Planet LINAGORA

OpenLDAP Manager - LinID OpenLDAP Manager 0.5 released

2012-01-30T09:33:20+00:00

We are proud to announce a new release of LinID OpenLDAP Manager.

LinID OM is a graphical web console dedicated to OpenLDAP configuration (using cn=config backend). This allows administrator to edit OpenLDAP configuration with a simple web browser, without any other access to the server (no OpenLDAP restart needed on configuration update). LinID OM is released under AGPLv3.

This release is a first step for this software, as for now only some configuration items are managed:

Global configuration
Frontend configuration
Backends and overlays configuration

Particularly, LinID OM is not able to:

Edit LDAP schema (branch cn=schema,cn=config)
Edit modules (branch cn=modules,cn=config)

We would like to thank all contributors for their help:

Sébastien BAHLOUL (founder of the project)
François ARMAND
Raphaël OUAZANA
Clément OUDOT

Please read LinID OpenLDAP Manager documentation to go further.

Directory Manager - LinID Directory Manager 1.0 released

2012-01-17T13:27:18+00:00

LinID DM 1.0 was released today, to set our different artifact version and start the migration to Tapestry 5.3, planned for version 2.0.

LinID DM 1.0 is the collection of the following artifacts:

authorization 0.8
core 1.3
linid-dm-parent 1.0
sample 0.8
wui 0.8

LDAP Tool Box - OpenLDAP 2.4.28 RPMs available for CentOS 5 and CentOS 6

2012-01-05T17:12:08+00:00

New OpenLDAP 2.4.28 RPMs are available, including OpenLDAP init script version 1.4. And for the first time, CentOS 6 RPMs are here!

They include:

SSL
SASL
All overlays
HDB/BDB backend
MDB backend
LDAP backend
SLAPI support
LTB-project OpenLDAP init script (v1.4)
LTB-project check password policy module (v1.1)
Logrotate script
Preconfigured DB_CONFIG
Contributed overlays
- lastbind
- smbk5pwd

The OpenLDAP changelog can be found here: http://www.openldap.org/software/release/changes.html

Download them here: http://ltb-project.org/wiki/download#openldap

LDAP Tool Box - OpenLDAP init script 1.4 released

2012-01-05T10:30:39+00:00

A new version of the OpenLDAP init script was released today.

The big new feature is the capacity of saving and restoring the configuration: you can now easily update your cn=config by editing the LDIF dump and restore it.

Changes:

Bug #315: Bug in initscript when backup option is used
Bug #380: Starting slapd when slapd is already running should exit 0 instead of 1
Bug #382: Init script lies when saying which port is active
Feature #371: Init script shouldn't always exit 0 when status is not running
Feature #373: Add backupconfig and restoreconfig actions
Feature #374: When restarting, check configuration before stopping slapd

Download it here: http://ltb-project.org/wiki/download#openldap

Sortie de Self Service Password 0.7

2011-12-22T10:43:00+00:00

Présentation

Self Service Password est une interface web très simple permettant à un utilisateur de changer son mot de passe dans un annuaire LDAP. Cet annuaire peut être Active Directory ou un annuaire LDAP conforme au standard.

Le logiciel est en PHP, sous licence GPL.

Fonctionnalités principales

Mode Samba (pour les mots de passe NT et LM)
Mode Active directory (pour les mots de passe AD), avec déverrouillage et réinitialisation à la prochaine connexion
Mode Shadow account
Politique des mots de passe locale :
- Taille minimale/maximale
- Caractères interdits
- Compteurs pour les majuscules, minuscules, chiffres et caractères spéciaux
- Non réutilisation du mot de passe actuel
- Complexité (nombre de classes de caractères différentes)
Messages d'aide
Réinitialisation par questions/réponses
Réinitialisation par un challenge par mail
reCAPTCHA (Google API)
Notification par mail après changement de mot de passe

L'application est désormais disponible en 8 langues : anglais, français, allemand, espagnol, brésilien, néerlandais, catalan et polonais !

Quelques liens

LDAP Tool Box - Self Service Password version 0.7

2011-12-22T10:02:52+00:00

Self Service Password version 0.7¶

Presentation¶

Self Service Password is a PHP application that allows users to change their password in an LDAP directory (including Active Directory). If password is lost, it can be reset trough questions, a or by a mail challenge.

More information and screenshots:
http://ltb-project.org/wiki/documentation/self-service-password

Download page:
http://ltb-project.org/wiki/download#self_service_password

Changelog¶

Summary¶

New languages: Polish and Catalan
Automatic language detection
New options for Active Directory and Shadow account
Better management of PHP libraries test
Various bug fixes

Details¶

Bug #343: Crypt tokens needs php5-mcrypt
Bug #346: DIsabled accounts
Bug #347: PHP libraries test are bypassed
Bug #361: Self Service Password - wrong link in mail notification
Bug #362: Self Service Password - register an answer, error with date
Bug #378: Wrong mb_encode_mimeheader in send_mail function - SSP
Feature #329: automatic Language detection
Feature #330: Configuration for reCAPTCHA
Feature #340: Catalan translation
Feature #345: Account unlock
Feature #352: Add shadowLastChange configuration
Feature #358: Option to force password change in AD
Feature #376: Polish translation

Thanks¶

Thanks to contributors:

Remi V.
Terry McMahon
Yann Bajard
Krzysztof Stryjek
Roy Kaldung
Carlos Sicilia
David Dumortier
Olli Janatuinen

Sortie des RPMs OpenLDAP 2.4.28 sur LDAP Tool Box Project

2011-12-02T17:05:00+00:00

La version 2.4.28 d'OpenLDAP est sortie en début de semaine, et les RPMs du projet LDAP Tool Box ont suivi peu après.

Ces RPMs apportent les fonctionnalités suivantes:

Backend BDB, HDB, MDB et LDAP
Tous les overlays officiels
Certains overlays "contrib" (lastbind et smbk5pwd)
Support SSL (via OpenSSL)
Support de la délégation SASL
Support SLAPI
Autoconfiguration de la rotation des logs
Script d'initialisation en version 1.3
Module pwdChecker pour la politique des mots de passe

Le script d'initialisation propose de nombreuses fonctionnalités, comme la sauvegarde et la restauration des données. Ces simples commandes suffisent:

# service slapd backup
# service slapd restore

Il permet également de démarrer simplement OpenLDAP en mode debug:

# service slapd debug

Ce script est bien entendu compatible avec cn=config, et permettra dans sa prochaine version la sauvegarde et restauration de la configuration :

# service slapd backupconfig
# service slapd restoreconfig

Cette fonctionnalité sera fournie dans la prochaine version (1.4).

Pour télécharger tout ça, rendez-vous sur le site du projet LDAP Tool Box : http://ltb-project.org

LinShare - Linshare 0.9.7 release

2011-12-01T10:35:59+00:00

In this version, you can now disable autocomplete functionality.

LDAP Tool Box - OpenLDAP 2.4.28 RPMs available

2011-11-30T11:14:21+00:00

RPMs for OpenLDAP 2.4.28 are available on LTB project.

They include:

SSL
SASL
All overlays
HDB/BDB backend
New! MDB backend
LDAP backend
SLAPI support
LTB-project OpenLDAP init script (v1.3)
LTB-project check password policy module (v1.1)
Logrotate script
Preconfigured DB_CONFIG
New! Contributed overlays
- lastbind
- smbk5pwd

The OpenLDAP changelog can be found here: http://www.openldap.org/software/release/changes.html

Download them here: http://ltb-project.org/wiki/download#openldap

LDAP Tool Box - OpenLDAP 2.4.27 RPMs available

2011-11-25T15:55:31+00:00

RPMs for OpenLDAP 2.4.27 are available on LTB project.

They include:

SSL
SASL
All overlays
HDB/BDB backend
SLAPI support
LTB-project OpenLDAP init script (new version 1.3)
LTB-project check password policy module (v1.1)
Logrotate script
Preconfigured DB_CONFIG

The OpenLDAP changelog can be found here: http://www.openldap.org/software/release/changes.html

The announce for OpenLDAP init script 1.3 is here: http://tools.ltb-project.org/news/22

If you upgrade from previous RPM version, please adapt /etc/logrotate.d/openldap and /etc/default/slapd with modifications in .rpmnew files. As they are considered as configuration files, they won't be automatically replaced by the software update.

