Onglet Lemonldap : Configuration du service SSO pour l'authentification unique (Mode Normal)

Sommaire
  1. Installation de LemonLDAP::NG
  2. Partie Configuration
  3. Partie Configuration LDAP
  4. Partie Personnalisation de la mire SSO
  5. Documentation annexe

Cette section décrit la configuration du serveur depuis l'interface de configuration du module disponible sur tous les serveurs EOLE.

Les valeurs définies par défaut simplifient la configuration dans le cadre d'une utilisation prévue sur certains des modules.

Installation de LemonLDAP::NG

Installation sur Scribe, AmonEcole ou Seth Éducation

Pour activer le serveur LemonLDAP::NG[1] sur les modules Scribe, AmonEcole ou Seth Éducation, il faut installer le paquet eole-lemonldap-ng-auto.

1
apt install eole-lemonldap-ng-auto

Le service sera alors pré-configuré pour utiliser l'annuaire du module.

Installation sur les autres modules

Pour activer le serveur LemonLDAP::NG sur les autres modules EOLE (Eolebase par exemple), il faut installer le paquet eole-lemonldap-ng.

1
apt install eole-lemonldap-ng

Les sources d'authentification seront à saisir dans l'interface de configuration du module.

AttentionModule Seth

L'installation du paquet eole-lemonldap-ng-auto sur un module Seth transformera ce dernier en Seth Éducation !

Truc & astuceLemonLDAP vs EoleSSO

L'installation des paquets eole-lemonldap-ng et/ou eole-lemonldap-ng-auto entraîne la désinstallation du paquet eole-sso-server par le jeu des dépendances de paquets (dpkg[2]).

Partie Configuration

Écran

  • 1
    Nom DNS du service d'authentification LemonLDAP-NG

    Variable calculée.

    ComplémentNom interne de la variable

    authWebName

  • 2
    Configurer LemonLDAP-NG depuis l’interface d’administration

    Permet d’activer l’interface d’administration fournie par le projet LemonLDAP::NG.

    Par défaut, cette interface est désactivée, les cas classiques de configuration étant pris en charge via les mécanismes EOLE.

    AttentionConflit des modes de configuration

    La configuration de LemonLDAP::NG depuis son interface d’administration écrase et remplace celle générée via les mécanismes EOLE.

    ComplémentNom interne de la variable

    ll_activer_manager

  • 3
    Nom de domaine des cookies

    Cette variable est pré-remplie.

    ComplémentNom interne de la variable

    cookieDomain

La variable Nom DNS du service d'authentification LemonLDAP-NG doit être renseignée avec le nom DNS du serveur précédé du nom du service.

La variable Configurer LemonLDAP-NG depuis l'interface d'administration permet d'activer l'interface d'administration de LemonLDAP::NG.

Si la variable est à oui une nouvelle variable apparaît en mode Normal et deux en mode Expert.

Écran

  • 1
    Nom DNS du manager LemonLDAP-NG

    Indique le nom de domaine avec lequel le manager de LemonLDAP::NG sera joignable. Cette variable est pré-remplie automatiquement.

    ComplémentNom interne de la variable

    managerWebName

  • 2
    Nom DNS du service Reload LemonLDAP-NG

    Indique le nom de domaine avec lequel le service de rechargement de LemonLDAP::NG sera joignable. Cette variable est pré-remplie automatiquement.

    ComplémentNom interne de la variable

    reloadWebName

Attention

Si vous activez l'interface d'administration de LemonLDAP::NG vous perdrez la possibilité d'utiliser les outils EOLE pour interagir avec LemonLDAP::NG.

À ne choisir que si vous savez ce que vous faites !

Partie Configuration LDAP

Dans cette partie vous avez accès aux paramètres propres à LemonLDAP::NG.

Écran

  • 1
    Protocole LDAP à utiliser

    Il est possible d’adapter le protocole à utiliser selon les capacités du serveur LDAP associé. Le choix se fait entre ldaps et ldap.

    ComplémentNom interne de la variable

    ldapScheme

  • 2
    Port d'écoute du LDAP utilisé par LemonLDAP::NG

    Port utilisé pour contacter l’annuaire.

