Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédente | ||
tuto:ipasserelle:authentification:installer_lemonldap_sur_sme [02/12/2010 15:37] dani créée |
tuto:ipasserelle:authentification:installer_lemonldap_sur_sme [12/07/2012 23:12] (Version actuelle) dani Page moved from installer_lemonldap_sur_sme to tuto:ipasserelle:authentification:installer_lemonldap_sur_sme |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
====== Installation de LemonLDAP ====== | ====== Installation de LemonLDAP ====== | ||
- | FIXME: Ce how-to est en cours de rédaction, à ne surtout pas suivre sans comprendre les différentes étapes indiquées | + | Prérequis: |
+ | * Configuration des dépôts fws et epel (voir [[tuto: | ||
====== Installation des RPMS ====== | ====== Installation des RPMS ====== | ||
- | La première étape est l' | + | La première étape est l' |
+ | <code bash> | ||
+ | yum --enablerepo=epel --enablerepo=fws install smeserver-lemonldap-ng | ||
+ | </ | ||
+ | Une fois les RPMS installés, il suffit de re-configurer apache: | ||
+ | <code bash> | ||
+ | signal-event webapps-update | ||
+ | </ | ||
- | ====== Templates ====== | + | Les domaines virtuels nécessaire à la gestion de LemonLDAP sont créés automatiquement: |
+ | * https:// | ||
+ | * https:// | ||
+ | * https:// | ||
+ | ====== Protection d'une appli web ====== | ||
+ | La protection d'une application Web se passe en plusieurs étapes | ||
+ | - Déclaration du virtualhost dans la console de gestion de LemonLDAP, et configuration des règles souhaitées (ou simplement ajout des règles si le virtualhost est déjà déclaré) | ||
+ | - Ajout de la ligne " | ||
+ | - Configuration de l' | ||
+ | ====== VirtualHost et protection via LemonLDAP ====== | ||
+ | Pour protéger un domaine virtuel par LemonLDAP sur un serveur SME (ou une iPasserelle), | ||
<code bash> | <code bash> | ||
- | mkdir -p /etc/e-smith/ | + | db domains setprop myapp.domain.tld TemplatePath WebAppVirtualHost DocumentRoot |
+ | signal-event domain-modify | ||
</ | </ | ||
+ | |||
+ | ====== Particularités shared-folders ====== | ||
+ | Si vous utilisez un dossier partagé (contrib [[http:// | ||
+ | |||
+ | <code bash> | ||
+ | db accounts setprop myapp AliasOnPrimary disabled | ||
+ | signal-event share-modify-server myapp | ||
+ | </ | ||
+ | |||
+ | ====== Authentification SSL ====== | ||
+ | Il est possible de configurer une authentification SSL (les clients présentent un certificat utilisateur pour s' | ||
+ | |||
+ | * Il faut tout d' | ||
+ | * Pour chaque utilisateur, | ||
+ | * Il faut copier la partie public de la CA dans / | ||
+ | <code bash> | ||
+ | cp / | ||
+ | chmod 644 / | ||
+ | chown root:root / | ||
+ | </ | ||
+ | * Il faut activer la fonction avec les commandes suivantes: | ||
+ | <code bash> | ||
+ | db configuration setprop lemonldap SSLAuth optional | ||
+ | signal-event webapps-update | ||
+ | </ | ||
+ | * Pour activer la vérification de la validité des certificats clients par une CRL, il faut configurer l'URL de mise à jour. Si on utilise PHPki sur le même serveur: | ||
+ | <code bash> | ||
+ | db configuration setprop httpd-e-smith CrlUrl http:// | ||
+ | signal-event webapps-update | ||
+ | </ | ||
+ | * Il ne reste plus qu'à configurer le reste dans le gestionnaire de configuration de LemonLDAP (https:// | ||
+ | |||
+ | * Paramètres généraux | ||
+ | * Modules d' | ||
+ | * Module d' | ||
+ | * Paramètres SSL | ||
+ | * Champ extrait du certificat: **SSL_CLIENT_S_DN_CN** | ||
+ | * Attribut LDAP pour le filtre: **uid** | ||
+ | * SSL Requis: **Activé** | ||
+ | * Sessions | ||
+ | * Condition d' | ||
+ | * Journalisation | ||
+ | * REMOTE_USER: |