Onglet Lemonldap : Configuration du service SSO pour l'authentification unique (mode Expert)

Cette section décrit la configuration du serveur depuis l'interface de configuration du module disponible sur tous les serveurs EOLE.

Les valeurs définies par défaut simplifient la configuration dans le cadre d'une utilisation prévue sur certains des modules.

Installation de LemonLDAP::NG

Installation sur Scribe, AmonEcole ou Seth Éducation

Pour activer le serveur LemonLDAP::NG[1] sur les modules Scribe, AmonEcole ou Seth Éducation, il faut installer le paquet eole-lemonldap-ng-auto.

1
apt install eole-lemonldap-ng-auto

Le service sera alors pré-configuré pour utiliser l'annuaire du module.

Installation sur les autres modules

Pour activer le serveur LemonLDAP::NG sur les autres modules EOLE (Eolebase par exemple), il faut installer le paquet eole-lemonldap-ng.

1
apt install eole-lemonldap-ng

Les sources d'authentification seront à saisir dans l'interface de configuration du module.

AttentionModule Seth

L'installation du paquet eole-lemonldap-ng-auto sur un module Seth transformera ce dernier en Seth Éducation !

Truc & astuceLemonLDAP vs EoleSSO

L'installation des paquets eole-lemonldap-ng et/ou eole-lemonldap-ng-auto entraîne la désinstallation du paquet eole-sso-server par le jeu des dépendances de paquets (dpkg[2]).

Partie Configuration

Écran

  • 1
    Nom DNS du service d'authentification LemonLDAP-NG

    Variable calculée.

  • 2
    Configurer LemonLDAP-NG depuis l’interface d’administration

    Permet d’activer l’interface d’administration fournie par le projet LemonLDAP::NG.

    Par défaut, cette interface est désactivée, les cas classiques de configuration étant pris en charge via les mécanismes EOLE.

    AttentionConflit des modes de configuration

    La configuration de LemonLDAP::NG depuis son interface d’administration écrase et remplace celle générée via les mécanismes EOLE.

  • 3
    Nom DNS du manager LemonLDAP-NG

    Indique le nom de domaine avec lequel le manager de LemonLDAP::NG sera joignable. Cette variable est pré-remplie automatiquement.

  • 4
    Nom DNS du service Reload LemonLDAP-NG

    Indique le nom de domaine avec lequel le service de rechargement de LemonLDAP::NG sera joignable. Cette variable est pré-remplie automatiquement.

  • 5
    Nom de domaine des cookies

    Cette variable est pré-remplie.

  • 6
    Backend pour les comptes utilisateurs

    Permet d’adapter le protocole utilisé en fonction du type d’annuaire associé. Le choix s’effectue entre les types LDAP et AD (annuaire de type OpenLDAP ou annuaire de type Active Directory).

La variable Nom DNS du service d'authentification LemonLDAP-NG doit être renseignée avec le nom DNS du serveur précédé du nom du service.

La variable Configurer LemonLDAP-NG depuis l'interface d'administration permet d'activer l'interface d'administration de LemonLDAP::NG.

Si la variable est à oui une nouvelle variable apparaît en mode Normal et deux en mode Expert.

Écran

  • 1
    Nom DNS du manager LemonLDAP-NG

    Indique le nom de domaine avec lequel le manager de LemonLDAP::NG sera joignable. Cette variable est pré-remplie automatiquement.

  • 2
    Nom DNS du service Reload LemonLDAP-NG

    Indique le nom de domaine avec lequel le service de rechargement de LemonLDAP::NG sera joignable. Cette variable est pré-remplie automatiquement.

Attention

Si vous activez l'interface d'administration de LemonLDAP::NG vous perdrez la possibilité d'utiliser les outils EOLE pour interagir avec LemonLDAP::NG.

À ne choisir que si vous savez ce que vous faites !

La variable Nom de domaine des cookies à renseigner en cas d'utilisation d'un reverse proxy. Les cookies sont associés au nom utilisé par l'utilisateur pour accéder à un service web. Par défaut la valeur est celle du FQDN. Si vous utilisez un reverse proxy cette valeur n'est plus valable, il faut la remplacer par le chemin d'accès à la redirection du reverse proxy.

AttentionLa variable Backend pour les comptes utilisateurs permet de choisir entre LDAP ou AD. pour les échangent.

Si vous utilisez Scribe mettre en mode LDAP

Si vous utilisez un seth ou un amonecole passer en mode AD.

Partie Configuration LDAP

Dans cette partie vous avez accès aux paramètres propres à LemonLDAP::NG.

Écran

  • 1
    Protocole LDAP à utiliser

    Il est possible d’adapter le protocole à utiliser selon les capacités du serveur LDAP associé. Le choix se fait entre ldaps et ldap.

  • 2
    Port d'écoute du LDAP utilisé par LemonLDAP::NG

    Port utilisé pour contacter l’annuaire.

  • 3
    Vérifier les certificats SSL du serveur LDAP

    Active ou désactive la vérification du certificat SSL fourni par l’annuaire dans le cas du protocole LDAPS

  • 4
    Nombre de processus dédié à Lemon (équivalent au nombre de processeurs)

    Permet de limiter les ressources allouées

    Conseil

    Il est conseillé de ne pas allouer la totalité des files de traitement pour éviter de bloquer le système complètement en cas de charge excessive.