Download them here: http://ltb-project.org/wiki/download#openldap

LDAP Tool Box - OpenLDAP init script 1.3 released

2011-11-25T15:50:22+00:00

A new version of the OpenLDAP init script was released today.

The following bugs were corrected:

Bug #327: initscript too verbose
Bug #367: Backup LDIF file owner is not correct

And some features were added:

Feature #306: Possibility to restore last backup
Feature #313: Slurpd messages in openldap-initscript are now hidden if no slurpd
Feature #353: Configure syslog user parameter for slapd command line
Feature #368: Display script version in status

Download it here: http://ltb-project.org/wiki/download#openldap

[LibreOffice] Amélioration du temps de démarrage de la première instance de Writter et Calc

2011-11-23T10:19:51+00:00

Pour améliorer le temps de démarrage de Witter et Calc, j'ai créé un petit programme qui injecte (pré-charge) des dlls dans LibreOffice Quickstarter.

Les noms des dlls sont lus d'un fichier txt simple.

La liste des dlls a été établie en observant les dlls importées par Libreoffice au lancement de Writter et Calc.

Le programme doit être lancé au démarrage, via un raccourcie dans le dossier.

Si une erreur survient il affiche un message via une fenêtre popup.

LinShare - Linshare 0.9.6 release

2011-11-02T09:56:22+00:00

This release is made for Internet Explorer compatibility.

LinShare - Linshare 0.9.6 release

2011-11-02T09:56:21+00:00

This release is made for Internet Explorer compatibility.

LinShare - Linshare 0.9.5 release

2011-10-21T16:14:04+00:00

LinShare 0.9.5 is now available.

This version brings some fixes : http://linpki.org/projects/linshare/versions/18

Fixes :
- Fix Mysql import script encoding #215
- Fix Reset guest password feature #241
- Remove embedded references to LinShare, now using property files #237
- Fix home title for simple users when secured storage is disallowed.
- mysql driver is now include into the default profile (with postgresql driver)

Sortie de LemonLDAP::NG 1.1.2

2011-10-07T14:57:00+00:00

Sortie d'une nouvelle version de LemonLDAP::NG en ce début d'automne, corrigeant quelques problèmes de la version 1.1.1, et apportant une amélioration du module fournisseur CAS.

Un problème ? Quel problème ? Mais y'a pas de problème

Parmi les petits soucis corrigés, on notera:

Meilleure gestion des dépendances Debian (Lasso et javascript-common)
Importation des fonctions étendues dans le Handler si la cage Safe est désactivée
Amélioration de la gestion des erreurs du Handler SecureToken
Modification du comportement de la fonction d'autorisation du portail : si l'application à afficher n'est pas connue du portail, elle est ignorée. On peut forcer l'affichage d'une application dans le portail avec le paramètre Display qu'il suffit de mettre à On.

CAS / Lemon, un cocktail d'enfer

LemonLDAP::NG est fournisseur CAS depuis la version 1.0. Cela permet de remplacer facilement son serveur CAS par LemonLDAP::NG. Il manquait toutefois une petite fonctionnalité : la gestion des autorisations pour les services CAS.

Avant cette version, le fournisseur CAS de LemonLDAP::NG renvoyait des tickets CAS aux services sans contrôler que l'utilisateur était bien autorisé à accéder à ce service. L'autorisation devait se faire soit en interne à l'application, soit en positionnant un Handler LL::NG devant.

Désormais, le fournisseur CAS peut vérifier l'autorisation d'accès à l'émission du ticket. Deux solutions alors si l'utilisateur n'est pas autorisé:

L'utilisateur reste sur le portail avec un message d'erreur adéquat
L'utilisateur repart sur le service avec un faux ticket, et l'erreur est alors gérée au niveau de l'application

À ma connaissance, cela fait de LemonLDAP::NG le seul serveur CAS sachant gérer les autorisations d'accès aux services !

On s'est pas déjà vu quelque part ?

C'est possible. Mais si vous voulez être certain de me croiser, ne ratez pas les prochaines occasions :

LinShare - Linshare 0.9.4 release

2011-09-16T15:18:54+00:00

LinShare 0.9.4 is now available.

This version brings a lot of fixes : http://linpki.org/projects/linshare/versions/16

You can find an upgrade help page at :

http://linpki.org/projects/linshare/wiki/UpgradingEN
or
http://linpki.org/projects/linshare/wiki/UpgradingFR

Sortie de LemonLDAP::NG 1.1.1

2011-07-29T14:16:00+00:00

En cette fin de juillet ensoleillée est sortie une nouvelle version mineure de LemonLDAP::NG, la 1.1.1

Cette version corrige les problèmes suivants :

Les fonctions SOAP n'étaient plus disponibles lorsque les notifications étaient activées
Les notifications devaient être acceptées deux fois par les utilisateurs déjà authentifiés
Le séparateur dans les nom de fichier des notifications n'était pas configurable
La recherche des groupes LDAP ne fonctionnait pas si le DN de l'utilisateur contenait des caractères spéciaux (comme l'anitslash)

La nouvelle version est téléchargeable ici : http://lemonldap-ng.org/download

LinShare - New 0.9.x release :

2011-07-28T14:27:19+00:00

LinShare 0.9.3 is now available.
There is no evolution, it is just a fix about LDAP connection troubles.

Sortie de Self Service Password 0.6

2011-07-27T13:52:00+00:00

Présentation

Le logiciel est en PHP, sous licence GPL.

Fonctionnalités principales

Mode Samba (pour les mots de passe NT et LM)
Mode Active directory (pour les mots de passe AD)
Politique des mots de passe locale :
- Taille minimale/maximale
- Caractères interdits
- Compteurs pour les majuscules, minuscules, chiffres et caractères spéciaux
- Non réutilisation du mot de passe actuel
- Complexité (nombre de classes de caractères différentes)
Messages d'aide
Réinitialisation par questions/réponses
Réinitialisation par un challenge par mail
reCAPTCHA (Google API)
Notification par mail après changement de mot de passe

L'application est désormais disponible en 6 langues : anglais, français, allemand, espagnol, brésilien et néerlandais.

Quelques liens

LDAP Tool Box - Self Service Password version 0.6

2011-07-22T13:51:42+00:00

Self Service Password version 0.6¶

Presentation¶

More information and screenshots:
http://ltb-project.org/wiki/documentation/self-service-password

Download page:
http://ltb-project.org/wiki/download#self_service_password

Changelog¶

Summary¶

Crypt feature now available also for PHP 5.3
Specific log file for password reset URL
Password complexity policy: check for different classes of character (lower, upper, digit, special)
Notify user by mail after password change
Configuration of From SMTP header
reCAPTCHA on forms

Details¶

Bug #320: Token crypt function does not wotk with PHP 5.2 and inferior
Bug #322: Several PHP bugs and logging feature added (PATCH included)
Feature #310: Add a password complexity points check
Feature #311: Notify user by mail after password change
Feature #317: Set content-type header for mail
Feature #319: Change password with a mail challenge - add oprions -f to see correct FROM header
Feature #323: Added support for reCAPTCHA (patches included)

Thanks¶

Thanks to contributors:

Christian Unger (bug report)
Chip Schweiss (bug reports, password reset URL log, reCAPTCHA)
Jason Shugart (password complexity, password change notification)
Anthony Milan (bug report)
WMI Admin (bug report)

Sortie de LemonLDAP::NG 1.1

2011-07-21T08:31:00+00:00

Ceci est la reprise de l'article rédigé pour LinuxFR, disponible ici : http://linuxfr.org/news/sortie-de-lemonldapng-11

Le 8 juillet dernier, à la veille de l'ouverture des RMLL, est sortie une nouvelle version majeure de LemonLDAP::NG.

LemonLDAP::NG est un logiciel de Web-SSO destiné à protéger des applications Web. Pour les utilisateurs, cela permet de ne s'authentifier qu'une seule fois (Single Sign-On) et pour les administrateurs du WebSSO cela permet de contrôler de manière centralisée les droits d'accès aux applications. LemonLDAP::NG supporte désormais de nombreux protocoles d'authentification et de fédération d'identités comme CAS, OpenID ou SAML 2.0.

