SSL

Authentification Utilisateurs Mot-de-passe

Présentation

LL::NG utilise le module SSL d'Apache, comme n'importe quel module d'authentification d'Apache avec quelques fonctionnalités supplémentaires :

Configuration

Activer SSL dans Apache

Installer mod_ssl pour Apache.

Pour CentOS/RHEL :

yum install mod_ssl

Dans Debian/Ubuntu mod_ssl est installé avec le paquet apache2.2-common.

Pour CentOS/RHEL, il est recommandé de désactiver l'hôte virtuel SSL par défaut configuré dans /etc/httpd/conf.d/ssl.conf.

Configuration globale de ssl dans Apache

Il est possible d'utiliser cette configuration SSL par défaut, par exemple en tête de /etc/lemonldap-ng/portal-apache2.conf :

SSLProtocol all -SSLv2
SSLCipherSuite HIGH:MEDIUM
SSLCertificateFile /etc/httpd/certs/ow2.cert
SSLCertificateKeyFile /etc/httpd/certs/ow2.key
SSLCACertificateFile /etc/httpd/certs/ow2-ca.cert

Placer vos propres fichiers au lieu de ow2.cert, ow2.key, ow2-ca.cert:

  • SSLCertificateFile : certificat serveur
  • SSLCertificateKeyFile : clef privée du serveur
  • SSLCACertificateFile : certificat d'autorité pour valider les certificats clients

SI le port est spécifié, déclarer le port SSL :

NameVirtualHost *:80
NameVirtualHost *:443

Configuration SSL du portail dans Apache

Éditer l'hôte virtuel du portail pour activer la double authentification SSL :

SSLEngine On
SSLVerifyClient optional
SSLVerifyDepth 10
SSLOptions +StdEnvVars
SSLUserName SSL_CLIENT_S_DN_CN

Toutes les options SSL sont documentées dans la page mod_ssl d'Apache.

Ci-dessous les principales options utilisées par LL::NG :

Configuration de LemonLDAP::NG

Dans le manager, aller dans Paramètres généraux > Modules d'authentification et choisir SSL pour l'authentification.

Vous pouvez ensuite choisir vos modules d'utilisateurs et de mots-de-passe.

Aller ensuite dans Paramètres SSL :