis et dépendances Registered users on Google Apps with the same email than those used by <a0>LL::NG</a0> (email will be the NameID exchanged between Google Apps and <a1>LL::NG</a1>) Enregistrer les utilisateurs dans Google Apps avec la même adresse mail que celle utilisée dans <a0>LL::NG</a0> (l'adresse mail sera le NameID échangé entre Google Apps et <a1>LL::NG</a1>) if you use “File” system and your “dirName” is set to /usr/local/lemonldap-ng/conf/, the notifications will be stored in /usr/local/lemonldap-ng/notifications/ si “File” est utilisé et que “dirName” vaut /usr/local/lemonldap-ng/conf/, les notifications seront stockées dans /usr/local/lemonldap-ng/notifications/ You have to update them by yourself. Il faut les mettre à jour soi-même. Sympa configuration Configuration Sympa Imported from an LDAP directory Importés d'un serveur LDAP Replace MySQL by Apache::Session::Flex Remplacer MySQL par Apache::Session::Flex <s0>Sessions module</s0>: set <c1>Lemonldap::NG::Common::Apache::Session::SOAP</c1> for <a2>SOAP session backend</a2>. <s0>Module de sessions</s0> : mettre <c1>Lemonldap::NG::Common::Apache::Session::SOAP</c1> pour le <a2>backend de session SOAP</a2>. <a0>URL</a0> used before being redirected to the portal (empty if portal was used as entry point) <a0>URL</a0> utilisée avant d'être redirigé vers le portail (vide si le portail a été utilisé comme point d'entrée) Variables Variables SOAP session backend Backend de sessions SOAP After configuring <a0>SAML</a0> Service, you can export metadata to your partner Identity Provider. Après avoir configuré le service <a0>SAML</a0> Service, exporter les metadatas vers le fournisseur d'identité partenaire. Give a static value Donne une valeur statique Lemonldap::NG::Common Lemonldap::NG::Common For example <c1>{ldapPort}389</c1>. Par exemple <c1>{ldapPort}389</c1>. <s0>faketicket</s0>: if the user has no access, a fake ticket is built, and the user is redirected to <a1>CAS</a1> service. <s0>faketicket</s0> : si l'utilisateur n'a pas accès, un faux ticket est construit, et l'utilisateur est redirigé vers le service <a1>CAS</a1>. (see next section) (voir section suivante) Session expiration: sessions will never expire (server side) Expiration des sessions : les sessions n'expirent jamais (du côté serveur) <a0>DBI</a0> Connection chain Chaîne de connexion <a0>DBI</a0> In the Manager, go in <c0>General Parameters</c0> » <c1>Issuer modules</c1> » <c2><a3>CAS</a3></c2> and configure: Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules fournisseurs</c1> et configurer : <<s8>IfModule</s8> mod_rewrite.c> <<s8>IfModule</s8> mod_rewrite.c> Portal will follow in 2.0 Le portail suivra d'ici la version 2.0 groups groups Then, go in <c0>Facebook parameters</c0>: Ensuite, aller dans les <c0>paramètres Facebook</c0>: Use Apache::Session::Browseable Utiliser Apache::Session::Browseable Menu modules display Affichage des modules du menu http://static.springsource.org/spring-security/site/ http://static.springsource.org/spring-security/site/ http://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf http://docs.oasis-open.org/security/saml/v2.0/saml-authn-context-2.0-os.pdf <s17>"auto_update_force_group"</s17> <s18>=></s18> <s19>false</s19><s20>,</s20> <s17>"auto_update_force_group"</s17> <s18>=></s18> <s19>false</s19><s20>,</s20> This concerns all parameters for the Organization metadata section: Ceci concerne tous les paramètres de la section "organization" des métadatas : Signature Signature In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Proxy for authentication and users. Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir Proxy pour les modules authentification et utilisateurs. <s0>OpenID Connect Relying Parties</s0>: Registered RP <s0>Clients OpenID-Connect</s0> : RP enregistrés <s115>"userobm_zipcode"</s115> <s116>=></s116> <s117>"HTTP_OBM_POSTALCODE"</s117><s118>,</s118> <s115>"userobm_zipcode"</s115> <s116>=></s116> <s117>"HTTP_OBM_POSTALCODE"</s117><s118>,</s118> <s40><s41><property</s41> <s42>name</s42>=<s43>"preAuthenticatedUserDetailsService"</s43><s44>></s44></s40> <s40><s41><property</s41> <s42>name</s42>=<s43>"preAuthenticatedUserDetailsService"</s43><s44>></s44></s40> Else you can paste the content of the JSON file in the textarea. Sinon copier le contenu du fichier JSON dans l'emplacement dédié. This mechanism can be used to secure access for remote servers that cross an unsecured network to access to <a0>LL::NG</a0> databases. Ce mécanisme peut être utilisé pour sécuriser l'accès des serveurs distants qui traversent des réseaux non sécurisés pour accéder aux bases de données de <a0>LL::NG</a0>. Performances Performances dbiAuthLoginCol dbiAuthLoginCol <s0>Control header name</s0>: header that contains a value to control. <s0>Nom de l'en-tête de contrôle</s0> : en-tête qui contient la valeur à contrôler. MySQL MySQL Status module can not be loaded without localStorage parameter Status module can not be loaded without localStorage parameter _passwordDB _passwordDB Since MySQL performances are very bad using this, if you want to store sessions in a MySQL database, prefer one of the following Ceci dégrade fortement les performances de MySQL, si vous voulez stocker les sessions dans une base de données MySQL, utilisez l'une des solutions suivantes Password protected transport Transport protégé du mot-de-passe checkLogonHours($ssoLogonHours, '', '+2') checkLogonHours($ssoLogonHours, '', '+2') At least, check if it is not a <a1>known application</a1>, or <a2>try to adapt its source code</a2>. Ainsi, vérifier si l'<a1>application est connue</a1> ou <a2>essayer d'adapter le code source</a2>. Once this is completed, click to export the Salesforce metadata and import them into LemonLDAP::NG, into the declaration of the Salesforce Service Provider. Une fois ceci terminé, cliquer pour exporter les métadatas Salesforce et les importer dans LemonLDAP::NG, dans la déclaration du fournisseur de service Salesforce. authChoiceModules authChoiceModules <s55>"userobm_perms"</s55> <s56>=></s56> <s57>"HTTP_OBM_PERMS"</s57><s58>,</s58> <s55>"userobm_perms"</s55> <s56>=></s56> <s57>"HTTP_OBM_PERMS"</s57><s58>,</s58> Session restrictions Resctriction d'ouverture de session ldapGroupAttributeNameSearch ldapGroupAttributeNameSearch localStorageOptions localStorageOptions LDAP server Serveur LDAP Configure the following <a0>headers</a0>. Configurer les <a0>en-têtes</a0> suivants. Configure attributes: Configurer les attributs : sudo ln -s /usr/local/lemonldap-ng/etc/cron.d/* /etc/cron.d/ sudo ln -s /usr/local/lemonldap-ng/etc/cron.d/* /etc/cron.d/ If the user is not created, or can not be created via LDAP import, the connection to Liferay will be refused. Si le compte n'est pas créé ou ne peut être créé par un import LDAP, la connexion à Liferay sera refusée. <check>: paragraph to display with a checkbox: will be inserted in <a0>HTML</a0> page enclosed in <p class=“notifCheck”><input type=“checkbox” />…</p> <check> : paragraphe à afficher avec une case à cocher : sera inséré dans la page <a0>HTML</a0> encadré dans <p class=“notifCheck”><input type=“checkbox” />…</p> If no metadata is available, you need to write them in the textarea. À défaut de métadonnée, il faut les écrire. LL::NG as federation protocol proxy LL::NG en proxy de fédération de protocoles When all modifications are done, click on <c0>Save</c0> to store configuration. Lorsque toutes les modifications sont effectuées, cliquer sur <c0>Sauver</c0> pour enregistrer la configuration. applications:liferay_logo.png applications:liferay_logo.png Each module can be disabled using the <c0>Null</c0> backend. Chaque module peut être désactivé en utilisant le backend <c0>Null</c0>. <s0>Binary attributes</s0>: regular expression matching binary attributes (see <a1>Net::LDAP</a1> documentation). <s0>Attributs binaires</s0> : expression régulière correspondant aux attributs binaires (voir la documentation <a1>Net::LDAP</a1>). By default, the RelayState session is deleted when it is read. Par défaut, la session RelayState est détruite lorsqu'elle est lue. To create a variable, you've just to map a user attributes in <a0>LL::NG</a0> using <c1>Variables</c1> » <c2>Exported variables</c2>. Pour créer une variable, il faut simplement associer des attributs utilisateurs dans <a0>LL::NG</a0> en utilisant <c1>Variables</c1> » <c2>Variables exportées</c2>. Value (HTTP header name) Valeur (nom d'en-tête HTTP) http://en.wikipedia.org/wiki/OAuth2 http://en.wikipedia.org/wiki/OAuth2 securedCookie securedCookie Follow the <a0>next steps</a0> Suivre les <a0>étapes suivantes</a0> Session activity timeout requires Handlers to have a write access to sessions database. Le délai d'expiration des sessions nécessite que les agents aient un accès en écriture à la base des sessions. For example, we will use 3 roles: Par exemple, en utilisant 3 rôles : http://search.cpan.org/perldoc?DBD::Pg http://search.cpan.org/perldoc?DBD::Pg Give a technical name (no spaces, no special characters), like “sample-rp”; Donner un nom technique (sans espaces ni caratères speciaux), tel “sample-rp” ; Zimbra syncs to smartphones (iPhone, BlackBerry) and desktop clients like Outlook and Thunderbird. Zimbra se synchronise avec les smartphones (iPhone, BlackBerry) et les clients lourds de bureau tels Outlook et Thunderbird. GoogleApps => http://www.google.com/calendar/hosted/mydomain.org/logout GoogleApps => http://www.google.com/calendar/hosted/mydomain.org/logout Session lifetime for cronjob Durée de vie des sessions pour la tâche planifiée Users: will not collect any data (but you can still register environment variables in session) Utilisateurs : ne collecte aucune donnée (mais il est possible d'enregistrer des variables d'environement dans la session) Lemonldap-ng.ini parameters Paramètres lemonldap-ng.ini Proxy tickets will be collected at authentication phase and stored in user session under the form: Les tickets de proxy seront collectés lors de la phase d'authentification et stockés dans la session utilisateur sous la forme : To encode the redirection <a0>URL</a0>, the handler will use some Apache environment variables and also configuration settings: Pour encoder l'<a0>URL</a0> de redirection, l'agent utilise des variables d'environnement Apache et des paramètres de configuration : <s38><s39><user</s39> <s40>username</s40>=<s41>"both"</s41> <s42>password</s42>=<s43>"tomcat"</s43> <s44>roles</s44>=<s45>"tomcat,role1"</s45><s46>/></s46></s38> <s47><s48></tomcat-users<s49>></s49></s48></s47> <s38><s39><user</s39> <s40>username</s40>=<s41>"both"</s41> <s42>password</s42>=<s43>"tomcat"</s43> <s44>roles</s44>=<s45>"tomcat,role1"</s45><s46>/></s46></s38> <s47><s48></tomcat-users<s49>></s49></s48></s47> To allow this, use <a1>SOAP</a1> for configuration access, or use a network service like <a2>SQL database</a2> or <a3>LDAP directory</a3>. Pour contourner ce problème, utiliser <a1>SOAP</a1> pour l'accès à la configuration ou un service réseau tel une <a2>base de donnée SQL</a2> ou un <a3>annuaire LDAP</a3>. To use Active Directory as LDAP backend, you must change few things in the manager : Pour utiliser Active Directory comme serveur LDAP, vous devez effectuer quelques modifications dans le manager : Go on Drupal administration interface and enable the Webserver Auth module. Aller dans l'interface administration et activer le module Webserver Auth. Another <a0>LL::NG</a0> system configured with <a1>SAML authentication</a1> Un autre système <a0>LL::NG</a0> configuré avec <a1>authentification SAML</a1> Automatic REMOTE_USER Automatic REMOTE_USER applications:http_logo.png applications:http_logo.png Dokuwiki Dokuwiki documentation:remote-interoperability.png documentation:remote-interoperability.png http://en.wikipedia.org/wiki/INI_file http://en.wikipedia.org/wiki/INI_file <s89>"userobm_phone"</s89> <s90>=></s90> <s91>"HTTP_OBM_TELEPHONENUMBER"</s91><s92>,</s92> <s89>"userobm_phone"</s89> <s90>=></s90> <s91>"HTTP_OBM_TELEPHONENUMBER"</s91><s92>,</s92> Safe module is used to eval expressions in headers, rules, etc. Le module Safe est utilisé pour évaluer les expressions dans les en-têtes, règles, etc... <s147>//"userobm_email_nomade" => ,</s147> <s147>//"userobm_email_nomade" => ,</s147> <s0>Search base</s0>: <a1>DN</a1> of groups branch. <s0>Base de recherche</s0> : <a1>DN</a1> de la branche des groupes. Parameters: Paramètres: Some adaptations are needed with other databases. Quelques adaptations sont nécessaires pour les autres bases de données. lemonldap-ng-portal: contains authentication portal and menu lemonldap-ng-portal : contient le portail d'authentification et le menu Then Zimbra do the <a0>SSO</a0> by setting a cookie in user's browser Ensuite Zimbra génère son cookie <a0>SSO</a0> dans le navigateur de l'utilisateur Just use node1.example.com and node2.example.com instead of auth.example.com. Utiliser simplement node1.example.com et node2.example.com au lieu de auth.example.com. <a0>DBI</a0> UserDB table Table UserDB <a0>DBI</a0> ^/limesurvey/admin/ ^/limesurvey/admin/ Cache backend Module du cache local Drivers Drivers Start Commencer Radius authentication level Niveau d'authentification de Radius A click on a key will display the associated value. Un click sur la clef affiche la valeur associée. </<s12>IfModule</s12>>   </<s12>IfModule</s12>>   To allow the manager to reload the configuration, register the reload virtual host name in the hosts of the server: Pour autoriser le manager à recharger la configuration, enregistrer le nom d'hôte virtuel de rechargement dans le fichier hosts du serveur : This step should already have been if you installed <a0>LL::NG</a0> with packages. Cette étape est effectuée automatiquement lorsqu'on installe <a0>LL::NG</a0> avec les packages. For Nginx: Pour Nginx: Warning: key is not defined, set it in the manager ! Warning: key is not defined, set it in the manager ! pastel pastel http://www.google.com/apps/ http://www.google.com/apps/ Password found from login process (only if <a0>password store in session</a0> is configured) Mot-de-passe fournit lors du processus d'authentification (seulement si le <a0>stockage du mot-de-passe dans la sessions</a0> est configuré) Go to <c0>Portal</c0> » <c1>Settings</c1>: Aller dans <c0>Portal</c0> » <c1>Settings</c1>: 0 if not 0 sinon Open a Kerberos session (like done in the previous step): Ouvrir une session Kerberos (comme effectué dans l'étape précédente) : http://en.wikipedia.org/wiki/IBM_Lotus_iNotes http://en.wikipedia.org/wiki/IBM_Lotus_iNotes <s0>SSLVerifyClient</s0>: set to <c1>optional</c1> to allow user with a bad certificate to access to <a2>LL::NG</a2> portal page. <s0>SSLVerifyClient</s0> : mettre à <c1>optional</c1> pour autoriser les utilisateurs ne disposant pas d'un certificat valide à accéder à la page du portail <a2>LL::NG</a2> GLib GLib For example, to allow only users with a strong authentication level: Par exemple, pour n'autoriser que les utilisateurs authentifiés fortement : You can also use <portal>?logout=1 as logout_url to remove LemonLDAP::NG session when “disconnect” is chosen. On peut aussi utiliser <portal>?logout=1 comme URL de déconnexion pour supprimer la session LemonLDAP::NG lorsque la déconnexion est demandée. $_authChoice $_authChoice <s0>CDBI</s0> : very simple storage <s0>CDBI</s0> : stockage très simple persistentStorageOptions persistentStorageOptions iso2unicode iso2unicode <a0>CAS</a0> authentication level Niveau d'authentification <a0>CAS</a0> Returns cookie(s) name and values Retourne nom(s) et valeur(s) du(des) cookie(s) SAML connectors Connecteurs SAML It is run as a FastCGI application: S'il est lancé comme application FastCGI : If needed, you can <a0>recompile the valve from the sources</a0>. Si besoin, <a0>recompiler la valve depuis les sources</a0>. Memcached servers Serveurs memcached Zimbra use a specific <a0>preauthentication protocol</a0> to provide <a1>SSO</a1> on its application. Zimbra utilise un <a0>protocole de pré-authentification</a0> pour s'intégrer à un <a1>SSO</a1>. Apache SSL global configuration Configuration globale de ssl dans Apache Then select <c0>Set up single sign-on (<a1>SSO</a1>)</c0>: Ensuite sélectionner <c0>Set up single sign-on (<a1>SSO</a1>)</c0>: <s0>portal</s0>: parameters only for Portal <s0>portal</s0> : paramètres réservés au portail <s6># ...</s6> } <s6># ...</s6> } <s0>UI locales</s0>: Value of ui_locales parameter (example: en-<a1>GB</a1> en fr-FR fr) <s0>UI locales</s0> : valeur du paramètre ui_locales (exemple : en-<a1>GB</a1> en fr-FR fr) Take a look at <a0>http://xmlns.com/foaf/spec/#sec-crossref</a0>. Voir <a0>http://xmlns.com/foaf/spec/#sec-crossref</a0>. No <a0>headers</a0> are required. Aucun <a0>en-tête</a0> n'est nécessaire. See <s0><a1>security chapter</a1></s0> to learn more about writing good rules. Voir le <s0><a1>chapître sécurité</a1></s0> pour apprendre comment écrire de bonnes règles. <s0>groups</s0>: <c1>$hGroups</c1> variable <s0>groups</s0> : variable <c1>$hGroups</c1> OBM OBM Timestamp of session creation Date et heure (timestamp) de la création de la session install_portal_libs install_portal_libs CustomSOAPServices CustomSOAPServices Copy the generated keytab on each node (rename it as auth.keytab to have the same Apache configuration on each node). Copier les tables de clefs générés sur chaque nœud (en la renommant en auth.keytab pour avoir la même configuration Apache sur chaque nœud). <s0>Path</s0>: keep <c1>^/saml/</c1> unless you have change <a2>SAML</a2> end points suffix in <a3>SAML service configuration</a3>. <s0>Chemin</s0> : laisser <c1>^/saml/</c1> sauf si les suffixes des points d'accès <a2>SAML</a2> ont été modifiés sans la <a3>configuration du service SAML</a3>. Indeed, in most of the cases, it is not stored in clear text in the backend (LDAP or database). Donc dans la plupart des cas, il n'est pas stocké en clair dans le backend (LDAP ou base de données). <s0>handler-nginx.conf</s0> : Handler reload virtual hosts <s0>handler-nginx.conf</s0> : déclaration du handler, rechargement et exemple d'hôte virtuel In the Manager, select node <c0>OpenID Connect Providers</c0> and click on <c1>Add OpenID Connect Provider</c1>. Dans le manager, choisir <c0>Fournisseurs OpenID-Connect</c0> et cliquer sur <c1>Ajouter un fournisseur OpenID-Connect</c1>. Declare module in handler server Declarer le module dans le serveur « handler » A default configuration file can be found in <c0>/usr/local/lemonlda-ng/etc/default/llng-fastcgi-server</c0> (or <c1>/etc/default/lemonldap-ng-fastcgi-server</c1> in Debian package). Un fichier de configuratio par défaut se trouve dans <c0>/usr/local/lemonlda-ng/etc/default/llng-fastcgi-server</c0> (ou <c1>/etc/default/lemonldap-ng-fastcgi-server</c1> dans le package Debian). <s0>logon_hours</s0>: string representing allowed logon hours (GMT) <s0>logon_hours</s0> : chaîne représentant les heures autorisées (GMT) Admin Admin /index.php?Access=admin /index.php?Access=admin <s0>Authentication</s0>: <s0>Authentification</s0>: Backend Backend <s113>//"userobm_address2" => ,</s113> <s113>//"userobm_address2" => ,</s113> <s0>Access token expiration</s0>: Expiration time of Access Tokens <s0>Expiration des jetons d'accès</s0>: Délai d'expiration des jetons d'accès _timezone _timezone Do not restrict /public/ Ne pas restreindre /public/ By default, <a0>SSO</a0> cookie is hidden, so protected applications cannot get <a1>SSO</a1> session key. Par défaut, le cookie <a0>SSO</a0> est masqué, ainsi les applications protégées ne peuvent accéder à la clef de session <a1>SSO</a1>. <s0>Current</s0>: to extract all configuration history <s0>Current</s0> : pour extraire tout l'historique de la configuration SHA1 SHA1 <a0>LimeSurvey</a0> is a web survey software written in PHP. <a0>LimeSurvey</a0> est un logiciel de sondage écrit en PHP. <a0>LL::NG</a0> needs a storage system to store its own configuration (managed by the manager). <a0>LL::NG</a0> a besoin d'un dispositif de stockage de sa propre configuration (gérée par le manager). But you will rather prefer to use an Apache authentication module, like for example <a0>LDAP authentication module</a0>: Il est souvent souhaitable d'utiliser un module d'authentification Apache, tel par exemple le <a0>module d'authentification LDAP</a0> : <s9>AuthLDAPBindPassword</s9> <s10>"secret"</s10> <s9>AuthLDAPBindPassword</s9> <s10>"secret"</s10> MediWiki local configuration Configuration locale MediaWiki <s0>Reset attribute</s0>: name of password reset attribute (default: pwdReset). <s0>Attribut reset</s0> : nom de l'attribut reset du mot-de-passe (défaut : pwdReset). Request and Request <a0>URI</a0> Requête et <a0>URI</a0> de requête http://search.cpan.org/perldoc?Apache::Session::Sybase http://search.cpan.org/perldoc?Apache::Session::Sybase You will then get a <c0>client_id</c0> and a <c1>client_secret</c1>. On obtient ainsi les <c0>client_id</c0> et <c1>client_secret</c1>. First check and install the <a0>prerequisites</a0>. D'abord vérifier et installer les <a0>pré-requis</a0>. In <c0>Display</c0>, you can set the name and the logo Dans <c0>Affichage</c0>, on peut indiquer le nom et le logo Let this parameter empty to disable the checking. Laisser ce paramètre vide pour désactiver ce contrôle. Mod Perl must be loaded before LemonLDAP::NG, so include configuration after the mod_perl <c0>LoadModule</c0> directive. Mod Perl doit être chargé avant LemonLDAP::NG, donc les inclusions aprèsla directive <c0>LoadModule</c0> de mod_perl. Local macros Macros locales Configure MediaWiki virtual host like other <a0>protected virtual host</a0>. Configurer l'hôte virtuel Mediawiki comme n'importe quel autre <a0>hôte virtuel protégé</a0>. # Fail2Ban configuration file # # Author: Adrien Beudin # # $Revision: 2 $ # [Definition] # Option: failregex # Notes.: regex to match the password failure messages in the logfile. # Fail2Ban configuration file # # Author: Adrien Beudin # # $Revision: 2 $ # [Definition] # Option: failregex # Notes.: regex to match the password failure messages in the logfile. <s145>//"userobm_nomade_enable" => ,</s145> <s145>//"userobm_nomade_enable" => ,</s145> Disabling it can lead to security issues. La désactiver peut engendrer des trous de sécurité. Authorization => basic($uid,$_password) Authorization => basic($uid,$_password) <s0>Callback GET parameter</s0>: name of GET parameter used to intercept callback (default: openidconnectcallback) <s0>Paramètres GET de rappel</s0> : nom du paramètre GET utilisé pour intercepter le rappel (défaut: openidconnectcallback) #mini_howtos #mini_howtos Restrict network access to the redis server. Restreignez l'accès réseau au serveur Redis. You can force an update of configuration cache with: On peut forcer la mise à jour du cache de la configuration : <c0>PROD=yes</c0> makes web interface use minified versions of <a1>CSS</a1> and JS files. <c0>PROD=yes</c0> impose aux interfaces web d'utiliser les versions compactées des fichiers <a1>CSS</a1> et JS. You can add a link in <a0>application menu</a0> to display Google Apps to users. Il est possible d'ajouter un lien dans le <a0>menu application</a0> pour afficher Google Apps. sudo make install sudo make install documentation:presentation documentation:presentation Redirection to the remote type portal Redirection vers le portail de type remote <s0>SSLUserName</s0> (optional): certificate field that will be used to identify user in <a1>LL::NG</a1> portal virtual host <s0>SSLUserName</s0> (optionnel) : champ du certificat à utiliser pour identifier pour identifier un utilisateur dans l'hôte virtuel du portail <a1>LL::NG</a1> $_userDB $_userDB Organization Organisation <s0>Allow login from IDP</s0>: allow a user to connect directly from an IDP link. <s0>Authentification depuis le fournisseur autorisée</s0> : autorise l'utilisateur à se connecter directement depuis un lien de l'IDP. SAML2 implementation is based on <a0>Lasso</a0>. L'implementation SAML est basée sur <a0>Lasso</a0>. hideOldPassword hideOldPassword ldapBindDN ldapBindDN <s0>Authentication filter</s0>: Filter to find user from its login (default: <c1>(&(uid=$user)(objectClass=inetOrgPerson))</c1>) <s0>Filtre d'authentication</s0> : filtre pour trouver l'utilisateur à partir de son login (défaut : <c1>(&(uid=$user)(objectClass=inetOrgPerson))</c1>) Order your rules Ordonner les règles Timezone of the user, set with javascript from standard login form (will be empty if other authentication methods are used) Timezone de l'utilisateur, renseignée par javascript dans le formulaire d'authentification (vide si une autres méthode d'authentification est utilisée) Database Interface Database Interface The IDP name is asked, enter it and click OK. Le nom d'IDP est demandé, entrer-le et cliquer sur OK. <s0>jQuery <a1>URL</a1></s0>: http://ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js <s0><a1>URL</a1> jQuery</s0> : http://ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js Configuration backend can be set in the <a0>local configuration file</a0>, in <c1>configuration</c1> section. Le backend de configuration peut être indiqué dans le <a0>fichier local de configuration</a0>, dans la section <c1>configuration</c1>. ldapGroupRecursive ldapGroupRecursive By default, anonymous bind is used. Par défaut, une connexion anonyme est utilisée. yum update yum update <s0>Sign SLO message</s0>: sign SLO message <s0>Signature des messages SLO</s0> : signe les messages de déconnexion SLO (single logout) Installation Installation <s0>notOnOrAfter duration</s0>: Time in seconds, added to authentication time, to define notOnOrAfter value in <a1>SAML</a1> response (<c2><Condtions></c2> and <c3><SubjectConfirmationData></c3>): <s0>Durée notOnOrAfter</s0> : durée en secondes, ajoutée à la durée d'authentification, pour définir la valeur notOnOrAfter dans les réponses <a1>SAML</a1> (<c2><Conditions></c2> et <c3><SubjectConfirmationData></c3>) : Apache Kerberos module installation Installation du module Kerberos d'Apache Datas around the authentication process. Données concernant le processus d'authentification. Can be left blank for plain text passwords. Peut être vide pour le stockage des mots-de-passe en clair. During this period, user can ask the confirmation mail to be resent (default: session timeout value) Durant cette période, l'utilisateur peut demander que le courriel soit ré-émis (défaut : durée de vie de la session) Default Défaut You can also use caFile and caPath parameters. On peut également utiliser les paramètres caFile et caPath. If the message contains check boxes, the user has to check all of them else he can not access to the portal and get his session cookie. Si le message contient des cases à cocher, l'utilisateur doit toutes les cocher, sinon il ne peut obtenir de cookie de session. Firefox has detected that the server is redirecting the request for this address in a way that will never complete Firefox has detected that the server is redirecting the request for this address in a way that will never complete Forbidden and Server error Accès interdits et erreurs du serveur Example : Exemple : Then each parameter is one value of the attribute <c0>description</c0>, prefixed by its key. Ensuite, chaque paramètre est une valeur de l'attribut <c0>description</c0>, prefixé par sa clef. This documentation just explains how to set up the <a0>SSO</a0> part. Cette documentation explique seulement comment activer la partie <a0>SSO</a0>. If the OpenID consumer ask for data, users will be prompted to accept or not the data sharing. Si le client OpenID demande des données utilisateurs, ceux-ci sont questionnés pour accepter ou non le partage. Due to Handler <a0>API</a0> change in 1.9, you need to set these attributes in <c1>lemonldap-ng.ini</c1> and not in Manager, for example: Suite au changement de l'<a0>API</a0> du handler dans la version 1.9, il est nécessaire de définir ces attributs dans le fichier <c1>lemonldap-ng.ini</c1> et non dans le Manager, par exemple: You need to register a new application on Twitter to get <a0>API</a0> key and <a1>API</a1> secret. Vous devez enregistrer votre nouvelle application dans Twitter pour obtenir la clef de l'<a0>API</a0> et son secret<a1></a1>. You can use the following rules instead: On peut utiliser les règles suivantes à la place : The cookie $id isn't yet available: Object does not exist in the data store The cookie $id isn't yet available: Object does not exist in the data store http://httpd.apache.org/docs/2.2/mod/mod_proxy.html http://httpd.apache.org/docs/2.2/mod/mod_proxy.html Local cache Cache local <s29>Deny</s29> from <s30>all</s30> <s29>Deny</s29> from <s30>all</s30> Trusted domains Domaines agréés Then, the “maximum password age” can have different values. Alors, la « durée de vie maximum du mot-de-passe » peut avoir des valeurs différentes. <a0>CAS</a0>_authnLevel <a0>CAS</a0>_authnLevel <a0>LL::NG</a0> validate the token and propose a password change form <a0>LL::NG</a0> valide la valeur et propose un formulaire de changement de mot-de-passe lemonldap-ng-fastcgi-server: FastCGI server needed to use Nginx lemonldap-ng-fastcgi-server : le serveur FastCGI nécessaire pour utiliser Nginx <s0>Format</s0>: optional, <a1>SAML</a1> attribute format. <s0>Format</s0> (optionnel) : format de l'attribut <a1>SAML</a1>. Import or generate security keys Importer ou generer les clefs de securité <s104>//"userobm_direction" => ,</s104> <s104>//"userobm_direction" => ,</s104> 0_bad 0_bad dbi:Pg:dbname=sessions;host=10.2.3.1 dbi:Pg:dbname=sessions;host=10.2.3.1 Test notification Tester les notifications Restrict network access to the LDAP directory, and add specific <a0>ACL</a0> to session branch. Restreindre l'accès réseau à l'annuaire LDAP et ajouter une <a0>ACL</a0> spécifique à la branche des sessions. <s0>accept</s0>: all authenticated users will access surveys <s0>accept</s0> : tous les utilisateurs authentifiés peuvent accéder aux surveillances That message can contain session data as user attributes or macros. Ce message peut contenir des données de session tels les attributs ou les macros. Example with the portal: Exemple avec le portail : Here are the main options used by <a0>LL::NG</a0>: Ci-dessous les principales options utilisées par <a0>LL::NG</a0> : See <a0>Register partner Service Provider on LemonLDAP::NG</a0> configuration chapter. Voir <a0>Enregistrer un fournisseur de service dans LemonLDAP::NG</a0>. This is a well known security framework for J2EE applications. C'est le très connu framework de sécurité des applications J2EE. String::Random String::Random 1 if user is authorizated to access to it 1 si l'utilisateur est autorisé à y accéder basic basic PostGreSQL PostGreSQL A little macro: Une petite macro : <a0>CAS</a0> CA file Fichier d'AC de <a0>CAS</a0> <s149>//"userobm_vacation_datebegin" => ,</s149> <s149>//"userobm_vacation_datebegin" => ,</s149> All static content (examples, <a0>CSS</a0>, images, etc.) is in /usr/share/lemonldap-ng/ Tous le contenu statique (exemples, <a0>CSS</a0>, images, etc...) se trouve dans /usr/share/lemonldap-ng/ uid: the user login (it must correspond to the attribute set in whatToTrace parameter, uid by default), or the wildcard string (by default: <c0>allusers</c0>) if the notification should be displayed for every user. uid : le nom de connexion de l'utilisateur (il doit correspondre à l'attribut utilisé dans le paramètre whatToTrace, uid par défaut), ou la carte blanche (par défaut : <c0>allusers</c0>) si la notification doit être affichée à tous les utilisateurs. Then, to protect a standard virtual host, you must insert this (or create an included file): Pour protéger ensuite un hôte virtuel, il faut insérer ceci (ou créer un fichier à inclure) : Domain Name System Domain Name System <a0>LL::NG</a0> can use SAML2 to get user identity and grab some attributes defined in user profile on its Identity Provider (IDP). <a0>LL::NG</a0> peut utiliser SAML2 pour obtenir l'identité et d'autres attributs definis dans le profil utilisateur défini chez son fournisseur d'identité (IDP). Single LL::NG Server / Single AD domain Serveur LL::NG unique / Domaine AD unique SAML2 SAML2 See <a0>http://httpd.apache.org/docs/current/mod/core.html#loglevel</a0> for more information. Voir <a0>http://httpd.apache.org/docs/current/mod/core.html#loglevel</a0> pour plus d'informations. <s0>ldapObjectClass</s0>: structural objectclass of configuration entry (optional) <s0>ldapObjectClass</s0> : objectclass structurel de l'entrée de configuration entry (optionnel) <s0>Page <a1>URL</a1></s0>: <a2>URL</a2> of password reset page (default: [PORTAL]/mail.pl) <s0><a1>URL</a1> de la page</s0> : <a2>URL</a2> de la page de réinitialisation de mot-de-passe (défaut : [PORTAL]/mail.pl) Configuration backend Stockage de la configuration Sub elements: Éléments subordonnés : The portal of the secondary <a0>LL::NG</a0> structure is configured to delegate authentication to a remote portal. Le portail du système <a0>LL::NG</a0> secondaire est configuré pour déléguer l'authentification à un portail distant. The first rule that matches is applied. La première règle qui correspond est appliquée. documentation:liferay_4.png documentation:liferay_4.png <s5>Deny</s5> from <s6>all</s6> <s5>Deny</s5> from <s6>all</s6> <s1>Order</s1> <s2>deny</s2>,<s3>allow</s3> <s1>Order</s1> <s2>deny</s2>,<s3>allow</s3> This requires to configure <a0>LL::NG</a0> as an <a1>SAML Identity Provider</a1>. Ceci nécessite de configurer <a0>LL::NG</a0> comme <a1>fournisseur d'identité SAML</a1>. Since MySQL does not have always transaction feature, Apache::Session::MySQL has been designed to use MySQL locks. Comme MySQL ne dispose pas toujours de dispositif de transaction, Apache::Session::MySQL a été conçu en utilisant les verrous MySQL. Apache configuration file on application server (hosting the application): le fichier de configuration d'Apache sur le serveur d'application (celui qui héberge l'application): Drupal virtual host in Manager Hôte virtuel Drupal dans le manager In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Facebook for authentication module. Dans le manager, allez dans <c0>Paramètres generaux</c0> > <c1>Modules d'authentification</c1> et choisissez Facebook comme module d'authentication. Null authentication level Niveau d'authentification de Null The values passed in -crypto and -ptype depend on the Active Directory version and the windows version of the workstations. Les valeurs passées dans -crypto et -ptype dépendent de la version d'Active Directory et de celle des stations de travail. For using SP-initiated mode, you must create your salesforce domain. Pour utiliser le mode initié par le SP, il faut créer le domaine salesforce. AD accounts Comptes AD You must also install the database connector (<a1>DBD::Oracle</a1>, <a2>DBD::Pg</a2>,…) Il faut également installer le connecteur à la base de données (<a1>DBD::Oracle</a1>, <a2>DBD::Pg</a2>,…) LemonLDAP::NG ships 3 Apache configuration files: LemonLDAP::NG fournit 3 fichiers de configuration Apache : In this case, see <a1>how convert header into environment variable</a1>. Dans ce cas, voir <a1>comment convertir les en-têtes en variable d'environnement</a1>. Login form: where user enters login and password to authenticate formulaire de connexion : où les utilisateurs entrent leurs login/mot-de-passe Go to the Manager and <a0>create a new virtual host</a0> for Liferay. Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour Liferay. You can skip JWKS data, they are not provided by France Connect. Inutile de renseigner les données JWKS, elles ne sont pas fournies par France Connect. File configuration backend Backend de configuration File http://en.wikipedia.org/wiki/Doctor_Who http://en.wikipedia.org/wiki/Doctor_Who You can then choose any other module for users and password. Vous pouvez ensuite choisir vos modules d'utilisateurs et de mots-de-passe. As same for groups: a group rule may involve another, previously computed group. De même pour les groupes : une règle de groupe peut en utiliser une autre calculée précédemment. The configuration will be store under a specific branch, for example <c0>ou=conf,ou=applications,dc=example,dc=com</c0>. La configuration est stockée dans une branche spécifique, par exemple <c0>ou=conf,ou=applications,dc=example,dc=com</c0>. For application BBB: Pour l'application BBB : Load Handler in Apache memory: Charger l'agent dans la mémoire d'Apache : password password /usr/share/lemonldap-ng/bin/lemonldap-ng-cli /usr/share/lemonldap-ng/bin/lemonldap-ng-cli Then fill the two fields; Renseigner ensuite les deux champs ; Command Line Interface (CLI) Interface en ligne de commande (CLI) If not set, it will use the latest configuration. S'il n'est pas défini, la dernière configuration sera utilisée. The user click on the link in the mail L'utilisateur clique sur le lien dans le courriel Bugtracker, Service Management Bugtracker, gestion de services <a0>GLPI</a0> is the Information Resource-Manager with an additional Administration- Interface. <a0>GLPI</a0> est un gestionnaire d'informations de ressources avec une interface additionnelle d'administration. <s21>Deny</s21> from <s22>all</s22> <s21>Deny</s21> from <s22>all</s22> generic_sso generic_sso Put all custom <a3>HTML</a3> code in the custom template files. Mettre tous les codes <a3>HTML</a3> personnalisés dans les fichiers modèles personnalisés. <s0>Sessions activity timeout</s0>: Maximum inactivity duration. <s0>Délai d'expiration des sessions</s0> : durée maximale d'inactivité. authentication service le service d'authentification Only the condition is not mandatory. Seule la condition n'est pas exigée. Zimbra preauthentication key Clef de pré-authentification Zimbra Backends Backends To do this in Manager, go in General Parameters > Advanced Parameters > Notifications. pour ce faire dans le manager, aller dans Paramètres généraux > Paramètres avancés > Notifications. Install prerequisites Installer les pré-requis You can for example use <c2>openid profile email</c2>. On peut par exemple utiliser <c2>openid profile email</c2>. Advanced features Fonctionnalités avancées Macros and groups are stored in session database. Les macros et les groupes sont stockées dans la base de données des sessions. In this case, <a1>LL::NG</a1> acts like an SAML2 Service Provider (SP). Dans ce cas, <a1>LL::NG</a1> agit comme un fournisseur de service SAML2 (SP). POD unit tests Tests unitaires POD <s0>Success mail subject</s0>: Subject of mail sent when password is changed (default: [LemonLDAP::NG] Your new password) <s0>Sujet du message de succès</s0> : sujet du courriel lorsque le mot-de-passe est changé (défaut : [LemonLDAP::NG] Your new password) <s3>'ldapAuthnLevel'</s3> <s4>=></s4> <s5>'2'</s5><s6>,</s6> <s3>'ldapAuthnLevel'</s3> <s4>=></s4> <s5>'2'</s5><s6>,</s6> clean Handler cache nettoyer le cache des agents Demonstration Démonstration portalDisplayResetPassword portalDisplayResetPassword wget https://sourcesup.cru.fr/frs/download.php/2476/AuthCAS-1.4.tar.gz wget https://sourcesup.cru.fr/frs/download.php/2476/AuthCAS-1.4.tar.gz Mail charset Table de caractères des mails Multi values separator Séparateur des multiples valeurs This configuration storage can be shared between different hosts using: Ce type de stockage de configuration peut être partagé entre différents serveurs en utilisant : <a0>SAML</a0> Version: check that version 2.0 is used <a0>SAML</a0> Version : vérifier que la version 2.0 est utilisée You can then remove the original keytab files and protect the final keytab file: On peut ensuite effacer les tables de clefs originales et protéger la table de clefs finale : <s156>// ---- Unused values ? <s156>// ---- Unused values ? SSOExtensions::function1 SSOExtensions::function1 The sources are available on <a0>download page</a0>. Les sources sont disponibles sur la <a0>page de téléchargement</a0>. <notification> element(s) : élément(s) <notification> : Use LDAP for configuration Utiliser LDAP pour la configuration Connection Connexion ... ... Google Apps control panel Panneua de contrôle Google Apps In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose WebID for authentication module. Dans le manager, aller dans <c0>Paramètres generaux</c0> > <c1>Modules d'authentification</c1> et choisir WebID comme module d'authentication. Python (Django) Python (Django) Reverse proxy Proxy inverse # You can protect it : # * by Apache itself, # * by the parameter 'protection' which can take one of the following # values : # * authenticate : all authenticated users can access # * manager : manager is protected like other virtual hosts: you # have to set rules in the corresponding virtual host # * rule: <rule> : you can set here directly the rule to apply # * none : no protection # You can protect it : # * by Apache itself, # * by the parameter 'protection' which can take one of the following # values : # * authenticate : all authenticated users can access # * manager : manager is protected like other virtual hosts: you # have to set rules in the corresponding virtual host # * rule: <rule> : you can set here directly the rule to apply # * none : no protection <s80>"userobm_description"</s80> <s81>=></s81> <s82>"HTTP_OBM_DESCRIPTION"</s82><s83>,</s83> <s80>"userobm_description"</s80> <s81>=></s81> <s82>"HTTP_OBM_DESCRIPTION"</s82><s83>,</s83> Configure the <a0>access rules</a0> and define the following <a1>headers</a1>: Configurer les <a0>règles d'accès</a0> et definir les <a1>en-têtes</a1> suivants : To bypass this, <a0>LL::NG</a0> can remember what password was given by user on authentication phase. Pour contourner ce problème, <a0>LL::NG</a0> peut se souvenir du mot-de-passe utilisé dans la phase d'authentification. <a0>LL::NG</a0> cluster linked to two AD domains Un cluster <a0>LL::NG</a0> lié à 2 domaines AD When you set a parameter in <c0>lemonldap-ng.ini</c0>, it will override the parameter from the global configuration. Lorsqu'un paramètre et fixé dans <c0>lemonldap-ng.ini</c0>, il surcharge le paramètre issu de la configuration globale. Authentication protocols Authentication protocols download.html download.html Schema Schéma Manager Manager Then, modify the main portal virtual host to load the Apache Kerberos authentication module : Modifier ensuite l'hôte virtuel du portail principal pour charger le module d'authentification Kerberos d'Apache : <s0><a1>Identity provider proxy</a1></s0>: <a2>LL::NG</a2> can be used as proxy translator between systems talking <a3>SAML</a3>, OpenID, <a4>CAS</a4>, … <s0><a1>Proxy de fournisseurs d'identités</a1></s0> : <a2>LL::NG</a2> peut être utilisé comme traducteur mandataire entre systèmes comprenant <a3>SAML</a3>, OpenID, <a4>CAS</a4>, … We directly use HTTP headers to fill default user profile. On utilise les en-têtes HTTP pour trouver le profil utilisateur par défaut. Example 2: single table Example 2: single table http://www.bugzilla.org http://www.bugzilla.org You need to use the IDP initiated feature of <a0>LL::NG</a0>. Il faut utiliser la fonctionnalité initiée par l'IDP de <a0>LL::NG</a0>. Session identifier (carried in cookie) Identifiant de session (porté par le cookie) If you use an older version, you need to refer to the following documentation: <a0>https://wiki.alfresco.com/wiki/SSO</a0> Pour les versions plus anciennes, se référer à cette documentation : <a0>https://wiki.alfresco.com/wiki/SSO</a0> <s0>RelayState session timeout</s0>: timeout for RelayState sessions. <s0>Durée de vie d'une session RelayState</s0> : durée de vie d'une session RelayState. Go in Manager, and: Aller dans le manager et : General options Options générales http://facebook.com http://facebook.com OpenID server Serveur OpenID http://httpd.apache.org/docs/2.2/misc/perf-tuning.html#compiletime http://httpd.apache.org/docs/2.2/misc/perf-tuning.html#compiletime <s0>ID Token max age</s0>: If defined, <a1>LL::NG</a1> will check the date of ID token and refuse it if it is too old <s0>Durée de vie max des jetons</s0> : si défini, <a1>LL::NG</a1> examinera la date du jeton d'identification et refusera les jetons trop anciens Then it creates the session (with attribute filter) Il crée la sessions (avec le filtre d'attributs) <s0>unprotect</s0>: no authentication will be asked to access surveys <s0>unprotect</s0> : aucune authentification n'est nécessaire pour accéder aux surveillances <s0>Use rule</s0>: a rule to allow user to use this module, set to <c1>1</c1> to always allow. <s0>Règle d'utilisation</s0> : une règle pour autoriser l'usage de ce module, mettre 1 pour toujours l'autoriser. documentation:googleapps-ssoconfig.png documentation:googleapps-ssoconfig.png <s39>"headers_map"</s39> <s40>=></s40> <a41><s42>Array</s42></a41><s43>(</s43> <s39>"headers_map"</s39> <s40>=></s40> <a41><s42>Array</s42></a41><s43>(</s43> You can also load the JWKS data from the <a0>URL</a0> <a1>https://www.googleapis.com/oauth2/v3/certs</a1>. On peut aussi charger les données JWKS depuis l'<a0>URL</a0> <a1>https://www.googleapis.com/oauth2/v3/certs</a1>. You need to get a keytab for each <a0>LL::NG</a0> node. Il faut obtenir une table de clef pour chaque nœud <a0>LL::NG</a0>. <s0>dirName</s0>: directory where notifications are stored. <s0>dirName</s0> : répertoire dans lequel sont stockées les notifications. We will present several architectures: On présente ici plusieurs architectures: <s0>Regexp for password generation</s0>: Regular expression used to generate the password (default: [A-Z]{3}[a-z]{5}.\d{2}) <s0>Regexp pour la génération de mot-de-passe</s0> : expression régulière utilisée pour générer le mot-de-passe (défaut : [A-Z]{3}[a-z]{5}.\d{2}) <s0>Username control</s0>: Regular expression used to check user login syntax. <s0>Contrôle du nom d'utilisateur</s0> : expression régulière utilisée pour vérifier la syntaxe du nom d'utilisateur. Not shareable between servers except if used in conjunction with <a0>SOAP session backend</a0> or with a shared file system (NFS,…). Pas partageable entre serveurs sauf si utilisé avec le <a0>backend de configuration SOAP</a0> ou un système de partage de fichiers (NFS,…). <s15>'key'</s15> <s16>=></s16> <s17>'q`e)kJE%<&wm>uaA'</s17><s18>,</s18> <s15>'key'</s15> <s16>=></s16> <s17>'q`e)kJE%<&wm>uaA'</s17><s18>,</s18> LemonLDAP::NG does not manage Nginx configuration LemonLDAP::NG ne gère pas la configuration de Nginx The “<s0>default</s0>” access rule is used if no other access rule match the current <a1>URL</a1>. La règle d'accès “<s0>default</s0>” est utilisée si aucune règle ne correspond à l'<a1>URL</a1> courante. Internal portal Portail interne Problems are generally resolved in up to 72 hours) Ces problèmes sont généralement résolus en moins de 72 heures) domain name le nom de domaine Password Mot-de-passe firewalls (but be careful if more than 1 server is behind the firewall) pare-feux (attention toutefois si plus d'une application se trouve derrière le pare-feu) UserName UserName vi /root/SSOExtensions.pm vi /root/SSOExtensions.pm Attributes and macros Attributs et macros As an OP, <a0>LL::NG</a0> supports a lot of OpenID Connect features: Comme OP, <a0>LL::NG</a0> supporte de nombreuses fonctionnalités OpenID-Connect : OpenID authentication level Niveau d'authentification d'OpenID If a modification is done, the configuration is saved with a new configuration number. Si une modification est effectuée, la configuration est sauvée avec un nouveau numéro. MediaWiki virtual host Hôte virtuel MediaWiki This can be used to protect applications relying on <c0>REMOTE_USER</c0> environment variable in reverse proxy mode. Ceci permet de protéger des applications nécessitant la variable d'environnement <c0>REMOTE_USER</c0> en mode reverse-proxy. Lemonldap::NG::Portal::SharedConf->compile( Lemonldap::NG::Portal::SharedConf->compile( Application parameters: Paramètres des applications : Function parameter: Paramètres de la fonction : <s9>RewriteEngine</s9> <s10>On</s10> <s9>RewriteEngine</s9> <s10>On</s10> fullname fullname Dokuwiki local configuration Configuration locale Dokuwiki In the manager: set <a0>Apache::Session::Memcached</a0> in <c1>General parameters</c1> » <c2>Sessions</c2> » <c3>Session storage</c3> » <c4>Apache::Session module</c4> and add the following parameters (case sensitive): Dans le manager : indiquez <a0>Apache::Session::Memcached</a0> dans <c1>Paramètres généraux</c1> » <c2>Sessions</c2> » <c3>Stockage des sessions</c3> » <c4>Module Apache::Session</c4> et ajoutez les paramètres suivant (sensibles à la casse) : You can also pass parameters to the make install command, with this syntax: On peut aussi passer des paramètres à la commande make install, avec cette syntaxe : <<s0>Directory</s0> /usr/local/lemonldap-ng/htdocs/manager/> <<s0>Directory</s0> /usr/local/lemonldap-ng/htdocs/manager/> http://lasso.entrouvert.org/download/ http://lasso.entrouvert.org/download/ Modules Modules User enters his email (or another information) in the password reset form L'utilisateur entre son adresse de courriel (ou une autre information) dans le formulaire de réinitialisation Unable to clear local cache Unable to clear local cache multi multi Goal But globalStorageOptions globalStorageOptions Required for PostgreSQL Requis pour PostgreSQL <s10># (configuration, sessions, notifications) as manager.html, sessions.html,</s10> <s10># (configuration, sessions, notifications) en manager.html, sessions.html,</s10> Lemonldap::NG handlers use a local cache to store sessions (for 10 minutes). Les agents (handlers) Lemonldap::NG utilisent un cache local pour stocker les sessions (pour 10 minutes). Install and launch a <a0>Memcached server</a0>. Installer et lancer un <a0>serveur Memcached</a0>. Here are some examples for main databases servers. Quelques exemples pour les serveurs principaux. http://www.omegat.org/ http://www.omegat.org/ <s0><s1>[</s1>manager<s2>]</s2></s0>   # Manager protection: by default, the manager is protected by a demo account. <s0><s1>[</s1>manager<s2>]</s2></s0>   # Manager protection: by default, the manager is protected by a demo account. Memcached session backend Backend de session Memcached Go to the Manager and <a0>create a new virtual host</a0> for Dokuwiki. Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour Dokuwiki. This objectClass allow attributes <c1>cn</c1> and <c2>description</c2>. Cet classe d'objet autorise les attributs <c1>cn</c1> et <c2>description</c2>. Follow <a0>LDAP session backend</a0> doc Suivre la documentation <a0>backend de sessions LDAP</a0> Manager virtual host is used to serve configuration interface and local documentation. L'hôte virtuel du manager est utilisé pour servir l'interface de configuration et la documentation locale. ref: a reference that can be used later to know what has been notified and when ref : une référence qui peut être utilisée plus tard pour connaître ce qui a été notifié et quand portalDisplayLogout portalDisplayLogout In the manager: set <a0>Apache::Session::Redis</a0> in <c1>General parameters</c1> » <c2>Sessions</c2> » <c3>Session storage</c3> » <c4>Apache::Session module</c4> and add the following parameters (case sensitive): Dans le manager : indiquez <a0>Apache::Session::Redis</a0> dans <c1>Paramètres généraux</c1> » <c2>Sessions</c2> » <c3>Stockage des sessions</c3> » <c4>Module Apache::Session</c4> et ajoutez les paramètres suivant (sensibles à la casse): Menu modules Modules du menu Cascading Style Sheets Cascading Style Sheets portalDisplayChangePassword portalDisplayChangePassword Go in Manager and click on <c0><a1>SAML</a1> 2 Service</c0> node. Allez dans le Manager et cliquez sur le nœud <c0>Service <a1>SAML</a1> 2</c0>. Example: <a2>http://auth.example.com/?logout=1</a2> Exemple: <a2>http://auth.example.com/?logout=1</a2> Country Country If the packages are stored in a yum repository: Si les paquets sont stockés dans un dépôt yum : Load <s0>“Lemonldap::NG::Common::CGI qw(fastcgi)“</s0> before any other <a1>LL::NG</a1> library Charger <s0>“Lemonldap::NG::Common::CGI qw(fastcgi)“</s0> avant toute autre librairie <a2>LL::NG</a2> To avoid problems, <a0>LL::NG</a0> decode them using <a1>http://search.cpan.org/perldoc?Apache2::URI#unescape_url</a1>. Pour éviter les problèmes, <a0>LL::NG</a0> les décode en utilisant <a1>http://search.cpan.org/perldoc?Apache2::URI#unescape_url</a1>. use any key name you want. utiliser n'importe quel nom de clef. Then you will have 2 keytab files for each node, for example: On a donc 2 tables de clefs pour chaque nœud, par exemple : Be careful with some applications which doesn't verify Lemonldap::NG headers after having created their own cookies. Faire attention avec certaines applications qui ne vérifient pas les en-têtes Lemonldap::NG après avoir créé leurs propres cookies. For example, to send it in an header: Par exemple, pour l'envoyer dans un en-tête : You need to create yourself the directory and set write access to Apache user. Il faut créer soi-même le répertoire et y donner un accès en écriture pour l'utilisateur Apache. checkLogonHours($ssoLogonHours, '', $_timezone) checkLogonHours($ssoLogonHours, '', $_timezone) Entrez le mot de passe pour le nouveau rôle : <PASSWORD> Entrez-le de nouveau : <PASSWORD> Le nouveau rôle est-il un super-utilisateur ? Entrez le mot de passe pour le nouveau rôle : <PASSWORD> Entrez-le de nouveau : <PASSWORD> Le nouveau rôle est-il un super-utilisateur ? <s0>Users search base</s0>: Base of search in the LDAP directory. <s0>Base de recherche des utilisateurs</s0> : base de recherche de l'annuaire LDAP. Menu modules activation rules les règles d'activation des modules du menu <s5># Change "Location" header in redirections</s5> <s5># Changer l'en-tête "Location" dans les redirections</s5> http://fedoraproject.org/wiki/EPEL/FAQ#howtouse http://fedoraproject.org/wiki/EPEL/FAQ#howtouse LDAP attribute Attribut LDAP dpkg -i liblemonldap-ng-* lemonldap-ng* dpkg -i liblemonldap-ng-* lemonldap-ng* <s0>SSLCACertificateFile</s0>: CA certificate to validate client certificates <s0>SSLCACertificateFile</s0> : certificat d'autorité pour valider les certificats clients 'cache_depth' => 5,? 'cache_depth' => 5,? <a0>SAML</a0> Session backend Module de stockage <a0>SAML</a0> <s0>PREFIX</s0>: installation directory (default: /usr/local) <s0>PREFIX</s0> : répertoire d'installation (défaut : /usr/local) <s3># DocumentRoot</s3> <s3># DocumentRoot</s3> <s86>//"userobm_status" => ,</s86> <s86>//"userobm_status" => ,</s86> By default, mail content are empty in order to use <a0>HTML</a0> templates: Par défaut, les messages sont vides afin d'utiliser les modèles <a0>HTML</a0> : If you don't have one, create it with the signing key pair already generated (you could do this with openssl). S'il n'en dispose pas, en créer un avec la paire de clef déjà générée (on peut le faire avec openssl). As Handlers keep configuration in cache, when configuration change, it should be updated in Handlers. Comme les agents gardent leur configuration en cache, lorsque la configuration est changée elle doit être mise à jour dans les agents. LL::NG Cluster / Single AD domain Cluster LL::NG / domaine AD unique <a0>DokuWiki</a0> is a standards compliant, simple to use Wiki, mainly aimed at creating documentation of any kind. <a0>DokuWiki</a0> est un wiki simple et standard principalement destiné à la création de documents de toute nature. First steps Premiers pas <s0>Preauthentication <a1>URL</a1></s0>: Zimbra preauthentication <a2>URL</a2>, either with full <a3>URL</a3> (ex: <a4>http://zimbra.lan/service/preauth</a4>), either only with path (ex: /service/preauth) (by default: /service/preauth) <s0><a1>URL</a1> de pré-authentification</s0> : <a2>URL</a2> de pré-authentification Zimbra, soit l'<a3>URL</a3> complète (ex : <a4>http://zimbra.lan/service/preauth</a4>), soit seulement le chemin absolu (ex : /service/preauth) (par défaut : /service/preauth) <s21>"url_logout"</s21> <s22>=></s22> <s23>"https://OBMURL/logout"</s23><s24>,</s24> <s21>"url_logout"</s21> <s22>=></s22> <s23>"https://OBMURL/logout"</s23><s24>,</s24> <s9>Options</s9> +ExecCGI +<s10>FollowSymLinks</s10> <s9>Options</s9> +ExecCGI +<s10>FollowSymLinks</s10> [PORTAL] is the portal <a0>URL</a0> [PORTAIL] est l'<a0>URL</a0> du portail dbiUserChain dbiUserChain Now ldapgroups contains “admin su” Maintenant, ldapgroups contient “admin su” mailConfirmSubject mailConfirmSubject Note that all <a0>LL::NG</a0> components must have access: Tous les composants de <a0>LL::NG</a0> doivent avoir accès : checkDate checkDate http://search.cpan.org/perldoc?DBD::Oracle http://search.cpan.org/perldoc?DBD::Oracle ...   </<s3>VirtualHost</s3>> ...   </<s3>VirtualHost</s3>> Then the second rule will be applied first, so every authenticated user will access to <c0>/pub/admin</c0> directory. Alors la seconde règle est appliquée en premier, donc tous les utilisateurs authentifiés pourront accéder au répertoire <c0>/pub/admin</c0>. LDAP session backend Backend de sessions LDAP Authentication Authentification In <c0>Configuration</c0>, register the <c1>client_id</c1> and <c2>client_secret</c2> given by Google. Dans <c0>Configuration</c0>, enregistrer les <c1>client_id</c1> et <c2>client_secret</c2> donnés par Google. You have to install <c0> Auth_remoteuser</c0> in the <c1>extensions/</c1> directory of your MediaWiki installation: Il faut installer <c0> Auth_remoteuser</c0> dans le répertoire des <c1>extensions/</c1> ve votre serveur MediaWiki : You may rather use standards protocols like <a1>SAML</a1>, <a2>OpenID Connect</a2> or <a3>CAS</a3>. Il est préférable d'utiliser des protocoles standards tels <a1>SAML</a1>, <a2>OpenID</a2> ou <a3>CAS</a3>. Skin rules Règle du thème Go in Manager and click on <c0>OpenID Connect Relying Parties</c0>, then click on <c1>Add OpenID Relying Party</c1>. Aller dans le Manager et choisir <c0>Clients OpenID-Connect</c0>, cliquer ensuite sur <c1>Ajouter un client OpenID</c1>. Detailed configuration backends documentation is available <a0>here</a0>. La configuration détaillée des backends de stockage est disponible <a0>ici</a0>. It sends an OTP, which is validated against Yubico server. Il envoie un mot-de-passe à valeur unique (OTP) qui est validé par un serveur Yubico. casStorage casStorage <s0>Authentication service</s0> of course Le <s0>service d'authentification</s0> bien sûr LDAP LDAP Do not forget to save your changes! Ne pas oublier de sauvegarder les changements ! LemonLDAP::NG is designed to be very performant. Lemonldap::NG a été conçu pour être très performant. <s24># mod_fcgid configuration</s24> <s24># configuration mod_fcgid</s24> https://opends.dev.java.net/public/standards/draft-behera-ldap-password-policy.txt https://opends.dev.java.net/public/standards/draft-behera-ldap-password-policy.txt Multiple backends stack Empiler de multiples backends <s0>Location</s0>: Access Point for SLO request. <s0>Location</s0>: Point d'accès pour les requêtes de SLO. if you use “LDAP” system, the notifications will be stored in the same directory as configuration and in a branch called “notifications”. si “LDAP” est utilisé, les notifications sont stockées dans la même arborescence que la configuration et la branche est nommée “notifications”. Configure LimeSurvey virtual host like other <a0>protected virtual host</a0>. Configurer l'hôte virtuel LimeSurvey comme n'importe quel autre <a0>hôte virtuel protégé</a0>. a2ensite manager-apache2.conf a2ensite portal-apache2.conf a2ensite handler-apache2.conf a2ensite test-apache2.conf a2ensite manager-apache2.conf a2ensite portal-apache2.conf a2ensite handler-apache2.conf a2ensite test-apache2.conf <s23>'portalSkin'</s23> <s24>=></s24> <s25>'pastel'</s25><s26>,</s26> <s23>'portalSkin'</s23> <s24>=></s24> <s25>'pastel'</s25><s26>,</s26> Functioning Fonctionnement http://perldoc.perl.org/functions/join.html http://perldoc.perl.org/functions/join.html Configure Drupal virtual host like other <a0>protected virtual host</a0>. Configurer l'hôte virtuel Drupal comme n'importe quel autre <a0>hôte virtuel protégé</a0>. change password (with server side password policy management) changer les mots-de-passe (avec la gestion de la politique de mot-de-passe côté serveur) <s0>ldapAttributeContent</s0>: attribute used to store configuration values, must be multivalued (optional) <s0>ldapAttributeContent</s0> : attribut utilisé pour stocker la valeur des configurations, doit être multivalué (optionnel) rpm-gpg-key-ow2 rpm-gpg-key-ow2 You can now the upload the certificate (<c0>cert.pem</c0>) on Google Apps. Télécharger ensuite le certificat (<c0>cert.pem</c0>) dans Google Apps. Zimbra virtual host Hôte virtuel Zimbra Access rules and HTTP headers Règles d'accès et en-têtes HTTP cp ValveLemonLDAPNG.jar server/lib/ cp ValveLemonLDAPNG.jar server/lib/ You need to disable default Manager protection in lemonldap-ng.ini to rely only on Apache: Il faut alors désactiver la protection du manager dans lemonldap-ng.ini pour la confier à Apache : "" : ($mail =~ /^([^@]+)/)[0] . "" : ($mail =~ /^([^@]+)/)[0] . Go to the Manager and <a0>create a new virtual host</a0> for Bugzilla. Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour Bugzilla. <s0>Use Nonce</s0>: If enabled, a nonce will be sent, and verified from the ID Token <s0>Utiliser Nonce</s0> : si activé, un nonce sera envoyé, et vérifié depuis le jeton d'identité See <a0>installation pages</a0> to know how install and use it. Voir les <a0>pages d'installation</a0> pour apprendre à l'installer et l'utiliser. icons:kmultiple.png icons:kmultiple.png yubikeyPublicIDSize yubikeyPublicIDSize Display-Name Display-Name lemonldap-ng-fastcgi-server: <a0>LL::NG</a0> FastCGI server (for Nginx) lemonldap-ng-fastcgi-server : serveur FastCGI <a0>LL::NG</a0> (pour Nginx) Then, go in <c0>Twitter parameters</c0>: Allez ensuite dans <c0>Paramètres Twitter</c0> : <s0><s1>[</s1>portal<s2>]</s2></s0> <s3>notification</s3> <s4>=</s4><s5> 1</s5> <s0><s1>[</s1>portal<s2>]</s2></s0> <s3>notification</s3> <s4>=</s4><s5> 1</s5> <s29><s30><user</s30> <s31>username</s31>=<s32>"role1"</s32> <s33>password</s33>=<s34>"tomcat"</s34> <s35>roles</s35>=<s36>"role1"</s36><s37>/></s37></s29> <s29><s30><user</s30> <s31>username</s31>=<s32>"role1"</s32> <s33>password</s33>=<s34>"tomcat"</s34> <s35>roles</s35>=<s36>"role1"</s36><s37>/></s37></s29> <s6>Options</s6> +ExecCGI <s6>Options</s6> +ExecCGI Shared attributes (SREG) Attributs partagés (SREG) Set exported variables Définir les variables exportées Exported attributes Attributs exportés vi LocalSettings.php vi LocalSettings.php /sslok/ is the new LemonLDAP::NG portal. /sslok/ est le nouveau portail LemonLDAP::NG. Roles as simple values of a user attribute Rôles comme simple valeur d'attribut utilisateur For block brute force attack with fail2ban pour bloquer les attaques en force brute avec fail2ban Declare Google in your LL::NG server Déclarer Google dans le serveur LL::NG <s0>Logout</s0>: logout button <s0>Déconnexion</s0> : bouton de déconnexion liblemonldap-ng-handler-perl: Handler files liblemonldap-ng-handler-perl : fichiers des agents <s6>require</s6> Lemonldap::NG::Portal::Menu; <s6>require</s6> Lemonldap::NG::Portal::Menu; Core Perl subroutines (split, pop, map, etc.) Fonctions standards de Perl (split, pop, map, etc...) It means that you manage authorizations to access applications by checking the role(s) of the user, and provide this role to the application. Celà signifie qu'on gère les autorisations d'accès aux applications en examinant le(s) rôle(s) de l'utilisateur et en fournissant ce(s) rôle(s) à l'application. <s13>SetHandler</s13> perl-<s14>script</s14> <s13>SetHandler</s13> perl-<s14>script</s14> ldapServer ldapServer <s136>//"userobm_mail_perms" => ,</s136> <s136>//"userobm_mail_perms" => ,</s136> macros are used to extend (or rewrite) <s0><a1>exported variables</a1></s0>. Les macros sont utilisées pour étendre (ou réécrire) les <s0><a1>variables exportées</a1></s0>. For older version, check <a0>http://wiki.glpi-project.org/doku.php?id=en:authautoad</a0> Pour les versions plus anciennes, voir <a0>http://wiki.glpi-project.org/doku.php?id=en:authautoad</a0> Use “Active Directory” as authentication, userDB and passwordDBbackends, Utiliser “Active Directory” comme systèmes d'authentification, de gestion des utilisateurs et des mots-de-passe, 1 if user is admin 1 si l'utilisateur est administrateur _auth _auth Regular expression for random password Expression rationnelle pour la génération aléatoire des mots-de-passe Copy the content of this file in the textarea. Copier le contenu de ce fichie dans l'emplacement dédié. Often the redirection takes some time because it is user's first access to the protected app, so a new app session has to be created : JavaScript redirection improves user experience by informing that authentication is performed, and by preventing from clicking again on the button because it is too slow. Souvent la redirection prend du temps car c'est le premier accès de l'utilisateur à l'application protégée et il faut créer la session applicative ; la redirection JavaScript améliore le ressenti utilisateur en l'informant que l'authentification est réussie et en évitant qu'il clique de nouveau sur le bouton. It is described here: <a0>http://openid.net/connect/</a0>. Il est décrit ici : <a0>http://openid.net/connect/</a0>. documentation:lasso.png documentation:lasso.png They are available at the EntityID <a0>URL</a0>, by default: <a1>http://auth.example.com/saml/metadata</a1>. Elles sont disponibles à l'<a0>URL</a0> EntityID, par défaut : <a1>http://auth.example.com/saml/metadata</a1>. You can add a rule for logout: Il est possible d'ajouter une règle pour la déconnexion : Deploy Apache configuration Deployer la configuration Apache For example, to override configured skin for portal: Par exemple, pour surcharger l'apparence du portail : Use LDAP for sessions Utiliser LDAP pour les sessions <s68>'superadmin'</s68> <s69>=></s69> <s70>$_SERVER</s70><s71>[</s71><s72>'HTTP_AUTH_SUPERADMIN'</s72><s73>]</s73><s74>,</s74> <s68>'superadmin'</s68> <s69>=></s69> <s70>$_SERVER</s70><s71>[</s71><s72>'HTTP_AUTH_SUPERADMIN'</s72><s73>]</s73><s74>,</s74> You can use accessors (options) to change the behavior: On peut utiliser des « accessors » (options) pour modifier le comportement : Lasso Lasso <s0>Mail content</s0>: <s0>Contenu du courriel</s0> : LemonLDAP::NG portal menu has 4 modules: Le menu du portail LemonLDAP::NG est composé de 4 modules : One standard portal Un portail standard If secured cookie is enabled, the portal <a3>URL</a3> <s4>must</s4> be HTTPS. Si le cookie sécurisé est activé, l'<a3>URL</a3> du portail <s4>doit</s4> être en HTTPS. ldapPort ldapPort → The host is not known by LemonLDAP::NG. → L'hôte n'est pas connu de LemonLDAP::NG. install_bin (/usr/local/lemonldap-ng/bin) install_bin (/usr/local/lemonldap-ng/bin) It can be used just to share authentication or to share user's attributes following the <a3>OpenID Simple Registration Extension 1.0 (SREG)</a3> specification. Ce peut être utilisé pour partager l'authentification et pour partager les attributs utilisateurs en suivant les spécifications <a3>OpenID Simple Registration Extension 1.0 (SREG)</a3>. Fill this field accordingly. Remplir ce champ en conséquence. Some options are available: Quelques options sont disponibles : Google supports these claims: Google supporte ces champs : Can't locate /usr/share/lemonldap-ng/configStorage.pl Can't locate /usr/share/lemonldap-ng/configStorage.pl User tries to access to an application in the secondary <a0>LL::NG</a0> structure without having a session in this area Un utilisateur essaie d'accéder à une application du système <a0>LL::NG</a0> secondaire sans avoir de session dans cette aire You may also create these macros to manage OBM administrator account (<c0>Variables</c0> » <c1>Macros</c1>): Il est également possible de créer ces macros pour gérer le compte administrateur OBM (<c0>Variables</c0> » <c1>Macros</c1>): Session backend Module de stockage des sessions Variables can be used in rules and headers. Les variables peuvent être utilisées dans les règles et en-têtes. → You tried to activate Status module without localStorage. → Le module Status est activé sans localStorage. Apache Apache If your function is not compliant with <a0>Safe jail</a0>, you will need to disable the jail. Si la fonction n'est pas compatible avec la <a0>cage saine</a0>, il faut désactiver la mise en cage. You can intercept the logout with this rule: <c0>^/share/page/dologout ⇒ logout_app_sso</c0> On peut intercepter les déconnexions avec cette règle : <c0>^/share/page/dologout ⇒ logout_app_sso</c0> -yes: do not prompt for confirmation before saving new configuration. -yes: pour ne pas demander la confirmation avant sauvegarde. If not authenticated (or authentication is forced) try to find it (userDB module) and to authenticate it (auth module), create session, calculate groups and macros and store them. Si ce n'est pas le cas (ou si l'authentification est forcée) tente de le trouver (module userDB) et de l'authentifier (module d'authentification), crée la session, calcule les groupes et macros et les stocke The chosen logo file must be in portal applications logos directory (<c0>portal/skins/common/apps/</c0>). Le logo choisi doit se trouver dans le répertoire des logos des applications (<c0>portal/skins/common/apps/</c0>). IssuerDB use Utilisation de IssuerDB Digest::HMAC Digest::HMAC Lasso identity dump Dump de l'identité Lasso Sympa virtual host in Manager Hôte virtuel Sympa dans le manager <a0>CAS</a0>_url <a0>CAS</a0>_url Variables defined in the exported variables node of the module will be used only for that module. Celle définies dans le nœud « variables exportées » du module ne e seront que pour celui-ci. Name: should be filled automatically with your organization or domain Name : devrait être automatiquement renseigné avec votre domaine Portal host must be configured to use SSL and must ask for client certificate. L'hôte du portail doit être configuré pour utiliser SSL et doit demander un certificat client. To summary available options: Pour résumer les options disponibles : one with read/write rights for servers hosting the manager une avec des droits en lecture/écriture pour les serveurs hébergeant le manager You just have to activate Notifications in the Manager (General Parameters > Advanced Parameters > Notifications > Activation) or in lemonldap-ng.ini: Il suffit d'activer les notifications dans le manager (Paramètres généraux > Paramètres avancés > Notifications > Activation) ou dans lemonldap-ng.ini : Header value Valeur d'en-tête Here are some examples, witch their specific documentation: Quelques exemples, avec leur documentation : <a0>CAS</a0>_pgtFile <a0>CAS</a0>_pgtFile You need to disable mod_deflate to use the floating menu Il faut désactiver mod_deflate pour utiliser le menu flottant Interactive <s0>management of user passwords</s0>: <s0>Gestion interactive des mots-de-passe des utilisateurs</s0>: Note that if the user is already authenticated on the first portal, all redirections are transparent. Noter que si l'utilisateur est déjà authentifié sur le premier portail, toutes les redirections sont transparentes. </<s11>Directory</s11>>   </<s11>Directory</s11>>   radiusAuthnLevel radiusAuthnLevel apt-get install libauthen-radius-perl apt-get install libauthen-radius-perl remoteGlobalStorageOptions remoteGlobalStorageOptions <s0>$auth_kind</s0> <s1>=</s1> <s2>'LemonLDAP'</s2><s3>;</s3>   <s4>$lemonldap_config</s4> <s5>=</s5> <a6><s7>Array</s7></a6><s8>(</s8> <s0>$auth_kind</s0> <s1>=</s1> <s2>'LemonLDAP'</s2><s3>;</s3>   <s4>$lemonldap_config</s4> <s5>=</s5> <a6><s7>Array</s7></a6><s8>(</s8> In production environment for network performance, prefer using minified versions of javascript and css libs: use <c0>make install <s1>PROD=yes</s1></c0>. En environnement de production et pour de meilleures performances réseau, utiliser les versions compactées des librairies javascript et css : utiliser <c0>make install <s1>PROD=yes</s1></c0>. #google_apps_control_panel #google_apps_control_panel ... other SSL parameters ... ... autres paramètres SSL ... If you use features like <a0>SAML</a0> (authentication and issuer), <a1>CAS</a1> (issuer) and password reset self-service, you also need to index some fields. Lorsqu'on utilise des fonctionnalités telles <a0>SAML</a0> (authentification ou fournisseur d'identité), <a1>CAS</a1> (fournisseur d'identité) ou le service de réinitialisation de mots-de-passe, il faut également indexer quelques champs. You can define more than one form replay <a0>URL</a0> per virtual host. Il est possible de définir plusieurs <a0>URL</a0> de rejeu de formulaires par hôte virtuel. You can modify the default behavior for people without value in ssoLogonHours. Il est possible de modifier le comportement par défaut pour les utilisateurs ne disposant pas d'une valeur ssoLogonHours. It should works on every browser: Ça doit marcher avec tous les navigateurs : Change <s0>mycompanyid</s0> (in <c1>AssertionConsumerService</c1> markup, parameter <c2>Location</c2>) into your CSOD company ID and put the certificate value inside the ds:X509Certificate markup Changer <s0>mycompanyid</s0> (dans <c1>AssertionConsumerService</c1> markup, parameter <c2>Location</c2>) avec l'ID CSOD de l'entreprise et mettre la valeur du certificat dans ds:X509Certificate markup <s16><s17><AssertionConsumerService</s17> <s18>Binding</s18>=<s19>"urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"</s19> <s20>Location</s20>=<s21>"https://www.google.com/a/mydomain.org/acs"</s21> <s22>index</s22>=<s23>"1"</s23> <s24>/></s24></s16> <s16><s17><AssertionConsumerService</s17> <s18>Binding</s18>=<s19>"urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"</s19> <s20>Location</s20>=<s21>"https://www.google.com/a/mydomain.org/acs"</s21> <s22>index</s22>=<s23>"1"</s23> <s24>/></s24></s16> By default, <a0>DNS</a0> domain is <c1>example.com</c1>. Par défaut, le domaine <a0>DNS</a0> est <c1>example.com</c1>. server based restriction (like Apache “allow/deny” mechanism) restrictions basées sur le serveur (tel le mécanisme “allow/deny” d'Apache) <s54>my</s54> <s55>$res</s55> <s56>=</s56> <s57>$r</s57><s58>-></s58><s59>result</s59><s60>(</s60><s61>)</s61><s62>;</s62> <s54>my</s54> <s55>$res</s55> <s56>=</s56> <s57>$r</s57><s58>-></s58><s59>result</s59><s60>(</s60><s61>)</s61><s62>;</s62> Bugzilla Bugzilla By default, you will have a manager virtual host define in configuration. Par défaut, il existe un hôte virtuel défini dans la configuration. <s155>//"userobm_samba_logon_script" => ,</s155> <s155>//"userobm_samba_logon_script" => ,</s155> Data to store as REMOTE_USER (used also in Apache logs) Donnée à utiliser comme REMOTE_USER (également utilisée dans les journaux d'Apache) The <c1>openid</c1> scope is mandatory. La portée <c1>openid</c1> est exigée. It is possible to store any additional session data. Il est possible de stocker d'autres données de session. The plugin will check the <c1>REMOTE_USER</c1> environment variable to get the connected user. Ce plugin utilise la variable d'environnement <c1>REMOTE_USER</c1> pour récupérer le nom d'utilisateur connecté. But as Google rotate their keys, we will also configure a refresh interval on JKWS data. Mais comme Google change régulièrement ses clefs, il faut configurer un intervalle de rafraîchissement des données JKWS. This parameter is set by the portal and use javascript to get the connected user timezone. Ce paramètre est géré par le portail et utilise javascript pour obtenir le fuseau de l'utilisateur connecté. It will use the authentication level registered in user session to match the <a1>SAML</a1> authentication context. Il utilise le niveau d'authentification enregistré dans la session de l'utilisateur pour établir le contexte d'authentification <a1>SAML</a1>. SMTPServer SMTPServer Go in <c0>General Parameters</c0> » <c1>Issuer modules</c1> » <c2>OpenID Connect</c2> and configure: Aller dans <c0>Paramètres généraux</c0> > <c1>Modules fournisseurs</c1> » <c2>OpenID-Connect</c2> et configurer : In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Database (<a2>DBI</a2>) for authentication, users and/or password modules. Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir "base de données" (<a2>DBI</a2>) pour les modules authentification, utilisateurs et/ou mots-de-passe. Configuration of LemonLDAP::NG Configuration de LemonLDAP::NG OpenID protocol is deprecated, you should now use <a0>OpenID Connect</a0> Le protocole OpenID est obsolète, il faut maintenant utiliser <a0>OpenID-Connect</a0>. _url _url <s0>OTP public ID part size</s0>: Part of Yubikey OTP that will be used as the media identifier (default: 12) <s0>Taille de la partie publique de l'OTP</s0> : Partie du mot-de-passe unique Yubikey utilisée pour identifier les matériels (défaut: 12) applications:obm_logo.png applications:obm_logo.png is a cloud computing company. est une entreprise d'infonuagique (cloud). <s2>require</s2> Lemonldap::NG::Portal::SharedConf; <s2>require</s2> Lemonldap::NG::Portal::SharedConf; <s0>Server host</s0>: LDAP server hostname or <a1>URI</a1> (by default: localhost). <s0>Nom de serveur</s0> : nom du serveur LDAP ou <a1>URI</a1> (par défaut : localhost). The logout request will be sent even if the user did not use the application. La requête de déconnexion est envoyée même si l'utilisateur ne s'est pas connecté à l'application. Role Rôle Insertion example in Perl Exemple d'insertion en Perl See also Voir aussi See <a0>Apache::Session::Memcached</a0> for optional parameters. Voir <a0>Apache::Session::Memcached</a0> pour les paramètres optionnels. We will use the following values in our examples Nous utilisons les valeurs suivantes dans nos exemples <s8>require</s8> SOAP::Lite; </Perl> <s8>require</s8> SOAP::Lite; </Perl> In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Radius for authentication. Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir Radius pour l'authentification. <s0>Authorized domains</s0>: white list or black list of OpenID client domains (<s1><a2>see below</a2></s1>). <s0>Domaines autorisés</s0> : liste blanche ou noire des domaines clients OpenID (<s1><a2>voir ci-dessous</a2></s1>). With aptitude Avec aptitude documentation:1.0:ldapconfbackend documentation:1.0:ldapconfbackend GRR GRR A request to the main session database is done (trough <a1>SOAP session backend</a1>) to be sure that the session exists. Une requête à la base de données des sessions principale est effectuée (via le <a1>backend de session SOAP</a1>) pour être sûr que la session existe. The Django connector is available on GitHub: <a0>https://github.com/9h37/django-lemonldap</a0> Le connecteur Django est disponible sur GitHub : <a0>https://github.com/9h37/django-lemonldap</a0> You have to run this command on Active Directory: Il faut lancer cette commande dans Active Directory: Language Langue HTTPS HTTPS <a0>Probe</a0> <br1/> <a0>Probe</a0> <br1/> radiusSecret radiusSecret http://sourcesup.cru.fr/projects/perlcas/ http://sourcesup.cru.fr/projects/perlcas/ This file is called <c1>lemonldap-ng.ini</c1> and has the following sections: Le fichier est nommé <c1>lemonldap-ng.ini</c1> et dispose des sections suivantes : <a0>DN</a0> of sessions branch <a0>DN</a0> de la branche des sessions http://perldoc.perl.org/functions/print.html http://perldoc.perl.org/functions/print.html ^/obm-sync ^/obm-sync To switch to another authentication backend, use the <a3>Multi</a3> module, for example: <c4>Multi SSL;LDAP</c4> Pour basculer vers un autre backend d'authentification, utiliser le module <a3>Multi</a3>, par exemple : <c4>Multi SSL;LDAP</c4> <a0>CAS</a0> authentication will automatically add a <a1>logout forward rule</a1> on <a2>CAS</a2> server logout <a3>URL</a3> in order to close <a4>CAS</a4> session on <a5>LL::NG</a5> logout. L'authentification <a0>CAS</a0> ajoute automatiquement une <a1>règle de renvoi après déconnexion</a1> sur l'<a3>URL</a3> de déconnexion du serveur <a2>CAS</a2> afin de clore la session <a4>CAS</a4> lors de la déconnexion <a5>LL::NG</a5>. Mandatory fields are: Les champs obligatoires sont : <s0>portal-nginx.conf</s0>: Portal virtual host, with SOAP and Issuer end points <s0>portal-nginx.conf</s0> : hôte virtuel du portail, incluant les points d'accès SOAP et fournisseur d'identité <s32>}</s32><s33>;</s33> <s32>}</s32><s33>;</s33> <a0>Apache::Session::Browseable</a0> is a wrapper for other Apache::Session modules that add the capability to manage indexes. <a0>Apache::Session::Browseable</a0> est une surcouche d'autres modules Apache::Session qui ajoute des capacités d'indexation. Salesforce Login <a0>URL</a0>: generated automatically. Salesforce Login <a0>URL</a0> : générée automatiquement. insert a label <s0>“LMAUTH”</s0> ahead of the loop insérer le label <s0>“LMAUTH”</s0> en tête de la boucle <s0>+3M</s0>: three months from session creation <s0>+3M</s0> : trois mois après la création de la session If no proxied services defined, <a0>CAS</a0> authentication will not activate the <a1>CAS</a1> proxy mode. Si aucun service proxifié n'est défini, l'authentification <a0>CAS</a0> n'activera pas le mode proxy <a1>CAS</a1>. liblemonldap-ng-common-perl: configuration and common files liblemonldap-ng-common-perl : fichiers communs et de configuration <s0>Max age</s0>: Value of max_age parameter (example: 3600) <s0>Âge max</s0> : valeur du paramètre max_age (exemple : 3600) <s0><a1>SAML</a1> service providers</s0>: Registered SP <s0>Fournisseurs de service <a1>SAML</a1></s0> : SP enregistrés Handlers check rights and calculate headers for each HTTP hit. Les agents vérifient les droits et calculent les en-têtes pour chaque requête HTTP. Password backend Module de gestion de mots-de-passe notifyDeleted notifyDeleted Informix Informix Uniform Resource Identifier Uniform Resource Identifier email_http_header HTTP_MAIL email_http_header HTTP_MAIL Open links in new window Ouvre les liens dans une nouvelle fenêtre Example of status page: Exemple de page de statut : Store user password in session Stocker le mot-de-passe utilisateur dans la session <s13>Allow</s13> from <s14>all</s14> <s13>Allow</s13> from <s14>all</s14> <s0>Check last logins</s0>: displays a checkbox on login form, allowing user to check his login history right after opening session <s0>Vérifier l'historique</s0> : affiche une case à cocher sur le formulaire d'authentification permettant à l'utilisateur d'examiner son historique de connexion après l'ouverture de la session https://github.com/coudot/apache-session-ldap https://github.com/coudot/apache-session-ldap Modify password if asked Modifie le mot-de-passe si demandé Go to the Manager and <a0>create a new virtual host</a0> for phpLDAPadmin. Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour phpLDAPadmin. LemonLDAP::NG provides a script to change configuration backend easily keeping history. LemonLDAP::NG fournit un script pour changer aisément de backend de configuration en conservant l'historique. You can define exported variables for each module in the module configuration itself. On peut définir des variables exportées pour chaque module dans sa propre configuration. icons:gpg.png icons:gpg.png Artifact Resolution Résolution des artifacts This requires at least Net::LDAP 0.38. Nécessite une version de Net::LDAP égale ou supérieure à 0.38. User name session field Champ de session stockant le nom d'utilisateur Authorization Code, Implicit and Hybrid flows Flux de codes d'authorisation, implicites et hybrides For CentOS/RHEL: Pour CentOS/RHEL : JWKS data Donnée JWKS Google Google multiValuesSeparator multiValuesSeparator <s0>Sessions timeout</s0>: Maximum lifetime of a session. <s0>Durée de vie maximale des sessions</s0> : durée de vie maximale des sessions. See <a0>Debian Lenny upgrade</a0>. Voir la <a0>mise à jour de Debian Lenny</a0>. http://drupal.org http://drupal.org <s0>$uid</s0> <s1>eq</s1> <s2>"dwho"</s2> <s0>$uid</s0> <s1>eq</s1> <s2>"dwho"</s2> ldapGroupAttributeNameGroup ldapGroupAttributeNameGroup If a user is redirected from handler to portal for authentication and once he is authenticated, portal redirects him to the redirection <a0>URL</a0>. Si un utilisateur est redirigé depuis un agent vers le portail pour s'authentifier et s'il est déjà authentifié, le portail le redirige vers l'<a0>URL</a0> de redirection. Authentication: will create session without prompting any credentials (but will register client <a0>IP</a0> and creation date) Authentification : créé une session sans demander quoi que ce soit (mais enregistre l'adresse <a0>IP</a0> cliente et la date de création) Either checkout or export the <a0>SVN repository</a0>, or extract the SVN tarball to get the SVN files on your disk. Au choix, importer le <a0>dépôt SVN</a0> ou extraire l'archive SVN pour importer les fichiers. SSO cookie Cookie SSO Search user: select row in user table matching user Recherche de l'utilisateur : selectionne la ligne de la table utilisateurs correspondant à l'utilisateur Since version 1.9 of LLNG, old Auto-Login feature has been removed since it works only with Sympa-5 which has been deprecated Depuis la version 1.9 of LLNG, la fonctionnalité de connexion automatique a été supprimée car elle ne fonctionnait qu'avec la version 5 de Sympa, elle-même dépréciée You can use Redis and set up the database like explained in <a0>Redis session backend</a0>. Il est possible d'utiliser Redis comme expliqué dans <a0>Backend de sessions Redis</a0>. Body for confirmation mail Corps du message de confirmation The IDP Initiated <a0>URL</a0> is the <a1>SSO</a1> <a2>SAML</a2> <a3>URL</a3> with GET parameters: L'<a0>URL</a0> initiée par l'IdP est l'<a3>URL</a3> <a2>SAML</a2> du <a1>SSO</a1> avec les paramètres GET : You cannot use the <c0>unprotect</c0> rule because Drupal navigation is based on query strings (?q=admin, ?q=user, etc.), and unprotect rule only works on <a1>URL</a1> patterns. Vous ne pouvez pas utiliser la règle <c0>unprotect</c0> car la navigation Drupal est basée sur des requêtes basées sur des attributs (?q=admin, ?q=user, etc.), et la règle unprotect ne fonctionne que sur des correspondances d'<a1>URL</a1>. <s0>on</s0>: always display <s0>on</s0> : toujours afficher Advanced Avancé Redis session backend Module de stockage des sessions Redis _lassoIdentityDump _lassoIdentityDump Self service reset (send a mail to the user with a to change the password) Self-service de réinitialisation (envoie un mail à l'utilisateur pour changer son mot-de-passe) <s0>Encryption key</s0>: key used to crypt some data, should not be known by other applications <s0>Clef de chiffrement</s0> : clef utilisée pour chiffrer certaines données, ne doit être connue d'aucune autre application In Debian/Ubuntu, install the library through apt-get command Pour Debian/Ubuntu, installer la librairie via la commande apt-get Note that if you use FastCGI, you must restart Apache to enable changes. Noter que si on utilise FastCGI, il faut redémarrer Apache pour activer les changements. documentation:ha-apache.png documentation:ha-apache.png lemonldap-ng-fr-doc: French translation for <a0>HTML</a0> documentation lemonldap-ng-fr-doc : traduction en français de la documentation <a0>HTML</a0> <a0>DBI</a0> password Mot-de-passe <a0>DBI</a0> To post user's password, you must enable <a0>password storing</a0>. Pour envoyer le mot-de-passe utilisateur, il faut activer le <a0>stockage du mot-de-passe</a0>. <s0># SOAP functions for sessions management (disabled by default)</s0> <s0># Gestion des fonctions SOAP functions pour la gestion des sessions (désactivée par défaut)</s0> <s0>Local <a1>SSO</a1> <a2>URL</a2> pattern</s0>: regular expression to match the <a3>SSO</a3> <a4>URL</a4> (by default: ^/zimbrasso$) <s0>Expression de correspondance de l'<a2>URL</a2> <a1>SSO</a1></s0> : expression régulière de correspondance de l'<a4>URL</a4> <a3>SSO</a3> (par défaut : ^/zimbrasso$) SAML Service Service SAML When using IDP modules (like <a0>CAS</a0> or <a1>SAML</a1>), the activation of Apache authentication can alter the operation. Lorsqu'on utilise des modules IDP (tels <a0>CAS</a0> ou <a1>SAML</a1>), l'activation de 'authentification Apache peut altérer l'operation. For example, for a full access, excepted week-end: Par exemple, pour un accès total excepté le week-end: PHP PHP This works like <a0>File backend</a0>, except that data are serialized in JSON. Il fonctionne comme le <a0>backend File</a0>, si ce n'est que les données sont sérialisées au format JSON. Use the following form: <a0>https://doc.integ01.dev-franceconnect.fr/inscription</a0>. Utiliser le formulaire suivant : <a0>https://doc.integ01.dev-franceconnect.fr/inscription</a0>. You have to include them in Nginx main configuration. Il faut les inclure dans la configuration de Nginx, par exemple : <s0>Validity time of a password reset request</s0>: number of seconds for password reset request validity. <s0>Durée de validité de la requête de réinitialisation de mot-de-passe</s0> : nombre de secondes pour la validité de la requête de réinitialisation. LemonLDAP::NG can be used as a proxy between those protocols LemonLDAP::NG peut être utilisé comme proxy entre ces protocoles Authentication module Module d'authentication <s16># Directory index</s16> <s16># Directory index</s16> As administrator, go in Google Apps control panel and click on Advanced tools: Comme administrateur, aller dans le panneau de contrôle Google Apps et cliquer sur les outils avancés click (Advanced tools) : It has a simple but powerful syntax which makes sure the data files remain readable outside the Wiki and eases the creation of structured texts. Il dispose d'une syntaxe simple mais puissante qui fait que les fichiers de données restent lisibles en dehors du Wiki, et facilite la création de textes structurés. http://en.wikipedia.org/wiki/Basic_access_authentication http://fr.wikipedia.org/wiki/HTTP_Authentification Go in Manager, <c0>General Parameters</c0> » <c1>Sessions </c1> » <c2>Store user password in session data</c2> and set to <c3>On</c3>. Aller dans le manager, <c0>paramètres généraux</c0> » <c1>Sessions </c1> » <c2>Stocker le mot-de-passe dans les données de session</c2> et le mettre à <c3>Activer</c3>. Use MySQL for Lemonldap::NG configuration Utiliser MySQL pour la configuration de Lemonldap::NG Attributes from user backend Attributs récupérés du module utilisateur <s0>Server port</s0>: TCP port used by LDAP server. <s0>Port du serveur</s0> : port TCP du serveur LDAP. Example 1: two tables Exemple 1 : deux tables Slave Slave <a0>LL::NG</a0> has a logout forward mechanism, that will add a step in logout process, to send logout requests (indeed, GET requests on application logout <a1>URL</a1>) inside hidden iframes. <a0>LL::NG</a0> dispose d'un dispositif de propagation de déconnexion qui ajoute une étape à ce processus pour envoyer des requêtes de déconnexion (en pratique, des requêtes GET vers des <a1>URL</a1> de déconnexion) dans des iframes cachées. <s0><a1>URL</a1></s0>: optional, can be used to redirect on another <a2>URL</a2> (for example <a3>https://authssl.example.com</a3>). <s0><a1>URL</a1></s0> : optionnel, peut être utilisée pour rediriger l'utilisateur vers une autre <a2>URL</a2> (par exemple <a3>https://authssl.example.com</a3>). when computed virtual attribute 'msDS-User-Account-Control-Computed' as 6th flag set to 8, the password is considered expired. lorsque l'attribut virtuel compilé 'msDS-User-Account-Control-Computed' a le drapeau 6th positionné à 8, le mot de passe est considéré comme expiré. If your LDAP server do not manage this objectClass, configure other objectclass and attributes (see below). Si le serveur LDAP ne gère pas cette classe d'objet, il faut étendre le schéma. <s0><s1>[</s1>portal<s2>]</s2></s0>   # Custom template parameters <s3>tpl_myparam</s3> <s4>=</s4><s5> world</s5> <s0><s1>[</s1>portal<s2>]</s2></s0>   # Custom template parameters <s3>tpl_myparam</s3> <s4>=</s4><s5> world</s5> Google Apps does not support Single Logout (SLO). Google Apps ne supporte pas le Single Logout (SLO). http://openid.net/specs/openid-authentication-1_1.html http://openid.net/specs/openid-authentication-1_1.html Login History Historique de connexion Dates Dates PerlResponseHandler ModPerl::Registry PerlResponseHandler ModPerl::Registry Postal code Postal code Declare the OpenID Connect Provider in LL::NG Déclarer le fournisseur OpenID Connect dans LL::NG Send mail on password change Envoyer des courriels lors des changements de mots-de-passe Easy import/export through LDIF files Import/export facilité via les fichiers LDIF declare secondary portal in <c0>General Parameters</c0> » <c1>Advanced Parameters</c1> » <c2>Security</c2> » <c3>Trusted domains</c3> declarer le second portail dans <c0>Paramètres généraux</c0> » <c1>Paramètres avancés</c1> » <c2>Sécurité</c2> » <c3>Domaines approuvés</c3> <s25>"server_ip_address"</s25> <s26>=></s26> <s27>"localhost"</s27><s28>,</s28> <s25>"server_ip_address"</s25> <s26>=></s26> <s27>"localhost"</s27><s28>,</s28> Configuration of Relying Party in LL::NG Configuration du client (Relying Party) dans LL::NG With tarball installation, Nginx configuration files will be installed in <c0>/usr/local/lemonldap-ng/etc/</c0>, else they are in <c1>/etc/lemonldap-ng</c1>. Depuis une installation par les sources, les fichiers de configuration de Nginx se trouvent dans <c0>/usr/local/lemonldap-ng/etc/</c0>, sinon, ils sont dans <c1>/etc/lemonldap-ng</c1>. The AuthBasic Handler is a special Handler that will us AuthBasic to authenticate to a virtual host, and then play authorizations rules to allow access to the virtual host. L'agent AuthBasic est un agent spécial qui utilise l'authentification web basique pour authentifier dans un hôte virtuel et qui utilise ensuite les règles d'autorisation pour valider les accès à l'hôte virtuel. Example of a protected reverse-proxy: Exemple de reverse-proxy protégé : Web browser configuration Configuration du navigateur web <s16># SOAP functions for configuration access (disabled by default)</s16> <s16># Fonctions SOAP pour accéder à la configuration (désactivées par défaut)</s16> <s0>UTF8 metadata conversion</s0>: set to On to force partner's metadata conversion. <s0>Conversion des métadatas un UTF8</s0> : mettre à « activé » pour forcer la conversion des métadata des partenaires. globalStorage globalStorage If no encryption keys are defined, signature keys are used for signature and encryption. Si aucune clef de chiffrement n'est définie, la clef de signature est aussi utilisée pour le chiffrement. The faster. Le plus rapide. Variables that can be used in rules and headers Variables qui peuvent être utilisées dans les règles et en-têtes Another <a0>LL::NG</a0> system configured with <a1>OpenID authentication</a1> Un autre système <a0>LL::NG</a0> configuré avec <a1>authentification OpenID</a1> To be able to forward password to RoundCube, see <a0>how to store password in session</a0> Pour savoir comment transmettre les mots de passe à RoundCube, voir <a0>comment stocker le mot de passe dans la session</a0> Web sites install : Installer les sites web : → Your browser loops between portal and handler, it is probably a cookie problem. → le navigateur boucle entre le portail et l'agent, il s'agit probablement d'un problème. Use SOAP for Lemonldap::NG sessions Utiliser SOAP pour les sessions Lemonldap::NG <s0>Proxied services</s0>: list of services for which a proxy ticket is requested: <s0>Services Proxifiés</s0> : liste des services pour lesquels un ticket de proxy est requis : <a0>LL::NG</a0> can act as an OpenID Connect Relying Party (RP) towards multiple OpenID Connect Providers (OP). <a0>LL::NG</a0> peut agir comme un client OpenID-Connect (« Relying Party » RP), ce qui permet de fédérer <a1>LL::NG</a1> avec : Single <a0>LL::NG</a0> server linked to one AD domain Un seul serveur <a0>LL::NG</a0> lié à un seul domaine AD twitterSecret twitterSecret Extended Functions List Liste des fonctions étendues Headers En-têtes Comments can be used to order your rules: rules are applied in the alphabetical order of comment (or regexp in there is no comment). Les commentaires peuvent être utilisés pour ordonner les règles : elles sont appliquées dans l'ordre alphabétique des commentaires (ou des expressions régulières à défaut de commentaire). Remote Remote Change configuration in lemonldap-ng.ini : Changer la configuration dans lemonldap-ng.ini : Bugzilla virtual host in Manager Hôte virtuel Bugzilla dans le manager Launch that: Lancer ceci : # OR in the corresponding block # OU dans le bloc correspondant openIdAuthnLevel openIdAuthnLevel Then in <c0>General Parameters</c0> > <c1>Authentication modules</c1> > <c2>OpenID Connect parameters</c2>, you can set: Ensuite dans <c0>Paramètres généraux</c0> > <c1>Paramètres d'authentification</c1> > <c2>Paramètres OpenID-Connect </c2>, on peut indiquer : When receiving the request, the real authentication context will be mapped ton an internal authentication level (see <a1>how configure the mapping</a1>), that you can check to allow or deny session creation. À la réception de la requête, le contexte d'authentification réel est traduit en un niveau d'authentification interne (voir <a1>comment configurer la translation</a1>), utilisable pour accorder ou non la création de session. <a0>LL::NG</a0> Portal can be used under a <a1>FastCGI system</a1> very easily. Le portail <a0>LL::NG</a0> peut être utilisé dans un <a1>système FastCGI</a1> très facilement. <s10><s11><role</s11> <s12>rolename</s12>=<s13>"tomcat"</s13><s14>/></s14></s10> <s10><s11><role</s11> <s12>rolename</s12>=<s13>"tomcat"</s13><s14>/></s14></s10> You can choose to install only one component by choosing the package <c0>lemonldap-ng-portal</c0>, <c1>lemonldap-ng-handler</c1> or <c2>lemonldap-ng-manager</c2>. On peut n'installer qu'un seul composant en choisissant le paquet <c0>lemonldap-ng-portal</c0>, <c1>lemonldap-ng-handler</c1> ou <c2>lemonldap-ng-manager</c2>. Configure the virtual host like other <a0>protected virtual host</a0> but use Secure Token Handler instead of default Handler. Configurer l'hôte virtuel Sympa comme n'importe quel autre <a0>hôte virtuel protégé</a0> mais utiliser l'agent jeton sécurisé au lieu de l'agent par défaut. Perl-CAS module installation Installation du module Perl-CAS Please refer to Liferay documentation to enable LDAP provisionning. Se reporter à la documentation Liferay pour activer l'alimentation LDAP. useSafeJail useSafeJail First, configure your real backend Premièrement, configurer le backend réel Syslog Syslog User XXXX was not granted to open session User XXXX was not granted to open session proxyOptions proxyOptions Else, all data are copied in the session database. Sinon, toutes les données sont copiées. Then go in Manager, <c0>General Parameters</c0> » <c1>Advanced Parameters</c1> » <c2>Password management</c2>: Aller dans le manager, <c0>Paramètres généraux</c0> » <c1>Paramètres avancés</c1> » <c2>Gestion des mots-de-passe</c2> : To summarize, to get the user connected trough the <c0>Auth-User</c0> HTTP Header, use this Sping Security configuration: En résumé, pour connecter les utilisateurs vie l'entête HTTP <c0>Auth-User</c0>, utiliser cette configuration de Spring Security : Notification backend Module de stockage des notifications UserInfo end point, as JSON or as JWT Point d'accès UserInfo, en JSON ou JWT <s0>USEEXTERNALLIBS</s0>: use files from public CDN <s0>USEEXTERNALLIBS</s0> : utiliser les fichiers des CDN publics <s0>if</s0><s1>(</s1><s2>$cgi</s2><s3>-></s3><s4>testUri</s4><s5>(</s5><s6>'http://test3.example.com/'</s6><s7>)</s7> <s8>{</s8> <s0>if</s0><s1>(</s1><s2>$cgi</s2><s3>-></s3><s4>testUri</s4><s5>(</s5><s6>'http://test3.example.com/'</s6><s7>)</s7> <s8>{</s8> sp: SP entity ID sp: identifiant du SP Example of corresponding LDAP attribute Exemple de correspondance d'attributs LDAP The <c0>ProxyPreserveHost</c0> directive will forward the Host header to the protected application.