La version 1.1 apporte un certain nombre de nouveautés présentées ci-dessous.

Gestion des notifications

Une notification est un message affiché à l'utilisateur lors de son accès au portail d'authentification (accès obligatoire pour la création de sa session SSO). Une notification peut contenir des cases à cocher, qui devront alors être activées par l'utilisateur pour poursuivre.

Ce système permet par exemple d'avertir un utilisateur sur la modification de ses habilitations, ou sur l'ajout ou la suppression d'une application dans le portail.

Les notifications existent dans LemonLDAP::NG depuis la version 0.9.4, mais le paramétrage de cette fonctionnalité était complexe. Depuis la version 1.1, le Manager (interface d'administration de la solution) possède désormais un explorateur qui permet de créer et parcourir les notifications.

De plus, les notifications peuvent désormais :

S'adresser à tous les utilisateurs (auparavant, une notification était enregistrée pour un utilisateur précis)
Posséder une condition d'affichage (ce qui permet par exemple d'afficher une notification pour des utilisateurs provenant d'un certain réseau, ou possédant certains attributs)

Pour plus d'informations, vous pouvez consulter la documentation en ligne.

Réinitialisation du mot de passe par mail

Lorsqu'un utilisateur a perdu son mot de passe, LemonLDAP::NG propose une page où il peut réinitialiser son mot de passe par mail. Il n'est bien entendu pas question de lui transmettre son mot de passe actuel, mais bien de lui permettre d'en changer via un challenge par mail. Cette méthode est inefficace si le mot de passe du WebSSO est le même que le mot de passe de sa messagerie, mais dans les autres cas, elle permet d'alléger considérablement les appels au support.

La cinématique est la suivante :

L'utilisateur fait une demande de réinitialisation en entrant son identifiant (ou tout attribut permettant de l'identifier de manière unique, comme son mail)
Un mail est envoyée avec un lien, dont la validité est configurable (par défaut 24 heures)
Le lien mène à une page permettant de saisir un nouveau mot de passe, ou de demander sa génération automatique
Le nouveau mot de passe est envoyé par mail

Pour plus d'informations, vous pouvez consulter la documentation en ligne.

Authentification par Yubikey

La Yubikey est un périphérique physique permettant de faire de l'authentification avec mot de passe à usage unique (One Time Password, OTP).

LemonLDAP::NG permet désormais d'utiliser ce périphérique pour ouvrir une session SSO. Les attributs de l'utilisateur peuvent être ensuite récupéré en associant l'identifiant de la clé à l'identifiant de l'utilisateur dans la base des comptes (LDAP ou SQL).

Pour plus d'informations, vous pouvez consulter la documentation en ligne.

Personnalisation

La personnalisation du produit est facilitée dans la dernière version, en particulier :

Les messages d'erreurs peuvent être surchargés dans le fichier INI
Les thèmes possèdent désormais des modèles HTML "custom" inclus dans les modèles par défaut

Pour plus d'informations, vous pouvez consulter la documentation en ligne.

LDAP Tool Box - OpenLDAP 2.4.26 RPMs available

2011-07-18T10:11:55+00:00

RPMs for OpenLDAP 2.4.26 are available on LTB project.

They include:

SSL
SASL
All overlays
HDB/BDB backend
SLAPI support
LTB-project OpenLDAP init script (v1.2)
LTB-project check password policy module (v1.1)
Logrotate script
Preconfigured DB_CONFIG

Download them here: http://ltb-project.org/wiki/download

Problème suite à la mise à jour du noyau dans Ubuntu

2011-07-17T12:45:00+00:00

Si comme moi vous avez parfois des soucis après une mise à jour du noyau dans Ubuntu, voici la commande magique :

apt-get install linux-headers-$(uname -r)

Le paquet en s'installant exécutera automatiquement dkms pour recharger vos modules (comme nvidia ou virtualbox) :

Examining /etc/kernel/header_postinst.d.
run-parts: executing /etc/kernel/header_postinst.d/dkms 2.6.38-10-generic-pae /boot/vmlinuz-2.6.38-10-generic-pae
 * dkms: running auto installation service for kernel 2.6.38-10-generic-pae                                                                  
 *       nvidia-current (270.41.06)...                                                                                                [ OK ] 
 *       virtualbox-ose (4.0.4)...                                                                                                    [ OK ] 
run-parts: executing /etc/kernel/header_postinst.d/nvidia-common 2.6.38-10-generic-pae /boot/vmlinuz-2.6.38-10-generic-pae

LinShare - First 0.9 release candidate

2011-06-17T08:35:05+00:00

LinShare 0.9.2 is now available, it is the first 0.9 release candidate.

This version has a new big feature : multidomain. You can now connect LinShare to multiple LDAP branches/LDAP groups/LDAP providers.
We observe some LDAP connection troubles (connection timeout and then no successfull binding possible) on one installation (with Active Directory), don't know yet if this is a LinShare bug or configuration problem. So you should test this version before installing it in production environment.

I'm leaving Linagora and therefore the LinShare project today, I wish LinShare a lot of success and a long and free existence.

Don't forget that you can ask your questions and get help on Freenode network by joining our #linpki channel, or by sending us an email at linshare-users@lists.linpki.org or linshare-dev@lists.linpki.org.

You are welcome to share issues but also your deployment success :)

PS : the thunderbird plugin is also available in 1.2 version, with two nice fixes : http://linpki.org/projects/tbird-linshare/versions/9
It should be use with new LinShare versions only.

Sortie de LemonLDAP::NG 1.0.6 et autres actualités

2011-06-01T13:47:00+00:00

La version 1.0.6 de LemonLDAP::NG est sortie le 30 mai, apportant quelques corrections :

La recherche LDAP de l'utilisateur requête à présent explicitement la liste des attributs (et non la totalité des attributs)
La syntaxe de configuration de l'authentification multiple (backend Multi) est désormais acceptée dans le Manager
Les valeurs base64 sont correctement échappées dans le javascript du Manager pour être compatibles avec les sélecteurs jQuery

Cette version peut être téléchargée ici : http://lemonldap-ng.org/download

La prochaine version sera une version majeure, la 1.1.0, incluant quelques nouvelles fonctionnalités sympa :

Authentification par Yubikey
Authentification "esclave", c'est-à-dire liée à un produit de SSO frontal qui transmet les données dans les en-têtes HTTP (LemonLDAP::NG, SiteMinder, OpenAM, etc.)
Simplification de la personnalisation du thème graphique (pour les pages du portail et les mails HTML envoyés)
Amélioration de la fonctionnalité de réinitialisation du mot de passe par mail, avec renvoi possible du mail de confirmation, et saisie du nouveau mot de passe sur le portail, en plus de la possibilité de le générer
Gestion d'une notification globale, c'est-à-dire applicable à tous les utilisateurs (les notifications en 1.0 doivent être attribuées nominativement)

Cette nouvelle version devrait sortir fin juin/début juillet, on pourra en entendre alors parler lors de deux événements :

Sinon, vous pourrez trouver quelques informations sur LemonLDAP::NG dans le GNU/Linux Magazine de ce mois-ci (n°139 / juin 2011) dans le reportage sur ConFoo.

LDAP Tool Box - OpenLDAP 2.4.25 RPMs available

2011-05-03T16:14:47+00:00

RPMs for OpenLDAP 2.4.25 are available on LTB project.

They include:

SSL
SASL
All overlays
HDB/BDB backend
SLAPI support (new)
LTB-project OpenLDAP init script (v1.2)
LTB-project check password policy module (v1.1)
Logrotate script
Preconfigured DB_CONFIG

Download them here: http://ltb-project.org/wiki/download

Sortie de LemonLDAP::NG 1.0.5

2011-04-15T15:58:00+00:00

Une nouvelle version de LemonLDAP::NG vient de sortir. Celle-ci apporte les changement suivants :

Correction d'un bug sur le menu des applications, qui masquait des applications autorisées à certains utilisateurs parce qu'elles étaient interdites à d'autres
Possibilité de définir une sous-routine dans lemonldap-ng.ini : cela permet de surcharger des méthodes à la volée, sans toucher au script index.pl
Gestion de l'authentification SMTP, pour la fonctionnalité de réinitialisation du mot de passe par mail

Cette version implique l'installation d'une nouvelle dépendance Perl: Clone. Si vous utilisez les paquets RPM ou DEB, cette dépendance sera installée automatiquement (il faudra toutefois un apt-get dist-upgrade au lieu d'un simple apt-get upgrade sous Debian).

