Merci pour ces informations et ce partage, je vais regarder les documentations que tu as partagées et essayer de comprendre tout ceci.
Ainsi qu’essayer de voir comment adapter cela en fonction des services que l’on pourraient proposer.
si tu veux qu’on fasse une session visio/audio sur le sujet hésite pas
Merci Dino pour la proposition.
Je la garde de coté, et me permettrait de revenir vers toi sur ce sujet en fonction des besoins 
Bonjour
je viens de tomber sur ce tuto pour l’installation de keycloak en v15 sur ubuntu
https://blog.zwindler.fr/2021/08/30/installer-keycloak-15-sur-ubuntu-20-04-sans-docker/
dino
1 « J'aime »
Bonjour,
je suis l’un des développeurs de LemonLDAP::NG et serai très intéressé pour aider les CHATONS à utiliser cette solution. Je connais bien KeyCloak et pourrais vous indiquer les avantages/inconvénients de chaque solution. Un des principaux arguments reste que LL::NG est une solution communautaire développée en France, alors que KeyCloak, bien que libre, reste une solution d’un éditeur américain (RedHat).
2 « J'aime »
Bonjour,
je voulais vous partager ce message, J’ai hésité à faire un nouveau thread…
https://talk.libreho.st/t/sso-keycloak-sync-users-and-groups-membership-in-the-app/463
Commentez ici si vous n’etes pas à l’aise en anglais.
Ça pourrait en intéresser ce qu’on prévoit de dev?
Je suis curieux du feedback de @coudot, vous avez du réfléchir à ces problèmatiques beaucoup plus que nous 
Salut @pierre, j’ai lu ton post je réponds ici pour plus de facilité. Notre approche reste celle d’avoir un annuaire LDAP, je ne partage bien entendu pas tes craintes sur la partie haute-disponibilité (pas très compliqué avec OpenLDAP) ou sur le mot de passe (qui reste bien entendu au chaud dans l’annuaire).
Pour information, nous avons fait le choix de OpenLDAP + LL::NG + NextCloud + Rocket.Chat + BlueMind pour notre solution W’Sweet : https://www.wsweet.org/. Tout ça fonctionne très bien ensemble.
À bientôt !
Merci pour ta réponse.
(Je viens de corriger pour HA, je connais pas très bien ldap, j’aurai du etre plus prudent avec mon affirmation, ajouter des marqueurs de modestie épistémique )
Du coup, je suis curieux
Pour W’Sweet, vous utiliser ldap pour sync le backend toute les heures j’imagine?
Est-ce que vous utilisez saml ou openId pour le login frontend? (J’ai l’impression en lisant votre page)
Et ultime question, est-ce que vous avez des demandes de support parce que « J’ai créé le groupe dans mon annuaire, mais il n’apparait pas dans Nextcloud? »
Merci pour vos précieux retours
Nous utilisons SAML pour connecter Rocket.Chat et NextCloud. L’annuaire est branché également pour des synchros régulères (comptes et groupes). Il faut en effet attendre la synchronisation des groupes dans NextCloud avant de pouvoir s’en servir, mais cela ne pose pas de problème particulier.
1 « J'aime »
Bonjour à tous,
Je me permet de remettre une couche sur ce sujet: simplifier la connexion à plusieurs services de mon CHATONS de la part d’un même usager.
Au camps CHATONS, j’avais co-animé un atelier sur SSO & LDAP.
On avait un peu échangé sur les différents types d’outils et de besoins .
A l’issu de la discussion, je me suis dit « je vais me plonger dans LemonLDAP::NG, cela devrait répondre à mon besoin ».
Or, j’ai plongé dans la doc https://lemonldap-ng.org/documentation/latest/start# : Au secours 
!!
J’ai l’impression de sortir la collection de chars Leclerc pour venir écraser une mouche.
Donc, j’ai besoin cruellement de revenir à la base de la base 
.
Avant de réflechir à tout autre besoin plus complexe (surement très bien), je veux pouvoir « juste » permettre à mes usagers d’avoir le même login/mot de passe sur plusieurs services.
Est-ce que quelqu’un aurait un simple tutoriel LDAP à me proposer pour répondre à ce besoin basic ?
Merci d’avance
Salut @Laurent,
pour mon cloud , j’utilise un ldap basique, sans surcouhe de type lemonldap ou keycloak.
