[Obm] Minig : Authentification

"Clément Hermann (nodens)" nodens2099 at gmail.com
Wed Jun 23 12:19:06 CEST 2010


Le 23/06/2010 11:14, Thomas Chemineau a écrit :
> Le 23 juin 2010 10:36, nodens2099<nodens2099 at gmail.com>  a écrit :
>>
>> Ca pourrait me convenir, mais est-ce que ça fonctionne sans mettre le mot de
>> passe en clair dans l'annuaire ? Notre annuaire les stocke au format SSHA...
>>
>
> En fait, Lemonldap::NG est une solution de WebSSO. C'est un frontend
> un OBM (en mode reverse proxy Apache). Le processus d'authentification
> d'OBM s'appuie alors sur l'authentification de l'utilisateur sur
> Lemonldap::NG. Et, fonctionnalité très intéressant, Lemonldap::NG peut
> retenir durant toute la durée de sa session SSO le mot de passe de
> l'utilisateur authentifié avec succès. Il suffit juste de paramétrer
> Lemonldap::NG pour envoyer le mot de passe à OBM (via le principe des
> entêtes HTTP).
>
> Voilà grosso modo le mécanisme.

OK, c'est la question que je m'étais posé après un peu de lecture. 
Excellente nouvelle ! D'autant qu'on comptait déjà le déployer pour 
d'autres besoins :)

Par contre on dirait que la documentation sur le paramétrage OBM avec 
Lemonldap::NG est succinte 3 lignes qui font référence à un rapport de 
bogue)... J'ai mal cherché ?


>
> Après, il existe des limitations en utilisant cette archi, notamment:
> - connexions sur cyrus imap via un webmail (ce n'est pas du HTTP);

Je ne suis pas sûr d'avoir compris. On parle de l'emploi d'un autre 
webmail que miniG ?

> - gestion de la suppression et du renommage des comptes utilisateurs;
> - gestion des groupes.
>

J'imagine qu'on doit pouvoir gérer les deux cas avec un provisionning 
soigneux (ce qui renvoie à ma question initiale : est-ce que quelqu'un a 
des exemples pour faciliter la manipulation d'utilisateurs OBM en ligne 
de commande, de préférence avec un annuaire ldap local gérer le carnet 
d'addresse ?). Notamment, pour le renommage, on compte utiliser un 
identifiant unique dans un autre attribut (type UID). Pour les groupes 
on doit pouvoir faire la synchronisation entre nos groupes et ceux d'OBM 
de la même manière que les users, j'imagine, il faut juste savoir 
comment manipuler directement les groupes en ligne de commande ou dans 
la base...

> Il y a des solutions pour y répondre, il faut juste s'y atteler ;)

Hé ben attelons nous, attelons nous... Bon si il faut coder en java je 
suis mal parti ;-)


Merci pour ces réponses !

-- 
Clément Hermann (nodens)




More information about the Obm mailing list