Téléchargement: http://lemonldap-ng.org/download

LDAP Tool Box Self Service Password sort en version 0.5

2011-04-11T08:19:00+00:00

On n'est jamais mieux servi que par soi-même

C'est en tout cas ce que chaque employé d'un service de support informatique vous dira. Traiter les demandes d'utilisateurs ayant perdu leur mot de passe, ou tout simplement voulant changer leur mot de passe, est une activité sans beaucoup de valeur ajoutée.

Pour tenter de réduire le temps investi sur ce sujet, des logiciels dits de "Self Service" sont arrivés. Le principe est simple : si l'utilisateur perd son mot de passe, il se rend sur l'application et demande un nouveau mot de passe, tout seul, comme un grand.

Génial, où est-ce qu'on peut l'acheter ?

Le projet LDAP Tool Box fournit une petite interface Web remplissant ce rôle, elle est nommée avec grande originalité Self Service Password (SSP pour les intimes).

SSP propose les fonctions suivantes :

Changement du mot de passe dans un annuaire LDAP
Support de Active Directory
Support de Samba
Politique des mots de passe locale (taille, types de caractères, etc.)
Réinitialisation par questions/réponses
Réinitialisation par challenge mail

Grâce à de nombreuses contributions, l'interface est disponible en français, anglais, allemand, espagnol, brésilien et hollandais.

La version 0.5 est sortie ce week-end (pas de repos pour les libristes), elle est disponible en archive simple, en paquet RPM ou paquet Debian. N'attendez plus pour l'essayer !

LDAP Tool Box - Self Service Password version 0.5

2011-04-09T21:44:12+00:00

Self Service Password version 0.5¶

Presentation¶

More information and screenshots:
http://ltb-project.org/wiki/documentation/self-service-password

Download page:
http://ltb-project.org/wiki/download#self_service_password

Changelog¶

Summary¶

Dutch translation
Bug fixes on token and questions features
Bug fixes for Active Directory mode
Token mode improved: expiration, encryption, deletion if password change succeeded
Return on homepage when logo is clicked

Details¶

Bug #273: Canoot change password on Active Directory
Bug #274: Cannot change password on Active Directory as user
Bug #276: Canot change AD Password as User or Manager
Bug #288: Problems with 'Reset your password with a mail challenge'
Bug #298: security issue in email password reset
Bug #300: Warning Ldap_get_dn
Bug #304: LDAP Tool Box
Bug #305: LDAP Tool Box
Bug #309: Password reset via email token fails to send in a parameter
Feature #272: Dutch translation
Feature #275: Added a couple of features
Feature #289: Delete token if password change is ok
Feature #290: Configure token lifetime
Feature #307: Token reset form should be hidden if token is missing or invalid

Thanks¶

Thanks to contributors:

Marco Berger (bug report)
Cedric Lemarchand (bug report)
Daniel E (bug report)
Matthias Ganzinger (token security improvements)
Jon Krengel (bug report)
Gijsbert Peijs (dutch translation)
Jason Shugart (token expiration)

Le SSO, cause principale de la maladie d'Alzheimer

2011-04-01T11:57:00+00:00

Une étude de l'institut NAZ (Neuroscience AlZheimer) vient de prouver le lien entre le déploiement du SSO en entreprise et la maladie d'Alzheimer, désormais classée dans les accidents du travail.

De la paresse mémorielle à la maladie

Le SSO, Single Sign On, est un système informatique permettant aux utilisateurs de n'avoir qu'un seul mot de passe pour accéder à toutes leurs applications. La généralisation de ce système change radicalement les habitudes des usagers, qui sollicitent de moins en moins leur mémoire dans leur travail quotidien.

Certains systèmes SSO peuvent même déclencher l'authentification de l'utilisateur à partir d'une carte à puce, ou de son empreinte digitale : plus aucun accès mémoire n'est requis !

Le cerveau doit être sans cesse sollicité pour fonctionner. Avec le SSO, le voici devenu presque inutile, avec les conséquences que l'on connaît maintenant.

Le téléphone portable, une première alerte ignorée

L'arrivée des téléphones portable avait déjà créé du remous dans la communauté médicale, accusant le répertoire téléphonique d'affaiblir les capacités cognitives de ses utilisateurs : aujourd'hui, personne ne connaît plus que 3 ou 4 numéros de téléphone, contre plusieurs dizaines auparavant.

La riposte est en cours

Pour palier à ce problème, plusieurs entreprises ont décidé d'abandonner le SSO. Elles exigent désormais au moins deux mots de passe pour se connecter aux applications, dont un doit être une date d'anniversaire, ou le prénom d'un proche. Elles espèrent ainsi faire reculer la maladie, au moins jusqu'à la retraite de leurs salariés.

À votre échelle, vous pouvez également agir : jetez tous les papiers que vous trouverez sur lesquels des mots de passe sont écrits. Vous contribuerez ainsi à l'amélioration de la santé mentale de vos collègues.

Nouveaux RPMs pour OpenLDAP 2.4.24 sur LTB-project

2011-03-25T08:57:00+00:00

La version 2.4.24 d'OpenLDAP est sortie en début d'année. Les RPMs ont été mis en ligne sur LTB-project et sont téléchargeables ici.

Les paquets fournis par LTB-Project incluent en plus d'OpenLDAP un script d'initialisation et un module de contrôle de mot de passe pour l'overlay ppolicy.

Le script d'initialisation est en version 1.2, qui apporte en particulier une fonctionnalité supplémentaire : le démarrage en mode "debug". Cela permet de demander le lancement d'OpenLDAP dans la console avec un niveau de logs configurable (niveau "stats").

Par exemple :

root@ader:~# service slapd debug
slapd[3519]: [INFO] Using /etc/default/slapd for configuration
slapd[3524]: [INFO] Halting OpenLDAP...
slapd[3528]: [OK] OpenLDAP stopped after 1 seconds
slapd[3529]: [INFO] no data backup done
slapd[3530]: [INFO] Halting OpenLDAP replication...
slapd[3531]: [INFO] no replica found in configuration, aborting stopping slurpd
slapd[3532]: [INFO] Launching OpenLDAP replication...
slapd[3533]: [INFO] no replica found in configuration, aborting lauching slurpd
slapd[3534]: [INFO] no db_recover done
slapd[3535]: [INFO] Launching OpenLDAP...
slapd[3536]: [OK] file descriptor limit set to 1024
@(#) $OpenLDAP: slapd 2.4.23 (Dec  8 2010 14:28:30) $
        clement@ader:/home/clement/Programmes/openldap-2.4.23/servers/slapd
slapd starting
conn=1000 fd=13 ACCEPT from IP=127.0.0.1:48634 (IP=0.0.0.0:389)
conn=1000 op=0 BIND dn="" method=128
conn=1000 op=0 RESULT tag=97 err=0 text=
connection_input: conn=1000 deferring operation: binding
conn=1000 op=1 SRCH base="" scope=2 deref=0 filter="(objectClass=*)"
conn=1000 op=1 SEARCH RESULT tag=101 err=32 nentries=0 text=
conn=1000 op=2 UNBIND
conn=1000 fd=13 closed

Liens :

LDAP Tool Box - OpenLDAP 2.4.24 RPMs available

2011-03-24T17:07:36+00:00

RPMs for OpenLDAP 2.4.24 are available on LTB project.

They include:

SSL
SASL
All overlays
HDB/BDB backend
LTB-project OpenLDAP init script (v1.2)
LTB-project check password policy module (v1.1)
Logrotate script
Preconfigured DB_CONFIG

Download them here: http://ltb-project.org/wiki/download

Mise à jour de sécurité sur LemonLDAP::NG (sortie de la version 1.0.4)

2011-03-24T09:08:00+00:00

Une nouvelle version de LemonLDAP::NG est sortie cette semaine, numérotée 1.0.4.

Cette version corrige entre autres un problème important, lié à la refactorisation du code de la cage d'exécution (Safe) : les macros et les groupes étaient conservés en mémoire, et pouvaient donc être copiés d'une session d'utilisateur à une autre. Conséquence : si les règles d'accès utilisent les macros ou les groupes, cela pouvait permettre l'accès à des personnes non autorisées aux applications.

