Différences entre versions de « Lasso »

De Cliss XXI
Sauter à la navigation Sauter à la recherche
imported>SylvainBeucler
m
imported>SylvainBeucler
m (Désinstallation)
 
(4 versions intermédiaires par le même utilisateur non affichées)
Ligne 12 : Ligne 12 :
 
* [http://www.entrouvert.com/en/digital-identity/larpe Larpe]: reverse proxy, pour gérer Liberty Alliance sans toucher le code de l'application. Attention, cela ne fonctionne pas toujours, voir par exemple [http://wiki.entrouvert.org/Liste_des_services_Entr%27ouvert/LE_libertys%C3%A9s_avec_Larpe les services Libre-Entreprise] qui n'ont pas pu être libertisés (cf. liste interne [https://listes.libre-entreprise.org/wwsympa.fcgi/arc/reseau/2007-02/msg00072.html]).
 
* [http://www.entrouvert.com/en/digital-identity/larpe Larpe]: reverse proxy, pour gérer Liberty Alliance sans toucher le code de l'application. Attention, cela ne fonctionne pas toujours, voir par exemple [http://wiki.entrouvert.org/Liste_des_services_Entr%27ouvert/LE_libertys%C3%A9s_avec_Larpe les services Libre-Entreprise] qui n'ont pas pu être libertisés (cf. liste interne [https://listes.libre-entreprise.org/wwsympa.fcgi/arc/reseau/2007-02/msg00072.html]).
 
* [http://lists.labs.libre-entreprise.org/pipermail/lasso-devel/2007-April/001780.html scalp]: module Apache pour gérer une partie de la couche SSO. <code>bzr branch http://perso.entrouvert.org/~fred/bzr/modscalp/</code>. Cette solution ne gère pas les sessions, ni donc le SingleLogout. Elle simplifie l'implémentation de la phase d'authentification, tout étant réalisé dans une même session Apache, avec un résultat sous forme de variable d'environnement (donc pas de problème de confiance / de validation des entrées).
 
* [http://lists.labs.libre-entreprise.org/pipermail/lasso-devel/2007-April/001780.html scalp]: module Apache pour gérer une partie de la couche SSO. <code>bzr branch http://perso.entrouvert.org/~fred/bzr/modscalp/</code>. Cette solution ne gère pas les sessions, ni donc le SingleLogout. Elle simplifie l'implémentation de la phase d'authentification, tout étant réalisé dans une même session Apache, avec un résultat sous forme de variable d'environnement (donc pas de problème de confiance / de validation des entrées).
* [http://code.google.com/p/modmellon/ mod_mellon]: autre module Apache fait par d'autres personnes, pourrait remplacer mod_scalp à terme [http://lists.labs.libre-entreprise.org/pipermail/lasso-devel/2007-October/001905.html].
+
* [http://rnd.feide.no/content/modmellon mod_mellon]: autre module Apache fait par d'autres personnes, pourrait remplacer mod_scalp à terme [http://lists.labs.libre-entreprise.org/pipermail/lasso-devel/2007-October/001905.html].
 +
* [http://rnd.feide.no/content/javamellon javamellon]: exemple de Service Provider en Java/Lasso
  
 
== Exemples ==
 
== Exemples ==
Ligne 38 : Ligne 39 :
 
  aptitude update
 
  aptitude update
 
  aptitude install python-lasso
 
  aptitude install python-lasso
* Installer Authentic (/usr/share/authentic/, /usr/lib/python2.4/site-packages/authentic/, /usr/bin/authenticctl.py)
+
* Installer Authentic (/usr/share/authentic/, /usr/lib/python2.4/site-packages/authentic/, /usr/bin/authenticctl.py):
 
  sudo python setup.py install
 
  sudo python setup.py install
* Démarrer Authentic
+
* Installer les traductions:
 +
aptitude install gettext
 +
pushd po/
 +
make
 +
make install
 +
popd
 +
* Créer un espace pour les données persistantes:
 
  useradd --home /var/lib/authentic authentic
 
  useradd --home /var/lib/authentic authentic
 
  mkdir -m 755 /var/lib/authentic
 
  mkdir -m 755 /var/lib/authentic
 
  chown authentic: /var/lib/authentic
 
  chown authentic: /var/lib/authentic
 +
* Démarrer Authentic:
 
  sudo -u authentic authenticctl.py start
 
  sudo -u authentic authenticctl.py start
 
* Paramétrer Apache (cf. INSTALL), par exemple pour Apache2+SCGI:
 
* Paramétrer Apache (cf. INSTALL), par exemple pour Apache2+SCGI:
Ligne 50 : Ligne 58 :
 
   ServerName authentic.local
 
   ServerName authentic.local
 
   DocumentRoot /usr/share/authentic/web/
 
   DocumentRoot /usr/share/authentic/web/
   Alias /qo/ /usr/share/authentic/qommon/
+
    
  Alias /themes/ /usr/share/authentic/themes/
 
 
 
 
   SCGIMount / 127.0.0.1:3002
 
   SCGIMount / 127.0.0.1:3002
   <LocationMatch "^/(css|images|js|qo|themes)/.*">
+
   <LocationMatch "^/(css|images|js)/.*">
 
     SCGIHandler off
 
     SCGIHandler off
 
   </LocationMatch>
 
   </LocationMatch>
Ligne 70 : Ligne 76 :
  
 
Un autre exemple: http://wcs.entrouvert.org/liberty/metadata.xml
 
Un autre exemple: http://wcs.entrouvert.org/liberty/metadata.xml
 +
 +
== Désinstallation ==
 +
 +
<pre>
 +
# Lasso
 +
cd /usr/src/la/lasso/
 +
make uninstall
 +
rm -rf /usr/include/lasso/
 +
rm -rf /usr/share/doc/lasso/
 +
 +
# Authentic (no uninstall procedure)
 +
rm -rf /usr/share/authentic/
 +
rm -rf /var/lib/authentic/ # data
 +
 +
# spkitlasso (TODO: check with newer versions)
 +
rm -rf /usr/share/php/spkitlasso/
 +
rm -rf /usr/share/spkitlasso/
 +
rm -rf /var/lib/spkitlasso/ # data
 +
</pre>
  
 
== Documentation ==
 
== Documentation ==

Version actuelle datée du 11 août 2008 à 11:47

Présentation des prestations de SSO chez Entr'Ouvert.