<br1/> La directive <c0>ProxyPreserveHost</c0> transfère l'en-tête Host à l'application protégée.<br1/> <s0>Allow requests in error</s0>: allow a request that has generated an error in token generation to be forwarded to the protected application without secure token (default: yes) <s0>Autorise les requêtes en cas d'erreur</s0> : autorise la requête qui a généré une erreur dans la génération du jeton à être transféré à l'application protégé sans jeton sécurisé (défaut : oui) <<s1>Location</s1> /index.pl/adminSessions> <<s1>Location</s1> /index.pl/adminSessions> <s0>passThrough</s0> (optional): Allow anonymous access or not. <s0>passThrough</s0> (optionnel) : Autorise ou non l'accès anonyme. <<s14>IfModule</s14> mod_rewrite.c> <<s14>IfModule</s14> mod_rewrite.c> To add these attributes, go in Manager, <c0>Variables</c0> » <c1>Exported Variables</c1>. Pour ajouter ces attributs, aller dans le manager, <c0>Variables</c0> » <c1>Variables exportées</c1>. Net::OpenID::Server > 1.00 Net::OpenID::Server > 1.00 $uidR $uidR <s151>//"userobm_vacation_message" => ,</s151> <s151>//"userobm_vacation_message" => ,</s151> https://metacpan.org/module/Apache::Session::Browseable::Redis https://metacpan.org/module/Apache::Session::Browseable::Redis -1 if this <a0>URL</a0> is not known by <a1>LL::NG</a1> configuration -1 si cette <a0>URL</a0> n'est pas connue de la configuration de <a1>LL::NG</a1> <s0>Auth-Mail</s0>: $mail <s0>Auth-Mail</s0>: $mail You need a Google developer account to access to <a0>https://console.developers.google.com/</a0> Il faut un compte développer Google pour accéder à <a0>https://console.developers.google.com/</a0> <s0>Use reset attribute</s0>: enable to use the password reset attribute. <s0>Utiliser l'attribut reset</s0> : activé pour utiliser l'attribut reset du mot-de-passe. The request validity time is a configuration parameter. La durée de validité de la requête est un paramètre de configuration. Auth-Cn Auth-Cn Bugzilla can authenticate a user with HTTP headers, and auto-create its account with a few information: Bugzilla peut authentifier un utilisateur par en-tête HTTP et auto-générer son compte avec quelques informations : Authentication contexts Contextes d'authentification Datas concerning the first connection to the portal Données concernant la première connexion au portail Common Domain Cookie is also know as <a0>WAYF Service</a0>. Le domaine commun de cookie est également connu comme <a0>service WAYF</a0>. <a0>Authentication</a0>: how check user credentials <a0>Authentification</a0> : comment examiner les données utilisateur d'authentification Then you just have to define the mapping of this new attributes, for example: Il faut ensuite définir la correspondance de ces nouveaux attributs, par exemple: start.html start.html You can also configure jetlag (if all of your users use the same timezone): On peut aussi configurer jetlag (si tous les utilisateurs utilisent le même fuseau): <a0>SSO</a0> on OBM web interface <a0>SSO</a0> sur l'interface web d'OBM dbiUserPassword dbiUserPassword If not set, the secret token is calculated using the general encryption key. S'il n'est pas renseigné, le jeton secret est calculé en utilisant la clef de chiffrement générale. http://www.w3.org/wiki/WebID http://www.w3.org/wiki/WebID customFunctions customFunctions Allow only users with a LimeSurvey role Autorise seulement les utilisateurs avec un rôle LimeSurvey You have to create the table by yourself: Il faut créer soi-même la table : Apache::Session::Browseable::MySQL doesn't use locks so performances are keeped. Apache::Session::Browseable::MySQL n'utilise pas les locks pour conserver les performances. http://modauthkerb.sourceforge.net/ http://modauthkerb.sourceforge.net/ Metadata Métadonnée <s0>Confirmation mail content</s0> (optional): Content of mail sent when password change is asked <s0>Contenu du message de confirmation</s0> (optionnel) : contenu du courriel envoyé lorsque le changement de mot-de-passe est demandé <s0>Cookie name</s0>: name of the cookie, can be changed to avoid conflicts with other LemonLDAP::NG installations <s0>Nom de cookie</s0> : nom du cookie, peut être changé pour éviter les conflits avec d'autres installations LemonLDAP::NG Add reload.example.com to /etc/hosts in the container (option –add-host) Ajouter reload.example.com dans /etc/hosts du container (option –add-host) To define keys, you can: Pour définir les clefs, vous pouvez : You have to include them in Apache main configuration, for example: Il faut les inclure dans la configuration d'Apache, par exemple : http://code.google.com/googleapps/domain/sso/saml_reference_implementation.html http://code.google.com/googleapps/domain/sso/saml_reference_implementation.html <a0>CAS</a0> attribute for login Attribut <a0>CAS</a0> pour le nom de connexion You need to obtain a keytab for each node on each domain. Il faut obtenir une table de clefs pour chaque nœud dans chaque domaine. <s0>Javascript protection</s0>: set httpOnly flag, to avoid cookie been caught by javascript code <s0>Protection Javascript</s0> : active le drapeau httpOnly pour éviter que le cookie ne soit accessible par code javascript Example: <a2>http://auth.example.com</a2> Exemple: <a2>http://auth.example.com</a2> External user clicks to be redirected to the remote type portal L'utilisateur externe clique pour être redirigé vers le second portail Proxy backend to be used in conjunction with another session backend. Backend proxy à utiliser avec un autre backend de sessions. lemonldap-ng-doc: contains <a0>HTML</a0> documentation and project docs (README, etc.) lemonldap-ng-doc : contient la documentation <a0>HTML</a0> et celle du projet (README, etc...) You can not start with an empty configuration, so read <a0>how to change configuration backend</a0> to convert your existing configuration into another one. On ne peut démarrer avec une configuration vide, il faut donc lire <a0>comment changer de backend de configuration</a0> pour convertir une configuration existante en une autre. Accept some specificities: Autres possibilités : For example to store authentication mode, you can set in <c1>Session data to store</c1> a new key <c2>$_auth</c2> with value <c3>Authentication mode</c3>. Par exemple pour stocker le mode d'authentification, on peut créer une nouvelle clef dans <c1>données de session à stocker</c1> nommée <c2>$_auth</c2> avec comme valeur <c3>mode d'authentification</c3>. The real user identifier is stored in a Memcached server and the protected application can the request the Memcached server to get user identifier. L'identifiant utilisateur réel est stockédans un serveur Memcached et l'application protégée peut requérir le serveur Memcached pour obtenir l'identifiant utilisateur. <s0>User attribute</s0>: session field that with be used as main identifier (<c1>sub</c1>) <s0>Attribut utilisateur</s0> : attribut de session à utiliser comme identifiant principal (<c1>sub</c1>) Name of the cookie Nom du cookie locationRules locationRules <s0>Handler</s0>: user is redirected if he has no <a1>SSO</a1> cookie (or in <a2>CDA</a2> mode) les <s0>agents (handlers)</s0> : l'utilisateur y est redirigé s'il n'a pas de cookie <a1>SSO</a1> (ou en mode <a2>CDA</a2>) When using this module, <a0>LL::NG</a0> portal will be called only if Apache does not return “401 Authentication required”, but this is not the Apache behaviour: if the auth module fails, Apache returns 401. En utilisant ce module, le portail <a0>LL::NG</a0> est appelé uniquement si Apache ne retourne pas “401 Authentication required”, aucune bascule n'est donc possible. So Apache::Session module is not a problem for handlers. Ainsi, les modules Apache::Session ne posent pas de problèmes aux agents. <a0>Drupal</a0> is a <a1>CMS</a1> written in PHP. <a0>Drupal</a0> est un <a1>CMS</a1> écrit en PHP. <s0>Searched attributes</s0>: name(s) of the attribute storing the name of the group, spaces separated (default: cn). <s0>Attributs recherchés</s0> : nom(s) de l'attribut stocké dans le nom du groupe, séparés par des espaces (défaut: cn). <s0><s1><SPSSODescriptor<s2>></s2></s1></s0> <s0><s1><SPSSODescriptor<s2>></s2></s1></s0> Identity Provider Fournisseur d'identité In <c0>Configuration</c0>, register the <c1>client_id</c1> and <c2>client_secret</c2> given by France Connect Dans <c0>Configuration</c0>, enregistrer les <c1>client_id</c1> et <c2>client_secret</c2> donnés par France Connect <s0><s1>[</s1>portal<s2>]</s2></s0> <s3>globalStorage</s3> <s4>=</s4><s5> Apache::Session::File</s5> <s6>globalStorageOptions</s6> <s7>=</s7><s8> <s9>{</s9> 'Directory' <s10>=</s10>> '/var/lib/lemonldap-ng/sessions/', 'LockDirectory' <s11>=</s11>> '/var/lib/lemonldap-ng/sessions/lock/', <s12>}</s12></s8> <s0><s1>[</s1>portal<s2>]</s2></s0> <s3>globalStorage</s3> <s4>=</s4><s5> Apache::Session::File</s5> <s6>globalStorageOptions</s6> <s7>=</s7><s8> <s9>{</s9> 'Directory' <s10>=</s10>> '/var/lib/lemonldap-ng/sessions/', 'LockDirectory' <s11>=</s11>> '/var/lib/lemonldap-ng/sessions/lock/', <s12>}</s12></s8> http://portal/index.pl/sessions http://portal/index.pl/sessions <a0>CAS</a0> force authentication renewal Forcer le renouvellement d'authentification <a0>CAS</a0> <a0>DBI</a0> UserDB connection chain Chaîne de connexion UserDB <a0>DBI</a0> See also <a0>exported variables configuration</a0>. Voir aussi la <a0>configuration des variables exportées</a0>. Using <a0>LL::NG</a0> in reverse proxy mode, you will not have the <c1>REMOTE_USER</c1> environment variable set. Lorsque <a0>LL::NG</a0> est utilisé en mode reverse-proxy, la variable d'environnement <c1>REMOTE_USER</c1> n'est pas renseignée. Headers are associations between an header name and a perl expression that returns a string. Les en-têtes sont des associations entre un nom d'en-tête et une expression perl qui retourne une chaîne. (see ppolicy workflow below) (voir le procédé de politique de mots-de-passe ci-dessous) 1f777a6581e478499f4284e54fe2d4a4e513dfff 1f777a6581e478499f4284e54fe2d4a4e513dfff Apache::Session Apache::Session <s0>One user by <a1>IP</a1> address</s0>: 2 users can not open a session with the same <a2>IP</a2>. <s0>Un utilisateur par adresse <a1>IP</a1></s0> : 2 utilisateurs ne peuvent ouvrir de sessions avec la même adresse <a2>IP</a2>. Just set the <c0>Auth-User</c0> header with the attribute that carries the user login, for example <c1>$uid</c1>. Renseigner simplement l'en-tête <c0>Auth-User</c0> avec l'attribut qui contient le nom de login, par exemple <c1>$uid</c1>. AD password policy does not follow the LDAP <a0>RFC</a0>, but Microsoft has implemented its own policy. La politique de mots-de-passe AD ne respecte pas les <a0>RFC</a0> LDAP, mais Microsoft a implementé sa propore politique. These rules can be set trough Manager: <c0>General Parameters</c0> > <c1>Portal</c1> > <c2>Menu</c2> > <c3>Modules activation</c3>. Ces règles peuvent être modifiées via le manager : <c0>Paramètres généraux</c0> > <c1>Portail</c1> > <c2>Menu</c2> > <c3>Activation des modules</c3>. User password is now available in <c0>$_password</c0> variable. Le mot-de-passe utilisateur est désormais disponible dans la variable <c0>$_password</c0>. MediaWiki MediaWiki This is mandatory if you want to use an Apache authentication module, which is run by Apache before showing the LemonLDAP::NG portal page. Obligatoire toutefois si on veut utiliser un module d'authentification Apache, qui sont lancés par Apache avant d'afficher la page du portail LemonLDAP::NG. applications:bugzilla_logo.png applications:bugzilla_logo.png If you choose to use MySQL, read <a0>how to increase MySQL performances</a0>. Si MySQL est choisi, lire <a0>comment augmenter les performances de MySQL</a0>. <s0>portal-apache2.conf</s0>: Portal virtual host, with SOAP and Issuer end points <s0>portal-apache2.conf</s0> : hôte virtuel du portail, incluant les points d'accès SOAP et fournisseur d'identité apacheAuthnLevel apacheAuthnLevel <a2>Lutece</a2> <a2>Lutece</a2> <a0>LL::NG</a0> is compatible with the <a1>CAS protocol</a1> versions 1.0, 2.0 and part of 3.0 (attributes exchange). <a0>LL::NG</a0> est compatible avec le <a1>protocole CAS</a1> versions 1.0, 2.0 et en partie 3.0 (echange d'attributs). → The configuration cannot be loaded. → La configuration ne peut être chargée. Examples for <a0>LDAP</a0>: Exemples pour <a0>LDAP</a0> : Session backend options Options du module de stockage des sessions This requires to configure <a0>LL::NG</a0> as an <s1><a2>SAML Identity Provider</a2></s1>. Ceci nécessite de configurer <a0>LL::NG</a0> comme <s1><a2>fournisseur d'identité SAML</a2></s1>. <s0>Secret token</s0>: a secret token used to secure transmissions between OpenID client and server (<s1><a2>see below</a2></s1>). <s0>Jeton secret</s0> : le jeton secret utilisé pour sécuriser les transmissions entre le client et le server OpenID (<s1><a2>voir ci-dessous</a2></s1>). Active Directory Active Directory An apache virtual host protected by LemonLDAP::NG Handler must be registered in LemonLDAP::NG configuration. Un hôte virtuel apache protégé par un agent LemonLDAP::NG doit être enregistré dans la configuration LemonLDAP::NG. Cache backend options Options du module du cache local LDAP server can force password change on first connection, and <a0>LL::NG</a0> portal will display a password change form before opening <a1>SSO</a1> session Le serveur LDAP peut imposer le changement de mot-de-passe à la première connexion et le portail <a0>LL::NG</a0> affichera le formulaire de changement de mot-de-passe avant d'ouvrir la session <a1>SSO</a1> User owns <a0>SSO cookies</a0> on the main domain (see <a1>Login kinematics</a1>) Les utilisateurs possèdent des <a0>cookies SSO</a0> dans le domaine principal (voir la <a1>cinématique de connexion</a1>) Encoded characters Caractères encodés screenshots:1.1:mailreset:mailreset_step3.png screenshots:1.1:mailreset:mailreset_step3.png Configure user and password Configurer le nom de compte et le mot-de-passe <s0><a1>SSO</a1> binding</s0>: force binding to use for <a2>SSO</a2> (http-redirect, http-post, etc.) <s0>Méthode <a1>SSO</a1></s0> : force la méthode à utiliser pour le <a2>SSO</a2> (http-redirect, http-post, etc.) These options override service signature options (see <a0>SAML service configuration</a0>). Ces options surchargent les options de signature du service (voir la <a0>configuration du service SAML</a0>). Of course, you need to <a0>store password in session</a0> to fill PHP_AUTH_PW. Bien sûr, il faut <a0>stocker le mot-de-passe dans la session</a0> pour renseigner PHP_AUTH_PW. FastCGI server (Nginx) Serveur FastCGI (Nginx) Your module has to be loaded by Apache (for example after Handler load): Le module doit être chargé par Apache (par exemple après le chargement de l'agent) : applications:limesurvey_logo.png applications:limesurvey_logo.png Some can be mandatory, so if they are not returned by IDP, the session will not open. Certains peuvent être obligatoires, et s'ils ne sont pas retournés par l'IDP, la session n'est pas ouverte. <s17>RewriteRule</s17> ^/openidserver/.* /index.pl <s17>RewriteRule</s17> ^/openidserver/.* /index.pl MRTG monitoring Supervision MRTG <s0>node1.example.com</s0>: <a1>DNS</a1> of the first <a2>LL::NG</a2> portal server (in cluster mode) <s0>node1.example.com</s0> : <a1>DNS</a1> du second portail <a2>LL::NG</a2> (en mode cluster) You can do it either by uploading the file, or get it from SP metadata <a0>URL</a0> (this require a network link between your server and the SP). Ceci peut être fait soit en téléchargeant le fichier, soit en l'obtenant par l'<a0>URL</a0> de métadatas du SP (à condition d'avoir un lien réseau entre le serveur et le SP): <s0>Secured cookie</s0>: the cookie can only be sent over HTTPS <s0>Cookie sécurisé</s0> : le cookie peut être envoyé via HTTPS *.partner.com *.partenaire.com <s0>KERB_NODE2</s0>: AD account to generate the keytab for the second <a1>LL::NG</a1> server (in cluster mode) <s0>KERB_NODE2</s0> : compte AD pour générer la table de clef du second serveur <a1>LL::NG</a1> (en mode cluster) Enable sites: Activer les sites : <s0>Mandatory</s0>: if set to “On”, then this attribute will be sent in authentication response. <s0>Obligatoire</s0> : si activé, cet attribut sera envoyé dans les réponses d'authentification. Mini howtos Mini howtos _session_id _session_id dbiTable dbiTable The Tomcat Valve is only available for tomcat 5.5 or greater. La valve Tomcat est uniquement disponible pour les versions 5.5 et supérieures de Tomcat. <s0>handler-apache2.conf</s0> : Handler declaration, reload and sample virtual hosts <s0>handler-apache2.conf</s0> : déclaration du handler, rechargement et exemple d'hôte virtuel <s0>newSession</s0>: create a session (return attributes) <s0>newSession</s0> : crée une session (retourne les attributs) Google does not support logout trough OpenID Connect. Google ne supporte pas la déconnexion via OpenID-Connect. <a0>SREG</a0> permit the share of 8 attributes: <a0>SREG</a0> permet le partage de 8 attributs : User table: where user data are stored (mail, name, etc.) La table utilisateurs : où les données utilisateurs sont stockées (mail, nom, etc.) protect the manager by Apache configuration protéger le manager par configuration d'Apache yubikeyAuthnLevel yubikeyAuthnLevel <s13>Deny</s13> from <s14>all</s14> <s13>Deny</s13> from <s14>all</s14> <s0>Chain</s0>: <a1>DBI</a1> chain, including database driver name and database name (for example: dbi:mysql:database=lemonldapng;host=localhost). <s0>Chaîne</s0> : chaîne <a1>DBI</a1>, contenant le nom de driver et le nom de la base de données (par exemple : dbi:mysql:database=lemonldapng;host=localhost). <a2>IBM Lotus iNotes</a2> <a2>IBM Lotus iNotes</a2> User provisioning (account auto creation at first connection) Importation des comptes utilisateurs (auto-création à la première connexion) Register what module was used for authentication, user data, password, … Enregistre les modules utilisés pour l'authentification, les données utilisateurs, les mots-de-passe, … # Set REMOTE_USER (for FastCGI apps only) # Définir REMOTE_USER (pour les applications FastCGI seulement) Edit <c0>lemonldap-ng.ini</c0>, and activate status in the <c1>handler</c1> section: Éditer <c0>lemonldap-ng.ini</c0>, et activer le statut dans la section <c1>handler</c1> : http://packages.debian.org/search?keywords=lemonldap-ng http://packages.debian.org/search?keywords=lemonldap-ng This requires <a2>Perl CAS module</a2>. Ceci nécessite un <a2>module Perl CAS</a2>. <s93>//"userobom_phone2" => ,</s93> <s93>//"userobom_phone2" => ,</s93> Secure Token protected URLs URL protégées du jeton sécurisé (&(mail=$mail)(objectClass=person)) (&(mail=$mail)(objectClass=person)) A “password warning time before password expiration” variable can be specified in LemonLDAP::NG to do so. Une variable “délai d'avertissement pour mot de passe avant expiration de celui-ci” peut être indiquée dans LemonLDAP::NG pour le faire. exportedHeaders exportedHeaders <s0>Mail charset</s0>: Charset used for the body of the mail (default: utf-8) <s0>Jeu de caractères du courriel</s0> : jeu de caractère utilisé pour le corps du message (défaut : utf-8) Email::Date::Format Email::Date::Format Session explorer Explorateur de sessions unicode2iso unicode2iso Virtual host Hôte virtuel Zimbra parameters are the following: Les paramètres Zimbra sont les suivants : This concerns all parameters for the Service Provider metadata section: Ceci concerne tous les paramètres de la section « fournisseur de service » des metadatas : The Active Directory module is based on the <a0>LDAP module</a0>, with these features: Le module Active Directory est basé sur le <a0>module LDAP</a0>, avec ces caractéristiques : 10.0.0.1:20000 10.0.0.2:20000 10.0.0.1:20000 10.0.0.2:20000 It is also used by <a2>SAML SP</a2> to fill the authentication level in user session, based on authentication response authentication context. Il est également utilisé par le <a2>SP SAML</a2> pour définir le niveau d'authentification dans la session de l'utilisateur en se basant sur la réponse d'authentification. to the sessions storage backend au système de stockage des sessions date: creation date (format YYYY-MM-DD) date : date de création (format AAAA-MM-JJ) For application <a0>AAA</a0>: Pour l'application AAA : Simple usage example: Exemple d'usage simple : radiusServer radiusServer <s42>'create_survey'</s42> <s43>=></s43> <s44>$_SERVER</s44><s45>[</s45><s46>'HTTP_AUTH_ADMIN'</s46><s47>]</s47> <s48>||</s48> <s49>$_SERVER</s49><s50>[</s50><s51>'HTTP_AUTH_SUPERADMIN'</s51><s52>]</s52><s53>,</s53> <s42>'create_survey'</s42> <s43>=></s43> <s44>$_SERVER</s44><s45>[</s45><s46>'HTTP_AUTH_ADMIN'</s46><s47>]</s47> <s48>||</s48> <s49>$_SERVER</s49><s50>[</s50><s51>'HTTP_AUTH_SUPERADMIN'</s51><s52>]</s52><s53>,</s53> KrbServiceName HTTP/auth.example.com KrbServiceName HTTP/auth.example.com applications:mediawiki_logo.png applications:mediawiki_logo.png You can check that Kerberos is working by trying to get a ticket for a user of the domain (for example coudot): On peut vérifier que Kerberos fonctionne en essayant d'obtenir un ticket pour un utilisateur du domaine (par exemple coudot) : Description Description You can use this authentication module to link your <a0>LL::NG</a0> server to any OpenID Connect Provider. On peut utiliser ce module d'authentification pour lier un serveur <a0>LL::NG</a0> à n'importe quel fournisseur OpenID-Connect. <a0>DBI</a0> Connection password Mot-de-passe de connexion <a0>DBI</a0> The important things to check are: Les points importants à vérifier sont : Verify that: Verifier que : portalAntiFrame portalAntiFrame /usr/share/lemonldap-ng/bin/lmConfigEditor /usr/share/lemonldap-ng/bin/lmConfigEditor Access Token Hash generation Génération de hash de jeton d'accès <s0>SSLCertificateFile</s0>: Server certificate <s0>SSLCertificateFile</s0> : certificat serveur http://search.cpan.org/perldoc?Apache::Session::Memcached http://search.cpan.org/perldoc?Apache::Session::Memcached For tests with <c0>example.com</c0>, launch the following : Pour les tests avec <c0>example.com</c0>, lancer ce qui suit : mailSubject mailSubject <a0>Facebook</a0> is a famous social network service. <a0>Facebook</a0> est un célèbre réseau social. <s0>(?i)</s0> means case no sensitive. <s0>(?i)</s0> signifie insensible à la casse. mailR mailR Zimbra application in menu Application Zimbra dans le menu Handler build the preauth request and redirect user on Zimbra preauth <a0>URL</a0> Le handler construit la requête de pré-authentification et redirige l'utilisateur sur l'<a0>URL</a0> de pré-authentification de Zimbra <s77>//"userobm_account_dateexp" => ,</s77> <s77>//"userobm_account_dateexp" => ,</s77> Example: Exemple : Portal does not store any data outside the session database, so you can have many portal servers using the same HTTP host name Le portail ne stocke aucune donnée en dehors de la base de données des sessions, ainsi on peut avoir plusieurs serveurs utilisant le même nom d'hôte HTTP is user required to click on a button, for example in order to perform some script ? l'utilsiateur doit-il cliquer sur un bouton, par exemple pour déclencher un script ? Installation from the tarball Installation depuis l'archive The digit will not be shown on portal page. Le chiffre ne sera pas affiché sur la page portail. _lassoSessionDump _lassoSessionDump Configure Federation ID Configurer l'identifiant de fédération If you use WebID as user database, declare values in <s0>exported variables</s0> : Si on utilise WebID comme base de données utilisateurs, déclarer les valeurs dans les <s0>variables exportées</s0> : You can then set the access rule. Définir ensuite les règles d'accès. You can write <a0>rules</a0> matching any component of <a1>URL</a1> to protect including GET parameters, but be careful. On peut écrire des <a0>règles</a0> qui examine n'importe quel composant de l'<a1>URL</a1> à protéger y compris les paramètres GET, mais il faut faire attention. install_handler_site (/usr/local/lemonldap-ng/handler) install_handler_site (/usr/local/lemonldap-ng/handler) Role Based Access Control (RBAC) Contrôle d'accès basé sur les rôles (RBAC) OpenID allowed domains Domaines autorisés pour OpenID Redis server Serveur Redis In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose Null for authentication, users or password module. Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir <a2>Null</a2>) pour les modules authentification, utilisateurs et/ou mots-de-passe. In Manager, click on <a0>SAML</a0> service providers and the button <c1>New service provider</c1>. Dans le manager, cliquer sur fournisseurs de service <a0>SAML</a0> puis sur le bouton <c1>Nouveau fournisseur de service</c1>. See also <a0>Debian/Ubuntu installation documentation</a0>. Voir aussi la <a0>documentation d'installation Debian/Ubuntu</a0>. internal_email_by_netid 1 internal_email_by_netid 1 <s23>'email'</s23> <s24>=></s24> <s25>$_SERVER</s25><s26>[</s26><s27>'HTTP_AUTH_MAIL'</s27><s28>]</s28><s29>,</s29> <s23>'email'</s23> <s24>=></s24> <s25>$_SERVER</s25><s26>[</s26><s27>'HTTP_AUTH_MAIL'</s27><s28>]</s28><s29>,</s29> http://www.php.net/array http://www.php.net/array Protect the Manager Protéger le manager Go to %_topdir Aller dans %_topdir Go in the Manager and set the LDAP session module (<a0>Apache::Session::LDAP</a0>) in <c1>General parameters</c1> » <c2>Sessions</c2> » <c3>Session storage</c3> » <c4>Apache::Session module</c4> and add the following parameters (case sensitive): Aller dans le manager et mettre le module de session (<a0>Apache::Session::LDAP</a0>) dans <c1>Paramètres généraux</c1> » <c2>Sessions</c2> » <c3>Stockage des sessions</c3> » <c4>Module Apache::Session</c4> et ajouter les paramètres suivant (sensible à la casse) : Three options: Trois options : icons:colors.png icons:colors.png ldapConfBase ldapConfBase Click on a column header to sort table. Cliquez sur un en-tête de colonne pour trier le tableau. <a0>IP</a0> of the user (can be the X Forwarded For <a1>IP</a1> if trusted proxies are configured) <a0>IP</a0> de l'utilisateur (peut être celle de l'en-tête X-Forwarded-For si des proxies agréés ont été configurés) To edit <a0>SSO</a0> cookie parameters, go in Manager, <c1>General Parameters</c1> > <c2>Cookies</c2>: Pour modifier les paramètres du cookie <a0>SSO</a0>, aller dans le manager, <c1>Paramètres généraux</c1> > <c2>Cookies</c2> : <s0>Activation</s0>: set to <c1>On</c1> <s0>Activation</s0> : mettre à <c1>Activé</c1>. The SP name is asked, enter it and click OK. Le nom de SP est demandé, entrer-le et cliquer sur OK. <s0><s1><AttributeAuthorityDescriptor<s2>></s2></s1></s0> <s0><s1><AttributeAuthorityDescriptor<s2>></s2></s1></s0> <s0>APACHEUSER</s0>: user running Apache <s0>APACHEUSER</s0> : utilisateur de fonctionnement d'Apache Disable all signature flags in <c0>Options</c0> » <c1>Signature</c1>, except <c2>Sign <a3>SSO</a3> message</c2> which should be to <c4>On</c4> Désactiver toutes les cases dans <c0>Options</c0> » <c1>Signature</c1>, excepté <c2>Signer les messages <a3>SSO</a3></c2> qui doit être activée LimeSurvey virtual host in Manager Hôte virtuel LimeSurvey dans le manager remotePortal remotePortal It is advised to use separate session backends for standard sessions, <a0>SAML</a0> sessions and <a1>CAS</a1> sessions, in order to manage index separately. Il est préférable d'utiliser des bases de sessions séparées pour les sessions standard, <a0>SAML</a0> et <a1>CAS</a1> afin de gérer séparemment les index. New Service Provider Nouveau fournisseur de service You can close the Kerberos session: La session Kerberos peut être fermée : It has enhanced functions to make the daily life for the administrators easier, like a job-tracking-system with mail-notification and methods to build a database with basic information about your network-topology. Il dispose de functions avancées pour faciliter la vie des administrateurs, telle un détecteur de tâches avec notification par mail et des méthodes pour construire la base de données avec des informations minimales sur la topologie du réseau. You need <a0>Net::Facebook::Oauth2</a0> package. La paquet <a0>Net::Facebook::Oauth2</a0> est nécessaire. Extract and build the module: Extraire et compiler le module: <s0>User attribute</s0>: which session attribute will be used to display <c1>Connected as</c1> in the menu <s0>Attribut utilisateur</s0> : attribut de session à utiliser pour afficher <c1>Connecté en tant que</c1> dans le menu It can not be used to share sessions between different servers except if you share directories (with NFS,…) or if you use <a0>SOAP proxy</a0>. Il ne peut être utilisé pour partager les sessions entre serveurs sauf si les répertoires sont partagés (avec NFS,…) ou en utilisant le <a0>proxy SOAP</a0>. If not, grab a jQuery <a0>URL</a0> reachable by user (any version over jQuery 1.0 is suitable) Sinon, indiquer une <a0>URL</a0> jQuery joignable par l'utilisateur (toute version supérieure à 1.0) You can inspect a user session with the sessions explorer (in Manager) On peut inspecter une session utilisateur avec l'explorateur de sessions (accessible depuis le manager) <a0>DBI</a0> authentication level Niveau d'authentification <a0>DBI</a0> <s0><a1>URL</a1></s0>: <a2>URL</a2> of your society <s0><a1>URL</a1></s0>: <a2>URL</a2> de votre organisation Then click on <c0>New variable</c0> and add all data with their values, for example: Cliquer ensuite sur <c0>Nouvelle variable</c0> et ajouter toutes les noms de champ et leurs valeurs, par exemple: get user attributes obtenir les attributs utilisateurs You can also use the certificate instead of public key in <a0>SAML</a0> metadata, see <a1>SAML service configuration</a1> On peut aussi utiliser le certificat au lieu de la clef publique dans les métadatas <a0>SAML</a0>, voir <a1>configuration du service SAML</a1> You can then close the Kerberos session: On peut alors fermer la sessions Kerberos : cat /etc/lemonldap-ng/for_etc_hosts >> /etc/hosts cat /etc/lemonldap-ng/for_etc_hosts >> /etc/hosts <s0>off</s0>: never display <s0>off</s0> : ne jamais afficher You've simply to insert a notification and connect to the portal using the same UID. Il suffit d'insérer une notification et de se connecter au portail en utilisant le même UID. The authentication level given to users authenticated with this module. Le niveau d'authentification accordé aux utilisateurs authentifiés par ce module. The value will be used to display the data. Cette valeur sera utilisée pour afficher les données. http://xmlns.com/foaf/spec/#sec-crossref http://xmlns.com/foaf/spec/#sec-crossref <s0>Response Location</s0>: Access Point for <a1>SSO</a1> response. <s0>Response Location</s0> : Point d'accès pour les réponses <a1>SSO</a1>. This mode must not be used for other purpose than