Simplifier l'inscription à nos services

Bonjour all !

Pourquoi pas vous rencontrer IRL ? Ça tombe bien , c’est bientôt le campus du libre le samedi 6 novembre prochain .

hello tous,
je reviens sur l’élément d’authentification d’un chatons à l’autre. @dino tu parlais d’une mise en place faisable en 15 minutes, ça consisterait en quelles étapes ?
Mettons que j’aie des services avec et sans yunohost, et que je souhaite les rendre connectables à d’autres chatons, je dois faire quoi?

Sachant que tous les membres des CHATONS ne sont probablement pas aussi à l’aise avec l’admin sys des moyens d’auth, ça aurait sa place dans le wiki
wiki.chatons.org :wink:

Bonjour
on peut faire une visio pour faire cela ensemble en direct

pour ajouter un logiciel en SSO plusieurs possibilités, le logiciel :

  • fait du SSO (openid idealement) config via l’interface web avec ou sans plugin plutot rapide
  • fait mais avec des fichiers de config (nextcloud facile mais faut trouver toute les options dans la doc)
  • Apache ou Nginx en coupure , le serveur web est en coupure donc (comme lstu, lufim…) et ne gére pas de compte derriere juste oui/non cela peut se faire par oauthproxy
    https://wiki.parinux.org/si/oauth2proxy
  • il attends des headers apache/nginx et veut se configurer avec ,plus compliqué
1 « J'aime »

Bonjour Clément :slight_smile:

LL::NG est très bien mais trop peu de retour sur des cas d’usage contrairement à keycloak, Authentik ou encore Authelia.

J’ai quand même pu tester LL::NG jusqu’à l’authentification Kerberos grâce à l’article publié sur le site de ton entreprise. Installation rapide pour peu qu’on ne colle pas un reverse-proxy devant. Ensuite j’ai bien galéré sur pas mal de petits détails (le multi remplacé par la combinaison, $uid pour filtrer l’accès au manager qui ne fonctionne pas…), l’article n’est pas tout jeune avec une documentation pas toujours très claire.

Mais je vais persister car quand je vois ton implication dans de nombreux projets comme LSC (oui je me suis aussi amusé à synchroniser un OpenLDAP avec un un serveur AD RODC couplé avec saslauthd basé sur ta documentation), je me dis que ça vaut le coup. Et si ça fonctionne, j’en ferai un retour d’usage.

Donc voici quelques questions pour toi :
1- Quel fichier je dois modifier pour créer un formulaire de demande d’inscription ? Ex. : quelqu’un veut s’inscrire sur mon portail mais je ne veux pas que son compte soit créé automatiquement.
2- J’anticipe car pas encore testé : dans le cas de netxcloud, puis-je filtrer les groupes qui auront accès à cette application ?
3- Est-ce judicieux de laisser tourner LL::NG en accès direct, ou me conseilles-tu de passer par un reverse-proxy en front-end ?
4- Peut-on avoir différent backend (AD, OpenLDAP…) sur une même instance ?

Merci d’avoir pris le temps de me lire :slight_smile:

Salut,

merci d’avoir donné une chance à LemonLDAP::NG. Le produit évolue en effet régulièrement et certaines documentations anciennes ne sont plus applicables en l’état.

Je réponds à tes questions ici mais je t’encourage à t’inscrire sur la liste de discussion des utilisateurs : https://lemonldap-ng.org/contact.html

1- Quel fichier je dois modifier pour créer un formulaire de demande d’inscription ? Ex. : quelqu’un veut s’inscrire sur mon portail mais je ne veux pas que son compte soit créé automatiquement.

Tu peux créer un module « Register » personnalisé, mais le fonctionnement actuel ne permet pas de phase de validation : https://lemonldap-ng.org/documentation/latest/register.html. Tu peux toutefois coder dans ton module Register la création du compte dans une branche temporaire, et déplacer l’entrée dans la branche principale pour valider l’inscription.

2- J’anticipe car pas encore testé : dans le cas de netxcloud, puis-je filtrer les groupes qui auront accès à cette application ?

C’est une des fonctionnalités de base de LemonLDAP::NG, tu peux associer une règle de contrôle d’accès à chaque application. Quelques exemples de règles : https://lemonldap-ng.org/documentation/latest/rules_examples.html

3- Est-ce judicieux de laisser tourner LL::NG en accès direct, ou me conseilles-tu de passer par un reverse-proxy en front-end ?

Il n’y a pas de contre-indication à laisser un accès direct à LemonLDAP::NG.

4- Peut-on avoir différent backend (AD, OpenLDAP…) sur une même instance ?

Oui, avec Choice ou Combination :

1 « J'aime »

Salut,

Merci beaucoup d’avoir pris le temps pour ces précisions. Je m’inscris sur la liste.

J’ai comparé LL::NG avec Keycloak et j’ai trouvé Keycloak beaucoup plus complexe à faire tourner en mode production avec Docker (beaucoup de cas d’usage en ligne mais pas une seule config identique et la doc officielle est très basique). Je pense que les deux sont adaptés pour des infrastructures assez poussées bien que je ferai plus confiance à LL::NG en terme de maintenance. Puis l’installation de LL::NG peut se faire en qques commandes apt sur Debian. Alors oui la config de LL::NG est plus rugueuse que Keycloak mais j’en reviens toujours au fait qu’il manque juste des exemples.

Pour des infras avec des besoins simples, je trouve le couple Authelia(voire Authentik)/LLDAP très facile à prendre en main. Pour ceux qui ne connaissent pas LLDAP et qui n’ont pas envie de se prendre la tête avec OpenLDAP → GitHub - lldap/lldap: Light LDAP implementation. Attention c’est du LDAP allégé.

Salut :slight_smile:

Je « déterre » ce sujet pour apporter ma pierre à l’édifice. J’ai rédigé une série d’articles sur LemonLDAP. À première vue il peut repousser comparé à d’autres, mais je pense que c’est principalement lié au fait que l’on trouve moins de littérature sur le net que ses concurrents.

La série d’articles dans l’ordre :

J’ai un peu poussé la solution au niveau des backends d’auth et on peut aller encore plus loin en termes de sécurisation. Je n’aborde pas la configuration en mode CLI.

2 « J'aime »

Salut, merci pour ces articles, que j’ai pu parcourir rapidement, sans avoir eu le temps de les lire en détail. Il est vrai que nous manquons d’articles de ce type pour expliquer comment fonctionne LemonLDAP::NG, un grand merci pour le temps que tu y as passé !

2 « J'aime »

Hello,

merci pour les ressources sur LemonLDAP::NG :star_struck:
Je crois que @lacontrevoie utilise Casdoor

On est en train d’installer aussi Casdoor chez Pâquerette pour le tester mais on manque clairement de temps :sweat_smile:

1 « J'aime »

bonjour

Autentik une alternative a keycloak et lemonldap

Dino

1 « J'aime »