Aide en ligne GRR

Intégration de GRR dans LemonLdap SSO

ATTENTION :
GRR supporte LemonLDAP mais pas LemonLDAP::NG qui est une réécriture complète de LemonLDAP. En attendant qu'un contributeur me propose les modifications nécessaires pour adapter GRR à LemonLDAP::NG, vous pouvez simplement configurer GRR avec l'authentification HTTP. En effet, LemonLDAP::NG simule une authentification Apache, ce qui permettra à GRR de fonctionner dans un environnement LemonLDAP::NG.

Lemonldap (http://lemonldap.sourceforge.net/) est un système SSO sous GPL utilisé par des grands ministères (MINEFI, Défense, Justice, ...). Depuis la version 1.9.1, GRR est prévu pour fonctionner dans un environnement LemonLdap.

Fonctionnement

Dans le panneau d'administration de GRR, une page « configuration SSO » permet d'activer la prise en charge de l'environnement Lemonldap. L'activation consiste à choisir le statut par défaut des utilisateurs authentifié (« usager » ou « visiteur »).

Tout comme pour LDAP et CASS SSO, deux types d'utilisateurs peuvent cohabiter :

les utilisateurs authentifiés et gérés directement par GRR dans la base locale de GRR et
les utilisateurs authentifiés par CAS.

Dans le tableau de gestion des utilisateurs un champ indique le type d'authentification (« local » ou « ext ») de l'utilisateur.

Remarques :

Pour se connecter, les utilisateurs locaux, gérés directement par GRR doivent se rendre à l'adresse du type http://monserveur.fr/Grr/login.php (ne pas oublier login.php à la fin). La possibilité de créer des utilisateurs locaux est intéressante pour permettre l'accès à GRR à des personnes ne disposant pas de compte LemonLdap. Il est fortement recommandé de créer un administrateur local de GRR. En effet, certaines mises à jour de GRR nécessite un accès particulier pour effectuer la mise à jour.

Un utilisateur qui désire accéder à GRR en s'authentifiant par LemonLdap doit se rendre à l'adresse du type http://monserveur.fr/Grr/. S'il n'est pas déjà authentifié, une page lui propose de rentrer son identifiant et son mot de passe. Tout ce qui concerne les utilisateurs authentifiés par Lemonldap est traité de la même façon que les utilisateurs LDAP .

Que se passe-t-il une fois que l'utilisateur a été authentifié par LemonLadap ?

Lorsque GRR est paramétré pour s'intégrer dans un environnement LemonLdap, le processus suivant s'applique :
Une fois authentifié, GRR regarde si un utilisateur dont le type d'authentification est « ext » ayant cet identifiant est présent dans la base des utilisateurs de GRR.

Si oui : GRR récupère dans sa base les informations concernant l'utilisateur (paramètres par défaut, langue, ...). L'utilisateur peut se connecter à GRR.

Dans le cas contraire, c'est la première connexion à GRR : GRR crée l'utilisateur dans la table « utilisateurs ». Les champ « mot de passe », « prénom », « email » sont laissés vides. Le champ « type d'authentification » prend la valeur « ext ». Le champ « statut » prend la valeur « usager » ou « visiteur » selon la valeur définie par défaut dans la configuration Lemonldap. L'administrateur pourra par la suite modifier ce paramètre au cas par cas. l'utilisateur est alors connecté à GRR. (remarque : si un utilisateur « local » existant porte déjà le même identifiant, l'importation ne pourra avoir lieu : il y a échec de la connexion).

Une fois l'utilisateur connecté, rien ne diffère pour celui-ci par rapport à un environnement normal à la différence près qu'il ne peut pas modifier son mot de passe (celui-ci étant géré par le serveur Lemonldap).

Lorsqu'un utilisateur se déconnecte, la session GRR est détruite et le navigateur est redirigé vers une page dont l'URL est spécifié dans la page de configuration générale.