Hello,

Je suis d'accord avec David, LemonLDAP couvre ton besoin et est très bien. Je l'ai déployé en prod et ca tourne bien.

La feature reverse-proxy te permet de caler a peu près n'importe quelle appli non-prévue pour faire du SSO dans une infra SSO en te basant sur des headers que tu peux envoyer à l'application dans la requête.

Tu peux par exemple ajouter à la volée dans la requête des headers pour envoyer une auth basic http à ton appli protégée par LemonLDAP uniquement quand le mec est loggué. Ou bien passer des propriétés extraites de ton LDAP/AD.

Perso j'ai du le patcher pour le plugger sur une base de donnée client custom (et avec pas mal d'historique, un gros mix de SHA1, SHA256, MD5 et d'autres joyeusetés dans les hash de MdP) et ce n'était pas très compliqué.

++

Le 5 juin 2015 13:58, Damien MICHAUDET d.michaudet@gmail.com a écrit :

Bonjour,

si tu as majoritairement du Windows j'imagine que tu as un serveur ActiveDirectory, qui utilise Kerberos. Ce serait donc peu coûteux pour toi d'utiliser tes authent et autorisations existantes, quite a rajouter des applis/services intégrés au sso dans ton AD.

Sinon OAuth2 a le vent en poupe et ça marche bien à peu près sur le même principe, mais ça demande de l'auth et un inventaire.

++ Damien

2015-06-05 13:55 GMT+02:00 Benjamin AVET benjamin.avet@gmail.com:

...

Salut la liste,

je viens vous déranger dans la douce chaleur qui règne en ce moment (y compris dans mon openspace) pour requérir vos conseils.

Je suis à la recherche d'une solution de SSO pour un environnement presque exclusivement Windows (poste de travail et serveur) et un peu de Red Hat.

Quels sont selon vous les critères de recherche et de sélection à retenir ?

Merci d'avance.

Benjamin AVET

---

Liste de diffusion du FRsAG http://www.frsag.org/

-- // Damien Michaudet # Libre systems engineer @ inovia.fr | 42.mg // +33 (0)6 76 74 46 50

---

Liste de diffusion du FRsAG http://www.frsag.org/

Hello à tous,

Au risque de mettre les pieds dans le plat, LemonLDAP n'est il pas un projet très "franco-francais", très peu lisible, à la gouvernance et la communication quasi inexisante et au site web ainsi que la doc archaique ? :D

J'ai longtemps bossé en tant qu'intégration Shibboleth et openAM (avec mention LDAP et syncrhonistion) et j'ai toujours trouvé que LemonLDAP n'était pas très "qualitatif" ni très adapté aux structures moyennes et grosses.

Perso aujourd'hui je me pencherais davantage sur Keycloak ( http://keycloak.jboss.org ) qui est certes jeune et porté par RedHat, mais qui fonctionne pas mal et qui a une belle roadmap !

bien à vous

2015-06-05 15:11 GMT+02:00 HURTEVENT VINCENT < vincent.hurtevent@univ-lyon1.fr>:

Bonjour,

Le 5 juin 2015 à 13:55, Benjamin AVET benjamin.avet@gmail.com a écrit :

Je suis à la recherche d'une solution de SSO pour un environnement presque exclusivement Windows (poste de travail et serveur) et un peu de Red Hat.

Quels sont selon vous les critères de recherche et de sélection à retenir ?

Recherches tu une solution de SSO « système » pour l’ouverture de session Windows, Linux, SSH ? ce que Kerberos peut fournir ou du SSO Web ?

En SSO Web, largement déployé et utilisable par bien des applications web ou via des bibliothèques reconnues, il y a le protocole CAS qui peut te faire du SSO + diffusion d’attributs. La partie serveur (CAS Server) est très configurable avec des sources d’authentification longue comme le bras.