Il est donc vivement conseillé de migrer vers la nouvelle version.

Page de téléchargement de LemonLDAP::NG.

Retour sur ConFoo 2011

2011-03-15T16:50:00+00:00

Voilà, j'ai quitté la belle province de Montréal pour rentrer en France en début de semaine, après avoir passé quelques jours au Québec pour participer à ConFoo, et entre autres présenter LemonLDAP::NG.

Sécurité et HTML5

Mon penchant naturel pour les sujets de gestion des identités et des accès m'ont amené à suivre une grande majorité des conférences sur la sécurité. Celles-ci traitaient en général des attaques classiques sur les applications Web, en tenant compte des nouvelles spécificités du cloud computing, et des web services, souvent ignorés et sources de failles majeures.

Une grande partie des conférenciers sur ce sujet appartenaient à l'OWASP, comme Sébastien GIORIA, Philippe GAMACHE, Sylvain MARET ou Antonio FONTES.

J'ai également pu croiser Allan Foster de ForgeRock qui a présenté XACML et son support dans OpenAM.

L'autre sujet à l'honneur, c'est bien entendu HTML5, accompagné de CSS3. Sur cette dernière technologie, une conférence très intéressante de Daniel GLAZMAN, co-chairman W3C CSS Working Group, dont on peut retenir en substance : CSS 2.1 est enfin publié, CSS 3 en en maturation. Les démonstrations sur les transformations ou les bordures de cadres donnent toutefois très envie d'utiliser CSS 3 dès à présent. Quelques démonstrations sur HTML5, en particulier la vidéo, ont fait également leur petit effet. Là aussi, la bonne nouvelle est que le support des périphériques d'entrée (comme une webcam) sont des sujets à l'étude.

Microsoft se joint aux festivités

Le sponsor principal de ConFoo 2011 était Microsoft. Suprenant, sachant que ConFoo n'est que le digne successeur de PHPQuébec, une conférence dédiée à PHP. On a même pu croiser des affiches ventant le support de Java, Python ou PHP sur Microsoft Azure, leur offre cloud.

Le responsable Open Source de Microsoft, Gianugo Rabellino, est venu en personne parler d'Internet Explorer 9, et de l'implication de sa société dans l'établissement des standards et dans l'interopérabilité.

Un bon lavage de cerveau en quelque sorte, même si l'on ne peut que saluer les efforts faits par Microsoft pour rattraper son retard dans ce domaine.

Pour conclure

Je tiens à remercier toute l'équipe de l'organisation de ConFoo, qui a fait un travail remarquable, dont le résultat n'est pas moins que 150 conférences assurées par une centaine d'intervenants sur trois journées bien remplies !

Vous trouverez quelques photos de l'évènement sur mon compte picasa. Un article plus complet devrait sortir prochainement dans Linux Magazine.

Sortie de LemonLDAP::NG 1.0.3

2011-03-15T16:30:00+00:00

Une nouvelle version mineure de LemonLDAP::NG, la version 1.0.3, est sortie le 7 mars dernier, très rapidement après la 1.0.2.

Cette sortie se justifie par la correction d'un bug apparu dans la 1.0.2 et qui empêchait les applications en mode automatique (c'est à dire dont les droits d'accès sont calculés à la volée) d'apparaître dans le menu des applications. Ce bug a été introduit pour une modification de la gestion de la cage d'exécution (Safe.pm), il est à présent corrigé.

Page de téléchargement de LemonLDAP::NG.

Sujet du jour : comment instaurer une politique des mots de passe commune à OpenLDAP et Samba ?

2011-03-04T10:48:00+00:00

La politique c'est pas fait pour les politiciens

Rappelons d'abord qu'une politique des mots de passe est un ensemble de règles permettant :

de contrôler les authentifications (blocage de compte après plusieurs tentatives infructueuses)
de contrôler les changements de mot de passe (expiration, force du mot de passe, réinitalisation à la prochaine connexion, présence dans un historique, etc.)

Samba et OpenLDAP sont sur un bateau

Pour ceux qui ont pratiqué Samba, il est assez simple de gérer la politique des mots de passe Samba (à l'aide des outils Samba ou des Samba LDAP tools). Cependant cette politique ne s'applique qu'à Samba, et ses mots de passes spécifiques (sambaLMPassword et sambaNTPassword).

Pour ceux qui ont pratiqué OpenLDAP, il est aussi assez simple de gérer la politique des mots de passe, en activant l'overlay ppolicy. Cependant cette politique ne s'applique qu'au mot de passe LDAP (userPassword).

Je ne veux voir qu'une politique !

C'est donc bien joli tout ça, mais il me faut une solution pour gérer de manière unique ces contraintes suivantes :

Taille du mot de passe au moins de 8 caractères
Stockage des 4 derniers mots de passe dans un historique

Bien entendu cela devra être appliqué pour une modification du mot de passe à travers Samba (donc potentiellement à travers la GINA Windows) et à travers une interface Web de changement de mot de passe LDAP.

Et on est bien d'accord que si je change le mot de passe LDAP par l'interface Web, les mots de passe Samba sont aussi mis à jour.

Et plus vite que ça !

Samba

Configurons Samba pour qu'il ne modifie que le mot de passe LDAP. En effet, on va déléguer le reste du travail à OpenLDAP :

# vi /etc/samba/smb.conf

---8<---
ldap passwd sync = only
---8<---

Cela va en fait indiquer à Samba de ne changer que le champ 'userPassword', et ne de pas toucher aux champs 'sambaLMPassword' et 'sambaNTPassword'.

À noter que Samba utilise l'opération étendue password modify pour changer le mot de passe.

OpenLDAP

Il faut activer deux overlays :

ppolicy : politique des mots de passe OpenLDAP (contrôle des authentifications et des changements de mot de passe)
smbk5pwd : modification des mots de passe Samba et Kerberos en parallèle du mot de passe LDAP, uniquement sur l'opération étendue de changement de mot de passe

L'overlay smbk5pwd n'est pas un overlay officiel, il se trouve dans le répertoire contribs/slapd-modules/smbk5pwd. Certains distributions l'incluent toutefois dans leurs paquetages OpenLDAP (par exemple CentOS), sinon il faut compiler l'overlay à la main.

# vi /etc/openldap/slapd.conf

---8<---
modulepath /usr/lib/openldap/
moduleload ppolicy.la
moduleload smbk5pwd.la

database bdb
overlay ppolicy
ppolicy_default ou=default,ou=ppolicy,dc=example,dc=com

overlay smbk5pwd
smbk5pwd-enable samba
---8<---

Et on configure par exemple la politique des mots de passe avec cette entrée :

dn: ou=default,ou=ppolicy,dc=example,dc=com
objectClass: organizationalUnit
objectClass: pwdPolicy
objectClass: top
ou: default
pwdAttribute: userPassword
pwdCheckQuality: 2
pwdInHistory: 4
pwdMinLength: 10

Croisons les doigts

Changement de mot de passe d'un utilisateur par Samba :

Mot de passe valide :

# smbpasswd coudot
New SMB password:
Retype new SMB password:

Mot de passe invalide (trop court ou dans l'historique) :

# smbpasswd coudot
New SMB password:
Retype new SMB password:
ldapsam_modify_entry: LDAP Password could not be changed for user coudot: Constraint violation
        Password fails quality checking policy
Failed to modify entry for user coudot.
Failed to modify password entry for user coudot

L'erreur LDAP remontée est bien celle de la politique des mots de passe OpenLDAP.

Ça ira pour cette fois

Cette solution a le mérite de fonctionner, mais on s'aperçoit vite qu'il est impossible par exemple d'avoir un seul compteur d'authentification erronées (car Samba ne fait pas de BIND LDAP), ou encore d'avoir une seule information pour forcer la réinitialisation à la prochaine connexion.

Reste à espérer que les travaux sur Samba 4 amélioreront l'interopérabilité des deux politiques.

Sortie de LemonLDAP::NG 1.0.2

2011-03-01T17:02:00+00:00

Une nouvelle version mineure de LemonLDAP::NG vient de sortir, corrigeant quelques problèmes sur la 1.0, publiée en fin d'année dernière.

