Gestion des utilisateurs : quels outils?

#36

Bonjour à tou.te.s !

De notre côté, à Défis, on utilise un annuaire LDAP, peuplé via Dolibarr et utilisé pour les services suivants :

  • Nextcloud
  • le serveur LTSP pour notre salle en libre accès.

Deux petites questions au cas où vous auriez des pistes qui me permettraient d’avancer :

  • savez-vous s’il est possible de rajouter des critères (basé sur l’attribut LDAP shadowExpire par exemple) qui permette de valider ou non des utilisateurs sous Nextcloud ? ou plus grénéralement comment gérez-vous la validité des comptes sous Nextcloud + LDAP ?
  • quelqu’un utilise-t-il le peuplement Dolibarr -> LDAP ? Je cherche notamment à rajouter des champs qui ne sont pas dans ceux proposés dans l’interface de configuration.

Merci d’avance des éventuelles pistes
Armand, pour le chaton Défis

#37

Bonjour !

je ne savais que l’on pouvait coupler dolibarr avec LDAP le peupler automatiquement :slight_smile:

Mes comptes Nextcloud sont dans un groupe spécifique Nextcloud .

Cordialement

#38

jètes un œil ici , je viens de leur réédrire la doc. LDAP :

https://wiki.dolibarr.org/index.php/Module_LDAP#Configuration

Oui c’est un outil vraiment sympa.

1 Like
#39

bein c’est assez simple tu créer un groupe (des !) dans ton ldap et met le bon filtre LDAP dans ton Nextcloud, ou alors j’ai pas compris ta question :wink:

Notre conf ldap …
onglet serveur : (on ouvre grand : dc=ilinux,dc=lan)
Onlget user : (&(|(objectclass=gosaMailAccount))(|(memberof=cn=Utilisateurs_NC_ilinux,ou=groups,ou=Applications,ou=Administration,dc=ilinux,dc=lan)))
Onlget login : (&(&(|(objectclass=gosaMailAccount))(|(memberof=cn=Utilisateurs_NC_ilinux,ou=groups,ou=Applications,ou=Administration,dc=ilinux,dc=lan)))(|(uid=%uid)(|(mailPrimaryAddress=%uid)(mail=%uid))))
Onlget group : (&(|(objectclass=gosaGroupOfNames)))

Les “gosa” bazard , c’est surement à cause de Fusion Directory.

#40

Merci de ta réponse !

J’ai bien vu passer ton poste sur le forum Dolibarr, mais nous on utilise la partie Adhérent. La synchronisation se fait bien mais je voulais rajouter certains attributs dans LDAP (commue uidNumber et gidNumber de la classe posixAccount) qui ne font pas partie des champs classiques des synchro Dolibarr->LDAP. Mais en modifiant un peu le php de dolibarr, je devrais régler ça.

Je pense que je vais creuser ta solution des filtres mais … est-il possible de filtrer en fonctions d’une date sous LDAP, genre dont un champ est postérieur à une date donnée ? Un peu comme on peut faire en SQL quoi ;).

#41

plus j’étudie les solutions plus je me rapproche de :

  • ispconfig,
  • virtualmin/cloudmin.
#42

Perso j’utilise ISPconfig depuis plusieurs années et j’en suis vraiment content :

  • API pour scripter les actions de masse
  • Utilise que des “briques” libres (Postfix/Dovecot/Apache ou Nginix, plusieurs “mod” php possible…)
  • Ne fait rien d’obscure. En gros tout les soft tape dans la base de donnée Mysql Ispconfigdb (Dovecot pour l’authentification…) et c’est paramétré / embarqué / supporté dans les fichiers de confs “classique” donc tu peux “toucher” / affiner la config de tout les services à la mano sans rien casser si t’es pas satisfait de la conf par défaut… Du coup si ça merde c’est limpide, c’est dans les logs, tu sais ou aller pour corriger… (pas comme des solutions à la Plesk)

Mais je n’ai pas testé Virtualmin donc je ne peux pas comparer…

Le seul point “noir” c’est que l’interface pour les utilisateurs n’est pas hyper “user freindly” pour les noobs…

#43

euh , ispconfig je la trouve vraiment bien fichu !
Tu veux voir celle de cPannel, plesk , fusion Directory ou autre ?

Sérieux, je le trouve vraiment bien ispconfig. (c’est un avis)

#44

Pas compris ton message…

#45

j’ai edité , j’avais oublié un morceau :wink:

#46

Pas mieux compris…

Je dis qu’il est cool et tu me dis “heu il est cool” ou tu me parle de l’API ?