test and demonstration! Ces mode ne doit pas être utilisé pour autre chose que des tests et démonstrations ! This attribute is set by LemonLDAP::NG when <a1>password was reset by mail</a1> and the user choose to generate the password (default: enabled). Cet attribut est activé par LemonLDAP::NG lorsque <a1>le mot-de-passe a été réinitialisé par mail</a1> et que l'utilisateur a choisi de générer le mot-de-passe (défaut : activé). value valeur You can define how many logins and failed logins will be stored. On peut définir le nombre de connexions et d'échecs à stocker. Create new notifications with notifications explorer Créer de nouvelles notifications avec l'explorateur des notifications <s0>none</s0>: no access control, the server will answer without checking if the user is authorized for the service (this is the default) <s0>none</s0> : pas de contrôle d'accès, le serveur répond sans contrôler si l'utilisateur est autorisé à accéder au service (c'est la valeur par défaut) http://en.wikipedia.org/wiki/OAuth http://fr.wikipedia.org/wiki/OAuth With index, <a1>LL::NG</a1> wil be able to get only wanted sessions from the backend. Avec index, <a1>LL::NG</a1> ne récupère que les sessions demandées. It can be used to host the portal or the manager through its FastCGI support and can be used to protect applications using the auth_request module (dialing with a FastCGI authorization server). Il peut être utilisé pour héberger le portail ou le manager au travers de son support FastCGI et peut être utilisé pour protéger des applications en utilisant le module auth_request (qui dialogue avec un serveur d'autorisations FastCGI). vi /var/lib/lemonldap-ng/portal/login.pl vi /var/lib/lemonldap-ng/portal/login.pl Adapt it to configure the index you need. À adapter pour configurer les index voulus. <s0>Confirmation mail subject</s0>: Subject of mail sent when password change is asked (default: [LemonLDAP::NG] Password reset confirmation) <s0>Sujet du message de confirmation</s0> : sujet du courriel envoyé lorsque le changement de mot-de-passe est demandé (défaut: [LemonLDAP::NG] Password reset confirmation) OBM is shipped with a <a0>LL::NG</a0> plugin with these features: OBM est livré avec un composant <a0>LL::NG</a0> apportant les fonctionnalités suivantes : Configure your SQL database Configurer la base de données SQL You can use it to build up a database with an inventory for your company (computer, software, printers…). On peut construire une base de données contenant un inventaire de l'entreprise (ordinateurs, logiciels, imprimantes,…). /index/ is an unprotected page to display a SSL test button /index/ est une page non protégée pour afficher un bouton de test SSL This configuration is usable if you want to expose your internal <a2>SSO</a2> portal to another network (DMZ). Cette configuration est utilisable l'on soujaite exposer un portail <a2>SSO</a2> interne à une autre réseau (DMZ). applications:zimbra_logo.png applications:zimbra_logo.png useRedirectOnError useRedirectOnError The next time you will access Manager, it will be trough <a0>LL::NG</a0>. En retournant vers le manager, ce sera via <a0>LL::NG</a0>. <a0>LL::NG</a0> is compatible with <a1>LDAP password policy</a1>: <a0>LL::NG</a0> est compatible avec <a1>la politique de mots-de-passe LDAP</a1> : ldapChangePasswordAsUser ldapChangePasswordAsUser mkdir /tmp/MyNamespace/2: Permission denied ... mkdir /tmp/MyNamespace/2: Permission denied ... basic($uid,$_password) basic($uid,$_password) configStorage configStorage Configuration of portal virtual host Configuration de l'hôte virtuel du portail You can enter a password to protect private key with a password. Vous pouvez entrer un mot de passe de protection de la clef privée. <<s0>VirtualHost</s0> *> <<s0>VirtualHost</s0> *> LDAP configuration backend Backend de configuration LDAP Google Apps Google Apps https://metacpan.org/release/Net-Facebook-Oauth2 https://metacpan.org/release/Net-Facebook-Oauth2 lemonldap-ng-conf: contains default configuration (<a0>DNS</a0> domain: example.com) lemonldap-ng-conf : contient la configuration par défaut (domaine <a0>DNS</a0> : example.com) <s0>ldapBindDN</s0>: <a1>DN</a1> used to bind LDAP <s0>ldapBindDN</s0> : <a1>DN</a1> utilisé pour se connecter au serveur LDAP Secondary LL::NG structure Systèe LL::NG secondaire Of course, integration will be full if you use the LDAP directory as users backend for <a0>LL::NG</a0> and Liferay. Bien sûr, l'integration est complète si le serveur LDAP est utilisé comme base de données des utilisateurs dans <a0>LL::NG</a0> et Liferay. Body for password mail Corps du message de changement de mot-de-passe You can use <c0>0</c0> or <c1>1</c1> to disable/enable the module, or use a more complex rule. On peut utiliser <c0>0</c0> ou <c1>1</c1> pour activer/désactiver chaque module ou utiliser une règle plus complexe. Mail From address Adresse source des messages c:/my hardisk/tomcat/ c:/my hardisk/tomcat/ Cross Site Scripting Cross Site Scripting For databases like PostgreSQL, don't forget to add “Commit” with a value of 1 Pour les bases de données telles PostgreSQL, ne pas oublier d'ajouter “Commit” avec une valeur de 1 macro and groups les macro et groupes <s0>Logout rule</s0>: catch OBM logout <s0>Règle logout</s0> : intercepter la déconnexion OBM http://www.lambdaprobe.org http://www.lambdaprobe.org Each account will hold the Service Principal Name (SPN) of the <a1>LL::NG</a1> server. Chaque compte tiendra le nom principal de service (SPN) du serveur <a1>LL::NG</a1>. <s0>Format</s0> (optional): <a1>SAML</a1> attribute format. <s0>Format</s0> (optionnel) : format de l'attribut <a1>SAML</a1>. Create a redirection script, called login.pl: Créer un script de redirection, appelé login.pl: SAML SAML cookieExpiration cookieExpiration Extract from the <a0>Wikipedia article</a0>: Extrait de <a0>l'article Wikipedia</a0>: It means that if you modify some settings here, you will have to share again the metadata with other providers. Ceci signifie que si vous modifiez quelque chose ici, vous devez ré-exporter les metadatas aux autres fournisseurs. Auth-SuperAdmin Auth-SuperAdmin When a user access a Handler without a cookie, he is redirected on portal, and the target <a0>URL</a0> is encoded in redirection <a1>URL</a1> (to redirect user after authentication process). Lorsqu'un utilisateur accède à un agent sans cookie, il est redirigé vers le portail, et l'<a0>URL</a0> cible est encodée dans l'<a1>URL</a1> de redirection (pour rediriger l'utilisateur après authentification). <a0>User database</a0>: where collect user information <a0>Base de données utilisateurs</a0> : où collecter les informations utilisateurs ^/config/ ^/config/ First configuration steps Premiers pas de configuration Next run ant command: Lancer ensuite la commande ant : The only change in Apache configuration is in the <c0>KrbServiceName</c0>, it should be set to Any: Le seul chagement dans la configuration d'Apache est le the <c0>KrbServiceName</c0> qui doit être mis à Any: You can use '*' character. On peut utiliser le caractère '*'. <s0><a1>API</a1> secret</s0>: <a2>API</a2> secret from Twitter <s0>Secret d'<a1>API</a1></s0>: secret d'<a2>API</a2> donné par Twitter documentation:liferay_3.png documentation:liferay_3.png <s0>Memcached servers</s0>: addresses of Memcached servers, separated with spaces. <s0>Serveurs Memcached</s0> : adresses des serveurs Memcached, separés par des espaces. This will download the public and the private key. Ceci télécharge les clefs publique et privée. By default, login time and <a0>IP</a0> address are stored in history, and the error message prompted to the user for failed logins. Par défaut, le tampon de date et l'adresse <a0>IP</a0> sont stockés dans l'historique et le message d'erreur affiché à l'utilisateur en cas d'échec. <s0>Token expiration</s0>: time in seconds for token expiration (remove from Memcached server). <s0>Expiration du jeton</s0> : délai en secondes pour l'expiration du jeton (effacement du serveur Memcached). and edit /etc/fail2ban/filter.d/lemonldap.conf et editer /etc/fail2ban/filter.d/lemonldap.conf <s0>.css</s0>: <a1>CSS</a1> (styles) <s0>.css</s0>: <a1>CSS</a1> (styles) Email Email Access Token Hash verification Vérification de hashage des jetons d'accès Configuration is in /etc/lemonldap-ng La configuration se trouve dans /etc/lemonldap-ng You can set them the same way: On peut les renseigner par la même voie : (if it is superior to 1h, then there is a problem. (au-dessus d'1h, il y a un problème. Form replay parameters Paramètres de rejeu de formulaires Liferay can use <a0>LL::NG</a0> as an <a1>SSO</a1> provider but you have to manage how users are created: Liferay peut utiliser <a0>LL::NG</a0> comme fournisseur <a1>SSO</a1> mais il faut gérer la création des comptes utilisateurs : The security relies on the symmetric key <c0>client_secret</c0>. La sécurité repose sur la clef symétrique <c0>client_secret</c0>. caFile caFile # Keep original request (LLNG server will received /llauth) # Conserver la requête originale (le serveur LLNG va recevoir /llauth) Index list Liste d'index IssuerDB IssuerDB For full install: Pour une installation complète : Logout on EndSession end point Déconnexion via point d'accès EndSession Main parameters Paramètres principaux You can find all suitable information here: <a0>http://static.springsource.org/spring-security/site/docs/3.0.x/reference/preauth.html</a0> Les informations appropriées se trouvent ici : <a0>http://static.springsource.org/spring-security/site/docs/3.0.x/reference/preauth.html</a0> LemonLDAP::NG wiki uses Dokuwiki! Le wiki LemonLDAP::NG est un Dokuwiki ! <a0>URI</a0> of the server <a0>URI</a0> du serveur Jquery (javascript framework) is included in tarball and RPMs, but is a dependency on Debian official releases Jquery (framework javascript) est inclus dans l'archive et les RPMs, mais est une dépendance des versions officielles Debian portalOpenLinkInNewWindow portalOpenLinkInNewWindow Cross Domain Authentication Authentification inter-domaines Certificate authorities directory Répertoire des autorités de certification Template parameters are defined in source code. Des paramètres modèles sont définis dans le code source. <s24># SOAP functions for notification insertion (disabled by default)</s24> <s24># Fonctions SOAP pour insérer des notifications (désactivées par défaut)</s24> Debian/Ubuntu Debian/Ubuntu http://auth.example.com/index.pl/sessions http://auth.example.com/index.pl/sessions YUM YUM Restart Apache to purge it. Redémarrer Apache pour le purger. /var/lib/lemonldap-ng/sessions/lock /var/lib/lemonldap-ng/sessions/lock Use <c0>authpwd</c0> server name for this virtual host: Utiliser le nom de serveur <c0>authpwd</c0> pour cet hôte virtuel : LemonLDAP::NG implements partially the policy: LemonLDAP::NG implémente partiellement cette politique : port port <s0>#!/usr/bin/perl</s0> <b1>use Lemonldap::NG::Common::CGI qw(fastcgi);</b1> <s2>use Lemonldap::NG::Portal::SharedConf;</s2> <s3># ...</s3> <b4><s5>LMAUTH:</s5> while ( my $portal = Lemonldap::NG::Portal::SharedConf->new({}) ) </b4>{ <s0>#!/usr/bin/perl</s0> <b1>use Lemonldap::NG::Common::CGI qw(fastcgi);</b1> <s2>use Lemonldap::NG::Portal::SharedConf;</s2> <s3># ...</s3> <b4><s5>LMAUTH:</s5> while ( my $portal = Lemonldap::NG::Portal::SharedConf->new({}) ) </b4>{ See <a0>SAML security parameters</a0> to know how generate a certificate from you <a1>SAML</a1> private key. Voir les <a0>paramètres de sécurité SAML</a0> pour générer un certificat avec une clef privée <a1>SAML</a1>. Crypt::OpenSSL::Bignum Crypt::OpenSSL::Bignum Add a floating menu Ajouter un menu flottant User backend Module utilisateurs icons:jabber_protocol.png icons:jabber_protocol.png <s0>User table</s0>: user table name <s0>Table utilisateurs</s0> : nom de la table utilisateurs <s0>IDP resolution cookie name</s0>: by default, it's the <a1>LL::NG</a1> cookie name suffixed by <c2>idp</c2>, for example: <c3>lemonldapidp</c3>. <s0>Nom du cookie de résolution de l'IDP</s0>: par défaut, c'est le nom du cookie <a1>LL::NG</a1> auquel est adjoint <c2>idp</c2>, par exemple: <c3>lemonldapidp</c3>. Anti frame protection Protection anti-frame <a0>DBI</a0> connection string Chaîne de connexion <a0>DBI</a0> Identity Provider Login <a0>URL</a0>: the user/password <a1>SAML</a1> portal location on the IdP Identity Provider Login <a0>URL</a0> : l'emplacement du portail utilisateur/mot-de-passe <a1>SAML</a1> dans l'IdP <s0><a1>Application menu</a1></s0>: display authorized applications in categories <s0><a1>Menu des applications</a1></s0> : affiche les applications autorisées dans les catégories Configure LemonLDAP::NG to use SOAP proxy mechanism Configurer LemonLDAP::NG pour utiliser le mécanisme mandataire SOAP <s50>"userobm_password"</s50> <s51>=></s51> <s52>"HTTP_OBM_USERPASSWORD"</s52><s53>,</s53> <s50>"userobm_password"</s50> <s51>=></s51> <s52>"HTTP_OBM_USERPASSWORD"</s52><s53>,</s53> This script must be run as root, it will then use the Apache user and group to access configuration. Ce script doit être lancé par root, il utilisera ensuite le compte et le groupe d'Apache pour accéder à la configuration. To change it: Pour le changer : <s33>"debug_level"</s33> <s34>=></s34> <s35>"NONE"</s35><s36>,</s36> <s37>// "debug_header_name" => "HTTP_OBM_UID",</s37> <s38>// "group_header_name" => "HTTP_OBM_GROUPS",</s38> <s33>"debug_level"</s33> <s34>=></s34> <s35>"NONE"</s35><s36>,</s36> <s37>// "debug_header_name" => "HTTP_OBM_UID",</s37> <s38>// "group_header_name" => "HTTP_OBM_GROUPS",</s38> Install the module: Installer le module : Package GPG signature Signature GPG des paquets -sep: separator of hierarchical values (by default: /). -sep : séparateur des valeurs hiérarchiques (par défaut: /). <s2># 1) URI management</s2> <s2># 1) Gestion de l'URI</s2> in HTTP headers, you need Auth-User ($mail) and Auth-Pw ($_password). Dans les en-têtes HTTP, ajouter Auth-User ($mail) and Auth-Pw ($_password). You can also get groups in <c0>$hGroups</c0> which is a Hash Reference of this form: On peut également définir des groupes dans <c0>$hGroups</c0> qui est une référence à une table de hashage de la forme : <s0>Control header content</s0>: value to control. <s0>Contenu de l'en-tête de contrôle</s0> : valeur à contrôler. <s0>Check JWT signature</s0>: Set to 0 to disable JWT signature checking <s0>Vérifier la signature JWT</s0> : mettre à 0 pour désactiver la signature JWT If no value, the default NameID format is Email. Si aucune valeur n'est indiquée, le format de NameID par défaut est Email. Applications Applications Export sAMAccountName in a variable declared in <a0>exported variables</a0> Exporter sAMAccountName dans la liste des <a0>variables exportées</a0> Don't forget to create an index on the field used to find users (uid by default) N'oubliez pas de créer un index sur le champ utilisé pour trouver les utilisateurs (uid par défaut) <s0>General Parameters</s0>: Authentication modules, portal, etc. <s0>Paramètres généraux</s0> : modules d'authentification, portail, etc... <a0>CAS</a0> <a1>PGT</a1> temporary file Fichier temporaire <a1>PGT</a1> de <a0>CAS</a0> <s0>Path</s0>: keep <c1>^/oauth2/</c1> unless you need to use another path (in this case, you need to adapt Apache configuration) <s0>Path</s0> : conserver <c1>^/oauth2/</c1> sauf s'il faut un autre chemin (dans ce cas, adapter la configuration Apache) Since 1.1.0, a notification explorer is available in Manager, and notifications can be done for all users, with the possibility to display conditions. Depuis la version 1.1.0, un explorateur de notifications est disponible dans le manager, et les notifications peuvent être faites pour tous les utilisateurs, avec possibilité d'affichage conditionnel. <s0>Default rule</s0>: who can access to the application <s0>Règle default</s0> : qui peut accéder à l'application Any <a0>SAML</a0> Service Provider, for example: Tout fournisseur de service <a0>SAML</a0>, par exemple: XML file is no more accepted. Les fichiers XML ne sont plus acceptés. User has no access authorization: FORBIDDEN (403) L'utilisateur ne dispose pas de droits d'accès : FORBIDDEN (403) Choice <a0>URL</a0> parameter Paramètre d'<a0>URL</a0> pour "Choice" The path to the main directory Le chemin du répertoire principal This is not the case of <a0>Memcached</a0> for example. C'est par exemple le cas de <a0>Memcached</a0>. http://manager.example.com http://manager.example.com Change default DNS domain Changer le domaine DNS par défaut <s0># rule</s0> admin <s1>-></s1> <s2>$admin</s2> <s3>||=</s3> <s4>(</s4><s5>$uid</s5> <s6>eq</s6> <s7>'foo'</s7> <s8>or</s8> <s9>$uid</s9> <s10>eq</s10> <s11>'bar'</s11><s12>)</s12> <s13># header</s13> Display<s14>-</s14>Name <s15>-></s15> <s16>$displayName</s16> <s17>||=</s17> <s18>$givenName</s18><s19>.</s19><s20>" "</s20><s21>.</s21><s22>$surName</s22> <s0># règle</s0> admin <s1>-></s1> <s2>$admin</s2> <s3>||=</s3> <s4>(</s4><s5>$uid</s5> <s6>eq</s6> <s7>'foo'</s7> <s8>or</s8> <s9>$uid</s9> <s10>eq</s10> <s11>'bar'</s11><s12>)</s12> <s13># en-tête</s13> Display<s14>-</s14>Name <s15>-></s15> <s16>$displayName</s16> <s17>||=</s17> <s18>$givenName</s18><s19>.</s19><s20>" "</s20><s21>.</s21><s22>$surName</s22> Go to the Manager and <a0>create a new virtual host</a0> for LimeSurvey. Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour LimeSurvey. HTTP Basic Authentication Authentification basique HTTP Users Utilisateurs For MySQL, you need to set additional parameters: Pour MySQL, il faut ajouter quelques paramètres : The “default” rule is only applied if no other rule match La règle “default” n'est appliquée que si aucune autre règle ne correspond Prerequisites Pré-requis number numero http://deb.entrouvert.org/ http://deb.entrouvert.org/ <a0>DBI</a0> UserDB connection password Mot-de-passe de connexion UserDB <a0>DBI</a0> <a0>CAS</a0> force gateway authentication Forcer l'authentification de passerelle <a0>CAS</a0> # IF LUA IS SUPPORTED # SI LUA EST SUPPORTÉ <s0>Value</s0>: application logout <a1>URL</a1> <s0>Valeur</s0> : <a1>URL</a1> de déconnexion de l'application <s5>RewriteRule</s5> ^/saml/.* /index.pl <s5>RewriteRule</s5> ^/saml/.* /index.pl /usr/share/lemonldap-ng/bin/lemonldap-ng-cli help /usr/share/lemonldap-ng/bin/lemonldap-ng-cli help Apache authentication module will set the <c0>REMOTE_USER</c0> environment variable, which will be used by <a1>LL::NG</a1> to get authenticated user. Les modules d'authentification Apache renseignent la variable d'environnement <c0>REMOTE_USER</c0>, qui sera utilisée par <a1>LL::NG</a1> pour obtenir le nom d'utilisateur authentifié. Since version 1.90 of Apache::Session, you can use Apache::Session::MySQL::NoLock instead Depuis la version 1.90 d'Apache::Session, on peut utiliser Apache::Session::MySQL::NoLock à la place https://metacpan.org/module/Web::ID::Certificate::Generator https://metacpan.org/module/Web::ID::Certificate::Generator http://zimbra.example.com/zimbrasso http://zimbra.example.com/zimbrasso Then, go in <c0>Radius parameters</c0>: Ensuite, aller dans les <c0>paramètres Radius</c0>: Configuration interface access is not protected by Apache but by LemonLDAP::NG itself (see <c0>lemonldap-ng.ini</c0>). L'accès à l'interface de configuration n'est pas protégée par Apache mais par LemonLDAP::NG lui-même (voir <c0>lemonldap-ng.ini</c0>) : You can for example use RC4-HMAC-NT as crypto protocol if DES is not supported by workstations (this the case by default for Window 8 for example). On peut par exemple utiliser RC4-HMAC-NT comme protocole de chiffrement si DES n'est pas supporté par les stations de travail (c'est le cas par défaut sur Window 8 par exemple). Portal menu Menu du portail # Uncomment this if status is enabled # Décommenter ceci si le module de statut est activé Application Programming Interface Interface de programmation <s0><s1><bean</s1> <s2>id</s2>=<s3>"LemonLDAPNGFilter"</s3> <s4>class</s4>=</s0> <s5><s6>"org.springframework.security.web.authentication.preauth.header.RequestHeaderPreAuthenticatedProcessingFilter"</s6><s7>></s7></s5> <s0><s1><bean</s1> <s2>id</s2>=<s3>"LemonLDAPNGFilter"</s3> <s4>class</s4>=</s0> <s5><s6>"org.springframework.security.web.authentication.preauth.header.RequestHeaderPreAuthenticatedProcessingFilter"</s6><s7>></s7></s5> install_manager_site (/usr/local/lemonldap-ng/htdocs/manager) install_manager_site (/usr/local/lemonldap-ng/htdocs/manager) <a0>LL::NG</a0> can delegate authentication to a <a1>CAS</a1> server. <a0>LL::NG</a0> peut déléguer l'authentification à un serveur <a1>CAS</a1>. <s0>Client ID</s0>: Client ID given by OP <s0>Identifiant client</s0> : identifiant client donné par l'OP Before installing the packages, install all <a0>dependencies</a0>. Avant d'installer les paquets, installer toutes les <a0>dépendances</a0>. http://vhost.example.com/appli1 http://vhost.example.com/appli1 <s62><s63></property<s64>></s64></s63></s62> <s65><s66></bean<s67>></s67></s66></s65>   <s68><s69><security:authentication-manager</s69> <s70>alias</s70>=<s71>"authenticationManager"</s71> <s72>/></s72></s68> <s62><s63></property<s64>></s64></s63></s62> <s65><s66></bean<s67>></s67></s66></s65>   <s68><s69><security:authentication-manager</s69> <s70>alias</s70>=<s71>"authenticationManager"</s71> <s72>/></s72></s68> Disabling Safe jail Désactiver la cage sécurisée This parameter is used by <a0>SAML IDP</a0> to fill the NameID in authentication responses. Ce paramètre est utilisé par l'<a0>IdP SAML</a0> pour construire le NameID dans les réponses d'authentification. http://vhost.example.com/appli2 http://vhost.example.com/appli2 Full name Nom complet The result of the command should be: Le résultat de la commande doit être : Twitter application secret Secret d'application Twitter http://search.cpan.org/perldoc?Apache::Session::MySQL http://search.cpan.org/perldoc?Apache::Session::MySQL ###################################################################### # Multi Router Traffic Grapher -- Sample Configuration File ###################################################################### # This file is for use with mrtg-2.5.4c   # Global configuration WorkDir: /var/www/mrtg WriteExpires: Yes   Title[^]: Traffic Analysis for   # 128K leased line # ---------------- #Title[leased]: a 128K leased line #PageTop[leased]: <H1>Our 128K link to the outside world</H1> #Target[leased]: 1:public@router.localnet #MaxBytes[leased]: 16000 Target[test.example.com]: `/etc/mrtg/lmng-mrtg 172.16.1.2 https://test.example.com/status OK OK` Options[test.example.com]: nopercent, growright, nobanner, perminute PageTop[test.example.com]: <h1>Requests OK from test.example.com</h1> MaxBytes[test.example.com]: 1000000 YLegend[test.example.com]: hits/minute ShortLegend[test.example.com]: &nbsp; hits/mn LegendO[test.example.com]: Hits: LegendI[test.example.com]: Hits: Legend2[test.example.com]: Hits per minute Legend4[test.example.com]: Hits max per minute Title[test.example.com]: Hits per minute WithPeak[test.example.com]: wmy ###################################################################### # Multi Router Traffic Grapher -- Sample Configuration File ###################################################################### # This file is for use with mrtg-2.5.4c   # Global configuration WorkDir: /var/www/mrtg WriteExpires: Yes   Title[^]: Traffic Analysis for   # 128K leased line # ---------------- #Title[leased]: a 128K leased line #PageTop[leased]: <H1>Our 128K link to the outside world</H1> #Target[leased]: 1:public@router.localnet #MaxBytes[leased]: 16000 Target[test.example.com]: `/etc/mrtg/lmng-mrtg 172.16.1.2 https://test.example.com/status OK OK` Options[test.example.com]: nopercent, growright, nobanner, perminute PageTop[test.example.com]: <h1>Requests OK from test.example.com</h1> MaxBytes[test.example.com]: 1000000 YLegend[test.example.com]: hits/minute ShortLegend[test.example.com]: &nbsp; hits/mn LegendO[test.example.com]: Hits: LegendI[test.example.com]: Hits: Legend2[test.example.com]: Hits per minute Legend4[test.example.com]: Hits max per minute Title[test.example.com]: Hits per minute WithPeak[test.example.com]: wmy <s0>SREG mapping</s0>: link between SREG attributes and session keys (<s1><a2>see below</a2></s1>). <s0>Associations SREG</s0> : liens entre les attributs SREG et les clefs de session (<s1><a2>voir ci-dessous</a2></s1>). http://perldoc.perl.org/functions/package.html http://perldoc.perl.org/functions/package.html In the context of an HTTP transaction, the basic access authentication is a method designed to allow a web browser, or other client program, to provide credentials – in the form of a user name and password – when making a request. Dans le contexte d'une transaction HTTP, l'authentification basique est une méthode qui permet au navigateur ou un autre programme client de fournir des éléments d'authentification – sous la forme d'un nom et d'un mot de passe – à chaque requête. <s78>//"userobm_delegation_target" => ,</s78> <s78>//"userobm_delegation_target" => ,</s78> Authentication table: where login and password are stored La table d'authentification : où les logins and et mots-de-passe sont stockés https://www.djangoproject.com/ https://www.djangoproject.com/ Connectors Connecteurs For CentOS/RHEL, We advice to disable the default SSL virtual host configured in /etc/httpd/conf.d/ssl.conf. Pour CentOS/RHEL, il est recommandé de désactiver l'hôte virtuel SSL par défaut configuré dans /etc/httpd/conf.d/ssl.conf. American Standard Code for Information Interchange American Standard Code for Information Interchange Convert existing configuration Convertir la configuration existante <s15>RewriteEngine</s15> <s16>On</s16> <s15>RewriteEngine</s15> <s16>On</s16> To configure the user identifier in access log, go in Manager, <c0>General Parameters</c0> > <c1>Logging</c1> > <c2>REMOTE_USER</c2>. Pour configurer l'identifiant utilisateur dans les journaux d'accès, aller dans le manager, <c0>Paramètres généraux</c0> > <c1>Journalisation</c1> > <c2>REMOTE_USER</c2>. notificationStorageOptions notificationStorageOptions Null Null <s0># Uncomment this to activate status module</s0> <s0># Uncomment this to activate status module</s0> <s0>Secret token</s0>: used to check integrity of OpenID response. <s0>Secret token</s0> : utilisé pour vérifier l'integrité des réponses OpenID. FastCGI server has few parameters. Le serveur FastCGI a peu de paramètres. LimeSurvey virtual host Hôte virtuel LimeSurvey Restart Apache and try to log on Manager. Redémarrer Apache et tenter de se connecter au manager. Without index, <a0>LL::NG</a0> will have to retrieve all sessions stored in backend and parse them to find the needed sessions. Sans index, <a0>LL::NG</a0> doit récupérer toutes les sessions stockées dans le backend et les examiner pour trouver les sessions demandées. Known supported applications Applications connues pour être supportées screenshots:1.1:mailreset:mailreset_step5.png screenshots:1.1:mailreset:mailreset_step5.png User Provisioning Enabled: should create automatically the user in Salesforce (not functionnal right now) User Provisioning Enabled : création automatique des utilisateurs dans Salesforce (pas fonctionnel à l'heure actuelle) Logout rule (for example logout_app_sso) Règle de déconnexion (par exemple logout_app_sso) Notifications system Systèmes de notification You can then use this default SSL configuration, for example in the head of /etc/lemonldap-ng/portal-apache2.conf: Il est possible d'utiliser cette configuration SSL par défaut, par exemple en tête de /etc/lemonldap-ng/portal-apache2.conf : get groups where user is registered obtenir les groupes dont l'utilisateur est membre Access rules: check user's right on <a0>URL</a0> patterns Des règles d'accès : examine les droits de l'utilisateur via des expressions sur les <a0>URL</a0> Remember to change the access rule in Manager virtual host to allow new administrators. Ne pas oublier de changer la règle d'accès à l'hôte virtuel du manager pour autoriser les nouveaux administrateurs. For the certificate, you can build it from the signing private key registered in Manager. Pour le certificate, vous pouvez le construire en signant la clef privée enregistrée dans le Manager. Optional parameters Paramètres optionnels <s15><s16><role</s16> <s17>rolename</s17>=<s18>"role1"</s18><s19>/></s19></s15> <s15><s16><role</s16> <s17>rolename</s17>=<s18>"role1"</s18><s19>/></s19></s15> Then configure the options like in <a1>LDAP session backend</a1>. Configurer ensuite les options comme dans le <a1>backend de sessions LDAP</a1>. Safe jail Cage sécurisée The AuthDemo and UserDBDemo will allow you to log in and get the standard attributes (uid, cn and mail). AuthDemo et UserDBDemo permettent de se connecter et d'avoir les attributs standards (uid, cn et mail). → Check grantSessionRule parameter. → Vérifier le paramètre grantSessionRule. By default, user will be redirected on portal if no <a0>URL</a0> defined, or on the specified <a1>URL</a1> if any. Par défaut, l'utilisateur est redirigé vers le portail si aucune <a0>URL</a0> n'est définie ou vers l'<a1>URL</a1> indiquée sinon. Security parameters Paramètres de sécurité It can be done via direct access to the session database or using SOAP access. Ce peut être fait par accès direct à la base des sessions principale ou en utilisant une requête SOAP. Hello <s0><TMPL_VAR <s1>NAME</s1><s2>=</s2><s3>"myparam"</s3>></s0>! Hello <s0><TMPL_VAR <s1>NAME</s1><s2>=</s2><s3>"myparam"</s3>></s0>! <s0>Client secret</s0>: Client secret for this RP (can be use for symmetric signature) <s0>Mot-de-passe</s0> : secret partagé avec ce RP (peut être utilisé pour la signature symétrique) Obtain keytab file Obtenir un fichier table de clef Skin thème AD password policy Politique de mots-de-passe AD jQuery form selector: #loginForm (if you let this parameter empty, browser will fill and submit any html form) Sélecteur de formulaire jQuery : #loginForm (si vide, le navigateur prendra un formulaire de la page) In Manager, go in <c0>General Parameters</c0> > <c1>Authentication modules</c1> and choose LDAP for authentication, users and/or password modules. Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules d'authentification</c1> et choisir LDAP) pour les modules authentification, utilisateurs et/ou mots-de-passe. Single Logout Single Logout (SLO) It is mandatory that <a0>LL::NG</a0> servers and AD servers have the same time. Il est impératif que les serveurs <a0>LL::NG</a0> et AD soient à la même heure. <s5># Uncomment this line if you use Lemonldap::NG menu</s5> <s5># Décommenter cette ligne si le menu Lemonldap::NG est utilisé</s5> Configuration can be stored in several formats (<a0>SQL</a0>, <a1>File</a1>, <a2>LDAP</a2>) but must be shared over the network if you use more than 1 server. La configuration peut être stockée sous plusieurs formats (<a0>SQL</a0>, <a1>File</a1>, <a2>LDAP</a2>) mais doit être partégée via le réseau si on utilise plus d'un serveur. You should now use the Manager to configure all <a0>applications and categories</a0>, and then comment or remove the <c1>applicationList</c1> parameter from <c2>/etc/lemonldap-ng/lemonldap-ng.ini</c2>. Il est désormais possible d'utiliser le manager pour configurer toutes les <a0>applications et catégories</a0>, ensuite commenter ou supprimer le paramètre <c1>applicationList</c1> de <c2>/etc/lemonldap-ng/lemonldap-ng.ini</c2>. <s0>Friendly Name</s0>: optional, <a1>SAML</a1> attribute friendly name. <s0>Nom alternatif</s0>: optionnel, nom alternatif de l'attribut <a1>SAML</a1>. <s4># needed): choose your URL to avoid restarting Apache when</s4> <s4># est nécessaire): choisir une URL pour éviter d'avoir à redémarrer Apache lorsque</s4> Authentication table Table d'authentification Choose for example <a0>http://zimbra.example.com/zimbrasso</a0> as <a1>SSO</a1> <a2>URL</a2> and <a3>set it in application menu</a3>. Choisir par exemple <a0>http://zimbra.example.com/zimbrasso</a0> comme <a2>URL</a2> <a1>SSO</a1> et <a3>insérer la dans le menu application</a3>. <s0><s1>[</s1>manager<s2>]</s2></s0> <s3>protection</s3> <s4>=</s4><s5> manager</s5> <s0><s1>[</s1>manager<s2>]</s2></s0> <s3>protection</s3> <s4>=</s4><s5> manager</s5> <s0>adminSessions/</s0>: read/write access to sessions (required for distant Portal, distant Manager or distant Handlers which modify sessions) <s0>adminSessions/</s0> : accès en lecture/écriture aux sessions (nécessaire pour les portails ou manager distants ou les handlers distants qui modifient les sessions) <s0>Signed Authentication Request</s0>: set to On to always sign authentication request. <s0>Requête d'authentification signée</s0> : mettre à « activé » pour toujours signer les requêtes d'authentifications. If so, you can redirect users to a <a0>HTML</a0> page that explain that it is safe to close browser after disconnect. Dans ce cas, il faut rediriger les utilisateurs vers une page <a0>HTML</a0> qui explique qu'il est préférable de clore son navigateur après déconnexion. Proxy cookie name Nom du cookie du proxy NTLM NTLM ant ant ldap://localhost ldap://localhost $givenName $givenName Logs Journaux Central Authentication Service Central Authentication Service <a0>SAML</a0> service configuration is a common step to configure <a1>LL::NG</a1> as <a2>SAML SP</a2> or <a3>SAML IDP</a3>. La configuration du service <a0>SAML</a0> est une étape commune pour configurer <a1>LL::NG</a1> comme <a2>fournisseur de service SAML (SP)</a2> ou <a3>fournisseur d'identité SAML (IDP)</a3>. Mail Mail Force port in redirection Force le port dans les redirections trustedDomains trustedDomains # OpenID Connect Issuer # Fournisseur d'identité OpenID-Connect Proxy LL::NG Proxy LL::NG See <a0>OpenIDConnect service</a0> configuration chapter. Voir le chapître de configuration du <a0>service OpenID-Connect</a0>. Drupal virtual host Hôte virtuel Drupal So the above example can also be written like this: Ainsi l'exemple ci-dessous peut être écrit simplement : JWT signature verification Vérification de signature JWT In this case you will have two Apache configuration files: Dans ce cas 2 fichiers de configuration Apache doivent être renseignés : Feature Fonctionnalité Datas related to <a0>SAML</a0> protocol Donnée relative au protocole <a0>SAML</a0> Deny access to /config/ directory Interdire l'accès au répertoire /config/ Subject for confirmation mail Sujet du message de confirmation KrbAuthRealms EXAMPLE.COM KrbAuthRealms EXAMPLE.COM <s0>Auth-User</s0>: $uid <s0>Auth-User</s0>: $uid Add an Apache access control to avoid other access. Ajouter un contrôle d'accès Apache pour éviter les autres accès. This function builds the <c0>Authorization</c0> HTTP header used in <a1>HTTP Basic authentication scheme</a1>. Cette fonction contruit l'en-tête HTTP <c0>Authorization</c0> utiisée dans le <a1>schéma d'authentification basique HTTP</a1>. Some-Thing Some-Thing LemonLDAP::NG provides these packages: LemonLDAP::NG fournit ces paquets : Spring Security (ACEGI) Sécurité Spring (ACEGI) http://search.cpan.org/perldoc?Apache::Session::Redis http://search.cpan.org/perldoc?Apache::Session::Redis <s0>Display</s0>: <s0>Affichage</s0> : This module is a <a0>LL::NG</a0> specific identity federation protocol. Ce module fournit un protocole de fédération d'identité spécifique à <a0>LL::NG</a0>. This page presents the SP initiated mode. Cette page présente le mode initié par le SP. <s12>-></s12><s13>uri</s13><s14>(</s14><s15>'urn:Lemonldap::NG::Common::CGI::SOAPService'</s15><s16>)</s16> <s12>-></s12><s13>uri</s13><s14>(</s14><s15>'urn:Lemonldap::NG::Common::CGI::SOAPService'</s15><s16>)</s16> yum install lemonldap-ng yum install lemonldap-ng You can also use different user/password for your servers by overriding parameters <c0>globalStorage</c0> and <c1>globalStorageOptions</c1> in lemonldap-ng.ini file. On peut utiliser différent login/mot-de-passe pour les serveurs en surchargeant les paramètres <c0>globalStorage</c0> et <c1>globalStorageOptions</c1> dans le fichier lemonldap-ng.ini. Spring Security provides a default <c0>pre-authentication</c0> mechanism that can be used to connect your J2EE application to <a1>LL::NG</a1>. Spring Security fournit un mécansime de <c0>pre-authentification</c0> par défaut qui peut être utilisé pour connecter une application J2EE à <a1>LL::NG</a1>. DataSource DataSource <s100>"userobm_company"</s100> <s101>=></s101> <s102>"HTTP_OBM_O"</s102><s103>,</s103> <s100>"userobm_company"</s100> <s101>=></s101> <s102>"HTTP_OBM_O"</s102><s103>,</s103> <s0>+10y</s0>: ten years from session creation <s0>+10y</s0> : dix ans après la création de la session Hosted application Application hébergée Please always try to find another solution to protect your application with <a0>LL::NG</a0>. Il est en général préférable de trouver une autre solution pour protéger les applications avec <a0>LL::NG</a0>. This is the entry point of our login cinematic. C'est le point d'entrée de la cinématique de connexion. Status module activation Activation du module de statut Apache Tomcat Apache Tomcat Secure Token allow requests in error Le jeton sécurisé autorise les requêtes en cas d'erreur LemonLDAP::NG configuration is build around Apache or Nginx virtual hosts. La configuration de LemonLDAP::NG est construite autour des hôtes virtuels Apache ou Nginx. CSOD control panel Panneau de configuration CSOD All other elements will be removed including <a0>HTML</a0> elements like <b>. Tous les autres éléments seront supprimés y compris les balises <a0>HTML</a0> telles <b>. Build your packages Construire les paquets in the value field, set the field name. dans le champ valeur, mettre le nom du champ. Groups Groupes → The specified virtual host was not configured in Manager. → L'hôte virtuel utilisé n'est pas configuré dans le manager. For example, to forward login (<c0>$uid</c0>) and password (<c1>$_password</c1> if <a2>password is stored in session</a2>): Par exemple, pour exporter l'identifiant (<c0>$uid</c0>) et le mot-de-passe (<c1>$_password</c1> si <a2>le mot-de-passe est stocké dans la session</a2>): For now, the authentication service parameter has no domain available. Pour l'instant, le paramètre du service d'authentification ne dispose pas d'un domaine disponible. Portal Portail MediaWiki virtual host in Manager Hôte virtuel Mediawiki dans le manager Using this, we can do a very simple interoperability system between 2 organizations using two <a0>LL::NG</a0> structures: En utilisant ce système, on peut avoir une simple interopérabilité entre 2 organisations utilisant chacune leur système <a0>LL::NG</a0> : It should be the same value as the organization domain url, displayed on the previous section Ce devrait être la même valeur que l'URL du domaine indiqué dans la section précédente SMTP / Reset password by mail SMTP / réinitialisation de mot-de-passe par courriel Mediawiki Mediawiki casAttr casAttr You have to change it to match your admin user (or use other conditions like group membership, or any other rule based on a session variable). Il faut la changer pour correspondre au nouvel administrateur (ou utiliser une autre conditions telle l'appartenance aux groupes ou tout autre règle basée sur des variables de session). http://search.cpan.org/perldoc?Apache2::URI#unescape_url http://search.cpan.org/perldoc?Apache2::URI#unescape_url names and values of the fields you want to control noms and valeurs des champs à contrôler <s0>Gateways authentication</s0>: force transparent authentication on <a1>CAS</a1> server <s0>Authentification des passerelles</s0> : force l'authentification transparente sur le serveur <a1>CAS</a1> The secondary portal is declared in the Manager of the main <a1>LL::NG</a1> structure (else user will be rejected). Le portail secondaire est declaré dans le Manager du système <a1>LL::NG</a1> principal comme une application (sinon les utilisateurs seront rejetés). Validation of the session: external user has now a local session Validation de la session : l'utilisateur externe dispose ainsi d'un session locale Access rule Règle d'accès 1_admin 1_admin <s144>//"userobm_nomade_perms" => ,</s144> <s144>//"userobm_nomade_perms" => ,</s144> decreased (-1) if the portal autocompletion is allowed (see <a0>portal customization</a0>) diminué (-1) si l'autocompletion est autorisée sur le portail (voir <a0>Personnalisation du portail</a0>) match with the correct values. correspondent aux bonnes valeurs. Authentication backend Module d'authentification You need <a0>Web::ID</a0> package. Le paquet <a0>Web::ID</a0> est nécessaire. dbiAuthPasswordCol dbiAuthPasswordCol <s89>'manage_label'</s89> <s90>=></s90> <s91>$_SERVER</s91><s92>[</s92><s93>'HTTP_AUTH_SUPERADMIN'</s93><s94>]</s94> <s95>)</s95><s96>;</s96> <s89>'manage_label'</s89> <s90>=></s90> <s91>$_SERVER</s91><s92>[</s92><s93>'HTTP_AUTH_SUPERADMIN'</s93><s94>]</s94> <s95>)</s95><s96>;</s96> <s88>//"userobm_photo_id" => ,</s88> <s88>//"userobm_photo_id" => ,</s88> <a0>LL::NG</a0> will operate some SQL queries: <a0>LL::NG</a0> exécutera quelques requêtes SQL : http://memcached.org/ http://memcached.org/ Change <s0>mydomain.org</s0> (in <c1>AssertionConsumerService</c1> markup, parameter <c2>Location</c2>) into your Google Apps domain. Changer <s0>mydomain.org</s0> (dans <c1>AssertionConsumerService</c1> markup, parameter <c2>Location</c2>) en votre domaine Google Apps. This is also true for: C'est disponible pour : For example, if these rules are used without comments: Par exemple, si ces règles sont utilisées sans commentaires : To register <a0>LL::NG</a0>, you will need to give some information like application name or logo. Pour enregistrer <a0>LL::NG</a0>, il faut renseigner quelques informations telles le nom d'application ou le logo. Some applications need the <c0>REMOTE_USER</c0> environment variable to get the connected user, which is not set in reverse-proxy mode. Certaines applications ont besoin de la variable d'environnement <c0>REMOTE_USER</c0> pour connaître le nom d'utilisateur connecté, qui n'est pas renseignée en mode reverse-proxy. <s37><s38><security:custom-authentication-provider</s38> <s39>/></s39></s37> <s37><s38><security:custom-authentication-provider</s38> <s39>/></s39></s37> Binding Méthode <s0><a1>SAML</a1> identity providers</s0>: Registered IDP <s0>Fournisseurs d'identité <a1>SAML</a1></s0> : IDP enregistrés Some applications using it Quelques applications l'utilisant http://lasso.entrouvert.org http://lasso.entrouvert.org You must also install the EPEL repository for non-core dependencies. Il faut également installer le dépôt EPEL pour les dépendances ne faisant pas partie du core. <s0>Facebook application secret</s0>: the corresponding secret <s0>Secret de l'application Facebook</s0> : le secret correspondant As this may be a security hole, password store in session is not activated by default Comme ce peut être un trou de sécurité, ce stockage en session n'est pas activé par défaut You need to restrict access to Alfresco to <a0>LL::NG</a0>. Il faut restreindre l'accès à Alfresco à <a0>LL::NG</a0>. <s0>sessionNotOnOrAfter duration</s0>: Time in seconds, added to authentication time, to define sessionNotOnOrAfter value in <a1>SAML</a1> response (<c2><AuthnStatement></c2>): <s0>Durée sessionNotOnOrAfter</s0> : durée en secondes, ajoutée à la durée d'authentification, pour définir la valeur sessionNotOnOrAfter dans les réponses <a1>SAML</a1> (<c2><AuthnStatement></c2>): Exported variables Variables exportées <s0>dbiPassword</s0>: <a1>DBI</a1> password. <s0>dbiPassword</s0> : mot-de-passe <a1>DBI</a1>. Access control possible by creating one user for Manager (write) and another for portal and handlers (read) Contrôle d'accès possible en créant un compte pour le manager (écriture) et un autre pour le portail et les agents (lecture) # SOAP functions for sessions management (disabled by default) # Fonctions SOAP pour la gestion des sessions (désactivée par défaut) Yubikey public ID size Taille de l'ID public Yubikey name nom <s73>"userobm_datebegin"</s73> <s74>=></s74> <s75>"HTTP_OBM_DATEBEGIN"</s75><s76>,</s76> <s73>"userobm_datebegin"</s73> <s74>=></s74> <s75>"HTTP_OBM_DATEBEGIN"</s75><s76>,</s76> This works with every LDAP v2 or v3 server, including <a0>Active Directory</a0>. Ceci fonctionne avec tout serveur LDAP v2 ou v3, dont <a0>Active Directory</a0>. grantSessionRule grantSessionRule documentation:1.0:fileconfbackend documentation:1.0:fileconfbackend Content Management System Système de gestion de contenu If the user do a new password reset request but there is already a request pending, the user can ask the confirmation mail to be resent. Si l'utilisateur effectue une nouvelle demande de réinitialisation mais qu'une requête est déjà en attente, il peut demander une ré-expédition du courriel. <s9>Options</s9> +ExecCGI <s9>Options</s9> +ExecCGI <s0>OpenID Connect Providers</s0>: Registered OP <s0>Fournisseurs OpenID-Connect</s0> : OP enregistrés Example of a protected virtual host with LemonLDAP::NG as reverse proxy: Exemple d'hôte virtuel protégé avec Lemonldap::NG en proxy-inverse : Tests Tests Add auth.example.com/manager.example.com/test1.example.com/test2.example.com to /etc/hosts on the host Ajouter auth.example.com/manager.example.com/test1.example.com/test2.example.com dans /etc/hosts de la machine hôte notificationWildcard notificationWildcard ^/index.php\?logout ^/index.php\?logout samlStorageOptions samlStorageOptions # Set manually your headers # Définir manuellement les en-têtes Install <a1>Apache::Session::Redis</a1> Perl module. Installez le module Perl <a1>Apache::Session::Redis</a1>. <s0>DESTDIR</s0>: only for packaging, install the product in a jailroot (default: “”) <s0>DESTDIR</s0> : seulement pour la création de paquets, installe le produit dans une cage (default: “”) → Local cache cannot be cleard, check the localStorage and localStorageOptions or file permissions → Le cache local ne peut être effacé, regarder les options localStorage and localStorageOptions ou les droits associés à ces fichiers <s34>'htmleditormode'</s34> <s35>=></s35> <s36>'inline'</s36><s37>,</s37> <s34>'htmleditormode'</s34> <s35>=></s35> <s36>'inline'</s36><s37>,</s37> Choice modules Modules de "Choice" You can check the validity of the keytab file by trying to request a service ticket, and compare the result with the keytab content. On peut vérifier la validité du fichier table de clefs en essayant de demander un ticket de service, et en le comparant au contenu de la table de clefs. Required attributes: Attibuts requis : (support from Windows Server 2003) It is too late for the user to do anything. (support depuis la version Windows Server 2003) Il est trop tard pour l'utilisateur pour faire quoi que ce soit. Perl libraries install : Installer les librairies Perl : <s0>Header for user login</s0>: header that contains the user main login <s0>En-tête identifiant l'utilisateur</s0> : en-tête contenant le nom de connexion User choice done if <a0>authentication choice</a0> was used Choix de l'utilisateur si le <a0>backend d'authentification Choice</a0> a été utilisé <br0/> <br0/> File session backend is the more simple session database. Le backend de sessions File est la plus simple des bases de données. The portal Le portail Any OpenID consumer N'importe quel client OpenID Get the tarball from <a0>download page</a0>. Récupérer l'archive depuis la <a0>page de téléchargement</a0>. (o/n) n (o/n) n Manage virtual hosts Gérer les hôtes virtuels _utime _utime <s1>Can be used to secure another backend</s1> for remote servers. <s1>Peut être utilisé pour sécuriser un autre backend</s1> pour des serveurs distants. You can modify location of default storage configuration file in configure target: On peut modifier l'emplacement du fichier de configuration du stockage par défaut dans la cible configure : By default, only the configured authentication backend is available for users. Par défaut, seul le backend configuré est accessible aux utilisateurs. <a0>LL::NG</a0> cluster linked to one AD domain Un cluster <a0>LL::NG</a0> lié à un seul domaine AD Notification activation Activation des notifications twitterAppName twitterAppName Under heavy loads, that can generated hundred of <a2>DNS</a2> queries and many errors on LDAP connexions (timed out) from IO::Socket. Sous forte charge, ça peut générer des centaines de requêtes <a2>DNS</a2> et des erreurs sur les connexions LDAP (timed out). <s0>manager</s0>: parameters only for Manager <s0>manager</s0> : paramètres réservés au manager Issuer module (can be multivalued) Module fournisseur (peut-être multivalué) It can works with external modules to extends its functionalities. Il peut utiliser des modules externes pour étendre ses fonctionnalités. http://blog.zimbra.com/blog/archives/2010/06/using-saml-assertions-to-access-zimbra.html http://blog.zimbra.com/blog/archives/2010/06/using-saml-assertions-to-access-zimbra.html Timestamp of last authentication time Date et heure (timestamp) de la dernière authentification Define here: Definir ici : Attribute Authority Autorité d'attributs Build the tarball from SVN Construire l'archive depuis SVN The difference with <a0>remote authentication</a0> is that the client will never be redirect to the main <a1>LL::NG</a1> portal. La différence avec <a0>l'authentification "Remote"</a0> est que le client n'est jamais redirigé vers le portail <a1>LL::NG</a1> principal. <s0>Account type</s0>: for Zimbra this can be name, id or foreignKey (by default: id) <s0>Type de compte</s0> : pour Zimbra, ce peut être name, id ou foreignKey (par défaut : id) Register partner Service Provider on LemonLDAP::NG Enregistrer le fournisseur de service dans LemonLDAP::NG <s0>JWKS data timeout</s0>: After this time, <a1>LL::NG</a1> will do a request to get a fresh version of JWKS data. <s0>Durée de vie de la donnée JWKS</s0> : au delà de ce délai, <a1>LL::NG</a1> effectuera une requête pour rafraîchir la donnée JWKS. http://www.zimbra.com/ http://www.zimbra.com/ See <a0>How to change configuration backend</a0> to known how to change this. Voir <a0>Comment changer le backend de configuration</a0>. Login login The redirection script is needed if you use a failaback authentication. Le script de redirection est nécessaire si l'authentification de secours est utilisée. The database password Le mot de passe de la base de données <s0>Preauthentication key</s0>: the one you grab from zmprov command <s0>Clef de pré-authentification key</s0> : celle récupérée de la commande zmprov <s9>"auto_update"</s9> <s10>=></s10> <s11>true</s11><s12>,</s12> <s9>"auto_update"</s9> <s10>=></s10> <s11>true</s11><s12>,</s12> <a0>Sympa</a0> is a mailing list manager. <a0>Sympa</a0> est un gestionnaire de listes de diffusion. -cfgNum: the configuration number. -cfgNum : le numéro de configuration. Drupal Drupal Then, go in <c0>OpenID parameters</c0>: Ensuite, aller dans les <c0>paramètres OpenID</c0> : <s20><s21><user</s21> <s22>username</s22>=<s23>"tomcat"</s23> <s24>password</s24>=<s25>"tomcat"</s25> <s26>roles</s26>=<s27>"tomcat"</s27><s28>/></s28></s20> <s20><s21><user</s21> <s22>username</s22>=<s23>"tomcat"</s23> <s24>password</s24>=<s25>"tomcat"</s25> <s26>roles</s26>=<s27>"tomcat"</s27><s28>/></s28></s20> Change password: update password column in authentication table matching user Changement de mot-de-passe : met à jour le champ mot-de-passe de la table d'authentification correspondant à l'utilisateur xguimard@example.com xguimard@example.com Create table: Créer la table: Secure Token header En-tête du jeton sécurisé http://search.cpan.org/perldoc?Apache::Session::Browseable::MySQL http://search.cpan.org/perldoc?Apache::Session::Browseable::MySQL </<s7>Directory</s7>> </<s7>Directory</s7>> LemonLDAP::NG configuration Configuration de LemonLDAP::NG LockDirectory LockDirectory Headers sent En-têtes envoyés <s0>ldapServer</s0>: LDAP <a1>URI</a1> of the server <s0>ldapServer</s0>: <a1>URI</a1> LDAP du serveur <s166>)</s166><s167>,</s167> <s166>)</s166><s167>,</s167> casStorageOptions casStorageOptions SAML settings Paramètres SAML So a simple user can have admin rights on the LDAP directory if your access rules are too lazy. Ainsi un simple utilisateur aura un accès administrateur au serveur LDAP si votre règle d'accès est trop permisive. <s0>Recursive</s0>: activate recursive group functionality (default: 0). <s0>Récursivité</s0> : active la fonctionnalité récursive (défaut: 0). <s0>Activation</s0>: set to <c1>On</c1>. <s0>Activation</s0> : mettre à <c1>Activé</c1>. (default is not to cipher) (aucun par défaut) Next create the configuration branch where you want. Créer ensuite la branche des configurations n'importe où. Then you need to construct the Ajax page, for example in /index/bouton.html. Il faut ensuite construire la page Ajax, par exemple dans /index/bouton.html. applications:googleapps_logo.png applications:googleapps_logo.png Then go in <c0>Options</c0> to define: Aller ensuite dans <c0>Options</c0> pour définir : Authentication choice will also be registered in session: Le choix d'authentication est également enregistré dans la session : make dist make dist <s85>//"userobm_hidden" => ,</s85> <s85>//"userobm_hidden" => ,</s85> One notification XML document can contain several notifications messages. Un document XML de notification peut contenir plusieurs messages de notification. Use SOAP for Lemonldap::NG configuration Utiliser SOAP pour la configuration Lemonldap::NG <s0>Logo</s0>: Logo of the application <s0>Logo</s0> : logo de l'application KVNO must be the same KVNO doit être identique <s5># configuration change</s5> <s5># la configuration change</s5> You will need to collect all attributes needed to create a user in OBM, this includes: Il faut collecter tous les attributs nécessaires pour créer un compte OBM : <s0>WebID whitelist</s0>: list of space separated hosts granted to host FOAF document. <s0>Liste blanche WebID</s0> : liste de noms d'hôtes, séparés par des espaces, autorisés à héberger les documents FOAF. Grant LemonLDAP::NG access Autoriser l'accès pour LemonLDAP::NG Give display name Donne le nom à afficher We advice to create a specific LDAP account with write access on configuration branch. Il est recommandé de créer un compte LDAP spécifique qui peut écrire dans la branche de configuration. The reverse <a1>DNS</a1> should also work for all the names. Il est préférable que le <a1>DNS</a1> inverse soit capable de résoudre tous les noms. groups are stored as space-separated strings in the special attribute “groups”: it contains the names of groups whose rules were returned true for the current user les groupes sont stockées en chaîne de caractères séparées par des espaces dans l'attribut spécial “groups” : il contient les noms des groupes dont la règle à retournée une valeur non nulle pour l'utilisateur courant Uncheck it to disable <a1>SAML</a1> authentication (for example, if your Identity Provider is down). Le désélectionner désactive l'authentification <a1>SAML</a1> (à utiliser, si votre fournisseur d'identité est hors service). Prepare your new lemonldap-ng.ini file Preparer le nouveau lemonldap-ng.ini file <s0>getMenuApplications(cookieValue)</s0>: return a list of authorizated applications (based on menu calculation) <s0>getMenuApplications(cookieValue)</s0>: retourne une liste des applications autorisées (basée sur le calcul du menu) Example for MySQL : Exemple pour MySQL : This module is also available on <a0>GitHub</a0>. Ce module est également disponible sur <a0>GitHub</a0>. <s14># REST URLs</s14> <s14># URLs REST</s14> 000000FFFFFFFFFFFFFFFFFFFFFFFFFFFFFF000000 000000FFFFFFFFFFFFFFFFFFFFFFFFFFFFFF000000 High availability Haute disponibilité <s0># boolean macro</s0> isAdmin <s1>-></s1> <s2>$uid</s2> <s3>eq</s3> <s4>'foo'</s4> <s5>or</s5> <s6>$uid</s6> <s7>eq</s7> <s8>'bar'</s8> <s9># other macro </s9> displayName <s10>-></s10> <s11>$givenName</s11><s12>.</s12><s13>" "</s13><s14>.</s14><s15>$surName</s15>   <s16># Use a boolean macro in a rule</s16> <s17>^/</s17>admin <s18>-></s18> <s19>$isAdmin</s19> <s20># Use a string macro in a HTTP header</s20> Display<s21>-</s21>Name <s22>-></s22> <s23>$displayName</s23> <s0># macro booléenne</s0> isAdmin <s1>-></s1> <s2>$uid</s2> <s3>eq</s3> <s4>'foo'</s4> <s5>or</s5> <s6>$uid</s6> <s7>eq</s7> <s8>'bar'</s8> <s9># autre macro </s9> displayName <s10>-></s10> <s11>$givenName</s11><s12>.</s12><s13>" "</s13><s14>.</s14><s15>$surName</s15>   <s16># Utiliser une macro booléenne dans une règle</s16> <s17>^/</s17>admin <s18>-></s18> <s19>$isAdmin</s19> <s20># Utiliser une macro chaîne dans un en-tête HTTP</s20> Display<s21>-</s21>Name <s22>-></s22> <s23>$displayName</s23> Client Kerberos configuration Configuration du client Kerberos Configure Liferay virtual host like other <a0>protected virtual host</a0>. Configurer l'hôte virtuel Liferay comme n'importe quel autre <a0>hôte virtuel protégé</a0>. 2_pub 2_pub The official documentation can be found here: <a0>http://docs.alfresco.com/4.0/tasks/auth-alfrescoexternal-sso.html</a0> La documentation officielle se trouve ici : <a0>http://docs.alfresco.com/4.0/tasks/auth-alfrescoexternal-sso.html</a0> Configuration key of IDP used for authentication Clef de configuration de l'IDP utilisé pour l'authentification <s0>Account session key</s0>: session field used as Zimbra user account (by default: uid) <s0>clef de session compte</s0> : champ de session utilisé comme compte utilisateur Zimbra (par défaut : uid) After registration, the OP must give you a client ID and a client secret, that will be used to configure the OP in <a0>LL::NG</a0>. Après enregistrement, l'OP doit donner un identifiant et un secret clients, qui seront utilisé pour configurer l'OP dans <a0>LL::NG</a0>. postcode postcode Authentication table and user table can be the same. Les tables d'authentification et utilisateurs peuvent être confondues. Most of configuration can be done trough LemonLDAP::NG Manager (by default <a0>http://manager.example.com</a0>). La majeure partie de la configuration peut être réalisée via le manager LemonLDAP::NG (par défaut <a0>http://manager.example.com</a0>). WebID WebID With dpkg Avec dpkg <s0>Redirect on forbidden</s0>: use 302 instead 403 <s0>Redirections pour les accès interdits</s0> : utilise 302 au lieu de 403 <s0>Double cookie for single session</s0>: as same, two cookies are delivered, but only one session is written in session database <s0>Double cookie pour session unique</s0> : de même, deux cookies sont délivrés, mais une seule session n'est écrite dans la base de données You have to use Apache. Il faut utiliser Apache. In particular, it use Apache2 threads capabilities so to optimize performances, prefer using <a0>mpm-worker</a0>. En particulier, il utilise les capacités multi-threads d'Apache-2, donc pour optimiser les performances, utilisez de préférence <a0>mpm-worker</a0>. Set <a0>SAML</a0> end points Indiquer les points d'entrées <a0>SAML</a0> <s0>#!/usr/bin/perl</s0>   <s1>use</s1> SOAP<s2>::</s2><s3>Lite</s3><s4>;</s4> <s5>use</s5> utf8<s6>;</s6>   <s7>my</s7> <s8>$lite</s8> <s9>=</s9> SOAP<s10>::</s10><s11>Lite</s11> <s0>#!/usr/bin/perl</s0>   <s1>use</s1> SOAP<s2>::</s2><s3>Lite</s3><s4>;</s4> <s5>use</s5> utf8<s6>;</s6>   <s7>my</s7> <s8>$lite</s8> <s9>=</s9> SOAP<s10>::</s10><s11>Lite</s11> GRR has a <a0>SSO</a0> configuration page in its administration panel. GRR dispose d'une page de configuration du <a0>SSO</a0> dans son panneau de configuration. On Debian/Ubuntu: Sur Debian/Ubuntu : And the mail filter is: Et le filtre d'adresse mail est : Security recommendation Recommendation de sécurité <s0>Encryption mode</s0>: set the encryption mode for this IDP (None, NameID or Assertion). <s0>Mode de chiffrement</s0> : fixe le mode de chiffrement pour cet IDP (None, NameID ou Assertion). -I/etc/apache2 -e &Lemonldap::NG::Handler::Status::run(Cache::FileCache,{? -I/etc/apache2 -e &Lemonldap::NG::Handler::Status::run(Cache::FileCache,{? If they really do not please you, override them! S'ils ne conviennent pas, il peuvent être surchargés. iso2unicode($name) iso2unicode($name) Macros and groups Macros et groupes administrator administrator <title>: title to display: will be inserted in <a0>HTML</a0> page enclosed in <h2 class=“notifText”>…</h2> <title> : titre à afficher : sera inséré dans la page <a0>HTML</a0> encadré dans <h2 class=“notifText”>…</h2> For example: Par exemple : authentication authentification Drupal module activation Activation du module Drupal Documentation install : Installer la documentation : The conditions are checked in alphabetical order of comments. Les conditions sont examinées dans l'ordre alphabétique des commentaires. UserName -> user Password -> password Index -> ipAddr uid UserName -> user Password -> password Index -> ipAddr uid You can add this YUM repository to get recent packages: Ajouter ces dépôts YUM pour obtenir les paquets récents : Just remember its <a0>DN</a0> for LemonLDAP::NG configuration. Il faut juste retenir le <a0>DN</a0> pour la configuration de LemonLDAP::NG. Java (Spring) Java (Spring) To chain SSL, you have to set “SSLRequire optional” in Apache configuration, else users will be authenticated by SSL only. Pour chaîner SSL, il est nécessaire de mettre “SSLRequire optional” dans le fichier de configuration Apache, sinon les utilisateurs ne seront authentifiés que par SSL. rtyler@badwolf.org rtyler@badwolf.org Protect the Manager by LL::NG Protéger le manager par LL::NG <s0>Password field name</s0>: name of authentication table column hosting password <s0>Nom du champ mot-de-passe</s0> : nom de la colonne de la table d'authentification contenant le mot-de-passe For Apache: Pour Apache: portalSkin portalSkin See <a0>how to do this</a0> on Zimbra wiki. Voir <a0>comment le faire</a0> sur le wiki Zimbra. $_password $_password It is for the moment only in BETA stage. Elle n'est pour le moment disponible qu'à titre de test. We include some template files that can be customized: Nous incluons des fichiers modèles qui peuvent être personnalisés : Finally, configure for each user his Federation ID value. Finalement, configurer pour chaque utilisateur son identifiant de fédération. <s123>"userobm_zipcode"</s123> <s124>=></s124> <s125>"HTTP_OBM_POSTALCODE"</s125><s126>,</s126> <s123>"userobm_zipcode"</s123> <s124>=></s124> <s125>"HTTP_OBM_POSTALCODE"</s125><s126>,</s126> #perl_auto-protected_cgi #perl_auto-protected_cgi Application menu Menu application The tag "<HOST>" can # be used for standard IP/hostname matching and is only an alias for # (?:::f{4,6}:)?(?P<host>[\w\-.^_]+) # Values: TEXT # failregex = Lemonldap\:\:NG \: .* was not found in LDAP directory \(<HOST>\) The tag "<HOST>" can # be used for standard IP/hostname matching and is only an alias for # (?:::f{4,6}:)?(?P<host>[\w\-.^_]+) # Values: TEXT # failregex = Lemonldap\:\:NG \: .