  • 5
    Verbosité des journaux

    Détermine la quantité d’informations rapportées par les services LemonLDAP::NG

    • Info : remonte uniquement les logs informatifs
    • notice : remonte les logs informatifs + notifications
    • warn : remonte les logs informatifs + notifications + warning
    • error : remonte les logs informatifs + notifications + warning + error
    • debug : remonte tous les logs possible
  • 6
    LemonLDAP Administrator username

    Personnalise le nom de l’utilisateur avec les droits d’administration.

Le serveur LemonLDAP::NG prend en charge LDAP over SSL (LDAPS). La fonction Strict SSL est définie par défaut. La fonction Strict SSL nécessite une certification de serveur.

La variable Protocole LDAP à utiliser permet de choisir entre LDAP et LDAPS

Attention

Pour des interactions en LDAP avec Active Directory, prendre en compte que certaines actions nécessitent l'utilisation de LDAPS (LDAP sur SSL) entre le client et Active Directory

La variable Port d'écoute du LDAP utilisé par LemonLDAP::NG permet de changer le port associé pour LDAP. Par défaut il s'agit du port 636

La variable Vérifier les certificats SSL du serveur LDAP permet de valider les certificats SSL pour l'authentification du serveur LemonLDAP::NG.

La variable Nombre de processus dédié à Lemon (équivalent au nombre de processeurs) indique le nombre de processus utilisés par LemonLDAP::NG. Par défaut cette variable est à 4, néanmoins il est préférable d'avoir ce nombre légèrement inférieur au nombre de processeurs.

Configuration CAS

Écran

  • 1
    Nom de l’attribut CAS

    Cette variable multivaluée permet d’associer des noms d’attribut CAS avec des noms d’attribut LDAP. Cette association permet de fournir au protocole CAS les attributs qui lui sont nécessaires quand ils n’existent pas avec le même nom dans l’annuaire.

  • 2
    Nom de l'attribut CAS

    Le nom de l’attribut CAS correspond au membre du couple utilisé côté CAS.

    Attention

    Les attributs sont sensibles à la casse.

  • 3
    Attribut LDAP équivalent

    Le nom de l’attribut LDAP correspond à l’attribut LDAP dont la valeur sera associée au nom de l’attribut CAS précédent.

    Attention

    Les attributs sont sensibles à la casse.

  • 4
    Endpoint du service cas

    Complément d’url qui permet d’accéder au service CAS.

  • 5
    Chemin de l'autorité de certification

    Emplacement du certificat de l’autorité de certification permettant de valider l’accès si nécessaire.

LemonLDAP::NG. peut être utilisé comme un serveur CAS[3]. Il peut permettre de fédérer LemonLDAP::NG. avec :

  • Un autre fournisseur d'authentification CAS LemonLDAP::NG.
  • Tout client CAS

LemonLDAP::NG. est compatible avec le protocole CAS versions 1.0, 2.0 et une partie de la 3.0 (échange d'attributs).

Partie Personnalisation de la mire SSO

Écran

La variable Skin utilisé par LemonLDAP::NG permet de choisir le skin utilisé par LemonLDAP::NG.

La variable Permettre aux utilisateurs d'afficher l'historique de connexion permet aux utilisateurs lorsqu'elle est à oui, d'afficher leur historique de connexion.

La variable Permettre aux utilisateurs de réinitialiser leurs mots de passe par mail met en place la possibilité pour les utilisateurs de modifier leurs mots de passe depuis la fenêtre de connexion. La méthode consiste à demander la confirmation de l'adresse mail de l'utilisateur, si celle-ci correspond il recevra un mail avec un lien pour changer son mot de passe.

La variable Permettre aux utilisateurs de changer leurs mots de passe depuis LemonLDAP permet aux utilisateurs de changer librement leur mot de passe de depuis la page de gestion LemonLDAP::NG correspondant par défaut à la variable Nom DNS du service d'authentification LemonLDAP-NG ou variable Creole authWebName

La variable Autoriser le renouvellement des mots de passe expirés autorise le renouvellement par l'utilisateur.

Dans ce cas il est possible avec la variable Adresse de l'application pour réinitialiser leurs mots de passe d'indiquer une application ou un service spécifique (compatible LDAP, LDAPS, et LemonLDAP::NG) pour cette opération.

La variable Permettre aux utilisateurs de créer un compte autorise les utilisateurs à créer des comptes supplémentaires en lieu et place de l'administrateur, depuis l'interface LemonLDAP::NG.

La Variable Base de comptes pour l'enregistrement vous permet de choisir le type de base que vous voulez parmi 4 possibilités :

  • Une base LDAP
  • Une base AD
  • Une base de démonstration
  • Une base personnalisable.

Si vous choisissez une base personnalisable une nouvelle variable apparaîtra. Adresse de l'application de création de compte qu'il faut remplir en indiquant le service ou l'application qui va remplir la base.

Écran

La variable Domaines vers lesquels le formulaire peut renvoyer, concerne tous services ou applications externes au domaine du serveur LemonLDAP::NG vers lesquels il doit cependant pouvoir, soit donner accès, soit interagir.

Documentation annexe

Site officiel : LemonLDAP::NG

Documentation officielle (en anglais) : Documentation