Tu as également le protocole SAML, qui te permet de faire du SSO « fédéré » avec d’autres fournisseurs, des services SaaS, etc

En protocole 2.0, OAuth2.0 qui intègre de l’authentification type openID aux mécanismes d’autorisation OAuth, mais pour une mise en place en tant que fournisseur d’identité ca risque d’être bien plus compliqué et souvent réservé à des gros acteurs visible (Facebook, google, twitter)

Pour une expérience utilisateur full SSO, tu peux combiner : Kerberos + CAS (deleg kerberos) + SAML (via Shib). En théorie, une seule action d’authentification permet à l’utilisateur d’accéder à tous les services : systèmes, web on premise, SaaS.

En soft serveur qui font un peu tout :

• LemonLDAP
• CAS Server
• Gluu

avec un annuaire + un royaume Kerberos (Active Directory ?) en backend

---

Liste de diffusion du FRsAG http://www.frsag.org/

Le 05/06/2015 17:41, Guillaume Tournat a écrit :

Pour du web il y a Vulture Project qui est très bien.

Bonjour,

A noter que Vulture Project (https://www.vultureproject.org) en version 2 est freezé en attente de la sortie de la version 3 prévue à la rentrée 2015.

A noter également que le support certes présent est restreint et donc pas toujours à même de se pencher sur le développement de la nouvelle version et l'évolution de la version en cours.

D'ailleurs c'est bien la seule carte ^^

2015-06-05 19:15 GMT+02:00 HURTEVENT VINCENT < vincent.hurtevent@univ-lyon1.fr>:

Je ne connaissais pas Keyclock et effectivement ca a l'air pas mal.

Dans mon travail (université), c'est très souvent le couple CAS server + Shibboleth qui est utilisé . Ça fonctionne très bien il y a pas de soucis et la communauté est réactive mais j'ai souvent regardé la stack de forgerock avec envie (openidm, openam, opendj) sans prendre le temps de tester.

Le troll sur lemonldap et son utilisation dans de grosses structures, les défenseurs sortiront la carte "gendarmerie française".

Le 5 juin 2015 à 17:37, Barthélemy Vessemont bvessemont@gmail.com a écrit :

Hello à tous,

Au risque de mettre les pieds dans le plat, LemonLDAP n'est il pas un projet très "franco-francais", très peu lisible, à la gouvernance et la communication quasi inexisante et au site web ainsi que la doc archaique ? :D

J'ai longtemps bossé en tant qu'intégration Shibboleth et openAM (avec mention LDAP et syncrhonistion) et j'ai toujours trouvé que LemonLDAP n'était pas très "qualitatif" ni très adapté aux structures moyennes et grosses.

Perso aujourd'hui je me pencherais davantage sur Keycloak ( http://keycloak.jboss.org ) qui est certes jeune et porté par RedHat, mais qui fonctionne pas mal et qui a une belle roadmap !

bien à vous

2015-06-05 15:11 GMT+02:00 HURTEVENT VINCENT < vincent.hurtevent@univ-lyon1.fr>:

...

Bonjour,

Le 5 juin 2015 à 13:55, Benjamin AVET benjamin.avet@gmail.com a écrit :

Je suis à la recherche d'une solution de SSO pour un environnement presque exclusivement Windows (poste de travail et serveur) et un peu de Red Hat.

Quels sont selon vous les critères de recherche et de sélection à retenir ?

Recherches tu une solution de SSO « système » pour l’ouverture de session Windows, Linux, SSH ? ce que Kerberos peut fournir ou du SSO Web ?

En SSO Web, largement déployé et utilisable par bien des applications web ou via des bibliothèques reconnues, il y a le protocole CAS qui peut te faire du SSO + diffusion d’attributs. La partie serveur (CAS Server) est très configurable avec des sources d’authentification longue comme le bras.

