TOOLinux

Le journal du Libre

Sortie de LemonLDAP::NG 1.0 !

lundi 6 décembre 2010

Il ne faut évidemment pas se fier au numéro de version, LemonLDAP::NG est un logiciel qui a vu le jour il y a plusieurs années, au sein du Ministère des Finances et de la Gendarmerie Nationale. La version 1.0 marque la stabilisation d’un certain nombre de fonctionnalités et l’arrivée de modules très importants, comme les fournisseurs d’identité CAS, SAML et OpenID. Une attention toute particulière a été accordée à la gestion de la configuration, qui pouvait être l’un des reproches fait aux précédentes versions, afin que les futures évolutions de versions soient beaucoup plus simple.

L’heure des présentations

Mesdames, messieurs, j’ai le plaisir de vous présenter LemonLDAP::NG, un logiciel libre d’authentification unique (WebSSO) et de contrôle d’accès aux applications Web.

Écrit en Perl et intégré directement au cœur du serveur HTTP Apache (à travers mod_perl), il analyse chaque flux HTTP pour d’une part vérifier les habilitations de l’utilisateur, et d’autre part enrichir la requête d’en-têtes HTTP pour transmettre les informations de session à l’application protégée. La cinématique complète est décrite ici.

Une de ses grandes forces est la simplicité d’intégration des applications. En effet, il suffit de lire une en-tête HTTP ou une variable d’environnement pour utiliser le WebSSO. Et c’est sans compter les applications qui sont nativement compatibles (OBM, Bugzilla, Dokuwiki, Linshare, etc.)

C’est en forgeant des en-têtes qu’on devient forgeron

À ses débuts, LemonLDAP::NG ne savait interagir qu’avec un annuaire LDAP pour authentifier les utilisateurs (d’où son nom). Aujourd’hui, il a bien mûri et peut utiliser les protocoles suivants :

  • LDAP
  • SQL
  • SSL X509
  • Apache built-in modules (Kerberos, NTLM , OTP, …)
  • SAML 2.0 / Shibboleth
  • OpenID
  • Twitter
  • CAS

La grande nouveauté, c’est que LemonLDAP::NG est désormais fournisseur d’identités, c’est-à-dire qu’il peut transmettre l’identité d’un utilisateur à d’autres services en passant par des protocoles standards :

Il SAML de quoi ?

C’est sur SAML que le travail a été le plus important, ce qui explique le laps de temps entre la précédente version (0.9.4.1 en octobre 2009) et celle-ci. Toutefois l’attente n’aura pas été vaine puisque LemonLDAP::NG est désormais :

  • Fournisseur de service (conforme SP Lite)
  • Fournisseur d’identités (conforme IDP Lite)
  • Autorité d’attributs
  • Fournisseur d’identités mandataire (Proxy IDP)

Cela a été rendu possible par l’utilisation de la librairie GPL Lasso (cf. article sur Lasso). L’interaction a été bénéfique aux deux logiciels puisque la dernière version de Lasso (2.3) a bénéficié de nombreux tests et rapports d’anomalies issus du développement de LemonLDAP::NG.

Il y en a un peu plus, je vous le mets quand même ?

L’enrichissement des modules d’authentification et de fournisseur d’identités est certes une avancée majeure pour LemonLDAP::NG, mais la nouvelle version apporte également d’autres améliorations notables :

  • Refonte de l’interface de configuration (Manager) et de l’explorateur de sessions, avec une utilisation intensive de jQuery et jQuery UI.
  • Nouveau thème (dark) pour le portail, ce qui porte à 3 le nombre de thèmes fournis par défaut.
  • Possibilité de configurer les paramètres de redirection (port et HTTPS) pour chaque hôte virtuel, et non plus de manière globale par serveur physique.
  • Configuration graphique du rejeu de formulaire, avec support des hôtes virtuels.
  • Handler Zimbra.
  • Choix d’authentification au niveau du portail.
  • Fusion des fichiers de configuration locaux dans un fichier unique au format INI.
  • Refonte du menu des applications pour une meilleure présentation des catégories et des applications.
  • Dépôts YUM et Debian.
  • Nouveau wiki.
  • ...

L’ensemble des changements est visible sur le projet JIRA.

Merci, merci

LemonLDAP::NG est avant tout le fruit de la collaboration entre la Gendarmerie Nationale et la société LINAGORA.Cette nouvelle version a monopolisé ces deux acteurs sur l’année qui vient de s’écouler.

Le support du SAML a été réalisé avec la collaboration de la société Entr’ouvert (éditrice de Lasso).

Bien évidemment, tous les utilisateurs qui ont pu tester les versions candidates et qui ont fait des retours précieux ont grandement contribué à la sortie de la version 1.0.

Vous pouvez retrouver LemonLDAP::NG à travers l’offre LinID de LINAGORA, par le module LinID Access Manager.

J’espère au nom de toute l’équipe de LemonLDAP::NG que cette nouvelle version comblera vos attentes, et vous donnera l’envie de parler de ce projet autour de vous. En attendant, n’hésitez pas à nous rejoindre !

Quelques liens pour la root

Clément Oudot