Thursday, October 2, 2008

Systèmes d'authentification centralisés: LDAP et OpenID

Une des mes dernières activités professionnelles a été de prendre un main un système d'authentification centralisé, utilisant OpenLDAP. Les utilisateurs n'ont ainsi qu'un seul couple username/password à retenir pour les applications suivantes:
  • login unix
  • domain windows
  • serenpidity (blog)
  • trac via le module mod_auth_ldap de apache
  • svn
  • jabber
  • email
  • alfresco (cms)
L'avantage en terme de gestions des droits est aussi evident. Pour ajouter par exemple le droit d'écrire dans le blog, il suffit d'ajouter le nom de l'utilisateur dans le groupe LDAP Serenpidity. Mon objectif est maintenant d'intégrer openvpn dans cette liste.

Pourquoi ce petit retour par ldap ? Aujourd'hui j'ai changé l'adresse email que j'utilise pour mes comptes internet ( wikis, etc ... ) Pour connaitre la liste de mes comptes internet, je me suis servi de la liste des mots de passe stockés sur Firefox. Et ca en faisait des comptes d'ouverts, et des formulaires à revalider !

Cela va du sympathique, incluant un mail de confirmation dans votre nouvelle adresse avec un lien à cliquer (dailymotion, netvibes, ebay ) au plutôt mauvais genre fon, qui ne vous donne pas la possibilité de changer en ligne l'adresse email de votre compte. J'ai ouvert un ticket chez eux, peut être est ce le moyen standard de changer l'adresse mail. Certains en profitent à l'occasion pour vous imposer de nouveaux champs "obligatoires" qui ne l'étaient pas à la création du compte, comme Dailymotion qui veut maintenant connaitre ma date de naissance.

Tout ceci m'a bien évidemment fait réfléchir à OpenID, qui est déjà utilisée par les géants de l´internet ( Yahoo, Google, IBM, MSN ) mais pas encore par les "petits", et qui devrait remplacer ce bazar.

Cependant à la différence de LDAP qui sert à consolider les services proposés par un seul fournisseur ( en l'occurrence l'admin sys d'une strucuture), OpenID consolide l'authentification de fournisseurs de services différents, ce qui pose bien sûr la question de l'étanchéité des processus d'authentification. Je vois que d'autres ont déjà franchi le pas, et j'attends de voir leurs conclusions avant d'utiliser OpenID pour mes comptes et sur mes serveurs.