LemonLDAP-NG/fr

Mainteneur

Daniel B.
Firewall Services
mailto:daniel@firewall-services.com

Description

LemonLDAP::NG offre une protection AAA (Authentification Autorisation Historique - « Accounting ») complète :

• Authentification : les informations d'identification sont nécessaires pour ouvrir la session SSO (cf. ci-dessous) ;
• Autorisation : les règles d'accès sont vérifiées pour chaque requête HTTP ;
• Historique : chaque connexion est enregistrée.

Le principal avantage de l'utilisation de LemonLDAP::NG est que les utilisateurs n'ont besoin de se connecter qu'une seule fois sur le portail LemonLDP::NG. Ensuite, toutes les applications configurées pour être protégées par LemonLDAP::NG reconnaîtront l'utilisateur. Cela s'appelle SSO (Single Sign On). LemonLDAP::NG est très flexible, vous pouvez utiliser différents arrière-plans pour la base de données des informations utilisateur, la vérification des mots de passe, etc.

Cette contribution utilise le serveur LDAP interne pour tout. Par défaut, tout sera pré-configuré, donc tous les utilisateurs pourront avoir un accès, avec leur mot de passe normal. L'appartenance à un groupe est également utilisable pour écrire des règles d'accès.

Cette page décrit uniquement le processus d'installation sur un serveur SME KOOZALI. Pour un guide complet sur la façon d'utiliser et de configurer LemonLDAP::NG, veuillez vous référer à la documentation officielle (en anglais).

Spécifications requises

LemonLDAP-NG a été développé et testé uniquement sur les versions 8 et 9 de KOOZALI SMEServeur, et ne sera pas adapté pour fonctionner sur SME 7.

Vous avez également besoin des dernières mises à jour du dépôt « smeupdates-testing ».

yum --enablerepo=smeupdates-testing update
signal-event post-upgrade
signal-event reboot

Installation sur les versions 8.x et 9.x

Configurer le dépôt « Firewall-Services » :

db yum_repositories set fws repository \
BaseURL http://repo.firewall-services.com/centos/\$releasever \
EnableGroups no GPGCheck yes \
Name "Firewall Services" \
GPGKey http://repo.firewall-services.com/RPM-GPG-KEY \
Visible yes status disabled
signal-event yum-modify

Configurer les dépôts Epel et Dag (choisir le dépôt convenable en fonction de la version de votre serveur SME - 8 ou 9).

• Installer les paquets rpm

yum --enablerepo=fws --enablerepo=epel --enablerepo=dag install smeserver-lemonldap-ng

• Maintenant, appliquer la configuration requise :

signal-event webapps-update
db configuration set UnsavedChanges no

Configuration

Cette contribution créera automatiquement deux nouveaux domaines :

• sso-manager.domain.tld : ce domaine est utilisé pour accéder à l'interface de gestion LemonLDAP (configuration et explorateur de session) ;
• auth.domain.tld : ce domaine est le portail d'authentification.

Ces domaines fonctionneront dès le départ à partir du réseau interne si vous utilisez votre serveur SME comme DNS, sinon, vous devrez ajouter ces deux noms d'hôte dans votre serveur DNS. Vous devez également ajouter ces noms d'hôte dans votre serveur DNS externe si vous souhaitez que le portail fonctionne depuis l'extérieur.

La plupart de la configuration de LemonLDAP::NG est disponible sur https://sso-manager.domain.tld/. Vous devrez vous connecter en utilisant les informations d'identification d'administrateur de votre serveur pour accéder à cette page (identifiant : admin). Ne pas s'affoler si sso-manager.domain.tld devient auth.domain.tld à la saisie ; une fois la connexion réussie, le nom de domaine sso-manager.domain.tld revient...

