Hello,

j'ai testé Gluu également...
Et ca m'a rapellé Zimbra (early versions d'y il a longtemps) en pire ... intégration forcée (et sale), chroot à l'arrache, tout est "masqué" et quasiment hors de contrôle, outil CLI unique qui fait le café (ou pas) et surtout pas de docs ! De plus l'outil d'install force l'install en CLI interactif et le produit n'est quasiment pas industrialisable en l'état.

Donc c'est clairement un nogo pour le moment.

KeyCloak en revanche est très (très) simple à mettre en oeuvre et à tester, les diagrammes d'archi sont clair. Et bien que le produit soit jeune et pas très bien documenté non plus, il reste très intuitif. A voir à l'avenir comment les choses évoluent, mais après un rapide test avec mes devs, ca s'est plutot bien passé.

Cdt

2015-06-08 14:17 GMT+02:00 Benjamin JOLIVOT <benjamin.jolivot@oscaro.com>:

Pour ma part, j’ai fait des maquettes sur :

 

-        WS02 : trop compliqué à mettre en place si pas intégré avec les autres briques

-        OpenAM : complexe aussi, monitoring inutilisable.

-        Gluu : pas ou peu de doc, communauté hyper réduite

 

Je vais regarder Keyclock, mais j’ai peur que ce soit comme Gluu.

 

Je commence à me dire qu’un Azure AD vaut son prix.

 

Ben

 

 

De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Barthélemy Vessemont
Envoyé : vendredi 5 juin 2015 20:08
À : HURTEVENT VINCENT
Cc : French SysAdmin Group
Objet : Re: [FRsAG] SSO

 

D'ailleurs c'est bien la seule carte ^^

 

2015-06-05 19:15 GMT+02:00 HURTEVENT VINCENT <vincent.hurtevent@univ-lyon1.fr>:

Je ne connaissais pas Keyclock et effectivement ca a l'air pas mal.

 

Dans mon travail (université), c'est très souvent le couple CAS server + Shibboleth qui est utilisé . Ça fonctionne très bien il y a pas de soucis et la communauté est réactive mais j'ai souvent regardé la stack  de forgerock avec envie (openidm, openam, opendj) sans prendre le temps de tester.

 

Le troll sur lemonldap et son utilisation dans de grosses structures, les défenseurs  sortiront la carte "gendarmerie française".

 

Le 5 juin 2015 à 17:37, Barthélemy Vessemont <bvessemont@gmail.com> a écrit :

Hello à tous,

Au risque de mettre les pieds dans le plat, LemonLDAP n'est il pas un projet très "franco-francais", très peu lisible, à la gouvernance et la communication quasi inexisante et au site web ainsi que la doc archaique ? :D

J'ai longtemps bossé en tant qu'intégration Shibboleth et openAM (avec mention LDAP et syncrhonistion) et j'ai toujours trouvé que LemonLDAP n'était pas très "qualitatif" ni très adapté aux structures moyennes et grosses.

Perso aujourd'hui je me pencherais davantage sur Keycloak ( http://keycloak.jboss.org ) qui est certes jeune et porté par RedHat, mais qui fonctionne pas mal et qui a une belle roadmap !

bien à vous

 

2015-06-05 15:11 GMT+02:00 HURTEVENT VINCENT <vincent.hurtevent@univ-lyon1.fr>:

Bonjour,

 

 

Le 5 juin 2015 à 13:55, Benjamin AVET <benjamin.avet@gmail.com> a écrit :

 

Je suis à la recherche d'une solution de SSO pour un environnement presque exclusivement Windows (poste de travail et serveur) et un peu de Red Hat.

Quels sont selon vous les critères de recherche et de sélection à retenir ? 

 

 

Recherches tu une solution de SSO « système » pour l’ouverture de session Windows, Linux, SSH ? ce que Kerberos peut fournir ou du SSO Web ?

 

En SSO Web, largement déployé et utilisable par bien des applications web ou via des bibliothèques reconnues, il y a le protocole CAS qui  peut te faire du SSO + diffusion d’attributs. La partie serveur (CAS Server) est très configurable avec des sources d’authentification longue comme le bras.

 

Tu as également le protocole SAML, qui te permet de faire du SSO « fédéré » avec d’autres fournisseurs, des services SaaS, etc 

 

En protocole 2.0, OAuth2.0 qui intègre de l’authentification type openID aux mécanismes d’autorisation OAuth, mais pour une mise en place en tant que fournisseur d’identité ca risque d’être bien plus compliqué et souvent réservé à des gros acteurs visible (Facebook, google, twitter)

 

Pour une expérience utilisateur full SSO, tu peux combiner : Kerberos + CAS (deleg kerberos) + SAML (via Shib). En théorie, une seule action d’authentification permet à l’utilisateur d’accéder à tous les services : systèmes, web on premise, SaaS.

 

En soft serveur qui font un peu tout :

 

- LemonLDAP

- CAS Server

- Gluu 

 

avec un annuaire + un royaume Kerberos (Active Directory ?) en backend

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

--

Barthélemy Vessemont - bvessemont@gmail.com
Ingénieur en informatique diplômé de l'UTC (Compiègne)
Contributeur Chef (redguide@github)

 

--

Barthélemy Vessemont - bvessemont@gmail.com
Ingénieur en informatique diplômé de l'UTC (Compiègne)
Contributeur Chef (redguide@github)

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/

--

Barthélemy Vessemont - bvessemont@gmail.com
Ingénieur en informatique diplômé de l'UTC (Compiègne)
Contributeur Chef (redguide@github)

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/