Sortie de LTB Self Service Password 0.9

ltb-logoLe logiciel Self Service Password est développé au sein du projet LDAP Tool Box. Il fournit une interface permettant aux utilisateurs de changer leur mot de passe dans un annuaire LDAP (y compris Active Directory). Outre le changement de mot de passe simple, l’interface propose de réinitialiser son mot de passe en cas de perte, soit par l’envoi d’un courriel, soit par la réponse à des questions, soit par l’envoi d’un SMS. Self Service Password est écrit en PHP et publié sous licence GPL. La version 0.9 est sortie le 8 septembre 2015.

Traductions

Grâce à la communauté des utilisateurs, l’interface est à présent disponible en 14 langues. Les nouvelles langues fournies dans la version 0.9 sont le chinois, le portugais, le slovaque et le slovène.

Sécurité

Il était possible d’utiliser LDAPS avec les précédentes versions, le support de StartTLS a été ajouté dans la version 0.9. StartTLS n’est pas supporté par tous les annuaires mais est conseillé à la place de LDAPS quand il est disponible.

Active Directory

Le support d’Active Directory a été amélioré : désormais un utilisateur ayant un mot de passe expiré ou dont la réinitialisation est obligatoire peut le changer à travers l’interface Self Service Password. Le changement de mot de passe en tant qu’utilisateur au niveau LDAP a été ajouté, grâce à l’utilisation de la méthode PHP ldap_modify_batch.

Samba

Si le compte utilisateur est un compte Samba, il est désormais possible de mettre à jour les attributs sambaPwdCanChange et sambaPwdMustChange, qui correspondent à l’âge minimal et maximal du mot de passe.

Post traitement

Suite au changement effectif du mot de passe, un script peut être exécuté afin de propager l’information à d’autres systèmes. Cela permet par exemple de modifier le mot de passe sur un second annuaire ou dans des bases de données.

Tester LemonLDAP::NG en 5 minutes avec Docker

lemonldap-ng-docker

Installer LemonLDAP::NG n’est pas en soi très compliqué, étant donné que le projet fournit des paquets RPM et Debian, ainsi que des dépôts permettant les mises à jour automatiques. Ceci dit, on n’a pas forcément envie d’installer ces paquets sur sa machine et de tirer toutes les dépendances qui vont avec. Grâce à Docker, il est possible d’installer le logiciel dans un conteneur sans « contaminer » son propre système. C’est donc a priori une solution idéale pour tester un logiciel comme LemonLDAP::NG.

Comme moi, vous avez certainement entendu parler (beaucoup) de Docker, ces derniers temps, sauf si vous vivez dans une grotte numérique avec un vieux modem 56 K comme seul moyen de communication avec le monde extérieur. Il s’agit donc d’une technologie de conteneurs permettant l’exécution d’application sur un système d’exploitation en l’isolant des autres processus.

Après avoir suivi quelques tutoriels en ligne, j’ai donc décidé de construire ma propre image Docker pour LemonLDAP::NG. Pour cela, j’ai créé un fichier Dockerfile qui reproduit les étapes d’installation de LemonLDAP::NG sur un système Debian. Ce fichier est visible sur mon dépôt github :

Une fois que c’est fait, on peut construire simplement l’image Docker avec cette commande:

docker build --rm -t yourname/lemonldap-ng:version

Ayant construit l’image, je l’ai publié sur un dépôt Docker: https://hub.docker.com/r/coudot/lemonldap-ng/. Ainsi il est possible de le récupérer simplement avec un client Docker:

docker pull coudot/lemonldap-ng

Maintenant, on peut lancer un conteneur à partir de cette image pour tester LemonLDAP::NG.  Tout d’abord, le SSO fonctionnant avec des noms DNS, il faut que l’hôte résolve les noms utilisés par défaut dans LemonLDAP::NG, il suffit pour cela d’ajouter cette ligne dans votre ficher /etc/hosts :

127.0.0.1 auth.example.com manager.example.com test1.example.com test2.example.com

Ensuite, il suffit de lancer un conteneur en associant le port 80 du conteneur au port 80 de sa machine (il faut donc qu’il n’y ait pas de processus local qui utilise le port 80):

docker run -d --add-host reload.example.com:127.0.0.1 -p 80:80 coudot/lemonldap-ng

Il ne reste plus qu’à accéder à http://auth.example.com et à se connecter avec les comptes de démonstration, par exemple dwho/dwho.

Essayez ça et dites-moi ce que vous en pensez. Si vous avez des commentaires ou des trucs à partager, faites-le ci-dessous et je me ferai un plaisir de vous répondre.

Présentation du logiciel libre d’authentification unique (SSO) LemonLDAP::NG

Lors de mon séjour à Montréal, il y a deux semaines, j’ai eu l’occasion de présenter aux équipes de Savoir-faire Linux le logiciel LemonLDAP::NG. J’avais pour objectif d’expliquer les notions de contrôle d’accès et de SSO, de décrire les principales fonctionnalités du logiciel, de parler des protocoles CAS, SAML et OpenID Connect… et tout ça en une heure pour que les pizzas ne refroidissent pas trop! 😉

La présentation a été filmée et nous sommes heureux de la partager publiquement afin que vous puissiez vous aussi avoir un aperçu des possibilités offertes par LemonLDAP::NG.

Ma première installation de LemonLDAP::NG au Canada sera réservée à Savoir-faire Linux, qui bien que disposant d’un annuaire LDAP, n’a pas encore déployé de SSO en interne. Cet épisode de « dogfooding » permettra à nos équipes techniques de maîtriser rapidement les bonnes pratiques de déploiement de ce logiciel et de pouvoir le conseiller ensuite à nos différents clients.

Et vous, en passant, c’est pour quand l’implémentation de l’authentification unique (SSO) dans votre infrastructure? Si c’est déjà fait, avez-vous des commentaires ou des retours d’expérience utiles à partager?

Retour sur le thème Sécurité des RMLL 2015

rmll-2015Comme chaque année au mois de juillet, c’était le temps des Rencontres Mondiales du Logiciel Libre, événement communautaire incontournable rassemblant plusieurs centaines de passionnés. Rendez-vous donc à Beauvais, dans l’Oise, pour participer à cette 16ème édition, qui se déclina de façon traditionnelle entre les journées grand public du week-end et les conférences, en semaine.

Toutes les présentations sont disponibles sur le site des RMLL. Je n’en résume ici que quelques-unes auxquelles j’ai assisté.

Thème Sécurité

L’actualité informatique ne cesse de nous rappeler que la sécurité est essentielle et doit sans cesse s’adapter aux nouvelles menaces. Coïncidence fortuite, la révélation du piratage de Hacking Team est intervenue le premier jour du thème Sécurité et n’a fait que renforcer la pertinence des interventions.

Bonus

Les RMLL proposent des thèmes assez éclectiques, allant de l’éducation à l’infrastructure, en passant par l’embarqué et les arts libres. Pour ma part, j’ai pu donner deux autres conférences que je résume ici.