Tu as également le protocole SAML, qui te permet de faire du SSO « fédéré » avec d’autres fournisseurs, des services SaaS, etc

En protocole 2.0, OAuth2.0 qui intègre de l’authentification type openID aux mécanismes d’autorisation OAuth, mais pour une mise en place en tant que fournisseur d’identité ca risque d’être bien plus compliqué et souvent réservé à des gros acteurs visible (Facebook, google, twitter)

Pour une expérience utilisateur full SSO, tu peux combiner : Kerberos + CAS (deleg kerberos) + SAML (via Shib). En théorie, une seule action d’authentification permet à l’utilisateur d’accéder à tous les services : systèmes, web on premise, SaaS.

En soft serveur qui font un peu tout :

• LemonLDAP
• CAS Server
• Gluu

avec un annuaire + un royaume Kerberos (Active Directory ?) en backend

---

Liste de diffusion du FRsAG http://www.frsag.org/

-- Barthélemy Vessemont - bvessemont@gmail.com Ingénieur en informatique diplômé de l'UTC (Compiègne) Contributeur Chef (redguide@github)

Hello,

j'ai testé Gluu également... Et ca m'a rapellé Zimbra (early versions d'y il a longtemps) en pire ... intégration forcée (et sale), chroot à l'arrache, tout est "masqué" et quasiment hors de contrôle, outil CLI unique qui fait le café (ou pas) et surtout pas de docs ! De plus l'outil d'install force l'install en CLI interactif et le produit n'est quasiment pas industrialisable en l'état.

Donc c'est clairement un nogo pour le moment.

KeyCloak en revanche est très (très) simple à mettre en oeuvre et à tester, les diagrammes d'archi sont clair. Et bien que le produit soit jeune et pas très bien documenté non plus, il reste très intuitif. A voir à l'avenir comment les choses évoluent, mais après un rapide test avec mes devs, ca s'est plutot bien passé.

Cdt

2015-06-08 14:17 GMT+02:00 Benjamin JOLIVOT benjamin.jolivot@oscaro.com:

Pour ma part, j’ai fait des maquettes sur :

•    WS02 : trop compliqué à mettre en place si pas intégré avec les
  

autres briques

•    OpenAM : complexe aussi, monitoring inutilisable.
  
  

•    Gluu : pas ou peu de doc, communauté hyper réduite
  
  
  
  

Je vais regarder Keyclock, mais j’ai peur que ce soit comme Gluu.

Je commence à me dire qu’un Azure AD vaut son prix.

Ben

*De :* FRsAG [mailto:frsag-bounces@frsag.org] *De la part de* Barthélemy Vessemont *Envoyé :* vendredi 5 juin 2015 20:08 *À :* HURTEVENT VINCENT *Cc :* French SysAdmin Group *Objet :* Re: [FRsAG] SSO

D'ailleurs c'est bien la seule carte ^^

2015-06-05 19:15 GMT+02:00 HURTEVENT VINCENT < vincent.hurtevent@univ-lyon1.fr>:

Je ne connaissais pas Keyclock et effectivement ca a l'air pas mal.

Dans mon travail (université), c'est très souvent le couple CAS server + Shibboleth qui est utilisé . Ça fonctionne très bien il y a pas de soucis et la communauté est réactive mais j'ai souvent regardé la stack de forgerock avec envie (openidm, openam, opendj) sans prendre le temps de tester.

Le troll sur lemonldap et son utilisation dans de grosses structures, les défenseurs sortiront la carte "gendarmerie française".

Le 5 juin 2015 à 17:37, Barthélemy Vessemont bvessemont@gmail.com a écrit :

Hello à tous,

Au risque de mettre les pieds dans le plat, LemonLDAP n'est il pas un projet très "franco-francais", très peu lisible, à la gouvernance et la communication quasi inexisante et au site web ainsi que la doc archaique ? :D

J'ai longtemps bossé en tant qu'intégration Shibboleth et openAM (avec mention LDAP et syncrhonistion) et j'ai toujours trouvé que LemonLDAP n'était pas très "qualitatif" ni très adapté aux structures moyennes et grosses.

