Imprimé depuis http://www.projet-plume.org/fiche/modxldapauth (le 23/11/2008 - 15:59)
Licence Creative Commons by-nc-nd
(Paternité, pas d'utilisation commerciale, pas de modification)
Logiciel utilisé dans la communauté

modXLDAPAuth : filtre d'accès à un serveur Apache basé sur les certificats

Fiche PLUME
  • Création ou MAJ importante : 06/06/2008
  • Correction mineure : 06/06/2008
Auteur :
  • Alice de Bignicourt - UREC (CNRS)
Contact pour cette fiche :
Responsable thématique :
Mots clés
Description
Fonctionnalités générales : 

Module Apache permettant de filtrer l’accès à un serveur Apache 2.x en se basant sur les données du certificat x509 de l’utilisateur fournies par le navigateur en correspondance avec les droits d’accès définis dans un annuaire LDAP.

L’administrateur du site définit le(s) champ(s) du certificat à récupérer pour les remplacer dans le filtre à appliquer à l’annuaire LDAP.
Par exemple, si le filtre défini dans la configuration du module est de la forme (CN=%{SSL_CLIENT_S_DN_CN}) le module récupère la variable SSL_CLIENT_S_CN autrement dit, le champs CN contenu dans le certificat.
Si le certificat d’un utilisateur contient comme valeur du CN “john doe” le filtre à appliquer pour la requête est (CN=john doe).
Le module recherche donc dans l’annuaire LDAP si une entrée satisfait à ce filtre.
Si une entrée existe, le module permet l’accès à la ressource demandée. Dans la négative, le module bloque l’accès.

Autres fonctionnalités: 

Paramétrage des champs du certificat x509 à inclure dans le filtre LDAP pour vérifier les droits d’accès.

Environnement du logiciel
Plates-formes : 

La dernière version a été testée sur les plates-formes suivantes :
- Red Hat Linux release 8.0 (Psyche)
- Red Hat Linux release 9 (Shrike)
- Fedora Core release 1 (Yarrow)
Il n’a pas été effectué d’autres tests depuis.
Une mise-à-jour du module est maintenant disponible pour pouvoir être compilée et utilisée avec les versions 2.2.x d’Apache.

Logiciels connexes: 

Un annuaire LDAP en exploitation doit être opérationnel pour fonctionner avec le module.
La librairie OpenSSL doit être installée ainsi qu’Apache avec le module mod_ssl.

Autres logiciels aux fonctionnalités équivalentes: 

Le module mod_authz_ldap, http://authzldap.othello.ch/download.html propose un fonctionnement similaire, mais le module n’est pas disponible pour Apache 2.x et ne semble plus maintenu depuis 2004.

Environnement de développement
Type de structure associée au développement: 

Projet de l’UREC, unité propre de service du CNRS, développement réalisé par Alice de Bignicourt (avec le support de Claude Gross).

Eléments de pérennité: 

L’UREC en assure la maintenance.

Références d'utilisateurs institutionnels: 

Entre autres, la Direction des Systèmes d’Information du CNRS à Toulouse.

Environnement utilisateur
Documentation utilisateur: 

Se référer à la page
http://www.urec.cnrs.fr/rubrique34.html

Divers (astuces, actualités, sécurité): 

Il est possible de définir des filtres différents à chaque point de l’arborescence du serveur Apache (notamment dans les fichiers .htaccess).

Contributions: 

Se rendre sur la page d’information du module, http://www.urec.cnrs.fr/rubrique34.html , et envoyer toute remarque sur le lien qui figure en bas de cette page Web.