    ComplémentNom interne de la variable

    ldapServerPort

  • 3
    Vérifier les certificats SSL du serveur LDAP

    Active ou désactive la vérification du certificat SSL fourni par l’annuaire dans le cas du protocole LDAPS

    ComplémentNom interne de la variable

    lmldapverify

  • 4
    Nombre de processus dédié à Lemon (équivalent au nombre de processeurs)

    Permet de limiter les ressources allouées

    Conseil

    Il est conseillé de ne pas allouer la totalité des files de traitement pour éviter de bloquer le système complètement en cas de charge excessive.

    ComplémentNom interne de la variable

    lemonproc

La variable Protocole LDAP à utiliser permet de choisir entre LDAP et LDAPS.

Le serveur LemonLDAP::NG prend en charge LDAP over SSL (LDAPS). La fonction Strict SSL est définie par défaut. La fonction Strict SSL nécessite une certification de serveur.

Attention

Pour des interactions en LDAP avec Active Directory, prendre en compte que certaines actions nécessitent l'utilisation de LDAPS (LDAP sur SSL) entre le client et Active Directory

La variable Port d'écoute du LDAP utilisé par LemonLDAP::NG permet de changer le port associé au LDAP. Par défaut il s'agit du port 636

La variable Vérifier les certificats SSL du serveur LDAP permet de valider les certificats SSL pour l'authentification du serveur LemonLDAP::NG.

La variable Nombre de processus dédié à Lemon (équivalent au nombre de processeurs) indique le nombre de processus utilisé par LemonLDAP::NG. Par défaut cette variable est à 4, néanmoins il est préférable d'avoir ce nombre légèrement inférieur au nombre de processeurs.

Partie Personnalisation de la mire SSO

Écran

La variable Skin utilisé par LemonLDAP::NG permet de choisir le skin utilisé par LemonLDAP::NG.

La variable Permettre aux utilisateurs d'afficher l'historique de connexion permet aux utilisateurs lorsqu'elle est à oui, d'afficher leur historique de connexion.

La variable Permettre aux utilisateurs de réinitialiser leurs mots de passe par mail met en place la possibilité pour les utilisateurs de modifier leurs mots de passe depuis la fenêtre de connexion. La méthode consiste à demander la confirmation de l'adresse mail de l'utilisateur, si celle-ci correspond il recevra un mail avec un lien pour changer son mot de passe.

La variable Permettre aux utilisateurs de changer leurs mots de passe depuis LemonLDAP permet aux utilisateurs de changer librement leur mot de passe depuis la page de gestion LemonLDAP::NG correspondant par défaut à la variable Nom DNS du service d'authentification LemonLDAP-NG ou variable Creole authWebName

La variable Autoriser le renouvellement des mots de passe expirés autorise le renouvellement par l'utilisateur.

Dans ce cas il est possible avec la variable Adresse de l'application pour réinitialiser leurs mots de passe d'indiquer une application ou un service spécifique (compatible LDAP, LDAPS, et LemonLDAP::NG) pour cette opération.

La variable Permettre aux utilisateurs de créer un compte autorise les utilisateurs à créer des comptes supplémentaires en lieu et place de l'administrateur, depuis l'interface LemonLDAP::NG.

La Variable Base de comptes pour l'enregistrement vous permet de choisir le type de base que vous voulez parmi 4 possibilités :

  • Une base LDAP
  • Une base AD
  • Une base de démonstration
  • Une base personnalisable.

Si vous choisissez une base personnalisable une nouvelle variable apparaîtra. Adresse de l'application de création de compte qu'il faut remplir en indiquant le service ou l'application qui va remplir la base.

Écran

La variable Domaines vers lesquels le formulaire peut renvoyer, concerne tous services ou applications externes au domaine du serveur LemonLDAP::NG vers lesquels il doit cependant pouvoir, soit donner accès, soit interagir.

Documentation annexe

Site officiel : LemonLDAP::NG

Documentation officielle (en anglais) : Documentation