La version 1.0.2 apporte les améliorations principales suivantes :

Correction sur la prise en compte des niveaux d'authentification LDAP et DBI
L'option portalOpenLinkInNewWindow n'est pas prise en compte
Réinitialisation du mot de passe avec AuthChoice
Meilleure gestion du cache de configuration dans le portail
Protection de l'explorateur de sessions semblable à celle du Manager
Masquage des catégories vides dans le menu des applications
Correctifs sur le packaging Debian
Nouvelle option useSafeJail pour désactiver l'utilisation de Safe.pm

Quelques liens :

LDAP Tool Box - OpenLDAP init script 1.2 released

2011-03-01T16:26:20+00:00

Version 1.2 of OpenLDAP init script is available.

Bugs corrected:

Bugs with suffixes containing a space (#297)
Bugs with cn=config on RHEL (#271)

New feature:

debug target, to see slapd messages in console (#303)

Download it now: http://tools.ltb-project.org/attachments/download/182/ltb-project-openldap-initscript-1.2.tar.gz

Thanks to Jonathan Clarke and Sébastien Bahloul for their help.

LemonLDAP::NG se présente à Montréal le 10 mars prochain

2011-02-28T08:57:00+00:00

Pour la première fois, LemonLDAP::NG traverse l'atlantique et va se présenter lors de l'événement ConFoo à Montréal.

ConFoo propose 3 journées de conférences sur les technologies Web, avec des pointures du domaines. On retrouvera en particulier parmi nos compatriotes Damien Seguy (Alterway) et Fabien Potencier (Sensio Labs), deux des acteurs les plus influents de la communauté PHP en France. ConFoo donne aussi la parole à des intervenants du domaine de la sécurité, comme Allan Foster de ForgeRock qui viendra parler d'OpenAM, le fork d'OpenSSO suite au rachat de SUN par Oracle.

Pour ma part, j'aurai le plaisir de représenter LINAGORA, et de faire découvrir LemonLDAP::NG au public québecois, et parler un peu de Perl au milieu des conférences Java, Python et PHP ;)

Installer LemonLDAP::NG 1.0 sur Debian Lenny

2011-02-10T10:37:00+00:00

Même si Debian Squeeze vient de remplacer Lenny comme version stable ce mois-ci, il reste que cette dernière reste une version serveur encore très déployée, en attendant les migrations vers Squeeze.

La version 1.0 de LemonLDAP::NG a été empaquetée pour de nombreuses distributions, y compris Debian. Cependant, pour des questions de dépendances, les paquets Debian de LemonLDAP::NG sont compatibles avec Squeeze, et ne s'installent pas directement sous Lenny. Cela vous chagrine ? Moi aussi.

Heureusement, il y a toujours des solutions. Celle que je vous propose consiste à télécharger directement les dépendances problématiques depuis le site http://packages.debian.org et de les installer manuellement. Les paquets à télécharger depuis leur version Sid sont :

libjs-jquery
libjs-jquery-ui
libnet-ldap-perl

Par exemple :

wget http://ftp.de.debian.org/debian/pool/main/j/jquery/libjs-jquery_1.5-2_all.deb
dpkg -i libjs-jquery_1.5-2_all.deb 
wget http://ftp.de.debian.org/debian/pool/main/j/jqueryui/libjs-jquery-ui_1.8.dfsg-3_all.deb
dpkg -i libjs-jquery-ui_1.8.dfsg-3_all.deb 
wget http://ftp.de.debian.org/debian/pool/main/libn/libnet-ldap-perl/libnet-ldap-perl_0.4001-2_all.deb
dpkg -i libnet-ldap-perl_0.4001-2_all.deb

Voilà, ensuite il ne reste plus qu'à installer LemonLDAP::NG en suivant la procédure officielle.

Directory Manager - LinID DM compatible with Windows servers

2011-01-25T23:51:31+00:00

Latest LinID Directory Manager is now fully runnable under a Windows environment.

You can try it through the latest build file

LinShare - Third 0.8 release candidate : update

2011-01-19T16:06:32+00:00

We published an update for the 0.8.3 version: it fixes a bug on the "File" tab, having an HTTP 302 response when trying to download a file.
The jar and war archives are up to date here: http://linpki.org/projects/linshare/files
Thanks to Esteban for his help on this bug fix.

LinShare - Third 0.8 release candidate

2010-12-23T15:35:47+00:00

LinShare 0.8.3 is available there :

http://forge.linpki.org/projects/linshare/files

This release brings two bug fixes and a main feature :
- bug : LinSign applet not working due to unusual version number in version.properties (thanks to Esteban Pereira who helped reveal this bug)
- bug : some groups features were still available even though groups was not activated (thanks to Guillaume Stevens who found out this bug)
- feature : dutch translation ! Thanks to the CIRB (http://www.cirb.irisnet.be/), and thanks to Johan Feys for his availability and help !

We hope you will enjoy this new release.

Directory Server - Custom OpenLDAP patches published

2010-12-20T21:58:21+00:00

LinID Directory Server now contains some patches that you will find interesting for your directory usage :

Extended password policy check
Patch adding non ascii matching rule (accents, cedile, ...) for OpenLDAP 2.3.37
Patch allowing search upon DN with substring filters
Patch adding support for multiple VLV search contexts per connection for OpenLDAP HEAD (2.4)

You will find more information on the documentation page. Migration from third party Directory Services will now be much more easier with these support :)

Next published patch will be Get Effective Rights support as described in the corresponding draft is under finalization.

Sortie de LemonLDAP::NG 1.0 !

2010-12-01T15:20:00+00:00

Non, vous ne rêvez pas

Le bruit courrait depuis quelque temps déjà, c'est aujourd'hui chose faite : La version 1.0 de LemonLDAP::NG est sortie !

Il ne faut évidemment pas se fier au numéro de version, LemonLDAP::NG est un logiciel qui a vu le jour il y a plusieurs années, au sein du Ministère des Finances et de la Gendarmerie Nationale. La version 1.0 marque la stabilisation d'un certain nombre de fonctionnalités et l'arrivée de modules très importants, comme les fournisseurs d'identité CAS, SAML et OpenID. Une attention toute particulière a été accordée à la gestion de la configuration, qui pouvait être l'un des reproches fait aux précédentes versions, afin que les futures évolutions de versions soient beaucoup plus simple.

L'heure des présentations

Mesdames, messieurs, j'ai le plaisir de vous présenter LemonLDAP::NG, un logiciel libre d'authentification unique (WebSSO) et de contrôle d'accès aux applications Web.

Écrit en Perl et intégré directement au cœur du serveur HTTP Apache (à travers mod_perl), il analyse chaque flux HTTP pour d'une part vérifier les habilitations de l'utilisateur, et d'autre part enrichir la requête d'en-têtes HTTP pour transmettre les informations de session à l'application protégée. La cinématique complète est décrite ici.

Une de ses grandes forces est la simplicité d'intégration des applications. En effet, il suffit de lire une en-tête HTTP ou une variable d'environnement pour utiliser le WebSSO. Et c'est sans compter les applications qui sont nativement compatibles (OBM, Bugzilla, Dokuwiki, Linshare, etc.)

C'est en forgeant des en-têtes qu'on devient forgeron

À ses débuts, LemonLDAP::NG ne savait interagir qu'avec un annuaire LDAP pour authentifier les utilisateurs (d'où son nom). Aujourd'hui, il a bien mûri et peut utiliser les protocoles suivants :

LDAP
SQL
SSL X509
Apache built-in modules (Kerberos, NTLM , OTP, …)
SAML 2.0 / Shibboleth
OpenID
Twitter
CAS

La grande nouveauté, c'est que LemonLDAP::NG est désormais fournisseur d'identités, c'est-à-dire qu'il peut transmettre l'identité d'un utilisateur à d'autres services en passant par des protocoles standards :

CAS (cf. article sur CAS)
SAML 2.0 / Shibboleth (cf. article sur SAML)
OpenID

Il SAML de quoi ?