* was not found in LDAP directory \(<HOST>\) If so, get a jQuery selector for that button Si oui, donner un sélecteur à jQuery pour identifier ce bouton <s79>//"userobm_delegation" => ,</s79> <s79>//"userobm_delegation" => ,</s79> You can also define: On peut aussi définir : <a0>DBI</a0> Connection user Nom de connexion <a0>DBI</a0> High Availability Haute disponibilité Prepare the database Preparer la base de données Choose and configure your main sessions storage system Choisir et configurer le système principal de stockage des sessions One user tries to access to the portal Un utilisateur tente d'accéder au portail Example template: Modèle exemple : Protocol and port Protocole et port OpenID OpenID _notification_<e0>id</e0> _notification_<e0>id</e0> perl-Lemonldap-NG-Manager: CPAN - Manager modules perl-Lemonldap-NG-Manager : CPAN - modules manager singleUserByIP singleUserByIP AuthBasic Handler Agent AuthBasic <s0>ldapBindPassword</s0>: password used to bind LDAP <s0>ldapBindPassword</s0> : mot-de-passe à utiliser pour se connecter au serveur LDAP Mpm-worker works faster and LemonLDAP::NG use the thread system for best performance. Mpm-worker est plus rapide et LemonLDAP::NG utilise le système de threads pour de meilleures performances. <c0>_casPT</c0><s1>serviceID</s1> = <s2>Proxy ticket value</s2> <c0>_casPT</c0><s1>serviceID</s1> = <s2>Proxy ticket value</s2> <s0>Writer <a1>URL</a1></s0>: <a2>URL</a2> used by <a3>SAML</a3> IDP to write the cookie. <s0><a1>URL</a1> d'écriture</s0> : <a2>URL</a2> utilisée par l'IdP <a3>SAML</a3> pour écrire le cookie. SAML Identity Provider Fournisseur d'identité SAML For <a0>Active Directory</a0>, choose <c1>Active Directory</c1> instead of <c2>LDAP</c2>. Pour <a0>Active Directory</a0>, choisir <c1>Active Directory</c1> au lieu de <c2>LDAP</c2>. Functions parameters: Paramètres de la fonction : LemonLDAP::NG uses Safe jail to evaluate all expressions: LemonLDAP::NG utilise une cage sécurisée pour évaluer toutes les expressions : <s2>Order</s2> <s3>deny</s3>,<s4>allow</s4> <s2>Order</s2> <s3>deny</s3>,<s4>allow</s4> Twitter use <a1>OAuth</a1> protocol to allow applications to reuse its own authentication process (it means, if your are connected to Twitter, other applications can trust Twitter and let you in). Twitter utilise le protocole <a1>OAuth</a1> pour autoriser les applications à réutiliser son propre processus d'authentification (ce qui signifie que si vous êtes connecté à Twitter, d'autres applications peuvent agréer Twitter et vous laisser entrer). Each Relying Party has its own configuration way. Chaque client (Relying Party) a sa propre forme de configuration. When you use <a0>SOAP sessions backend</a0>, it is recommended to use read-only <a1>URL</a1> (<a2>http://portal/index.pl/sessions</a2>). Lorsqu'on utilise le <a0>backend de session SOAP</a0>, il est recommandé d'utiliser l'<a1>URL</a1> en lecture seule (<a2>http://portal/index.pl/sessions</a2>). Using notification system Utiliser le système de notification You might want to display different skin depending on the <a0>URL</a0> that was called before being redirected to the portal, or the <a1>IP</a1> address of the user. On peut vouloir utiliser différents thèmes en fonction de l'<a0>URL</a0> demandée avant la redirection au portail ou en fonction de l'adresse <a1>IP</a1> de l'utilisateur. You can also define extra claims and link them to attributes (see below). On peut également définir des "claims" supplémentaires et les lier aux attributs (voir ci-dessous). Delay between check of local configuration Delai entre 2 examens de la configuration locale <s0>ad.acme.com</s0>: <a1>DNS</a1> of Second Active Directory <s0>ad.acme.com</s0> : <a1>DNS</a1> du second Active Directory Please use lmMigrateConfFiles2ini to migrate your menu configuration Please use lmMigrateConfFiles2ini to migrate your menu configuration Safe can be very annoying when we use <a0>extended functions</a0> or <a1>custom functions</a1>. Safe peut être très gênant lorsqu'on utilise les <a0>fonctions étendues</a0> ou les <a1>fonctions personnalisées</a1>. Cookie Javascript protection Protection Javascript du cookie This valve will check an HTTP header to set the authenticated user on the J2EE container. Cette valve examine les en-têtes HTTP pour désigner l'utilisateur authentifié au conteneur J2EE. <a0>LL::NG</a0> can use federation protocols (<a1>SAML</a1>, <a2>CAS</a2>, OpenID) independently to: <a0>LL::NG</a0> peut utiliser des protocoles de fédération (<a1>SAML</a1>, <a2>CAS</a2>, OpenID) indépendamment pour : This is done by default in RPM/DEB packages. Ceci est fait par défaut avec les paquets RPM/DEB. http://www.mediawiki.org http://www.mediawiki.org <s146>//"userobm_nomade_local_copy" => ,</s146> <s146>//"userobm_nomade_local_copy" => ,</s146> nullAuthnLevel nullAuthnLevel For security reason, a cookie provided for a domain cannot be sent to another domain. Pour des raisons de sécurité, un cookie fournit par un domaine ne peut être transmit à un autre. Order of categories in the menu Ordre des catégories dans le menu If your table is not named lmConfig, set it's name in <c0>dbiTable</c0> parameter. Si la table ne se nomme pas lmConfig, mettre son nom dans le paramètre <c0>dbiTable</c0>. Rules Règles <a0>Rules</a0> are applied in alphabetical order (comment and regular expression). Les <a0>règles</a0> sont appliquées dans l'ordre alphabétique (commentaires et expressions régulières). Authentication request Requête d'authentification After redirection, normal authentication in the remote portal Après redirection, authentification normale sur le portail distant (celui de son organisation) Local groups Groupes locaux When you know the key of the variable, you just have to prefix it with the dollar sign to use it, for example to test if <c0>uid</c0> variable match <c1>coudot</c1> : En connaissant le nom d'une variable, il suffit de la préfixer avec un signe dollar pour l'utiliser, par exemple pour savoir si la variable <c0>uid</c0> contient <c1>coudot</c1> : CDBI CDBI LDAPFilter LDAPFilter In Bugzilla administration interface, go in <c0>Parameters</c0> » <c1>User authentication</c1> Dans l'interface d'administration, allez dans <c0>Parameters</c0> » <c1>User authentication</c1> Configure the <a0>access rules</a0>. Configurer les <a0>règles d'accès</a0>. You should see this kind of ticket: On doit trouver un ticket de ce genre : <s46>"userobm_login"</s46> <s47>=></s47> <s48>"HTTP_OBM_UID"</s48><s49>,</s49> <s46>"userobm_login"</s46> <s47>=></s47> <s48>"HTTP_OBM_UID"</s48><s49>,</s49> sympaSecret sympaSecret name => foaf:name nom => foaf:name <a0>SAML</a0> assertion Assertion <a0>SAML</a0> <s0>Authentication module</s0>: OpenID Connect <s0>Module d'authentication</s0> : OpenID-Connect As an RP, <a0>LL::NG</a0> supports a lot of OpenID Connect features: Comme RP, <a0>LL::NG</a0> supporte de nombreuses fonctionnalités OpenID-Connect : Variables are stored in the user session. Les variables sont stockées dans la session utilisateur. Catch error pages: Capture des pages d'erreur : Index Index Zimbra preauth key Clef de pré-authentification Zimbra sudo make install PARAM=VALUE PARAM=VALUE ... sudo make install PARAM=VALUE PARAM=VALUE ... <s0>Other</s0>: <s0>Autres</s0> : Configuration and sessions access by SOAP Accès à la configuration et aux sessions par SOAP A skin is composed of different files: Un thème est composé de différents fichiers : Browseable session backend (<a0>Apache::Session::Browseable</a0>) works exactly like Apache::Session::* corresponding module but add index that increase <a1>session explorer</a1> and <a2>session restrictions</a2> performances. Le backend de session explorable (<a0>Apache::Session::Browseable</a0>) fonctionne exactement comme le module Apache::Session::* correspondant mais ajoute des index qui améliore les performances de l'<a1>explorateur de session</a1> et les <a2>restrictions de sessions</a2>. By default, Manager is protected to allow only the demonstration user “dwho”. Par défaut, le manager est protégé et n'autorise que l'utilisateur de démonstration “dwho”. Documentation is available for configuration backends : Cette documentation est valable pour les backends de configuration : Exported variables in the Manager Variables exportées dans le manager To extend <a0>SSO</a0> on several domains, a cross-domain mechanism is implemented in LemonLDAP::NG. Pour étendre le <a0>SSO</a0> sur plusieurs domaines, un mécanisme inter-domaines est intégré à LemonLDAP::NG. As passwords will not be managed by <a0>LL::NG</a0>, you can disable <a1>menu password module</a1>. Comme les mots-de-passe ne sernt pas gérés par <a0>LL::NG</a0>, il est possile de désactiver le <a1>module mots-de-passe du menu</a1>. documentation:1.0:sqlconfbackend documentation:1.0:sqlconfbackend http://simplesamlphp.org/docs/1.6/simplesamlphp-googleapps http://simplesamlphp.org/docs/1.6/simplesamlphp-googleapps http://www.google.com/calendar/hosted/mydomain.org/render http://www.google.com/calendar/hosted/mydomain.org/render If <a1>LL::NG</a1> send some roles split by some commas, configure <s2>roleSeparator</s2>. Si <a1>LL::NG</a1> envoie les rôles séparés par des caractères (virgule,...), configurer <s2>roleSeparator</s2>. One of mandatory information is the redirect <a1>URL</a1> (one or many). Une des informations exigées est l'<a1>URL</a1> de redirection (une ou plusieurs). Documentation Documentation Indeed, any <a0>Perl DBD driver</a0> can be used. Ainsi, tout <a0>driver Perl DBD</a0> peut être utilisé. http://search.cpan.org/perldoc?DBI http://search.cpan.org/perldoc?DBI <s0>Display other sessions </s0>: display other sessions on authentication phase, with a link to delete them. <s0>Afficher les autres sessions</s0> : affiche les autres sessions ouvertes lors de la phase d'authentification avec un lien pour les effacer. Create OBM virtual host (for example obm.example.com) in <a0>LL::NG</a0> configuration: <c1>Virtual Hosts</c1> » <c2>New virtual host</c2>. Créer l'hôte virtuel OBM (par exemple obm.example.com) dans la configuration <a0>LL::NG</a0> : <c1>Hôtes virtuels</c1> » <c2>Nouvel hôte virtuel</c2>. Logs settings Journalisation http://search.cpan.org/perldoc?LWP::UserAgent http://search.cpan.org/perldoc?LWP::UserAgent Delete other session Efface les autres sessions (session unique par utilisateur) Custom Error <a0>URL</a0>: you can redirect the user to a special page when an error is happening Custom Error <a0>URL</a0> : on peut rediriger l'utilisateur sur une page particulière en cas d'erreur Restrict /js/ and /css/ directory to authenticated users Restreindre les répertoires /js/ et /css/ aux utilisateurs authentifiés <s0>Users module</s0>: OpenID Connect <s0>Module utilisateurs</s0> : OpenID-Connect <s0>Configuration</s0>: <s0>Configuration</s0> : Easy to duplicate with LDAP synchronization services (like SyncRepl in OpenLDAP) Facilité de duplication avec les services de synchronisation LDAP (tel SyncRepl de OpenLDAP) <s0>Extracted certificate field</s0>: field of the certificate affected to $user internal variable <s0>Champ extrait du certificat</s0> : champ du certificat affecté à la variable interne $user For GLPI >= 0.71, it is a simple configuration in GLPI: Setup → Authentication. Pour GLPI >= 0.71, une simple configuration de GLPI suffit : Setup → Authentication. By default, notifications will be stored in the same database as configuration: Par défaut, les notifications sont stockées dans la même base de données que la configuration : <a0>LL::NG</a0> configured as <a1>SAML Identity Provider</a1> <a0>LL::NG</a0> configuré comme <a1>fournisseur d'identité SAML</a1> mkdir /usr/local/lemonldap-ng/notifications/ chown www-data /usr/local/lemonldap-ng/notifications/ mkdir /usr/local/lemonldap-ng/notifications/ chown www-data /usr/local/lemonldap-ng/notifications/ timeout timeout The file name default separator is <c0>_</c0>, this can be a problem if you register notifications for users having <c1>_</c1> in their login. Le séparateur par défaut des noms de fichiers est <c0>_</c0>, ce qui peut poser problème si on enregistre des notifications pour des utilsateur ayant un caractère <c1>_</c1> dans leur nom de connexion. Cookie security Sécurité du cookie <a0>CAS</a0>_gateway <a0>CAS</a0>_gateway Security with SSL/TLS Securité avec SSL/TLS You need to adapt some parameters: Certains paramètres doivent être adaptés : To configure sessions, go in Manager, <c0>General Parameters</c0> » <c1>Sessions</c1>: Pour configurer les sessions, aller dans le manager, <c0>Paramètres généraux</c0> » <c1>Sessions</c1> : ^/c/portal/logout => logout_sso ^/c/portal/logout => logout_sso The file <c0>auth.keytab</c0> should then be copied (with a secure media) to the Linux server (for example in <c1>/etc/lemonldap-ng</c1>). Le fichier <c0>auth.keytab</c0> doit ensuite être copié (par un média sûr) sur le serveur Linux (par exemple dans <c1>/etc/lemonldap-ng</c1>). Since version 0.9.4, LemonLDAP::NG can be used to notify some messages to users: if a user has a message, the message will be displayed when he will access to the portal. Depuis la version 0.9.4, LemonLDAP::NG peut être utilisé pour notifier des messages aux utilisateurs : si un utilisateur a un message, celui-ci est affiché lorsqu'il accède au portail. To manage the other way (<a0>LL::NG</a0> → Google Apps), you can add a dedicated <a1>logout forward rule</a1>: Pour gérer l'autre voie (<a0>LL::NG</a0> → Google Apps), ajouter une <a1>règle de redirection après déconnexion</a1>: Real name Real name Contrary to <a0>multiple backend stacking</a0>, backend choice will present all available authentication methods to users, who will choose the one they want. Contrairement au <a0>dispositif de multiples backends</a0>, le dispositif de choix de backend présente à l'utilisateur toutes les méthodes d'authentification disponibles pour qu'il puisse choisir. TLS client Client TLS authenticationLevel authenticationLevel Give a non ascii data Done une valeur non-ascii See <a2>Twitter FAQ</a2> on how to do that:. Reportez-vous à la <a2>FAQ Twitter</a2> pour en savoir plus. <a0>CAS</a0>_CAFile <a0>CAS</a0>_CAFile 'cache_root' => '/tmp',? 'cache_root' => '/tmp',? If for an obscure reason, the WebSSO is not working and you want to access the Manager, remove the protection in <c0>lemonldap-ng.ini</c0>. Si pour une quelconque raison le WebSSO ne fonctionne pas, pour accéder au manager, supprimer la protection dans <c0>lemonldap-ng.ini</c0>. Redirection to the portal of the secondary area (transparent) Redirection vers le portail secondaire (transparent) http://en.wikipedia.org/wiki/Outlook_Web_App http://en.wikipedia.org/wiki/Outlook_Web_App Edit also OBM configuration to enable <a0>LL::NG</a0> Handler: Éditer également la configuration d'OBM pour activer le « handler » <a0>LL::NG</a0> : For security reasons, the password is not shown in sessions explorer. Pour des raisons de sécurité, le mot-de-passe n'est pas affiché dans l'explorateur de sessions. You can now use your function in a macro, an header or an access rule, for example: Les fonctions peuvent être utilisées dans une macro, un en-tête ou une règle d'accès, par exemple: Use it Les utiliser Select Demonstration for authentication, user and password backend. Selectionner Démonstration pour les backends authentification, utilisateurs et mots-de-passe. The access to phpLDAPadmin will be protected by LemonLDAP::NG with specific access rules. L'accès à phpLDAPadmin sera protégé par LemonLDAP::NG avec une règle particulière d'accès. icons:utilities.png icons:utilities.png It needs 4 modules to work: Il a besoin de 4 modules pour fonctionner : See <a2>how to change configuration backend</a2>. Voir <a2>comment changer de backend de configuration</a2>. Give the uid (for accounting) Donne l'uid (pour la traçabilité) apt-key add rpm-gpg-key-ow2 apt-key add rpm-gpg-key-ow2 Example Exemple If one is missing, the user is not created. Si l'un est manquant, le compte ne sera pas créé. to the configuration backend au système de stockage de la configuration The following table list fields to index depending on the feature you want to increase performance: Le tableau suivant liste les champs à indexer suivant les fonctionnalités dont on souhaite améliorer les performances : https://twitter.com https://twitter.com <s0>Form <a1>URL</a1></s0>: /login.php <s0><a1>URL</a1> du formulaire</s0>: /login.php <s0>Token endpoint authentication method</s0>: Choice between <c1>client_secret_post</c1> and <c2>client_secret_basic</c2> <s0>Méthode d'authentification du point d'accès du jeton</s0> : choisir entre <c1>client_secret_post</c1> et <c2>client_secret_basic</c2> The manager is now natively written for FastCGI. Le manager répond désormais nativement au protocole FastCGI. secureTokenMemcachedServers secureTokenMemcachedServers <a0>SOAP based</a0> for client-server software, specific development, … <a0>Basé sur SOAP</a0> pour les logiciels client-serveur, les développements spécifiques, … Remote Session backend Backend de sessions distant So to improve performances, avoid too complex rules by using the macro or the groups or local macros. Donc pour augmenter les performances, évitez les règles trop complexes en utilisant les macros, groupes ou macros locales. liblemonldap-ng-portal-perl: Portal files liblemonldap-ng-portal-perl : fichiers du portail <s0>Activation in password reset by mail form</s0>: set to 1 to display captcha in password reset by mail form <s0>Activation dans le formulaire de réinitialisation de mot-de-passe</s0> : mettre à 1 pour activer le captcha dans ce formulaire <a0>LL::NG</a0> provides a special function named <a1>basic</a1> to build this header. <a0>LL::NG</a0> fournit une fonction spéciale nommée <a1>basic</a1> pour construire cet en-tête. ldapTimeout ldapTimeout applications:drupal_logo.png applications:drupal_logo.png <s8># SOAP functions for sessions access (disabled by default)</s8> <s8># Fonctions SOAP pour l'accès aux sessions (désactivées par défaut)</s8> Other modules must be installed only if you planned to use the related feature. Les autres modules ne doivent être installés que s'il est prévu d'utiliser les fonctionnalités associées. <a0>CAS</a0>_renew <a0>CAS</a0>_renew Be careful for Windows user, path must contains “/”. Attention avec les systèmes Windows, le séparateur de répertoire est le ”/”. Change rights on keytab file: Changer les droits sur le fichier keytab : Else, you will lock access to Manager and will never access it anymore. Sinon, on risque de verrouiller l'accès au manager et ne plus pouvoir y accéder. Edit the portal virtual host to enable SSL double authentication: Éditer l'hôte virtuel du portail pour activer la double authentification SSL : Using packages Utiliser le packages See <s0><a1>Form replay</a1></s0> to learn how to configure form replay to POST data on protected applications. Voir <s0><a1>Rejeu des formulaires</a1></s0> pour savoir comment configurer le rejeu des formulaires pour poster des données à une applications protégée. persistentStorage persistentStorage ...   </<s2>VirtualHost</s2>> ...   </<s2>VirtualHost</s2>> <s0>Path</s0>: keep <c1>^/openidserver/</c1> unless you have change <a2>Apache portal configuration</a2> file. <s0>Chemin</s0> : laisser <c1>^/openidserver/</c1> sauf si le fichier de <a2>configuration Apache du portail</a2> a été modifiée. You can also use symbolic links in <c0>conf.d</c0> or <c1>sites-available</c1> Apache directory. On peut aussi utiliser des liens symboliques dans le répertiore <c0>conf.d</c0> ou <c1>sites-available</c1> d'Apache. # Number of process (default: 7) #NPROC = 7   # Unix socket to listen to SOCKET=/var/run/llng-fastcgi-server/llng-fastcgi.sock   # Pid file PID=/var/run/llng-fastcgi-server/llng-fastcgi-server.pid   # User and GROUP USER=www-data GROUP=www-data   # Custom functions file CUSTOM_FUNCTIONS_FILE=/root/SSOExtensions.pm # Nombre de processus (défaut : 7) #NPROC = 7   # Socket Unix d'écoute SOCKET=/var/run/llng-fastcgi-server/llng-fastcgi.sock   # Fichier identifiant de processus (PID) PID=/var/run/llng-fastcgi-server/llng-fastcgi-server.pid   # Utilisateur et groupe USER=www-data GROUP=www-data   # Fichier éventuel de fonctions personnalisées CUSTOM_FUNCTIONS_FILE=/root/SSOExtensions.pm Attribute Service Service d'attribut This function convert a string from UTF-8 to ISO-8859-1. Cette fonction convertit une chaine UTF-8 en ISO-8859-1. http://www.mediawiki.org/wiki/Extension:AutomaticREMOTE_USER http://www.mediawiki.org/wiki/Extension:AutomaticREMOTE_USER You have to set its value in Manager. Il faut en indiquer une dans le manager. dbiAuthPasswordHash dbiAuthPasswordHash <a0>Extended functions</a0>: <a0>Fonctions étendues</a0> It is targeted at developer teams, workgroups and small companies. Il est destiné aux équipes de développeurs, groupes de travail ou petites entreprises. Django Django Sessions will be stored as LDAP entries, like this: Les sessions sont stockées dans des entrées LDAP comme suit : <a9><s10>print</s10></a9> <s11>'<a href="http://test3.example.com/">click here</a>'</s11><s12>;</s12> <s13>}</s13> <a9><s10>print</s10></a9> <s11>'<a href="http://test3.example.com/">click here</a>'</s11><s12>;</s12> <s13>}</s13> You have to grant read/write access for the manager component. Il faut autoriser l'accès en lecture et écriture pour le manager. ldapgroups <s0>-></s0> <a1><s2>join</s2></a1><s3>(</s3><s4>" "</s4><s5>,</s5><s6>(</s6><s7>$ldapgroups</s7> <s8>=~</s8> <s9>/cn=(.*?),/g</s9><s10>)</s10><s11>)</s11> ldapgroups <s0>-></s0> <a1><s2>join</s2></a1><s3>(</s3><s4>" "</s4><s5>,</s5><s6>(</s6><s7>$ldapgroups</s7> <s8>=~</s8> <s9>/cn=(.*?),/g</s9><s10>)</s10><s11>)</s11> Register partner Identity Provider on LemonLDAP::NG Enregistrer le fournisseur d'identité partenaire dans LemonLDAP::NG The good news is that Google is a standard OpenID Provider, and so you can easily delegate the authentication of <a1>LL::NG</a1> to Google: <a2>https://developers.google.com/identity/protocols/OpenIDConnect</a2> La bonne nouvelle est que Google est un fournisseur OpenID-Connect standard, on peut ainsi aisément déléguer l'authentification de <a1>LL::NG</a1> à Google : <a2>https://developers.google.com/identity/protocols/OpenIDConnect</a2> <s0>Enabled</s0>: Yes <s0>Enabled</s0>: Yes <s0>APACHEVERSION</s0>: Apache major version (default: 2) <s0>APACHEVERSION</s0> : version majeure d'Apache (défaut : 2) Changing the domain value will not update other configuration parameters, like virtual host names, portal <a0>URL</a0>, etc. Changer la valeur du domaine ne met pas à jour les autres paramètres tels les noms d'hôtes virtuels, l'<a0>URL</a0> du portail, etc... http://httpd.apache.org/docs/2.2/mod/mod_ssl.html http://httpd.apache.org/docs/2.2/mod/mod_ssl.html For example it can be stored as a second value of the uid attribute in the LDAP directory: Par exemple il peut être stocké comme seconde valeur de l'attibut uid dans un annuaire LDAP : Map the container port 80 to host port 80 (option -p) Faire correspondre le port 80 du conteneur avec le port 80 de la machine (option -p) $_passwordDB $_passwordDB You can use different type of access: <a0>SQL</a0>, <a1>File</a1> or <a2>LDAP</a2> for servers in secured network and <a3>SOAP</a3> for remote servers. On peut utiliser différent typed d'accès : <a0>SQL</a0>, <a1>File</a1> or <a2>LDAP</a2> pour les serveurs se trouvant sur le réseau sécurisé et <a3>SOAP</a3> pour les autres. images and other media files images et autres médias <a3>XSS</a3> checks will still be done with warning in logs, but this will not prevent the process to continue. Le contrôle <a3>XSS</a3> continuera à être effectué mais avec seulement des avertissements dans les journaux sans empêcher le processus de continuer. We advice to deactivate other options, cause users will use <a0>LL::NG</a0> portal to modify or reset their password. Il est conseillé de désactiver les autres options, car les utilisateurs utiliseront le portail <a0>LL::NG</a0> pour modifier ou réinitialiser leur mot-de-passe. download Téléchargement In Manager, click on <c0>Notifications</c0> and then on the <c1>Create</c1> button. Dans le manager, cliquer sur l'<c0>explorateur des notifications</c0> et ensuite sur le bouton <c1>Créer</c1>. cat /usr/local/lemonldap-ng/etc/lemonldap-ng/for_etc_hosts >> /etc/hosts cat /usr/local/lemonldap-ng/etc/lemonldap-ng/for_etc_hosts >> /etc/hosts Date of birth Date of birth # CAS Issuer # Fournisseur d'identité CAS <s0>Activation in login form</s0>: set to 1 to display captcha in login form <s0>Activation dans le formulaire de connexion</s0> : mettre à 1 pour activer le captcha dans ce formulaire The configuration is the same as the <a0>LDAP module</a0>. La configuration est la même que mour le <a0>module LDAP</a0>. <s0>Authentication level</s0>: authentication level for Radius module <s0>Niveau d'authentification</s0> : niveau d'authentification pour Radius <a0>Google Apps</a0> can use <a1>SAML</a1> to authenticate users, behaving as an <a2>SAML</a2> service provider, as explained <a3>here</a3>. <a0>Les applications Google</a0> peuvent utiliser <a1>SAML</a1> pour authentifier les utilisateurs, en se comportant comme des fournisseurs de service <a2>SAML</a2>, tel qu'expliqué <a3>ici</a3>. Configuration <s0>is not saved</s0> if errors occur. La configuration <s0>n'est pas sauvée</s0> en cas d'erreur. <s0>List type</s0>: choose white list to define allowed domains or black list to define forbidden domains <s0>Type de liste</s0> : choisir liste blanche pour définir la liste exhaustive des domaines autorisés ou liste noire pour lister les domaines interdits Session history is always visible in session explorer for administrators. L'historique des sessions est toujours visible dans l'explorateur de sessions pour les administrateurs. <a0>DBI</a0> Password hash Hachage de mot-de-passe <a0>DBI</a0> This means that if several Handlers are deployed, each will manage its own statistics. Donc si plusieurs agents sont déployés, chacun gère ses propres statistiques. Then create symbolic links on template files, as you might not want to rewrite all <a0>HTML</a0> code (else, do as you want). Créer ensuite des liens symboliques pour éviter de réécrire tous les fichiers <a0>HTML</a0> (sauf si c'est souhaité). Little effort is required to translate the encoded string back into the user name and password, and many popular security tools will decode the strings “on the fly”. Un petit effort est requis pour décoder ces chaînes et de nombreux outils de sécurité les décodent à la volée. Give a technical name (no spaces, no special characters), like “sample-op”; Donner un nom technique (sans espaces ni caratères speciaux), tel “sample-op” ; Set GoogleApps as Service Provider name. Mettre GoogleApps comme nom de fournisseur de service. It is set in LemonLDAP::NG utilities directory (<c0>convertConfig</c0>). Il se traouve dans le répertoire des utilitaires LemonLDAP::NG (<c0>convertConfig</c0>). A day has 24 hours, and a week 7 days, so the value contains 168 bits, converted into 42 hexadecimal characters. Un jour a 24 heures et une semaine 7 jours, donc la valeur contient 168 bits, convertie en 42 caractères hexadécimaux. Provides identity if asked Fournit l'identitié si demandée This user will not be available anymore if you configure a new authentication backend! Cet utilisateur n'est plus disponible si on change de backend d'authentification ! OBM_GIVENNAME OBM_GIVENNAME If you activate proxy mode, you must create the <a0>PGT</a0> file on your system, for example: Si le mode proxy est activé, il faut créer le fichier <a0>PGT</a0> sur le système, par exemple : You can map here the attribute names from the <a0>LL::NG</a0> session to an <a1>OpenID Connect claim</a1>. On peut faire correspondre les noms d'attributs de session <a0>LL::NG</a0> à des <a1>"claim" OpenID-Connect</a1>. Notification delete function: Fonction d'effacement de notification : https://metacpan.org/module/Apache::Session::Browseable https://metacpan.org/module/Apache::Session::Browseable Remember that rules written on GET parameters must be tested. Rappel : les règles poratnt sur des paramètres GET doivent être testées. rpm -Uvh lemonldap-ng-* perl-Lemonldap-NG-* rpm -Uvh lemonldap-ng-* perl-Lemonldap-NG-* http://tomcat.apache.org/tomcat-5.5-doc/logging.html http://tomcat.apache.org/tomcat-5.5-doc/logging.html <s0>Password modify extended operation</s0>: enable to use the LDAP extended operation <c1>password modify</c1> instead of standard modify operation. <s0>Opération étendue de modification de mot-de-passe</s0> : active l'utilisation de l'opération étendue de <c1>modification de mot-de-passe</c1> LDAP au lieu de l'opération standard. <s0>all</s0>: parameters for all modules <s0>all</s0> : paramètres pour tous les modules If you plan to forward user's password to OBM, then you have to <a0>keep the password in session</a0>. S'il est prévu de transmettre le mot-de-passe utilisateur à OBM, <a0>conserver le mot-de-passe dans la session</a0>. Pages where this menu is displayed can be restricted, for example: Les pages où ce menu est affiché peuvent être restreintes, par exemple : The user will be redirected on portal <a0>URL</a0> with error in the <c1>lmError</c1> <a2>URL</a2> parameter. L'utilisateur sera redirigé vers l'<a0>URL</a0> du portail avec une erreur dans le paramètre <c1>lmError</c1> de l'<a2>URL</a2>. <s0>Activation</s0>: Set to On to enable Common Domain Cookie support. <s0>Activation</s0> : mettre à « activé » pour activer le support du domaine commun de cookie. all together (based on user <a0>choice</a0>, <a1>rules</a1>, …) tous en même temps (basé sur le <a0>choix</a0> utilisateur, les <a1>règles</a1>, …) convertConfig --current=/etc/lemonldap-ng/lemonldap-ng.ini --new=/new/lemonldap-ng.ini convertConfig --current=/etc/lemonldap-ng/lemonldap-ng.ini --new=/new/lemonldap-ng.ini dbiAuthPassword dbiAuthPassword All <a1>Apache::Session</a1> style modules are useable except for some features. Tous les modules de type <a1>Apache::Session</a1> sont utilisables excepté pour quelques fonctionnalités. <s161>//"userobm_system" => ,</s161> <s161>//"userobm_system" => ,</s161> Comment Commentaire JWKS is a JSON file containing public keys. JWKS est un fichier JSON contenant des clefs publiques. With Debian/Ubuntu: Avec Debian/Ubuntu: <s0><a1>DBI</a1></s0> which has been deprecated: it is a read-only backend that exists just for compatibility with older versions of LemonLDAP::NG. <s0><a1>DBI</a1></s0> devenu obsolète : il reste un backend en lecture seule qui n'existe que pour la compatibilité avec les anciennes versions de LemonLDAP::NG. To bypass this, follow the documentation of <a0>AuthApache module</a0> Pour outrepasser ceci, suivre la documentation du <a0>module AuthApache</a0> <s0>apply</s0>: reload <a1>URL</a1> for distant Hanlders <s0>apply</s0> : les <a1>URL</a1> de rechargement des agents distants You must read the man page corresponding to your database (<a0>Apache::Session::MySQL</a0>, …) to learn more about parameters. Il faut consulter la page de manuel correspondant à la base de données (<a0>Apache::Session::MySQL</a0>, …) pour connaître les paramètres. Then <a2>CAS</a2> service has to show a correct error when service ticket validation will fail. Ainsi le service <a2>CAS</a2> doit afficher une erreur lorsque la validation du ticket échoue. SSL authentication Authentification SSL Note that you can always access Salesforce by the general login page: <a1>https://login.salesforce.com</a1> Noter que l'on peut toujours accéder à Salesforce par la page générale de connexion : <a1>https://login.salesforce.com</a1> Set to 0 to disable it. Mettre à 0 pour désactiver. </<s10>Directory</s10>>   </<s10>Directory</s10>>   Go to the Manager and <a0>create a new virtual host</a0> for Drupal. Aller dans le manager et <a0>créer un nouvel hôte virtuel</a0> pour Drupal. http://perldoc.perl.org/MIME/Base64.html http://perldoc.perl.org/MIME/Base64.html Portal <a0>URL</a0> <a0>URL</a0> du portail An enterprise account un compte entreprise Since 1.9, Lemonldap::NG provides a FastCGI server usable to protect applications with Nginx <e0>(See <a1>Manage virtual hosts</a1> page to configure virtual hosts)</e0>. Depuis la version 1.9, Lemonldap::NG fournit un serveur FastCGI utilisable pour protéger les applications avec Nginx <e0>(Voir la page <a1>Gérer les hôtes virtuels</a1>)</e0>. <s0>Force UTF-8</s0>: this will force UTF-8 conversion of attributes values collected from IDP. <s0>Forcer l'UTF-8</s0> : force la conversion UTF-8 des valeurs d'attributs collectées depuis l'IDP. <s21># special html code for admins</s21> <s22>}</s22> <s23>else</s23> <s24>{</s24> <s21># code html spécial pour les administrateurs</s21> <s22>}</s22> <s23>else</s23> <s24>{</s24> The portal is the biggest component of Lemonldap::NG. Le portail est le composant le plus gros de Lemonldap::NG. Create sessions table: Créer la table des sessions : PostgreSQL PostgreSQL Configure <a0>Apache or Nginx virtual host</a0> Configurer l'<a0>hôte virtuel Apache ou Nginx</a0> documentation:liferay_7.png documentation:liferay_7.png You can also use WebID as user database. On peut également utiliser WebID comme base de données utilisateurs. are there several html forms in the page ? y-a-t-il pluseurs formulaires HTML dans la page ? This means the ktpass commands should be run on both AD. Ce qui signifie que la commande ktpass doit être lancée dans les deux AD. You will need to install a Dokuwiki plugin, available on <a0>download page</a0>. Il faut installer le plugin Dokuwiki disponible sur la <a0>page de téléchargement</a0>. LemonLDAP::NG configuration is stored in a backend that allows all modules to access it. La configuration de LemonLDAP::NG est stockée dans un backend permettant à tous les modules d'y accéder. <s0>setAttributes(cookieValue,hashtable)</s0>: update a session <s0>setAttributes(cookieValue,hashtable)</s0> : met à jour une session This includes the application list which is now set in the <c1>applicationList</c1> parameter from <c2>[portal]</c2> section, for example: Ceci inclut la liste des applications qui se trouve désormais dans le paramètre <c1>applicationList</c1> de la section <c2>[portal]</c2>, par exemple: deny deny Inside this jail, you can access to: Dans cette cage, on peut accéder aux éléments suivants : LDAP performances Performances LDAP accept accept The FastCGI server reads also <c0>LLTYPE</c0> parameter in FastCGI requests (see portal-nginx.conf or manager-nginx.conf) to choose which module is called: Le serveur FastCGI lit également le paramètre <c0>LLTYPE</c0> dans les requêtes FastCGI (voir portal-nginx.conf ou manager-nginx.conf) pour connaître le module sollicité : Configuration text editor Éditeur de configuration en mode text Publication of JSON metadata and JWKS data (Discovery) Publication de métadonnée JSON et JWKS (Discovery) The configuration can be changed in <c0>etc/manager-apache2.conf</c0>, for example to restrict the <a1>IP</a1> allowed to access the Manager: Cette configuration peut être changée dans <c0>etc/manager-apache2.conf</c0>, par exemple pour restreindre les adresses <a1>IP</a1> autorisées à accéder au manager : → The cache has been created by another user than Apache's