modXLDAPAuth : filtre d'accès à un serveur Apache basé sur les certificats

Fiche PLUME
  • Création ou MAJ importante : 06/05/2010
  • Correction mineure : 13/02/2012
  • Auteur : Alice de Bignicourt - UREC (CNRS)
  • Responsable thématique : Gilian Gambini (CNRS DSI)
  • Relecteur 1 : Olivier Salaün
  • Relecteur 2 : Jacquelin Charbonnel
Mots clés
Description
Fonctionnalités générales

Module Apache permettant de filtrer l'accès à un serveur Apache 2.x en se basant sur les données du certificat x509 de l'utilisateur fournies par le navigateur en correspondance avec les droits d'accès définis dans un annuaire LDAP.

L'administrateur du site définit le(s) champ(s) du certificat à récupérer pour les remplacer dans le filtre à appliquer à l'annuaire LDAP.
Par exemple, si le filtre défini dans la configuration du module est de la forme (CN=%{SSL_CLIENT_S_DN_CN}) le module récupère la variable SSL_CLIENT_S_CN autrement dit, le champs CN contenu dans le certificat.
Si le certificat d'un utilisateur contient comme valeur du CN "john doe" le filtre à appliquer pour la requête est (CN=john doe).
Le module recherche donc dans l'annuaire LDAP si une entrée satisfait à ce filtre.
Si une entrée existe, le module permet l'accès à la ressource demandée. Dans la négative, le module bloque l'accès.

Autres fonctionnalités

Paramétrage des champs du certificat x509 à inclure dans le filtre LDAP pour vérifier les droits d'accès.

Environnement du logiciel
Plates-formes

La dernière version a été testée sur les plates-formes suivantes :
- Red Hat Linux release 8.0 (Psyche)
- Red Hat Linux release 9 (Shrike)
- Fedora Core release 1 (Yarrow)
Il n'a pas été effectué d'autres tests depuis.
Une mise-à-jour du module est maintenant disponible pour pouvoir être compilée et utilisée avec les versions 2.2.x d'Apache.

Logiciels connexes

Un annuaire LDAP en exploitation doit être opérationnel pour fonctionner avec le module : cf fiche PLUME

La librairie OpenSSL ( cf fiche PLUME  ) doit être installée ainsi qu'Apache avec le module mod_ssl

Autres logiciels aux fonctionnalités équivalentes

Le module mod_authz_ldap, http://authzldap.othello.ch/download.html propose un fonctionnement similaire, mais le module n'est pas disponible pour Apache 2.x et ne semble plus maintenu depuis 2004.

Environnement de développement
Type de structure associée au développement

Projet de l'UREC, unité propre de service du CNRS, développement réalisé par Alice de Bignicourt (avec le support de Claude Gross).

Eléments de pérennité

L'UREC en assure la maintenance.

Références d'utilisateurs institutionnels

Ce logiciel a été utilisé par la Direction des Systèmes d'Information du CNRS à Toulouse.

Environnement utilisateur
Documentation utilisateur
Divers (astuces, actualités, sécurité)

Il est possible de définir des filtres différents à chaque point de l'arborescence du serveur Apache (notamment dans les fichiers .htaccess).

Contributions

Se rendre sur la page d'information du module, http://www.urec.cnrs.fr/rubrique34.html , et envoyer toute remarque sur le lien qui figure en bas de cette page Web.