Tu peux ajouter https://www.keycloak.org/
À Parinux (@bastet) on utilise Dolibarr pour
remplir un annuaire LDAP et Keycloack fournit le SSO pour les applis n’ayant
pas de LDAP
Le 22 mars à 12:22 stéphane(dit Le Duf’) via CHATONS a écrit
[—=| TOFU protection by t-prot: 22 lines snipped |=—]
il était déjà plus haut, mais je l’ai remis.
Sinon avec keycloak peux tu faire de la gestion des clef SSH ET faire de l’auth sur des active Directory (en meta proxy) ?
bon je suis en train de maniper avec FreeIPA , y’a pas photo , avec RedHat derrière et franchement … c’est vraiment bien foutu.
https://www.freeipa.org/page/Demo
Chez Parinux Un LDAP piloté par KeyCloak cela permet le SSO Openid, Saml, l’inscription
merci de ton retour dino.
Je suis en train de sérieusement loucher sur FreeIPA.
Est-ce que Keycloack permet :
plusieurs annuaire possible en lecture/ecriture
auto inscription avec limitation du nombre d’auto-inscription
Double facteur avec presentation d’un Qrcode pour l’activer facilement sur le mobile (freeopt)
pas vu la gestion des clefs ssh par contre
quand tu dis « LDAP piloté par » cela signifie quoi exactement ?
Tu peux gérer totalement ton openLDAP via Keycloak ?
euh je suis en train de tester KeyCloak : java … etc.
Tu aurais, stp, un tutoriel de montage pour faire un POC.
Car avec la doc officielle … c’est l’enfer.
Doc officielle : http://localhost:8080/auth,
après un .standalone.sh … (java donc bourré de Warning et erreur …)
Et : Admin console listening on http://127.0.0.1:9990
Bien sure cela ne marche pas … 
Edit 1 :
https://medium.com/@hasnat.saeed/setup-keycloak-server-on-ubuntu-18-04-ed8c7c79a2d9
Voici une recette qui fonctionne …
En fait après un an de recherche (et de test) d’un outil de gestion d’utilisateur/authentification simple, je suis en train de faire le constat qu’il n’existe pas d’outil simple, libre à mettre en oeuvre pour gérer de façon centralisé des utilisateurs sous GNU/Linux.
Bonjour
pour l’installation la procédure suivante passe très bien sur debian
https://medium.com/@hasnat.saeed/setup-keycloak-server-on-ubuntu-18-04-ed8c7c79a2d9
J’ai même fait un upgrade en virant wildfly
avec cette procédure de migration https://www.keycloak.org/docs/latest/upgrading/
cf mon post de ce jour
pour créé l’admin
/opt/keycloak-9.0.2/bin/add-user-keycloak.sh
et l’auto start sous debian/ubuntu
https://medium.com/@hasnat.saeed/setup-keycloak-server-on-ubuntu-18-04-ed8c7c79a2d9
Merci je vais étudier ces tutos, j’ai monté un à l’arrache : et je suis vraiment impressionné par la facilité à binder des annuaires ACtive Directory.
Bonjour à tous,
de notre côté on utilise LemonLDAP comme WebSSO sous Docker et on en est plutôt satisfait (même si on crée pas des utilisateurs à la volée).
Sur le papier il semble avoir à peu près les mêmes fonctionnalités que KeyCloak, il supporte en plus CAS (nous on utilise CAS pour Odoo et Bluemind, SAML 2.0 pour NextCloud et GitLab et la protection VirtualHost pour Nagios, DokuWiki. Il est assez modulable et permet de configurer plusieurs sources pour l’authentification (LDAP, Kerberos, AD, CAS, DB, etc.), la configuration et la gestion des sessions.
En plus, si j’ai bien suivi, il est principalement développé par des Français, pour la Gendarmerie Nationale initialement.
salut vincent,
note : j’aime vraiment bien Keycloak !
quel ldap avec quel webgui utilisez vous ? (stp)
oui mais alors … vla la gueule de l’installation …
après si ca marche, peut etre mais je n’y suis même pas arrivé.
En face on Active Directory, en deux cliques (ou une ligne powershell) l’annuaire et l’auth sont en prod. ca devrait faire reflechir les dev. parfois.
Bonjour à tou.te.s !
De notre côté, à Défis, on utilise un annuaire LDAP, peuplé via Dolibarr et utilisé pour les services suivants :
Deux petites questions au cas où vous auriez des pistes qui me permettraient d’avancer :
Merci d’avance des éventuelles pistes
Armand, pour le chaton Défis
Bonjour !
je ne savais que l’on pouvait coupler dolibarr avec LDAP le peupler automatiquement 
Mes comptes Nextcloud sont dans un groupe spécifique Nextcloud .
Cordialement
jètes un œil ici , je viens de leur réédrire la doc. LDAP :
https://wiki.dolibarr.org/index.php/Module_LDAP#Configuration
Oui c’est un outil vraiment sympa.
bein c’est assez simple tu créer un groupe (des !) dans ton ldap et met le bon filtre LDAP dans ton Nextcloud, ou alors j’ai pas compris ta question 
Notre conf ldap …
onglet serveur : (on ouvre grand : dc=ilinux,dc=lan)
Onlget user : (&(|(objectclass=gosaMailAccount))(|(memberof=cn=Utilisateurs_NC_ilinux,ou=groups,ou=Applications,ou=Administration,dc=ilinux,dc=lan)))
Onlget login : (&(&(|(objectclass=gosaMailAccount))(|(memberof=cn=Utilisateurs_NC_ilinux,ou=groups,ou=Applications,ou=Administration,dc=ilinux,dc=lan)))(|(uid=%uid)(|(mailPrimaryAddress=%uid)(mail=%uid))))
Onlget group : (&(|(objectclass=gosaGroupOfNames)))
Les « gosa » bazard , c’est surement à cause de Fusion Directory.
Merci de ta réponse !
J’ai bien vu passer ton poste sur le forum Dolibarr, mais nous on utilise la partie Adhérent. La synchronisation se fait bien mais je voulais rajouter certains attributs dans LDAP (commue uidNumber et gidNumber de la classe posixAccount) qui ne font pas partie des champs classiques des synchro Dolibarr->LDAP. Mais en modifiant un peu le php de dolibarr, je devrais régler ça.
Je pense que je vais creuser ta solution des filtres mais … est-il possible de filtrer en fonctions d’une date sous LDAP, genre dont un champ est postérieur à une date donnée ? Un peu comme on peut faire en SQL quoi ;).