[Obm] Minig : Authentification
Thomas Chemineau
thomas.chemineau at gmail.com
Thu Jun 24 09:40:45 CEST 2010
Le 23 juin 2010 12:19, "Clément Hermann (nodens)"
<nodens2099 at gmail.com> a écrit :
> Le 23/06/2010 11:14, Thomas Chemineau a écrit :
>>
>> Le 23 juin 2010 10:36, nodens2099<nodens2099 at gmail.com> a écrit :
>>>
>>> Ca pourrait me convenir, mais est-ce que ça fonctionne sans mettre le mot
>>> de
>>> passe en clair dans l'annuaire ? Notre annuaire les stocke au format
>>> SSHA...
>>>
>>
>> En fait, Lemonldap::NG est une solution de WebSSO. C'est un frontend
>> un OBM (en mode reverse proxy Apache). Le processus d'authentification
>> d'OBM s'appuie alors sur l'authentification de l'utilisateur sur
>> Lemonldap::NG. Et, fonctionnalité très intéressant, Lemonldap::NG peut
>> retenir durant toute la durée de sa session SSO le mot de passe de
>> l'utilisateur authentifié avec succès. Il suffit juste de paramétrer
>> Lemonldap::NG pour envoyer le mot de passe à OBM (via le principe des
>> entêtes HTTP).
>>
>> Voilà grosso modo le mécanisme.
>
> OK, c'est la question que je m'étais posé après un peu de lecture.
> Excellente nouvelle ! D'autant qu'on comptait déjà le déployer pour d'autres
> besoins :)
>
Bonne nouvelle :)
>
> Par contre on dirait que la documentation sur le paramétrage OBM avec
> Lemonldap::NG est succinte 3 lignes qui font référence à un rapport de
> bogue)... J'ai mal cherché ?
>
Oui, la documentation n'est pas abondante :-/ My fault sûrement...
Dans tous les cas, ça reste:
- Une installation classique de Lemonldap::NG (de la dernière version stable);
- Du paramétrage classique dans le Manager Lemonldap::NG pour envoyer
les bonnes entêtes à OBM;
- Ensuite, paramétrage d'OBM en s'appuyant sur un vieux mail:
http://list.obm.org/pipermail/obm/2009-September/002262.html pour voir
comment configurer, depuis ça a pas mal bougé mais le principe est là
(plus de patch à passer, etc...)
- Lorsqu'OBM est installé sur le serveur, sur une Debian, il est
possible d'aller jeter un coup dans le README dans
/usr/share/obm/www/obminclude/lib/LemonLDAP
>
>>
>> Après, il existe des limitations en utilisant cette archi, notamment:
>> - connexions sur cyrus imap via un webmail (ce n'est pas du HTTP);
>
> Je ne suis pas sûr d'avoir compris. On parle de l'emploi d'un autre webmail
> que miniG ?
>
N'importe quel webmail en fait. Techniquement, je ne me rappelle plus
exactement, mais le fond du problème est que le webmail doit connaitre
le mot de passe de l'utilisateur (en clair), afin de le rejouer sur le
serveur IMAP (d'où le fait que l'on sync le mot de passe).
MiniG supporte Lemonldap::NG nativement, mais pas entièrement (logout,
etc..). En règle générale, lorsque l'on décide de mettre Lemonldap::NG
devant OBM, on ne protège pas MiniG (et on conserve le système SSO
natif entre OBM et MiniG).
>
>> - gestion de la suppression et du renommage des comptes utilisateurs;
>> - gestion des groupes.
>>
>
> J'imagine qu'on doit pouvoir gérer les deux cas avec un provisionning
> soigneux (ce qui renvoie à ma question initiale : est-ce que quelqu'un a des
> exemples pour faciliter la manipulation d'utilisateurs OBM en ligne de
> commande, de préférence avec un annuaire ldap local gérer le carnet
> d'addresse ?). Notamment, pour le renommage, on compte utiliser un
> identifiant unique dans un autre attribut (type UID). Pour les groupes on
> doit pouvoir faire la synchronisation entre nos groupes et ceux d'OBM de la
> même manière que les users, j'imagine, il faut juste savoir comment
> manipuler directement les groupes en ligne de commande ou dans la base...
>
Et bien en fait, en utilisant Lemonldap::NG, on le gère déjà.
Lemonldap::NG récupère tous les attributs LDAP de l'utilisateur dans
l'annuaire d'entreprise, les mappe (c'est configurable) sur les champs
OBM, et zooo.
L'idée est donc: on ajoute un utilisateur dans l'annuaire LDAP
d'entreprise. L'utilisateur peut se connecter à OBM, même s'il
n'existe pas dans OBM (auto provisionning à la connexion).
>
>> Il y a des solutions pour y répondre, il faut juste s'y atteler ;)
>
> Hé ben attelons nous, attelons nous... Bon si il faut coder en java je suis
> mal parti ;-)
>
:))
>
> Merci pour ces réponses !
>
> --
> Clément Hermann (nodens)
>
>
>
Thomas.
--
Thomas Chemineau
More information about the Obm
mailing list