Et oui moi aussi je le trouve vraiment bien Ispconfig…

#47

je dis “qu’il me semble cool comme panneau de contrôle pour le webhosting ;-)”

#48

Hello,

C’est une mine d’info par ici =D !
Pour les utilisateurs de Keycloak, avez-vous réussi à fournir le caldav/carddav Nextcloud au travers du SSO ou est-ce que l’authentification builtin est obligatoire pour ces deux protocoles ?

1 Like
#49

je te dirai que Keycloak n’embarque pas d’annuaire LDAP etc .
C’est une solution d’authentification, un portail d’authentification.
A mon avis, les solutions d’annuaire libres et/ ou de gestion d’utilisateur sont très limitées en terme d’ergonomie et facilité d’accès pour le béocien.
Soit c’est le bazokka : Freeipa, soit le coupe ongle : openldap.

Pour ma part je vais bientôt lâcher les solutions trop modulaires qui au finale demandent une masse de boulot - et de connaissances - pour être maintenue (si on veut bien faire le boulot).

Je suis en train de me tâter pour mettre :

  • IPSCONFIG,
  • VIRTUALMIN/CLOUDMIN.

Le tout au-dessus de Proxmox qui est stable et offre vraiment le meilleur des deux mondes des VM et des conteneurs.

Kubernetes étant un tout autre monde beaucoup trop liée à Google … donc pas adapté pour un CHATONS voulant dégoogliser … : c’est toujours bon de rappeler le contexte) : ce n’est que mon avis.
Je le dis en ayant pas mal parlé avec des personnes ici qui ont monté de superbes infra à base de Docker, K8S etc .

1 Like
#50

Alors là… :slight_smile:

Si initialement Google a développé Kubernetes, le projet appartient à la CNCF depuis sa version 1.0, soit depuis presque 5 ans déjà.

D’ailleurs avec cette logique il faudrait se tenir à l’écart des technologies comme WebRTC, gRPC, …etc.

1 Like
#51

Il semblerait qu’il soit possible d’avoir du SSO sur Nextcloud avec Keycloak en utilisant le standard SAML.

#52

Yes effectivement @aselkim :+1:, je l’ai mis en place et ça fonctionne parfaitement pour l’accès NextCloud.

Malheureusement lorsque les clients CalDav/CardDav s’authentifient, ceux-ci ne passent visiblement pas par le SSO mais bien directement par l’authentification builtin de NextCloud. Les utilisateurs souhaitant donc utiliser la synchro des agendas / contacts sont obligé de configurer un mot de passe supplémentaire dans NextCloud directement.

Il se retrouvent donc potentiellement avec 2 mots de passe différents pour leurs accès NextCloud :

  • Celui configuré dans le SSO (keycloak) pour tous les services Chaton que je propose
  • Celui qu’ils ont dû définir dans l’authentification builtin de NextCloud pour accéder à leur contactes / calendriers

Ma question était de savoir si vous aviez trouvé un moyen de résoudre ce doublon ?

Est-ce que c’est ce que tu suggérais @ledufakademy en amenant OpenLdap/Freeipa ?

1 Like
#53

Je n’utilise pas NextCloud mais si le serviice CalDav/CardDav exposé par Nextcloud peut exploiter une authentification LDAP alors on peut imaginer déployer Keycloak avec un backend LDAP, ce dernier sera directement exploité pour la partie CalDav/CardDav s’il est possible d’avoir du SSO+LDAP dans Nextcloud.

Je vois aussi qu’il y a une issue à ce sujet qui traine depuis un moment : https://github.com/nextcloud/user_saml/issues/226

#54

ça peut être une bonne option merci @aselkim :slightly_smiling_face:.
Je vous tiens au courant si ça vous intéresse quant à savoir si NextCloud supporte le SSO&Ldap !

Juste, l’issue correspond exactement au comportement que je rencontre.
L’astuce proposé dans celle-ci fonctionne parfaitement d’ailleurs.

1 Like
#55

à ilinux on utilise FusionDirectory, c’est un webgui qui s’installe avec openldap.
Il permet de gérer les comptes LDAP , un peu plus facilement qu’avec phpldap : il permet beaucoup de chose.
Mais çà reste ardu et quand on doit aller mettre les mains dans la conf. openLDAP : c’est sacrément l’enfer , même si on cause un peu ldap.

Ensuite Nextcloud bind sur cet annuaire openLDAP, comme tout nos autres services adhérents.

Donc Keycloak oui .
Le seul reproche que je peux lui faire : sous le capot c’est du java (WildLfy) etc, avec des stack logiciel infernales pour les néophites
Edit : Keycloak peut constituer sa propre base de compte interne…