Onglet Lemonldap : Configuration du service SSO pour l'authentification unique

Sommaire
  1. Partie Configuration
  2. Partie Configuration LDAP
  3. Configuration CAS
  4. Partie Personnalisation de la mire SSO

Partie Configuration

Écran

  • 1
    Nom DNS du service d'authentification LemonLDAP-NG

    Variable calculée.

    ComplémentNom interne de la variable

    authWebName

  • 2
    Configurer LemonLDAP-NG depuis l’interface d’administration

    Permet d’activer l’interface d’administration fournie par le projet LemonLDAP::NG.

    Par défaut, cette interface est désactivée, les cas classiques de configuration étant pris en charge via les mécanismes EOLE.

    AttentionConflit des modes de configuration

    La configuration de LemonLDAP::NG depuis son interface d’administration écrase et remplace celle générée via les mécanismes EOLE.

    ComplémentNom interne de la variable

    ll_activer_manager

  • 3
    Nom DNS du manager LemonLDAP-NG

    Indique le nom de domaine avec lequel le manager de LemonLDAP::NG sera joignable. Cette variable est pré-remplie automatiquement.

    ComplémentNom interne de la variable

    managerWebName

  • 4
    Nom DNS du service Reload LemonLDAP-NG

    Indique le nom de domaine avec lequel le service de rechargement de LemonLDAP::NG sera joignable. Cette variable est pré-remplie automatiquement.

    ComplémentNom interne de la variable

    reloadWebName

  • 5
    Nom de domaine des cookies

    Cette variable est pré-remplie.

    ComplémentNom interne de la variable

    cookieDomain

  • 6
    Backend pour les comptes utilisateurs

    Permet d’adapter le protocole utilisé en fonction du type d’annuaire associé. Le choix s’effectue entre les types LDAP et AD (annuaire de type OpenLDAP ou annuaire de type Active Directory).

    ComplémentNom interne de la variable

    lemon_user_db

    Retourner à l'écran

La variable Nom DNS du service d'authentification LemonLDAP-NG doit être renseignée avec le nom DNS du serveur précédé du nom du service.

La variable Configurer LemonLDAP-NG depuis l'interface d'administration permet d'activer l'interface d'administration de LemonLDAP::NG.

Si la variable est à oui une nouvelle variable apparaît en mode Normal et deux en mode Expert.

Écran

  • 1
    Nom DNS du manager LemonLDAP-NG

    Indique le nom de domaine avec lequel le manager de LemonLDAP::NG sera joignable. Cette variable est pré-remplie automatiquement.

    ComplémentNom interne de la variable

    managerWebName

  • 2
    Nom DNS du service Reload LemonLDAP-NG

    Indique le nom de domaine avec lequel le service de rechargement de LemonLDAP::NG sera joignable. Cette variable est pré-remplie automatiquement.

    ComplémentNom interne de la variable

    reloadWebName

Attention

Si vous activez l'interface d'administration de LemonLDAP::NG vous perdrez la possibilité d'utiliser les outils EOLE pour interagir avec LemonLDAP::NG.

À ne choisir que si vous savez ce que vous faites !

La variable Nom de domaine des cookies à renseigner en cas d'utilisation d'un reverse proxy. Les cookies sont associés au nom utilisé par l'utilisateur pour accéder à un service web. Par défaut la valeur est celle du FQDN. Si vous utilisez un reverse proxy cette valeur n'est plus valable, il faut la remplacer par le chemin d'accès à la redirection du reverse proxy.

AttentionLa variable Backend pour les comptes utilisateurs permet de choisir entre LDAP ou AD. pour les échangent.

Si vous utilisez Scribe mettre en mode LDAP

Si vous utilisez un seth ou un amonecole passer en mode AD.

Partie Configuration LDAP

Dans cette partie vous avez accès aux paramètres propres à LemonLDAP::NG.

Écran

  • 1
    Protocole LDAP à utiliser

    Il est possible d’adapter le protocole à utiliser selon les capacités du serveur LDAP associé. Le choix se fait entre ldaps et ldap.

    ComplémentNom interne de la variable

    ldapScheme

  • 2
    Port d'écoute du LDAP utilisé par LemonLDAP::NG

    Port utilisé pour contacter l’annuaire.

    ComplémentNom interne de la variable

    ldapServerPort

  • 3
    Vérifier les certificats SSL du serveur LDAP

    Active ou désactive la vérification du certificat SSL fourni par l’annuaire dans le cas du protocole LDAPS

    ComplémentNom interne de la variable

    lmldapverify

  • 4
    Nombre de processus dédié à Lemon (équivalent au nombre de processeurs)

    Permet de limiter les ressources allouées

    Conseil

    Il est conseillé de ne pas allouer la totalité des files de traitement pour éviter de bloquer le système complètement en cas de charge excessive.

    ComplémentNom interne de la variable

    lemonproc

  • 5
    Verbosité des journaux

    Détermine la quantité d’informations rapportées par les services LemonLDAP::NG

    • Info : remonte uniquement les logs informatifs
    • notice : remonte les logs informatifs + notifications
    • warn : remonte les logs informatifs + notifications + warning
    • error : remonte les logs informatifs + notifications + warning + error
    • debug : remonte tous les logs possible
    ComplémentNom interne de la variable

    lm_loglevel

  • 6
    LemonLDAP Administrator username

    Personnalise le nom de l’utilisateur avec les droits d’administration.