Perso aujourd'hui je me pencherais davantage sur Keycloak ( http://keycloak.jboss.org ) qui est certes jeune et porté par RedHat, mais qui fonctionne pas mal et qui a une belle roadmap !

bien à vous

2015-06-05 15:11 GMT+02:00 HURTEVENT VINCENT < vincent.hurtevent@univ-lyon1.fr>:

Bonjour,

Le 5 juin 2015 à 13:55, Benjamin AVET benjamin.avet@gmail.com a écrit :

Je suis à la recherche d'une solution de SSO pour un environnement presque exclusivement Windows (poste de travail et serveur) et un peu de Red Hat.

Quels sont selon vous les critères de recherche et de sélection à retenir ?

Recherches tu une solution de SSO « système » pour l’ouverture de session Windows, Linux, SSH ? ce que Kerberos peut fournir ou du SSO Web ?

En SSO Web, largement déployé et utilisable par bien des applications web ou via des bibliothèques reconnues, il y a le protocole CAS qui peut te faire du SSO + diffusion d’attributs. La partie serveur (CAS Server) est très configurable avec des sources d’authentification longue comme le bras.

Tu as également le protocole SAML, qui te permet de faire du SSO « fédéré » avec d’autres fournisseurs, des services SaaS, etc

En protocole 2.0, OAuth2.0 qui intègre de l’authentification type openID aux mécanismes d’autorisation OAuth, mais pour une mise en place en tant que fournisseur d’identité ca risque d’être bien plus compliqué et souvent réservé à des gros acteurs visible (Facebook, google, twitter)

Pour une expérience utilisateur full SSO, tu peux combiner : Kerberos + CAS (deleg kerberos) + SAML (via Shib). En théorie, une seule action d’authentification permet à l’utilisateur d’accéder à tous les services : systèmes, web on premise, SaaS.

En soft serveur qui font un peu tout :

• LemonLDAP

• CAS Server

• Gluu

avec un annuaire + un royaume Kerberos (Active Directory ?) en backend

---

Liste de diffusion du FRsAG http://www.frsag.org/

--

Barthélemy Vessemont - bvessemont@gmail.com Ingénieur en informatique diplômé de l'UTC (Compiègne) Contributeur Chef (redguide@github)

--

Barthélemy Vessemont - bvessemont@gmail.com Ingénieur en informatique diplômé de l'UTC (Compiègne) Contributeur Chef (redguide@github)

---

Liste de diffusion du FRsAG http://www.frsag.org/

J'ai eu l'occasion de tester FreeIPA pour ma boîte et... Eh bien ça fonctionne pas mal de base mais est essentiellement packagé pour Fedora (donc nogo pour de la prod). Impossible de l'installer dans un conteneur LXC. Une fois déployé, j'ai voulu modifier les schémas LDAP pour permettre l'intégration de macintosh (ldap, automounts nfs et comptes mobiles) et n'y suis jamais arrivé dans le temps que j'ai eu à y consacrer. Ca a l'air aussi bien packagé et cohérent qu'un logiciel propriétaire mais libre.

Quelques liens que je trouve interessants mais sans avoir encore eu le temps de tester : https://oss.gonicus.de/labs/gosa/ https://services.renater.fr/federation/docs/fiches/cas-shib#cas_et_shibbolet... https://www.apereo.org/content/projects-communities http://www.sogo.nu/ (testé en 2011 et c'était bien cool :) )

Tout ça ne répond pas complètement à la question du SSO. Pour qu'il y ait sign-on, il faut une base d'authent et d'autorisation, ce qui fait déjà défaut en Libre. La direction dans laquelle je vais tatonner dans les prochaines semaines sera sur l'utilisation d'XMPP, qui permet présence, authent, autorisation et partage de trames textes en MESH de façon sécurisée.

Comment j'envisage le SSO : tu te logues sur ta machine (win, mac, linux) et c'est bon. Les sites que tu visites savent qui tu es et ton ssh-agent est opérationnel pour que tu te connectes sur les machines sur lesquelles tu es pertinent.