J’ajoute les users à la main , que je mets dans le bon groupe.
Les users une fois ajoutés , se connectent sur NExcloud , ou ils peuvent à souhait changer leur mot de passe.
C’est utilisé pour Peertube , le forum , nextcloud …
« simple » et « LDAP » ça ne va pas bien ensemble…
Bien que ce ne sois pas un tuto, si tu sais lire du bash, tu peux appliquer la recette de yunohost qui se trouve dans la fonction init ci-dessous:
https://github.com/YunoHost/yunohost/blob/dev/data/hooks/conf_regen/06-slapd#L10
L’avantage, c’est qu’ensuite tu peux utiliser les configurations LDAP pré-faites pour chaque app yunohost.
Pour la partie SSO, SSOWat est rustique et se limite à nginx, mais c’est assez facile de déploiement, si il y a du monde intéressé on peut essayer de pondre une doc d’install sans yunohost.
1 « J'aime »
Hello,
Alors ce n’est pas vraiment un tutorial, mais c’est l’une des meilleures
doc que j’ai pu trouver sur openldap (en complément du guide de l’admin
https://openldap.org/doc/ ) c’est LDAP for Rocket Scientist :
http://zytrax.com/books/ldap/
Mais effectivement, openldap est un animal un peu rébarbatif au premier
abord et difficile à apprivoiser. Une fois la première (grosse) marche
franchie, ça va tout seul.
À ta disposition pour tout renseignement complémentaire
Salutations
1 « J'aime »
Bonjour all !
Pourquoi pas vous rencontrer IRL ? Ça tombe bien , c’est bientôt le campus du libre le samedi 6 novembre prochain .
hello tous,
je reviens sur l’élément d’authentification d’un chatons à l’autre. @dino tu parlais d’une mise en place faisable en 15 minutes, ça consisterait en quelles étapes ?
Mettons que j’aie des services avec et sans yunohost, et que je souhaite les rendre connectables à d’autres chatons, je dois faire quoi?
Sachant que tous les membres des CHATONS ne sont probablement pas aussi à l’aise avec l’admin sys des moyens d’auth, ça aurait sa place dans le wiki
wiki.chatons.org
Bonjour
on peut faire une visio pour faire cela ensemble en direct
pour ajouter un logiciel en SSO plusieurs possibilités, le logiciel :
- fait du SSO (openid idealement) config via l’interface web avec ou sans plugin plutot rapide
- fait mais avec des fichiers de config (nextcloud facile mais faut trouver toute les options dans la doc)
- Apache ou Nginx en coupure , le serveur web est en coupure donc (comme lstu, lufim…) et ne gére pas de compte derriere juste oui/non cela peut se faire par oauthproxy
https://wiki.parinux.org/si/oauth2proxy - il attends des headers apache/nginx et veut se configurer avec ,plus compliqué
1 « J'aime »
Bonjour Clément 
LL::NG est très bien mais trop peu de retour sur des cas d’usage contrairement à keycloak, Authentik ou encore Authelia.
J’ai quand même pu tester LL::NG jusqu’à l’authentification Kerberos grâce à l’article publié sur le site de ton entreprise. Installation rapide pour peu qu’on ne colle pas un reverse-proxy devant. Ensuite j’ai bien galéré sur pas mal de petits détails (le multi remplacé par la combinaison, $uid pour filtrer l’accès au manager qui ne fonctionne pas…), l’article n’est pas tout jeune avec une documentation pas toujours très claire.
Mais je vais persister car quand je vois ton implication dans de nombreux projets comme LSC (oui je me suis aussi amusé à synchroniser un OpenLDAP avec un un serveur AD RODC couplé avec saslauthd basé sur ta documentation), je me dis que ça vaut le coup. Et si ça fonctionne, j’en ferai un retour d’usage.
Donc voici quelques questions pour toi :
1- Quel fichier je dois modifier pour créer un formulaire de demande d’inscription ? Ex. : quelqu’un veut s’inscrire sur mon portail mais je ne veux pas que son compte soit créé automatiquement.
2- J’anticipe car pas encore testé : dans le cas de netxcloud, puis-je filtrer les groupes qui auront accès à cette application ?
