Fiche logiciel validé

Création ou MAJ importante : 06/06/08
Correction mineure : 06/06/08

Auteur :

Alice de Bignicourt - UREC (CNRS)

Relecteur(s) :

Olivier Salaün (Comité Réseau des Universités)
Jacquelin Charbonnel (LAREMA)

Responsable thématique :

Jacquelin Charbonnel (LAREMA)

Mots-clés

Système : UNIX-like
Métier-activité : admin syst rés
Domaine informatique : admin système, sécurité
Usage : service informatique
Fonctionnalités principales : authentification
Mots-clés associés : certificat, serveur
Origine : dév Ens Sup / Recherche
Type de licence : libre
Coût : gratuit

modXLDAPAuth : filtre d'accès à un serveur Apache basé sur les certificats

Site web
Système : UNIX-like
Téléchargement
Version évaluée : 0.4
Langue(s) de l'interface : anglais
Licence : Autre
Apache Licence (version 2.0)

Description

Fonctionnalités générales :

Module Apache permettant de filtrer l’accès à un serveur Apache 2.x en se basant sur les données du certificat x509 de l’utilisateur fournies par le navigateur en correspondance avec les droits d’accès définis dans un annuaire LDAP.

L’administrateur du site définit le(s) champ(s) du certificat à récupérer pour les remplacer dans le filtre à appliquer à l’annuaire LDAP.
Par exemple, si le filtre défini dans la configuration du module est de la forme (CN=%{SSL_CLIENT_S_DN_CN}) le module récupère la variable SSL_CLIENT_S_CN autrement dit, le champs CN contenu dans le certificat.
Si le certificat d’un utilisateur contient comme valeur du CN “john doe” le filtre à appliquer pour la requête est (CN=john doe).
Le module recherche donc dans l’annuaire LDAP si une entrée satisfait à ce filtre.
Si une entrée existe, le module permet l’accès à la ressource demandée. Dans la négative, le module bloque l’accès.

Autres fonctionnalités :

Paramétrage des champs du certificat x509 à inclure dans le filtre LDAP pour vérifier les droits d’accès.

Environnement du logiciel

Plates-formes :

La dernière version a été testée sur les plates-formes suivantes :
- Red Hat Linux release 8.0 (Psyche)
- Red Hat Linux release 9 (Shrike)
- Fedora Core release 1 (Yarrow)
Il n’a pas été effectué d’autres tests depuis.
Une mise-à-jour du module est maintenant disponible pour pouvoir être compilée et utilisée avec les versions 2.2.x d’Apache.

Logiciels connexes :

Un annuaire LDAP en exploitation doit être opérationnel pour fonctionner avec le module.
La librairie OpenSSL doit être installée ainsi qu’Apache avec le module mod_ssl.

Autres logiciels aux fonctionnalités équivalentes :

Le module mod_authz_ldap, http://authzldap.othello.ch/download.html propose un fonctionnement similaire, mais le module n’est pas disponible pour Apache 2.x et ne semble plus maintenu depuis 2004.

Environnement de développement

Type de structure associée au développement :

Projet de l’UREC, unité propre de service du CNRS, développement réalisé par Alice de Bignicourt (avec le support de Claude Gross).

Eléments de pérennité :

L’UREC en assure la maintenance.

Références d'utilisateurs institutionnels :

Entre autres, la Direction des Systèmes d’Information du CNRS à Toulouse.

Environnement utilisateur

Documentation utilisateur :

Se référer à la page
http://www.urec.cnrs.fr/rubrique34.html

Divers (astuces, actualités, sécurité) :

Il est possible de définir des filtres différents à chaque point de l’arborescence du serveur Apache (notamment dans les fichiers .htaccess).

Contributions :

Se rendre sur la page d’information du module, http://www.urec.cnrs.fr/rubrique34.html , et envoyer toute remarque sur le lien qui figure en bas de cette page Web.

Version imprimable - Signaler une erreur sur cette fiche - 247 lectures