Sujet à suivre donc :)

++

2015-06-10 17:53 GMT+02:00 Youenn PIOLET piolet.y@gmail.com:

Et pourquoi pas freeipa ? :) https://www.freeipa.org/page/Main_Page/

Cordialement,

Youenn Piolet piolet.y@gmail.com

Le 9 juin 2015 11:34, Barthélemy Vessemont bvessemont@gmail.com a écrit :

...

Hello,

j'ai testé Gluu également... Et ca m'a rapellé Zimbra (early versions d'y il a longtemps) en pire ... intégration forcée (et sale), chroot à l'arrache, tout est "masqué" et quasiment hors de contrôle, outil CLI unique qui fait le café (ou pas) et surtout pas de docs ! De plus l'outil d'install force l'install en CLI interactif et le produit n'est quasiment pas industrialisable en l'état.

Donc c'est clairement un nogo pour le moment.

KeyCloak en revanche est très (très) simple à mettre en oeuvre et à tester, les diagrammes d'archi sont clair. Et bien que le produit soit jeune et pas très bien documenté non plus, il reste très intuitif. A voir à l'avenir comment les choses évoluent, mais après un rapide test avec mes devs, ca s'est plutot bien passé.

Cdt

2015-06-08 14:17 GMT+02:00 Benjamin JOLIVOT benjamin.jolivot@oscaro.com :

...

Pour ma part, j’ai fait des maquettes sur :

•    WS02 : trop compliqué à mettre en place si pas intégré avec
  

les autres briques

•    OpenAM : complexe aussi, monitoring inutilisable.
  
  

•    Gluu : pas ou peu de doc, communauté hyper réduite
  
  
  
  

Je vais regarder Keyclock, mais j’ai peur que ce soit comme Gluu.

Je commence à me dire qu’un Azure AD vaut son prix.

Ben

*De :* FRsAG [mailto:frsag-bounces@frsag.org] *De la part de* Barthélemy Vessemont *Envoyé :* vendredi 5 juin 2015 20:08 *À :* HURTEVENT VINCENT *Cc :* French SysAdmin Group *Objet :* Re: [FRsAG] SSO

D'ailleurs c'est bien la seule carte ^^

2015-06-05 19:15 GMT+02:00 HURTEVENT VINCENT < vincent.hurtevent@univ-lyon1.fr>:

Je ne connaissais pas Keyclock et effectivement ca a l'air pas mal.

Dans mon travail (université), c'est très souvent le couple CAS server + Shibboleth qui est utilisé . Ça fonctionne très bien il y a pas de soucis et la communauté est réactive mais j'ai souvent regardé la stack de forgerock avec envie (openidm, openam, opendj) sans prendre le temps de tester.

Le troll sur lemonldap et son utilisation dans de grosses structures, les défenseurs sortiront la carte "gendarmerie française".

Le 5 juin 2015 à 17:37, Barthélemy Vessemont bvessemont@gmail.com a écrit :

Hello à tous,

Au risque de mettre les pieds dans le plat, LemonLDAP n'est il pas un projet très "franco-francais", très peu lisible, à la gouvernance et la communication quasi inexisante et au site web ainsi que la doc archaique ? :D

J'ai longtemps bossé en tant qu'intégration Shibboleth et openAM (avec mention LDAP et syncrhonistion) et j'ai toujours trouvé que LemonLDAP n'était pas très "qualitatif" ni très adapté aux structures moyennes et grosses.

Perso aujourd'hui je me pencherais davantage sur Keycloak ( http://keycloak.jboss.org ) qui est certes jeune et porté par RedHat, mais qui fonctionne pas mal et qui a une belle roadmap !

bien à vous

2015-06-05 15:11 GMT+02:00 HURTEVENT VINCENT < vincent.hurtevent@univ-lyon1.fr>:

Bonjour,

Le 5 juin 2015 à 13:55, Benjamin AVET benjamin.avet@gmail.com a écrit :

Je suis à la recherche d'une solution de SSO pour un environnement presque exclusivement Windows (poste de travail et serveur) et un peu de Red Hat.