user. → Le cache a été créé par un autre utilisateur que celui d'Apache. Writing rules and headers Écrire les règles et en-têtes In other words, take the time to configure this part before sharing metadata. En d'autres mots, prenez le temps de bien configurer cette partie avant de partager les metadatas. For example, macro “macro1” will be computed before macro “macro2”: so, expression of macro2 may involve value of macro1. Par exemple, la macro “macro1” sear calculée avant la macro “macro2” : donc l'expression de macro2 peut utiliser la valeur $macro1. <a0>Using Apache::Session::MySQL</a0> <e1>(if you choose this option, then read <a2>how to increase MySQL performances</a2>)</e1> <a0>Utiliser Apache::Session::MySQL</a0> <e1>(il est alors conseillé de lire <a2>comment améliorer les performances de MySQL</a2>)</e1> Do not forget to add OBM in <a0>applications menu</a0>. Ne pas oblier d'ajouter OBM dans le <a0>menu des applications</a0>. <<s12>Files</s12> *.pl> <<s12>Files</s12> *.pl> Authentication with login/password Authentification par nom-de-compte/mot-de-passe syslog syslog In <c0>Protocol</c0>, adapt the <c1>scope</c1> to the exported attributes you want. Dans <c0>Protocole</c0>, adapter le <c1>scope</c1> à l'attribut exporté voulu. Parameters for LDAP backend are the same as <a0>LDAP configuration backend</a0>. Les paramètres pour le backend LDAP sont les mêmes que ceux du <a0>backend de configuration LDAP</a0>. When the user accept the notification, the reference is stored in his persistent session. Lorsque l'utilisateur accepte la notification, la référence est stockée dans ses données de session persistentes. The Secure Token Handler is a special Handler that create a token for each request and send it to the protected application. L'agent jeton sécurisé est un agent particulier qui crée un jeton pour chaque requête et l'envoie à l'application protégée. http://search.cpan.org/~mmims/Net-Twitter/ http://search.cpan.org/~mmims/Net-Twitter/ Authentication with Kerberos Authentification avec Kerberos Adapt the reload virtual host name to the domain you configured. Adapter le nom d'hôte virtuel de rechargement au domaine configuré. If the user has these values inside its entry: Si l'utilisateur dispose de ces valeurs dans son entrée : <s3># SSO protection</s3> <s3># Protection SSO</s3> (o/n) n Le nouveau rôle doit-il être autorisé à créer de nouveaux rôles ? (o/n) n Le nouveau rôle doit-il être autorisé à créer de nouveaux rôles ? This concerns all parameters for the Attribute Authority metadata section Ceci concerne tous les paramètres de la section « autorité d'attributs » des métadatas tar zxvf lemonldap-ng-*.tar.gz tar zxvf lemonldap-ng-*.tar.gz Redirection script Script de redirection <s153>//"userobm_samba_home" => ,</s153> <s153>//"userobm_samba_home" => ,</s153> Your old Apache configuration should have been saved, you need to port your specificities in new Apache configuration files: L'ancienne configuration Apache devrait avoir été sauvée, il faut réporter les changements locaux dans le nouveau fichier de configuration Apache : Secure Token Memcached servers Serveurs Memcached pour le jeton sécurisé <s0>Key</s0>: Service ID <s0>Clef</s0> : Service ID <s133>//"userobm_web_perms" => ,</s133> <s133>//"userobm_web_perms" => ,</s133> Customizable NameID formats are: Les formats de NameID personnalisables sont : Statistics are displayed when calling the status path on an Handler (for example: <a0>http://test1.example.com/status</a0>). Les statistiques sont affichées lors des appels au chemin du statut sur un agent (par exemple : <a0>http://test1.example.com/status</a0>). On CentOS/RHEL: Sur CentOS/RHEL : Please see the next chapter to learn how build an official tarball from SVN files. Voir le chapître suivant pour savoir comment construire une archive officielle depuis les fichiers SVN. Mail, Agenda, Groupware Mail, Agenda, Groupware <s0>error</s0>: if user has no access, an error is shown on the portal, the user is not redirected to <a1>CAS</a1> service <s0>error</s0> : si l'utilisateur n'a pas accès, une erreur est affichée sur le portail, l'utilisateur n'est pas redirigé vers le service <a1>CAS</a1> See also <a0>general kinematics presentation</a0>. Voir aussi la <a0>présentation de la cinématique générale</a0>. You can do it either by uploading the file, or get it from IDP metadata <a0>URL</a0> (this require a network link between your server and the IDP): Ceci peut être fait soit en téléchargeant le fichier, soit en l'obtenant par l'<a0>URL</a0> de métadatas de l'IDP (à condition d'avoir un lien réseau entre le serveur et l'IDP): In the Manager, select node <a0>SAML</a0> service providers and click on <c1>Add <a2>SAML</a2> SP</c1>. Dans le Manager, selectionner le noeud Fournisseurs d'identité <a0>SAML</a0> et cliquer sur <c1>Ajouter un IdP <a2>SAML</a2></c1>. You can define keys for <a0>SAML</a0> message signature and encryption. Vous pouver définir des clefs pour la signature et le chiffrement des messages <a0>SAML</a0>. Authentication context Class References (ACR) Références de classe de contexte d'authentification (ACR) http://www.liferay.com/ http://www.liferay.com/ A special <a0>URL</a0> is declared in application menu (like <a1>http://zimbra.example.com/zimbrasso</a1>) Une <a0>URL</a0> spéciale est declarée dans le menu des applications (telle <a1>http://zimbra.example.com/zimbrasso</a1>) mailTimeout mailTimeout Now you can compare the above result with the same request done trough the keytab file: Comparer maintenant le résultat ci-dessus avec la même requête effectuée au travers de la table de clefs : accept (or whatever you want) accept (ou la valeur désirée) applications:sympa_logo.png applications:sympa_logo.png dbiAuthChain dbiAuthChain Parameter list Liste des paramètres The location <a0>URL</a0> end is based on the <c1>service_id</c1> defined in Sympa apache configuration. La fin de l'<a0>URL</a0> est construite à partir du <c1>service_id</c1> defini dans la configuration Apache de Sympa. Extend variables using macros and groups Étendre les variables en utilisant les macros et groups Just configure the <a0>access rules</a0>. Configurer simplement la <a0>règle d'accès</a0>. But you can forward this key if it is really needed: Mais on peut le transmettre tout de même si nécessaire : Follow <a0>SOAP configuration backend</a0> page Suivre la documentation <a0>backend de configuration SOAP</a0> Authentication: will check user login in a header and create session without prompting any credentials (but will register client <a0>IP</a0> and creation date) Authentification : recherche le nom d'utilisateur dans un en-tête et crée la session sans exiger de mot-de-passe (mais enregistre l'adresse <a0>IP</a0> cliente et la date) Even if LL:NG can catch logout <a0>URL</a0> trough <a1>virtual host rules</a1>, you can have the need to forward a logout to other applications, to close their local sessions. Même si LL:NG peut intercepter les <a0>URL</a0> de déconnexion via les <a1>règles de d'hôte virtuel</a1>, on peut avoir besoin de propager la déconnexion à d'autres applications, pour clore leurs sessions locales. Note that <a0>SAML</a0> protocol is more secured than OpenID, so when your partners are known, prefer <a1>SAML</a1>. Noter que le protocole <a0>SAML</a0> est plus securisé que OpenID, ainsi si les partenaires sont connus, preférer <a1>SAML</a1>. jre > 1.4 jre > 1.4 twitterKey twitterKey Admin: can create surveys Admin : peut créer des surveillances Connection password Mot-de-passe de connexion You have then to declare HTTP headers exported by the main <a0>SSO</a0> (in <s1>Exported Variables</s1>). Déclarer ensuite les en-têtes HTTP exportés par le <a0>SSO</a0> principal dans “Variables » Variables exportées”. <s0>Use Safe jail</s0>: set to 'Off' to disable Safe jail. <s0>Utiliser la cage sécurisée</s0> : mettre à 'Désctivé' pour désactiver la cage sécurisée (Safe). For tests with the configured domain, launch the following : Pour les tests avec le domaine configuré, lancer : <s0>auto</s0>: display only if the user can access it <s0>auto</s0> : n'afficher que si l'utilisateur peut y accéder Go in Manager, <c0>General Parameters</c0> » <c1>Cookies</c1> » <c2>Multiple domains</c2> and set to <c3>On</c3>. Aller dans le manager, <c1>Paramètres généraux</c1> » <c2>Cookies</c2> » <c3>Domaines multiples</c3> et sélectioonner "activer" <s0>Server hostname</s0>: this is the hostname or <a1>IP</a1> address of the Radius server <s0>Nom d'hôte du serveur</s0> : le nom d'hôte ou l'adresse <a1>IP</a1> du serveur Radius <s0>Object class</s0>: objectClass of the groups (default: groupOfNames). <s0>Classe d'object</s0>: objectClass du groupe (défaut: groupOfNames). In this case, you might want to disabling it. Dans ces cas, on peut vouloir le désactiver. <s0>Application name</s0> (optional): Application name (visible in Twitter) <s0>Nom d'application</s0> (optionel) : nom de l'application (visible dans Twitter) <s0>my</s0> <s1>$cgi</s1> <s2>=</s2> <s3>new</s3> CGI<s4>;</s4> <s5>...</s5> <s0>my</s0> <s1>$cgi</s1> <s2>=</s2> <s3>new</s3> CGI<s4>;</s4> <s5>...</s5> <s15># Uncomment this to activate status module</s15> <s15># Décommenter ceci pour activer le module de statut</s15> <s1>ServerName</s1> auth.example.com   <s1>ServerName</s1> auth.example.com   Proxy backend to be used in conjunction with another configuration backend. Backend proxy à utiliser avec un autre backend de configuration. ^/forum/ ^/forum/ exportedVars exportedVars Available bindings are: Les déclarations disponibles sont : <s2>RewriteEngine</s2> <s3>On</s3> <s2>RewriteEngine</s2> <s3>On</s3> Reply address Adresse de réponse secureTokenHeader secureTokenHeader As <a1>LL::NG</a1> works like classic WebSSO (like Siteminder™), many other applications are easy to integrate. Comme <a1>LL::NG</a1> fonctionne comme un WebSSO classique (tel Siteminder™), de nombreuses applications sont faciles à integrer. </<s19>IfModule</s19>> </<s19>IfModule</s19>> http://www.switch.ch/aai/support/tools/wayf.html http://www.switch.ch/aai/support/tools/wayf.html <s162>//"userobm_nomade_datebegin" => ,</s162> <s162>//"userobm_nomade_datebegin" => ,</s162> Certificate Certificat <s0>Portal <a1>URL</a1></s0>: remote portal <a2>URL</a2> <s0>Portail <a1>URL</a1></s0>: <a2>URL</a2> du portail distant Configuration backend parameters Paramètres des backends de configuration See <a0>https://developers.facebook.com/apps</a0> on how to do that. Voir <a0>https://developers.facebook.com/apps</a0> pour en savoir plus. Authen::SASL Authen::SASL Proxy Proxy Authentication level Niveau d'authentification <a0>Session explorer</a0> will not work L'<a0>explorateur de session</a0> ne fonctionne pas Fail2ban Fail2ban <c0>cgi</c0> for the portal (or any CGI: it works like PHP-FPM for Perl !) <c0>cgi</c0> pour le portail (ou n'importe quelle CGI : ça fonctionne comme PHP-FPM pour Perl !) [lemonldap-ng] enabled = true port = http,https filter = lemonldap action = iptables-multiport[name=lemonldap, port="http,https"] logpath = /var/log/apache*/error*.log maxretry = 3 [lemonldap-ng] enabled = true port = http,https filter = lemonldap action = iptables-multiport[name=lemonldap, port="http,https"] logpath = /var/log/apache*/error*.log maxretry = 3 Then a user that try to access to one of the following <e0>will be granted</e0> ! Alors l'utilisateur qui tente d'accéder à l'une des URL suivantes <e0>sera autorisé</e0> ! <s0>Client ID</s0>: Client ID for this RP <s0>Identifiant</s0> : identifiant client de ce RP <s0>Key</s0>: application name <s0>Key</s0> : nom d'application Install all build dependencies (see BuildRequires in lemonldap-ng.<a0>spec</a0>) Installer toutes les dépendances de construction (voir BuildRequires dans lemonldap-ng.<a0>spec</a0>) Select <c0>Metadata</c0>, and unprotect the field to paste the following value: Selectionner <c0>Metadata</c0>, et déprotéger le champ pour y mettre : <s0>Requested authentication context</s0>: this context is declared in authentication request. <s0>Contexte d'authentification demandé</s0> : ce contexte est déclaré dans la requête d'authentification. <s61>'delete_user'</s61> <s62>=></s62> <s63>$_SERVER</s63><s64>[</s64><s65>'HTTP_AUTH_SUPERADMIN'</s65><s66>]</s66><s67>,</s67> <s61>'delete_user'</s61> <s62>=></s62> <s63>$_SERVER</s63><s64>[</s64><s65>'HTTP_AUTH_SUPERADMIN'</s65><s66>]</s66><s67>,</s67> Some examples: Quelques exemples: <s0>node2.example.com</s0>: <a1>DNS</a1> of the second <a2>LL::NG</a2> portal server (in cluster mode) <s0>node2.example.com</s0> : <a1>DNS</a1> du second portail <a2>LL::NG</a2> (en mode cluster) If no binding defined, the default binding in IDP metadata will be used. Si aucune méthode n'est définie, la méthode par défaut des métadatas de l'IDP sera utilisée. Each SREG attribute will be associated to a user session key. Chaque attribut SREG est associé à une clef de session utilisateur. Now you have access to the SP parameters list. Il est ensuite possible d'accéder à la liste des paramètre du SP : dbiChain dbiChain <s0>ID Token expiration</s0>: Expiration time of ID Tokens <s0>Expiration des jetons d'identité</s0>: Délai d'expiration des jetons d'identité authenticate user authentifier les utilisateurs Follow <a0>SOAP sessions backend</a0> page Suivre la documentation <a0>backend de sessions SOAP</a0> <s0>Force authentication</s0>: set to 'On' to force authentication when user connects to portal, even if he has a valid session <s0>Forcer l'authentification</s0> : mettre à 'Activé' pour forcer l'authentification lorsque l'utilisateur accède au portail même s'il dispose d'une session valide Captchas are available on the following forms: Les captchas sont disponibles sur les formulaires suivants : Session management Gestion de session <s0>Default</s0>: will this binding be used by default for authentication response. <s0>Défaut</s0> : déclaration utilisée par défaut pour les réponses d'authentification. user; admin user; admin Crypt::Rijndael Crypt::Rijndael For debugging, this valve can print some helpful information in debug level. Pour le debogage, cette valve peut tracer quelques information utiliser. To enable <a0>LL::NG</a0> authentication plugin, go in <c1>/etc/obm/obm_conf.inc</c1>: Pour activer le composant d'authentification <a0>LL::NG</a0>, aller dans <c1>/etc/obm/obm_conf.inc</c1>: <s0>Password</s0>: Connection password <s0>Mot-de-passe</s0> : mot-de-passe du compte de connexion <s0>getAttributes(cookieValue)</s0>: get elements stored in session <s0>getAttributes(cookieValue)</s0> : retourne les éléments stockés dans la session <s0>ldapConfBase</s0>: Notifications branch <a1>DN</a1>. <s0>ldapConfBase</s0> : <a1>DN</a1> de la branche des notifications. See <a0>performances</a0> to know how to use macros and groups in rules. Voir <a0>performances</a0> pour comprendre l'intérêt des macros et groupes dans les règles. the portal is in the declared domain le portail est dans le domaine déclaré The <a0>Yubikey</a0> is a small material token shipped by <a1>Yubico</a1>. <a0>Yubikey</a0> est un petit matériel d'authentification vendu par <a1>Yubico</a1>. Commands on Active Directory will be: Les commandes sur Active Directory : Your database must have a specific table to host sessions. Il faut dédier une table pour héberger les sessions. Operating System Système d'exploitation <a0>LL::NG</a0> portal is a modular component. Le portail <a0>LL::NG</a0> est un composant modulaire. <s0>Store user password in session data</s0>: see <a1>password store documentation</a1>. <s0>Stocker le mot-de-passe de l'utilisateur dans les données de session</s0> : voir la <a1>documentation sur le stockage du mot-de-passe</a1>. Browseable (SQL, Redis or LDAP) Browseable (SQL, Redis ou LDAP) LemonLDAP::NG will do some checks on configuration and display errors and warnings if any. LemonLDAP::NG effectue ensuite quelques tests sur la configuration et affiche les éventuelles erreurs et avertissements. <a0>Docker</a0> allows do run application into containers. <a0>Docker</a0> permet de lancer une application dans un conteneur. Enable protection on Manager, by editing <c0>lemonldap-ng.ini</c0>: Activer la protection du manager, en éditant <c0>lemonldap-ng.ini</c0>: Go in Manager, <c0>General parameters</c0> » <c1>Advanced parameters</c1> » <c2>Security</c2>: Aller dans le manager, <c0>Paramètres généraux</c0> » <c1>Paramètres avancés</c1> » <c2>Sécurité</c2> : internal variables, managed by LemonLDAP::NG les variables internes, gérées par LemonLDAP::NG You must register SP metadata here. Il faut enregistrer les métadatas du SP ici. screenshots:1.1:mailreset:mailreset_step2.png screenshots:1.1:mailreset:mailreset_step2.png Configuration objects use standard object class: <c0>applicationProcess</c0>. Les objets de configuration utilisent une classe d'objet standard : <c0>applicationProcess</c0>. Currently, the module is simply handling a Radius Authentication request and has been tested only against a FreeRadius server. Actuellement, ce module traite simplement une requête d'authentification Radius et n'a été testé que sur un serveur FreeRadius. vi /etc/sympa/auth.conf vi /etc/sympa/auth.conf Form replay data les données à rejouer dans les formulaires On <a0>LL::NG</a0> server, edit <c1>/etc/krb5.conf</c1>: Sur le serveur <a0>LL::NG</a0>, éditer <c1>/etc/krb5.conf</c1> : Yubikey client ID ID client Yubikey <a0>LL::NG FastCGI</a0> server must be loaded separately. Le serveur <a0>FastCGI LL::NG</a0> doit être lancé séparemment. Configure the portal to use the remote <a0>LL::NG</a0> structure. Configurer le portail pour qu'il utilise le système <a0>LL::NG</a0> distant. Set also the configuration <a3>URI</a3> with <a4>https://accounts.google.com/.well-known/openid-configuration</a4>, and JWKS refresh, for example every day: 86400. Préciser alors l'<a3>URI</a3> de configuration avec <a4>https://accounts.google.com/.well-known/openid-configuration</a4>, et le rafraîchissement JWKS, par exemple pour chaque jour : 86400. This is the default configuration backend. C'est le backend de configuration par défaut. The date format is the LDAP date syntax, for example for the 1st March 2009: Le format de date est celui de la syntaxe des dates LDAP, par exemple pour le 1er Mars 2009 : http://auth.example.com/saml/metadata http://auth.example.com/saml/metadata <s25># another HTML code</s25> <s26>}</s26> <s25># autre code HTML</s25> <s26>}</s26> Go in the Manager and set the session module (for example <a0>Apache::Session::Postgres</a0> for PostgreSQL) in <c1>General parameters</c1> » <c2>Sessions</c2> » <c3>Session storage</c3> » <c4>Apache::Session module</c4> and add the following parameters (case sensitive): Aller dans le Manager et choisir le module de session (par exemple <a0>Apache::Session::Browseable::Postgres</a0> pour PostgreSQL) dans <c1>Paramètres généraux</c1> » <c2>Sessions</c2> » <c3>Stockage des sessions</c3> » <c4>Module Apache::Session</c4> et ajouter les paramètres suivants (sensible à la casse): Build <a0>cookie(s)</a0> Construit le ou les <a0>cookies</a0> These options can then be overridden for each Identity Provider. Ces options peuvent être surchargées pour chaque fournisseur d'identité. authenticate users authentifier les utilisateurs <s0><s1><md:EntityDescriptor</s1> <s2>entityID</s2>=<s3>"google.com"</s3> <s4>xmlns</s4>=<s5>"urn:oasis:names:tc:SAML:2.0:metadata"</s5> <s6>xmlns:ds</s6>=<s7>"http://www.w3.org/2000/09/xmldsig#"</s7> <s8>xmlns:md</s8>=<s9>"urn:oasis:names:tc:SAML:2.0:metadata"</s9><s10>></s10></s0> <s0><s1><md:EntityDescriptor</s1> <s2>entityID</s2>=<s3>"google.com"</s3> <s4>xmlns</s4>=<s5>"urn:oasis:names:tc:SAML:2.0:metadata"</s5> <s6>xmlns:ds</s6>=<s7>"http://www.w3.org/2000/09/xmldsig#"</s7> <s8>xmlns:md</s8>=<s9>"urn:oasis:names:tc:SAML:2.0:metadata"</s9><s10>></s10></s0> ldapGroupObjectClass ldapGroupObjectClass <s0>get_key_from_all_sessions</s0>: list all sessions and return asked keys <s0>get_key_from_all_sessions</s0> : liste toutes les sessions et retourne les clefs demandées $uid eq "bart.simpson" $uid eq "bart.simpson" Just run the tar command: Lancer implement la commande tar : Fields: Champs : customfooter.tpm : <a0>HTML</a0> code in the footer div customfooter.tpm : code <a0>HTML</a0> inséré dans le div de pied-de-page <s0>Success mail content</s0> (optional): Content of mail sent when password is changed <s0>Contenu du message</s0> (optionnel) : contenu du courriel envoyé lorsque le mot-de-passe est changé Examples: Exemples : <s0>Anti iframe protection</s0>: will kill parent frames to avoid some well known attacks <s0>Protection anti-iframe</s0> : ferme la frame parente pour éviter des attaques bien connues insert a loop around the <a0>HTML</a0> printing, starting with the object creation <e1>(→new)</e1> insérer une boucle autour de l'affichage <a0>HTML</a0>, démarrant avec la création de l'objet <e1>(→new)</e1> # SOAP functions for notification insertion (disabled by default) # Fonctions SOAP pour insérer des notifications (désactivées par défaut) </<s15>Files</s15>>   </<s15>Files</s15>>   An Apache session module was created by <a0>LL::NG</a0> team to store sessions in an LDAP directory. Un module Apache::Session a été créé par l'équipe de développement de <a0>LL::NG</a0> pour stocker les sessions dans un annuaire LDAP. Fill values here: Renseigner les valeurs ici : checkLogonHours($ssoLogonHours, '', '', '1') checkLogonHours($ssoLogonHours, '', '', '1') You can change it quick with a sed command. On peut le changer rapidement par une commande sed. netid_http_header HTTP_AUTH_USER netid_http_header HTTP_AUTH_USER <a0>Outlook Web App</a0> <br1/> <a0>Outlook Web App</a0> <br1/> <a0>WebID</a0> is a way to uniquely identify a person, company, organisation, or other agent using a <a1>URI</a1> and a certificate. <a0>WebID</a0> est un moyen d'identification unique de personnes, entreprises, organisation, ou autre agent en utilisant une <a1>URI</a1> et un certificat. You can use #PORTAL# in values to replace the portal <a0>URL</a0>. Vous pouvez utiliser le mot clef #PORTAL# dans les valeurs pour remplacer l'<a0>URL</a0> du portail. Identity provider Fournisseur d'identité The integration with <a0>LL::NG</a0> is the following: L'intégration avec <a0>LL::NG</a0> est la suivante : <s0>Value</s0>: SREG attribute name: <s0>Valeur</s0> : noms d'attributs SREG : It is recommended to use optional_no_ca since WebID doesn't use certificate authorities : Il est recommandé d'utiliser « optional_no_ca » car WebID n'utilise pas d'autorité de certification : It will answer to OpenID Connect requests to give user identity (trough ID Token) and information (trough User Info end point). Il répond aux requêtes OpenID-Connect pour délivrer l'identité de l'utilisateur (via un jeton identifiant) et des informations (via le point d'accès "User Info"). To learn more about using Apache as reverse-proxy, see <a2>Apache documentation</a2>. Pour en savoir plus sur l'utilisation d' Apache en reverse-proxy, consultez la <a2>documentation d'Apache</a2>. http://search.cpan.org/~speeves/Apache2-AuthenNTLM-0.02/AuthenNTLM.pm http://search.cpan.org/~speeves/Apache2-AuthenNTLM-0.02/AuthenNTLM.pm They can then be forwarded to applications trough <a0>HTTP headers</a0>. Ils peuvent être transférés aux applications via les <a0>en-têtes HTTP</a0>. Dokuwiki virtual host in Manager Hôte virtuel Dokuwiki dans le manager As J2EE servlet container, Tomcat provides standard security feature, like authentication: the application deployed in Tomcat can delegate its authentication to Tomcat. Comme conteneur de servlet J2EE, Tomcat fournit les fonctionnalités de sécurité standards, telles l'authentification : une application déployée dans Tomcat peut déléguer son authentification à Tomcat. The default rule is: La règle par défaut est : jQuery <a0>URL</a0>: http://ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js (if you let this parameter empty, jQuery is supposed to be already loaded; you can also set <c1>default</c1> to point to jQuery <a2>URL</a2> of <a3>LL::NG</a3> portal) <a0>URL</a0> jQuery : http://ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js (si ce paramètre est vide, jQuery est supposé être déjà chargé ; on peut aussi mettre <c1>default</c1> pour pointer vers l'<a2>URL</a2> jQuery du portail <a3>LL::NG</a3>) Define at least: Definir au moins : Extraction Extraction Use MySQL for Lemonldap::NG sessions Utiliser MySQL pour les sessions de Lemonldap::NG You can then add the Manager as <a0>an application in the menu</a0>. On peut aussi ajouter le manager dans les <a0>applications du menu</a0>. Facebook Facebook Rules can also be used to intercept logout <a0>URL</a0>: Les règles peuvent également être utilisées pour intercepter les <a0>URL</a0> de déconnexion : To configure your new skin in Manager, select the custom skin, and enter your skin name in the configuration field. Pour configurer le nouveau thème dans le manager, selectionner le thème personnalisé et entrer le nom du nouveau thème dans le champ. The <a0>LDAP schema extension</a0> can be used to store this value. L'<a0>extension de schéma LDAP</a0> peut être utilisée pour stocker cette valeur. <s0>Port</s0>: port of the application (by default, 80 for http, 443 for https) <s0>Port</s0> : port de l'application (par défaut, 80 pour http, 443 pour https) </<s7>Location</s7>>   </<s7>Location</s7>>   Use redirect on error Utiliser les redirections en cas d'erreur <s0>HTTPS</s0>: use https as protocol <s0>HTTPS</s0> : utilise https comme protocole <s0>Identity provider</s0>: <a1>LL::NG</a1> is able to provide identity service using: <s0>Fournisseur d'identité</s0> : <a1>LL::NG</a1> peut fournir un service d'identité en utilisant : Any <a0>CAS</a0> consumer N'importe quel client <a0>CAS</a0> Since 4.0 release, it offers an easy way to configure <a0>SSO</a0> thanks to authentication subsystems. Depuis la version 4.0, il permet facilement de configurer un <a0>SSO</a0> grace au sous-système d'authentification. (default: <c1>find</c1>) (défaut: <c1>find</c1>) Liferay virtual host in Manager Hôte virtuel Liferay dans le manager Go in the Manager and set the session module to <c0>Apache::Session::Browseable::LDAP</c0>. Aller dans le manager et mettre le module de session à <c0>Apache::Session::Browseable::LDAP</c0> To configure warning before password expiration, you must set two variables in Active Directory parameters in Manager: Pour configurer l'avertissement vant expiration, il faut indiquer deux variables des paramètres Active Directory dans le Manager: HTTP headers: forge information sent to protected applications En-têtes HTTP : construit l'information à envoyer aux applications protégées <s135>//"userobm_web_all" => ,</s135> <s135>//"userobm_web_all" => ,</s135> Just set the <a3>LL::NG</a3> Handler <a4>IP</a4> on this attribute in order to add more security. Indiquer seulement l'adresse <a4>IP</a4> du handler <a3>LL::NG</a3> dans cet attribut pour ajouter plus de sécurité. <a0>Spring Security</a0> is the new ACEGI name. <a0>Spring Security</a0> est le nouveau nom d'ACEGI. If <c0>OpenID login</c0> is not set, it uses <c1>General Parameters</c1> » <c2>Logs</c2> » <c3>REMOTE_USER</c3> data, which is set to <c4>uid</c4> by default Si l'<c0>identifiant OpenID</c0> n'est pas renseigné, la donnée <c1>Paramètres généraux</c1> » <c2>Journalisation</c2> » <c3>REMOTE_USER</c3> est utilisée, mise à <c4>uid</c4> par défaut Notifications Notifications Same with remote server configured with the same host name: La même chose avec le serveur distant configuré avec le même nom d'hôte : XML menu configuration is deprecated. XML menu configuration is deprecated. # Insert $_user in logs # Insérer $_user dans les journaux Binaries install : Installer les exécutables : SAP SAP <s0>Sign-out page <a1>URL</a1></s0>: this in not the SLO access point (Google Apps does not support SLO), but the main logout page. <s0>Sign-out page <a1>URL</a1></s0>: il ne s'agit pas du point d'accès de déconnexion globale (SLO) (Google Apps ne le supporte pas), mais de la page de déconnexion. Display deleted sessions Affiche les sessions effacées To view a configuration parameter, for example portal <a0>URL</a0>: Pour voir un paramètre de configuration, par exemple l'<a0>URL</a0> du portail : More information about Safe on <a0>CPAN</a0> Plus d'information sur Safe sur le <a0>CPAN</a0> Server time Horloge des serveurs Databases Bases de données Environment variables will not be queried in users database. Les variables d'environnement ne seront pas demandées à la base de données utilisateurs. For each binding you can set: Pour chaque déclaration, vous pouvez indiquer : purge old sessions purger les anciennes sessions <a0>Identity provider</a0>: how forward user identity <a0>Fournisseur d'identité</a0> : comment transférer l'identité Go in <c0>General Parameters</c0> » <c1>Issuer modules</c1> » <c2><a3>SAML</a3></c2> and configure: Dans le manager, aller dans <c0>Paramètres généraux</c0> > <c1>Modules fournisseurs</c1> » <c2><a3>SAML</a3> et configurer : You need to register a new application on Facebook to get an application ID and a secret. Il faut enregistrer la nouvelle application dans Facebook pour obtenir un identifiant d'application et un secret. Then use the <c0>SiteMinder</c0> tab to configure <a1>SSO</a1>: Utiliser ensuite le paragraphe <c0>SiteMinder</c0> pour configurer le <a1>SSO</a1> : These options are only here to override default values. Ces options ne sont à utiliser que pour surcharger les valeurs par défaut. Required : Requis : See the README to know how install and configure it. Voir le README pour l'installer et le configurer. </<s15>Location</s15>>   </<s15>Location</s15>>   ldapgroups -> memberOf ldapgroups -> memberOf Install cron jobs Installer les tâches planifiées (cron) <a0>LL::NG</a0> publish its OpenID Connect metadata to ease the configuration of client. <a0>LL::NG</a0> publie ses métadonnées OpenID-Connect pour faciliter la configuration du client. General performances Performances générales In this case, authentication is not a response to an issued authentication request, and we have less control on conditions. Dans ce cas, l'authentification n'est pas une réponse à une requête d'authentification ce qui diminue les capacités de contrôle. See <a2>https://doc.integ01.dev-franceconnect.fr/fs-scopes</a2> Voir <a2>https://doc.integ01.dev-franceconnect.fr/fs-scopes</a2> <s0><s1><?xml</s1> <s2>version</s2>=<s3>'1.0'</s3> <s4>encoding</s4>=<s5>'utf-8'</s5><s6>?></s6></s0> <s7><s8><tomcat-users<s9>></s9></s8></s7> <s0><s1><?xml</s1> <s2>version</s2>=<s3>'1.0'</s3> <s4>encoding</s4>=<s5>'utf-8'</s5><s6>?></s6></s0> <s7><s8><tomcat-users<s9>></s9></s8></s7> install_libs (all Perl libraries) install_libs (toutes les librairies Perl) Get the packages Obtenir ces paquets User can now access to the protected application L'utilisateur peut maintenant accéder aux applications <s0>Display name</s0>: Name of the RP application <s0>Affichage</s0> : Nom de l'application RP Installation on Debian/Ubuntu with packages Installation sur Debian/Ubuntu avec les paquets 'default_expires_in' => 600,? 'default_expires_in' => 600,? <s0>$ldapservers</s0><s1>-></s1><s2>SetValue</s2><s3>(</s3><s4>$i</s4><s5>,</s5><s6>'server'</s6><s7>,</s7><s8>'auth_type'</s8><s9>,</s9><s10>'config'</s10><s11>)</s11><s12>;</s12> <s13>$ldapservers</s13><s14>-></s14><s15>SetValue</s15><s16>(</s16><s17>$i</s17><s18>,</s18><s19>'login'</s19><s20>,</s20><s21>'dn'</s21><s22>,</s22><s23>'cn=Manager,dc=example,dc=com'</s23><s24>)</s24><s25>;</s25> <s26>$ldapservers</s26><s27>-></s27><s28>SetValue</s28><s29>(</s29><s30>$i</s30><s31>,</s31><s32>'login'</s32><s33>,</s33><s34>'pass'</s34><s35>,</s35><s36>'secret'</s36><s37>)</s37><s38>;</s38> <s0>$ldapservers</s0><s1>-></s1><s2>SetValue</s2><s3>(</s3><s4>$i</s4><s5>,</s5><s6>'server'</s6><s7>,</s7><s8>'auth_type'</s8><s9>,</s9><s10>'config'</s10><s11>)</s11><s12>;</s12> <s13>$ldapservers</s13><s14>-></s14><s15>SetValue</s15><s16>(</s16><s17>$i</s17><s18>,</s18><s19>'login'</s19><s20>,</s20><s21>'dn'</s21><s22>,</s22><s23>'cn=Manager,dc=example,dc=com'</s23><s24>)</s24><s25>;</s25> <s26>$ldapservers</s26><s27>-></s27><s28>SetValue</s28><s29>(</s29><s30>$i</s30><s31>,</s31><s32>'login'</s32><s33>,</s33><s34>'pass'</s34><s35>,</s35><s36>'secret'</s36><s37>)</s37><s38>;</s38> <s0>authpwd.example.com</s0>: <a1>DNS</a1> of the <a2>LL::NG</a2> portal (to failback to a form based authentication) <s0>authpwd.example.com</s0> : <a1>DNS</a1> du portail <a2>LL::NG</a2> (pour retomber sur un formulaire d'authentification) See <a0>SAML service</a0> configuration chapter. Voir le chapître de configuration du <a0>service SAML</a0>.