C'est sur SAML que le travail a été le plus important, ce qui explique le laps de temps entre la précédente version (0.9.4.1 en octobre 2009) et celle-ci. Toutefois l'attente n'aura pas été vaine puisque LemonLDAP::NG est désormais :

Fournisseur de service (conforme SP Lite)
Fournisseur d'identités (conforme IDP Lite)
Autorité d'attributs
Fournisseur d'identités mandataire (Proxy IDP)

Cela a été rendu possible par l'utilisation de la librairie GPL Lasso (cf. article sur Lasso). L'interaction a été bénéfique aux deux logiciels puisque la dernière version de Lasso (2.3) a bénéficié de nombreux tests et rapports d'anomalies issus du développement de LemonLDAP::NG.

Il y en a un peu plus, je vous le mets quand même ?

L'enrichissement des modules d'authentification et de fournisseur d'identités est certes une avancée majeure pour LemonLDAP::NG, mais la nouvelle version apporte également d'autres améliorations notables :

Refonte de l'interface de configuration (Manager) et de l'explorateur de sessions, avec une utilisation intensive de jQuery et jQuery UI.
Nouveau thème (dark) pour le portail, ce qui porte à 3 le nombre de thèmes fournis par défaut.
Possibilité de configurer les paramètres de redirection (port et HTTPS) pour chaque hôte virtuel, et non plus de manière globale par serveur physique.
Configuration graphique du rejeu de formulaire, avec support des hôtes virtuels.
Handler Zimbra.
Choix d'authentification au niveau du portail.
Fusion des fichiers de configuration locaux dans un fichier unique au format INI.
Refonte du menu des applications pour une meilleure présentation des catégories et des applications.
Dépôts YUM et Debian.
Nouveau wiki.
...

L'ensemble des changements est visible sur le projet JIRA.

Merci, merci

LemonLDAP::NG est avant tout le fruit de la collaboration entre la Gendarmerie Nationale et la société LINAGORA.Cette nouvelle version a monopolisé ces deux acteurs sur l'année qui vient de s'écouler.

Le support du SAML a été réalisé avec la collaboration de la société Entr'ouvert (éditrice de Lasso).

Bien évidemment, tous les utilisateurs qui ont pu tester les versions candidates et qui ont fait des retours précieux ont grandement contribué à la sortie de la version 1.0.

Vous pouvez retrouver LemonLDAP::NG à travers l'offre LinID de LINAGORA, par le module LinID Access Manager.

J'espère au nom de toute l'équipe de LemonLDAP::NG que cette nouvelle version comblera vos attentes, et vous donnera l'envie de parler de ce projet autour de vous. En attendant, n'hésitez pas à nous rejoindre !

Quelques liens pour la root

LinShare - Second 0.8 release candidate

2010-11-29T11:08:14+00:00

LinShare 0.8.2 is available there :

http://forge.linpki.org/projects/linshare/files

This release brings many bug fixes and new features :
- administrators can see the account filling statistics
- sorting and search improvements
- several user interface improvements
- IE6 support
- update guest accounts expiry date when sharing with these accounts (extend the date)
etc.

You can take a look at the roadmap for more informations : http://forge.linpki.org/versions/show/3

The cron which should delete guest user accounts when their expiration date is exceeded was buggy, it is now fixed. Then if you update to linshare 0.8.2, these accounts should be deleted if passed. If you want to give them a new future expiration date, you should modify linshare_user.expiry_date in your database.

For example (PostgreSQL tested) to redefine the expiration date to today+100days for all guests :


update linshare_user set expiry_date = (NOW() + INTERVAL '100 days') where user_type_id like '1';

Les captures d'écran de LemonLDAP::NG 1.0, en avant première !

2010-11-28T15:23:00+00:00

Cette semaine devrait sortir sur vos écrans retro-éclairés la nouvelle version de LemonLDAP::NG, et pas n'importe quelle version puisqu'il s'agira de la 1.0.

En effet, le logiciel a désormais acquis de la stabilité et s'est enrichi depuis la dernière version (0.9.4.1) de nombreuses fonctionnalités, en particulier le support de CAS, SAML et OpenID. J'aurai l'occasion de revenir en détail sur tous ces éléments lors de la sortie officielle.

En attendant, je vous laisse découvrir le nouveau site du projet ainsi que les captures d'écran de la 1.0 : http://lemonldap-ng.org/screenshots

LinShare - LinShare near 0.8 release, defining 0.9 features

2010-10-13T17:31:31+00:00

Hi all,

0.8 LinShare version is about to be release. And it's time for you to vote for features / bugs requests for the 0.9 version. Please post your requests on http://linpki.org/projects/linshare/boards/2

You are welcome to share issues but also your deployment success :)

[Kde] Ajout d'une entrée Extraire Vers dans le menu Extraire de Ark

2010-10-12T08:55:31+00:00

Il n'est pas possible d'utiliser l'entrée de menu Extraire dans Ark car celle-ci contient un sous-menu et n'est donc pas cliquable.

Une nouvelle entrée Extraire Vers a donc été ajoutée, elle reprend la même action qu'Extraire.

LDAP Tool Box - OpenLDAP MMR Tools - Release 0.1

2010-09-23T16:24:01+00:00

OpenLDAP MMR Tools is designed to help system administrator to deploy a multimaster cluster with OpenLDAP 2.4.

You can now download it:
http://ltb-project.org/wiki/download#openldap

A little documentation is also available:
http://ltb-project.org/wiki/documentation/openldap-mmr

Please report any issue on:
http://tools.lsc-project.org/projects/ltb/issues

Change(s) - version 0.1:

Bug #236: openldap administration tools not found
Bug #237: Can not add new node due to malformed olcSyncrepl value
Bug #238: default configuration should match configuration of openldap ltb packages
Bug #239: missing documentation to use mmr tools
Bug #240: openldap can't perform write operation into cn=config (code 53)
Bug #241: do not use SSL for replication flow as default setting
Bug #244: wrong search base dn into provider bootstrap
Bug #278: can not find ifconfig command
Bug #279: openldap binaries not found into path
Bug #281: allow to define custom ldap port
Bug #283: Check if user/group exists before using them
Bug #284: force to use bash instead of sh
Bug #286: bootstrap file is incorrect when port are specified
Feature #280: adding functionnalities to ask which bootstrap files to use
Feature #282: use ip command instead of ifconfig

LinShare - LinShare - Security alert

2010-09-20T16:21:01+00:00

ID: #130 (http://linpki.org/issues/130)
Impact: administrative access for all authenticated users
Affected versions: all (0.7, 0.8 and trunk)
Recommandation: Urgent update on most occurate version (build integrating only PostgreSQL database driver) available on the files pages

0.7.3 version not including SSO
0.7.3 version including LemonLDAP::NG SSO (integrated with OBM)
0.8.1 version not including SSO
0.8.1 version including LemonLDAP::NG SSO (integrated with OBM)

Temporary lockout : if you do not want to update versions or you plan to do it later, you are invited to restrict access to administrative webpages on the LinShare host by a simple Apache configuration :

RewriteEngine on
RewriteRule /administration/   -   [F]

For more information, please look at Apache documentation on mod_rewrite module.

LinShare - Avis de sécurité LinShare

2010-09-20T16:15:30+00:00

Notice de sécurité visant l'ensemble des versions de LinShare :

Référence: #130 (http://linpki.org/issues/130)
Impact: accès administrateur à tout utilisateur authentifié
Versions affectées: toutes (0.7, 0.8 et trunk)
Recommandation: Mise à jour de version sur la dernière version publiée (intégration avec PostgreSQL) sur la page de téléchargement

version 0.7.3 hors SSO
version 0.7.3 intégrée avec le WebSSO LL::NG (configuration intégrée à OBM)
version 0.8.1 hors SSO
version 0.8.1 intégrée avec le WebSSO LL::NG (configuration intégrée à OBM)

Blocage temporaire : Si vous ne souhaitez pas effectuer de montée de version ou que vous souhaitez la planifiez ultérieurement, nous vous invitons simplement à restreindre l'accès à l'ensemble des pages d'administration (URL contenant le motif suivant "/administration/") par exemple en configurant une règle sur votre frontal Apache pour l'hôte virtuel hébergeant LinShare :

RewriteEngine on
RewriteRule /administration/   -   [F]

Pour plus d'information, voir la documentation du mod_rewrite d'Apache.

LemonLDAP::NG CAS la baraque

2010-09-07T10:19:00+00:00

CAS que c'est ?