Quels sont selon vous les critères de recherche et de sélection à retenir ?

Recherches tu une solution de SSO « système » pour l’ouverture de session Windows, Linux, SSH ? ce que Kerberos peut fournir ou du SSO Web ?

En SSO Web, largement déployé et utilisable par bien des applications web ou via des bibliothèques reconnues, il y a le protocole CAS qui peut te faire du SSO + diffusion d’attributs. La partie serveur (CAS Server) est très configurable avec des sources d’authentification longue comme le bras.

Tu as également le protocole SAML, qui te permet de faire du SSO « fédéré » avec d’autres fournisseurs, des services SaaS, etc

En protocole 2.0, OAuth2.0 qui intègre de l’authentification type openID aux mécanismes d’autorisation OAuth, mais pour une mise en place en tant que fournisseur d’identité ca risque d’être bien plus compliqué et souvent réservé à des gros acteurs visible (Facebook, google, twitter)

Pour une expérience utilisateur full SSO, tu peux combiner : Kerberos + CAS (deleg kerberos) + SAML (via Shib). En théorie, une seule action d’authentification permet à l’utilisateur d’accéder à tous les services : systèmes, web on premise, SaaS.

En soft serveur qui font un peu tout :

• LemonLDAP

• CAS Server

• Gluu

avec un annuaire + un royaume Kerberos (Active Directory ?) en backend

---

Liste de diffusion du FRsAG http://www.frsag.org/

--

Barthélemy Vessemont - bvessemont@gmail.com Ingénieur en informatique diplômé de l'UTC (Compiègne) Contributeur Chef (redguide@github)

--

Barthélemy Vessemont - bvessemont@gmail.com Ingénieur en informatique diplômé de l'UTC (Compiègne) Contributeur Chef (redguide@github)

---

Liste de diffusion du FRsAG http://www.frsag.org/

-- Barthélemy Vessemont - bvessemont@gmail.com Ingénieur en informatique diplômé de l'UTC (Compiègne) Contributeur Chef (redguide@github)

---

Liste de diffusion du FRsAG http://www.frsag.org/

---

Liste de diffusion du FRsAG http://www.frsag.org/

Merci à tous pour vos retours.

Je vais étudier tout ça. Je reviens vers vous dès que je peux.

Le 11 juin 2015 16:34, Benoit Mortier benoit.mortier@opensides.be a écrit :

Le jeudi 11 juin 2015, 11:07:46 Damien MICHAUDET a écrit :

...

J'ai eu l'occasion de tester FreeIPA pour ma boîte et... Eh bien ça fonctionne pas mal de base mais est essentiellement packagé pour Fedora (donc nogo pour de la prod). Impossible de l'installer dans un conteneur LXC. Une fois déployé, j'ai voulu modifier les schémas LDAP pour permettre l'intégration de macintosh (ldap, automounts nfs et comptes mobiles) et n'y suis jamais arrivé dans le temps que j'ai eu à y consacrer. Ca a l'air aussi bien packagé et cohérent qu'un logiciel propriétaire mais libre.

je confirme pour avoir du mirgrer du freeipa vers OpenLDAP, tout est lie les schema sont bricoles et c'est tres difficile a integrer dans une infra des qu'on sort de ce qui est prevu.

...

Quelques liens que je trouve interessants mais sans avoir encore eu le temps de tester : https://oss.gonicus.de/labs/gosa/

Abandonne, la communaute a forker il y a 4 ans et est devenu FusionDirectory, maintenu, stable et remplis de belles fonctionalites :)

Bonne soirée

Benoit Mortier CEO OpenSides "logiciels libres pour entreprises" : http://www.opensides.eu/ Promouvoir et défendre le Logiciel Libre http://www.april.org/ Main developper in FusionDirectory : http://www.fusiondirectory.org/ Official French representative for OPSI : http://opsi.org/

---

Liste de diffusion du FRsAG http://www.frsag.org/