3- Est-ce judicieux de laisser tourner LL::NG en accès direct, ou me conseilles-tu de passer par un reverse-proxy en front-end ?
4- Peut-on avoir différent backend (AD, OpenLDAP…) sur une même instance ?
Merci d’avoir pris le temps de me lire
Salut,
merci d’avoir donné une chance à LemonLDAP::NG. Le produit évolue en effet régulièrement et certaines documentations anciennes ne sont plus applicables en l’état.
Je réponds à tes questions ici mais je t’encourage à t’inscrire sur la liste de discussion des utilisateurs : https://lemonldap-ng.org/contact.html
1- Quel fichier je dois modifier pour créer un formulaire de demande d’inscription ? Ex. : quelqu’un veut s’inscrire sur mon portail mais je ne veux pas que son compte soit créé automatiquement.
Tu peux créer un module « Register » personnalisé, mais le fonctionnement actuel ne permet pas de phase de validation : https://lemonldap-ng.org/documentation/latest/register.html. Tu peux toutefois coder dans ton module Register la création du compte dans une branche temporaire, et déplacer l’entrée dans la branche principale pour valider l’inscription.
2- J’anticipe car pas encore testé : dans le cas de netxcloud, puis-je filtrer les groupes qui auront accès à cette application ?
C’est une des fonctionnalités de base de LemonLDAP::NG, tu peux associer une règle de contrôle d’accès à chaque application. Quelques exemples de règles : https://lemonldap-ng.org/documentation/latest/rules_examples.html
3- Est-ce judicieux de laisser tourner LL::NG en accès direct, ou me conseilles-tu de passer par un reverse-proxy en front-end ?
Il n’y a pas de contre-indication à laisser un accès direct à LemonLDAP::NG.
4- Peut-on avoir différent backend (AD, OpenLDAP…) sur une même instance ?
Oui, avec Choice ou Combination :
1 « J'aime »
Salut,
Merci beaucoup d’avoir pris le temps pour ces précisions. Je m’inscris sur la liste.
J’ai comparé LL::NG avec Keycloak et j’ai trouvé Keycloak beaucoup plus complexe à faire tourner en mode production avec Docker (beaucoup de cas d’usage en ligne mais pas une seule config identique et la doc officielle est très basique). Je pense que les deux sont adaptés pour des infrastructures assez poussées bien que je ferai plus confiance à LL::NG en terme de maintenance. Puis l’installation de LL::NG peut se faire en qques commandes apt sur Debian. Alors oui la config de LL::NG est plus rugueuse que Keycloak mais j’en reviens toujours au fait qu’il manque juste des exemples.
Pour des infras avec des besoins simples, je trouve le couple Authelia(voire Authentik)/LLDAP très facile à prendre en main. Pour ceux qui ne connaissent pas LLDAP et qui n’ont pas envie de se prendre la tête avec OpenLDAP → GitHub - lldap/lldap: Light LDAP implementation. Attention c’est du LDAP allégé.
Salut
Je « déterre » ce sujet pour apporter ma pierre à l’édifice. J’ai rédigé une série d’articles sur LemonLDAP. À première vue il peut repousser comparé à d’autres, mais je pense que c’est principalement lié au fait que l’on trouve moins de littérature sur le net que ses concurrents.
La série d’articles dans l’ordre :
- LemonLDAP::NG : une solution SSO qui mérite notre intérêt | Libre à vous
- Installation et configuration de base de la solution SSO LemonLDAP::NG | Libre à vous
- LemonLDAP::NG : Configuration du backend LLDAP | Libre à vous
- LemonLDAP::NG : Configuration du backend Active Directory et activation du multi-backend d'authentification | Libre à vous
- LemonLDAP::NG : Configuration du backend Kerberos | Libre à vous
- LemonLDAP::NG : Configuration du backend SQL de configuration et des sessions | Libre à vous
- LemonLDAP::NG : Configuration du backend SQL de configuration et des sessions | Libre à vous
- LemonLDAP::NG : Configuration du SSO sur Nextcloud | Libre à vous
- LemonLDAP::NG : Renforcement de la sécurité | Libre à vous
J’ai un peu poussé la solution au niveau des backends d’auth et on peut aller encore plus loin en termes de sécurisation. Je n’aborde pas la configuration en mode CLI.
2 « J'aime »