Options additionelles

Certains paramètres sont disponibles dans la base de données :

• ManagerAuth : si vous souhaitez que l'interface du gestionnaire (https://sso-manager.domain.tld) ​​soit auto-protégée (LemonLDAP protège sa propre interface de gestion), vous pouvez configurer la propriété sur self. Vous devez d'abord vous assurer que l'authentification au portail fonctionne.
• Reload : une liste de gestionnaires supplémentaires pour appeler les rechargements de configuration. Ce paramètre n'est utile que si vous connectez un autre gestionnaire sur différentes machines physiques (en utilisant l'arrière-plan Soap, par exemple, pour accéder à la base de données de configuration et de session). Cela doit se présenter sous la forme d'une liste séparée par des virgules :

db configuration setprop lemonldap Reload server1=https://server1.domain.tld/reload,server2=https://reload.domain.tld

• SoapAllowFrom : une liste séparée par des virgules des adresses IP et/ou réseaux qui auront accès aux ressources SOAP (/sessions, /config, etc.). Cela n'est nécessaire que si vous configurez le gestionnaire distant pour utiliser l'arrière-plan Soap pour accéder aux sessions et aux bases de données de configuration.
• SoapPassword : toutes les ressources de Soap sont protégées par une restriction IP (voir SoapAllowFrom), et un nom d'utilisateur/mot de passe (authentification de base). Le nom d'utilisateur est lemonsaop, et le mot de passe est la valeur de cet propriété (le mot de passe par défaut est généré aléatoirement).

Exemple :

db configuration setprop lemonldap Reload lamp.firewall-services.com=https://lamp.firewall-services.com/lm-reload SoapAllowFrom 10.11.12.13
signal-event webapps-update

Domain Name change

When you first install this contrib, the main domain name is used in the default LemonLDAP configuration. If you later change the main domain name, you'll need to adapt LemonLDAP configuration manually (using https://sso-manager.domain.tld/)

How-to protect applications

Here's quick guide on how to protect an web application with LemonLDAP::NG on SME Server:

• First, you can install your application (for example in /opt/myapp)
• Now, you need to create a custom template to make this application available from the web. LemonLDAP::NG uses VirtualHosts to protect different applications, so it's recommended to not create alias on the primary domain in your custom-template. A dedicated virtualhost will be created later to access the application. Here's a example of custom-template:

# MyApp configuration

<Directory /opt/myapp>
    AllowOverride None
    SSLRequireSSL on
    AddType application/x-httpd-php .php
    php_admin_value open_basedir /opt/myapp:/tmp
    order deny,allow
    deny from all
    allow from {"$localAccess $externalSSLAccess";}
    Satisfy all
</Directory>

Ok, now the application is ready to be served, but is not accessible yet (because there's no alias to make this application accessible).

• Create a domain for this application

db domains set myapp.domain.tld domain Content Primary \
Description 'My App' DocumentRoot /opt/myapp Authentication LemonLDAP \
Nameservers internet TemplatePath WebAppVirtualHost
signal-event domain-create myapp.domain.tld

It's important to set TemplatePath to WebAppVirtualHost. Those templates are provided by smeserver-webapps-common package (automatically installed, as it's need by LemonLDAP). Those templates make it easy to protect any virtualhost by LemonLDAP::NG

• Ok, now your application is available from this addresse https://myapp.domain.tld/ but you'll get a access denied if you try to access it now. The last step is to declare myapp.domain.tld in LemonLDAP::NG. This is done using the configuration manager (https://sso-manager.domain.tld). You can then set the access rules you want. You can read the project documentation for this part, especially this page [1]

Troubleshoot

LemonLDAP logs are sent in apache error logs (/var/log/httpd/error_log)

Backup and Restore

You should backup the directory /var/lib/lemonldap/conf and /var/lib/lemonldap-ng/notifications/ which is where configuration and notifications are stored

Uninstall

If you want to remove the contrib, just run:

yum remove lemonldap-ng

Source

The source for this contrib can be found in Firewall-Services's repository.

---