    ComplémentNom interne de la variable

    lemonAdmin

    Retourner à l'écran

Le serveur LemonLDAP::NG prend en charge LDAP over SSL (LDAPS). La fonction Strict SSL est définie par défaut. La fonction Strict SSL nécessite une certification de serveur.

La variable Protocole LDAP à utiliser permet de choisir entre LDAP et LDAPS

Attention

Pour des interactions en LDAP avec Active Directory, prendre en compte que certaines actions nécessitent l'utilisation de LDAPS (LDAP sur SSL) entre le client et Active Directory

La variable Port d'écoute du LDAP utilisé par LemonLDAP::NG permet de changer le port associé pour LDAP. Par défaut il s'agit du port 636

La variable Vérifier les certificats SSL du serveur LDAP permet de valider les certificats SSL pour l'authentification du serveur LemonLDAP::NG.

La variable Nombre de processus dédié à Lemon (équivalent au nombre de processeurs) indique le nombre de processus utilisés par LemonLDAP::NG. Par défaut cette variable est à 4, néanmoins il est préférable d'avoir ce nombre légèrement inférieur au nombre de processeurs.

Configuration CAS

Écran

  • 1
    Nom de l’attribut CAS

    Cette variable multivaluée permet d’associer des noms d’attribut CAS avec des noms d’attribut LDAP. Cette association permet de fournir au protocole CAS les attributs qui lui sont nécessaires quand ils n’existent pas avec le même nom dans l’annuaire.

  • 2
    Nom de l'attribut CAS

    Le nom de l’attribut CAS correspond au membre du couple utilisé côté CAS.

    Attention

    Les attributs sont sensibles à la casse.

    ComplémentNom interne de la variable

    casAttribute

  • 3
    Attribut LDAP équivalent

    Le nom de l’attribut LDAP correspond à l’attribut LDAP dont la valeur sera associée au nom de l’attribut CAS précédent.

    Attention

    Les attributs sont sensibles à la casse.

    ComplémentNom interne de la variable

    casLDAPAttribute

  • 4
    Endpoint du service cas

    Complément d’url qui permet d’accéder au service CAS.

    ComplémentNom interne de la variable

    casFolder

  • 5
    Chemin de l'autorité de certification

    Emplacement du certificat de l’autorité de certification permettant de valider l’accès si nécessaire.

    ComplémentNom interne de la variable

    ssoCALocation

LemonLDAP::NG. peut être utilisé comme un serveur CAS[1]. Il peut permettre de fédérer LemonLDAP::NG. avec :

  • Un autre fournisseur d'authentification CAS LemonLDAP::NG.
  • Tout client CAS

LemonLDAP::NG. est compatible avec le protocole CAS versions 1.0, 2.0 et une partie de la 3.0 (échange d'attributs).

Partie Personnalisation de la mire SSO

Écran

La variable Skin utilisé par LemonLDAP::NG permet de choisir le skin utilisé par LemonLDAP::NG.

La variable Permettre aux utilisateurs d'afficher l'historique de connexion permet aux utilisateurs lorsqu'elle est à oui, d'afficher leur historique de connexion.

La variable Permettre aux utilisateurs de réinitialiser leurs mots de passe par mail met en place la possibilité pour les utilisateurs de modifier leurs mots de passe depuis la fenêtre de connexion. La méthode consiste à demander la confirmation de l'adresse mail de l'utilisateur, si celle-ci correspond il recevra un mail avec un lien pour changer son mot de passe.

La variable Permettre aux utilisateurs de changer leurs mots de passe depuis LemonLDAP permet aux utilisateurs de changer librement leur mot de passe de depuis la page de gestion LemonLDAP::NG correspondant par défaut à la variable Nom DNS du service d'authentification LemonLDAP-NG ou variable Creole authWebName

La variable Autoriser le renouvellement des mots de passe expirés autorise le renouvellement par l'utilisateur.

Dans ce cas il est possible avec la variable Adresse de l'application pour réinitialiser leurs mots de passe d'indiquer une application ou un service spécifique (compatible LDAP, LDAPS, et LemonLDAP::NG) pour cette opération.

La variable Permettre aux utilisateurs de créer un compte autorise les utilisateurs à créer des comptes supplémentaires en lieu et place de l'administrateur, depuis l'interface LemonLDAP::NG.

La Variable Base de comptes pour l'enregistrement vous permet de choisir le type de base que vous voulez parmi 4 possibilités :

  • Une base LDAP
  • Une base AD
  • Une base de démonstration
  • Une base personnalisable.

Si vous choisissez une base personnalisable une nouvelle variable apparaîtra. Adresse de l'application de création de compte qu'il faut remplir en indiquant le service ou l'application qui va remplir la base.

Écran

La variable Domaines vers lesquels le formulaire peut renvoyer, concerne tous services ou applications externes au domaine du serveur LemonLDAP::NG vers lesquels il doit cependant pouvoir, soit donner accès, soit interagir.