CAS (Central Authentication Service) est un système de SSO alternatif à LemonLDAP::NG, basé sur le principe de la délégation : chaque service fait appel au serveur central SSO pour obtenir l'identité de l'utilisateur. Le protocole CAS utilise des tickets transmis via des redirections HTTP, puis validés par l'application elle-même en interrogeant directement le serveur central (ce qui est appelé lien dorsal, ou backlink en anglais).

L'avantage de CAS est donc de cloisonner les services, c'est-à-dire qu'un ticket de service ne permettra pas d'accéder à un autre service. Reste que le cookie SSO principal (celui du portail d'authentification) permet lui d'obtenir tous les tickets pour tous les services.

CAS est un protocole, passé successivement aux versions 1.0 et 2.0. Par amalgame CAS désigne aussi souvent l'implémentation serveur de référence fournie par JASIG. Toutefois il est possible d'utiliser d'autres produits en tant que serveur CAS, comme c'est le cas désormais de LemonLDAP::NG.

Fidèle CAS trop

En effet, comme mentionné dans des billets précédents, les développements sur LemonLDAP::NG sont très actifs ces derniers temps. La plupart des efforts ont été concentrés sur l'implémentation de SAML 2.0, mais la nouvelle mouture de LemonLDAP::NG proposera également le support d'OpenID et de CAS (à la fois en tant que client -consumer- et serveur -provider-).

CAS a mia

Intéressons-nous tout d'abord à la partie cliente. Elle existe depuis quelques années dans LemonLDAP::NG, permettant de "CASsifier" le portail d'authentification. Concrètement, cela permet d'utiliser un serveur CAS externe comme authentification primaire sur LemonLDAP::NG.

La nouvelle version de ce module apporte une nouveauté : le mode mandataire (proxy).

Ce mode permet de déclarer des applications protégées par LemonLDAP::NG comme mandatées. Dans ce cas des tickets proxy CAS sont obtenus pour chacune des applications et ensuite disponibles dans la session de l'utilisateur. Ils peuvent donc être ensuite transmis à l'application qui pourra les valider directement avec le serveur CAS. Cela est très utile par exemple pour protéger un webmail CASsifié, qui utilise en sous-main pam_cas pour valider l'identité de l'utilisateur.

Mare à CAS

La partie serveur elle est toute neuve. Basé sur l'interface de fournisseur d'identité créée pour l'intégration SAML, le fournisseur CAS implémente tout le protocole CAS 1.0 et CAS 2.0.

LemonLDAP::NG devient donc le premier serveur CAS écrit en Perl !

Vodka Lemon ou Gin CAS ?

Désormais, CAS n'est plus une alternative à LemonLDAP::NG, mais l'un de ces protocoles d'authentification. Il est donc possible de passer à LemonLDAP::NG en conservant les applications CASsifiées. Avantage supplémentaire : en protégeant l'application CASsifiées, l'authentification est laissée en protocole CAS, mais LemonLDAP::NG peut désormais gérer les autorisations d'accès à l'application, et cela toujours de manière non-intrusive.

Toutefois, l'implémentation de référence de CAS poursuit sa route, et implémente certaines fonctionnalités qui n'apparaissent pas dans la description du protocole. C'est le cas de certains services web utilisés pour obtenir des informations sur l'utilisateur, ou la gestion de la déconnexion des applications.

Et bien entendu, reste le choix technologique de Java par rapport à Perl, matière à beaucoup de discussions qui ne font pas l'objet de cet article !

CAS qu'on attend ?

Ces nouvelles fonctionnalités peuvent être testées en utilisant la version de développement. Une archive est construite toutes les nuits et disponible ici.

Il faudra attendre encore un peu avant la sortie de la version 1.0, qui contiendra des nombreuses autres fonctionnalités, dont certaines feront peut-être l'objet de nouveaux articles sur ce blog.

N'hésitez pas à contacter la communauté (sur la liste lemonldap-ng-user AT ow2.org ou sur IRC #lemonldap-ng@freenode) pour obtenir de nouvelles informations !

[Ubuntu] Les messages "fsck" au démarrage n'utilisaient pas les traductions existantes

2010-08-26T07:43:15+00:00

Un bug dans le logiciel mountall, qui est un élément du processus de démarrage d'Ubuntu, empêchait les traductions des messages d'être utilisées.

Ainsi, les messages liés au "fsck" (vérification des disques durs) effectué périodiquement au démarrage étaient en Anglais, malgré l'existence de traductions dans la langue de l'utilisateur. Un correctif a été mis au point et testé par Linagora, qui l'a joint au rapport de bug communautaire existant.

Ce correctif a été envoyé dans Ubuntu maverick (future 10.10), ainsi que dans les mises à jour proposées pour Ubuntu lucid (10.04).

LDAP Tool Box - Self Service Password version 0.4

2010-07-30T13:32:03+00:00

Self Service Password version 0.4¶

Presentation¶

Self Service Password is a PHP application that allows users to change their password In an LDAP directory.

More information and screenshots:
http://ltb-project.org/wiki/documentation/self-service-password

Download page:
http://ltb-project.org/wiki/download#self_service_password

Changelog¶

Summary¶

Reset password by questions or by mail tokens
Password policy:
- Check special characters
- Forbidden characters
- Do not reuse same password
Spanish and Brazilian translation
Debian and RPM packaging

Details¶

Bug #183: Corrected german translations
Bug #189: Accentued characters in passwords are not well managed
Bug #258: LTB advertises features even if not configured
Bug #269: Bad link to token page
Feature #146: Lost Password
Feature #178: Reject some special characters from passwords
Feature #181: Secret Question feature to reset/set your own password
Feature #185: Provide packages for SSP
Feature #186: Check special characters in password
Feature #207: Use separate files for language strings
Feature #233: Rewrite documentation
Feature #256: Display password policy details only on failures for authenticated users
Feature #259: Check that user doesn't reuse the same password
Feature #266: Add pt-BR lang

Thanks¶

Thanks to contributors:

Jonathan Clarke
Leandro Lattanzio
Remi Verchere
Felix Bartels
Vinicius Carvalho

Nouveaux RPMs pour OpenLDAP 2.4.23 sur LTB-project

2010-07-21T16:00:00+00:00

Ce mois-ci est sortie la version 2.4.23 d'OpenLDAP, étiquetée comme stable par ses développeurs.

Les RPMs ont été mis en ligne très rapidement sur LTB-project et sont téléchargeables ici.

Il est fortement conseillé de migrer vers cette version car les précédentes ont fait l'objet d'alertes de sécurité.

Les paquets fournis par LTB-Project incluent en plus d'OpenLDAP un script d'initialisation et un module de contrôle de mot de passe pour l'overlay ppolicy.

LTB-Project a également publié récemment une mise à jour des plugins LDAP Nagios et Cacti.

Liens :

LDAP Tool Box - OpenLDAP 2.4.23 RPMs

2010-07-21T15:31:23+00:00

Presentation¶

OpenLDAP 2.4.23 changelog can be seen here: http://www.openldap.org/software/release/changes.html

LTB provides RPMs for 32bits and 64 bits: http://tools.ltb-project.org/projects/ltb/files

Security considerations¶

OpenLDAP 2.4.23 have some security issues, as pointed here by RedHat: https://rhn.redhat.com/errata/RHSA-2010-0543.html

Migration to OpenLDAP 2.4.23 is recommanded.

Credits¶

Jonathan Clarke
Thomas Chemineau

LDAP Tool Box - New release of Nagios and Cacti plugins

2010-07-19T15:56:20+00:00

Changelog¶

#150: typo in options parsing for ldap_response_time.pl
#172: single master mode for check_ldap_syncrepl_status.pl
#194: script to check LDPA query: check_ldap_query.pl
#195: update documentation on wiki

Download ¶

Nagios plugins: http://tools.ltb-project.org/attachments/download/152/ltb-project-nagios-plugins-0.3.tar.gz
Cacti plugins: http://tools.ltb-project.org/attachments/download/151/ltb-project-cacti-plugins-0.3.tar.gz

LinShare - LinShare project new forums

2010-07-12T11:36:59+00:00

LinShare now includes two forums for users and developers.

You are welcome to post any message on http://linpki.org/projects/linshare/boards