Les spécifications

  • ID-FF 1.2: conçue par le consortium Liberty Alliance
  • SAML V2.0 qui fait converger ID-FF et les versions antérieures de SAML, chapeautée par l'OASIS

Les projets

  • Lasso: bibliothèque multi-langages pour utiliser un environnement Liberty Alliance
  • Authentic: fournisseur d'identités (support LDAP)
  • Larpe: reverse proxy, pour gérer Liberty Alliance sans toucher le code de l'application. Attention, cela ne fonctionne pas toujours, voir par exemple les services Libre-Entreprise qui n'ont pas pu être libertisés (cf. liste interne [1]).
  • scalp: module Apache pour gérer une partie de la couche SSO. bzr branch http://perso.entrouvert.org/~fred/bzr/modscalp/. Cette solution ne gère pas les sessions, ni donc le SingleLogout. Elle simplifie l'implémentation de la phase d'authentification, tout étant réalisé dans une même session Apache, avec un résultat sous forme de variable d'environnement (donc pas de problème de confiance / de validation des entrées).
  • mod_mellon: autre module Apache fait par d'autres personnes, pourrait remplacer mod_scalp à terme [2].
  • javamellon: exemple de Service Provider en Java/Lasso

Exemples

Installation de test

Créer une paire de clef:

  • Avec GnuTLS:
certtool --generate-privkey --outfile smthing-priv.pem
# TODO: export public counterpart
  • Avec OpenSSL
openssl genrsa -out smthing-priv.pem
openssl rsa -in smthing-priv.pem -pubout > smthing-pub.pem

Obtenir un fichier XML de IDP: installer Authentic. La doc de référence est INSTALL. Elle est un peu spartiate, voici un complément:

  • Récupérer Authentic
svn checkout svn://labs.libre-entreprise.org/svnroot/authentic/trunk authentic
  • Paquets nécessaires:
aptitude install python-scgi libapache2-mod-scgi python-quixote
echo "deb http://deb.entrouvert.org etch main" >> /etc/apt/sources.list
aptitude update
aptitude install python-lasso
  • Installer Authentic (/usr/share/authentic/, /usr/lib/python2.4/site-packages/authentic/, /usr/bin/authenticctl.py):
sudo python setup.py install
  • Installer les traductions:
aptitude install gettext
pushd po/
make
make install
popd
  • Créer un espace pour les données persistantes:
useradd --home /var/lib/authentic authentic
mkdir -m 755 /var/lib/authentic
chown authentic: /var/lib/authentic
  • Démarrer Authentic:
sudo -u authentic authenticctl.py start
  • Paramétrer Apache (cf. INSTALL), par exemple pour Apache2+SCGI:
<VirtualHost *>
  ServerAdmin webmaster@localhost
  ServerName authentic.local
  DocumentRoot /usr/share/authentic/web/
  
  SCGIMount / 127.0.0.1:3002
  <LocationMatch "^/(css|images|js)/.*">
    SCGIHandler off
  </LocationMatch>
</VirtualHost>
  • Relancer Apache:
a2enmod scgi
invoke-rc.d apache2 restart
  • /etc/hosts:
127.0.0.1 authentic.local
  • Suivre INSTALL, section "First Use" pour configurer un premier compte (http://authentic.local/admin/), puis demander Liberty Identity Provider Metadata.

Obtenir un fichier XML de SP: voir les didactitiels (tutorials) MAIS MAIS MAIS:

Un autre exemple: http://wcs.entrouvert.org/liberty/metadata.xml

Désinstallation

# Lasso
cd /usr/src/la/lasso/
make uninstall
rm -rf /usr/include/lasso/
rm -rf /usr/share/doc/lasso/

# Authentic (no uninstall procedure)
rm -rf /usr/share/authentic/
rm -rf /var/lib/authentic/ # data

# spkitlasso (TODO: check with newer versions)
rm -rf /usr/share/php/spkitlasso/
rm -rf /usr/share/spkitlasso/
rm -rf /var/lib/spkitlasso/ # data

Documentation

Limitations

  • Gestion d'erreur améliorable en PHP. La version de développement est en train de se débarrasser de SWIG pour régler la question [4] [5].

Autres

  • Candle is a sample Liberty Attribute Provider
  • Unwind is a sample Liberty Attributes Consumer
  • Expression is a Liberty Alliance, WebDAV and XML based web application framework with its own HTTP server; written in Python
  • Lasso Conformance Service Provider is a SAML 2.0 provider aimed to expose every aspect of SAML 2 protocols in the UI so they can be tested in conformance events
  • IdPC: Liberty Alliance Identity Provider as a C CGI program - ancêtre de Authentic?
  • Souk: ce projet, initialement un environnement de test, n'est non seulement plus maintenu mais également effacé, les auteurs recommandent d'utiliser Authentic à la place
  • SAML: article sur Wikipédia anglophone