Merge branch 'develop' into dist/eole/2.6.2/develop

This commit is contained in:
Benjamin Bohard 2019-12-12 12:12:37 +01:00
commit 26d696d6f8
5 changed files with 8 additions and 3 deletions

View File

@ -67,6 +67,7 @@
</variable> </variable>
<variable name='llRegisterDB' type='string' description="Base de comptes pour l'enregistrement"/> <variable name='llRegisterDB' type='string' description="Base de comptes pour l'enregistrement"/>
<variable name='llRegisterURL' type='string' description="Adresse de l'application de création de compte"/> <variable name='llRegisterURL' type='string' description="Adresse de l'application de création de compte"/>
<variable name='llCSPTargets' type='domain' description="Domaines vers lesquels le forumaire peut renvoyer" multi='True'/>
</family> </family>
<separators> <separators>
<separator name="managerWebName">Configuration DNS</separator> <separator name="managerWebName">Configuration DNS</separator>
@ -132,5 +133,6 @@
<variable name='ldapUserBaseDN'>DN de l'utilisateur de connection en lecture à l'annuaire (ex: cn=reader,o=gouv,c=fr)</variable> <variable name='ldapUserBaseDN'>DN de l'utilisateur de connection en lecture à l'annuaire (ex: cn=reader,o=gouv,c=fr)</variable>
<variable name='nginxBucketSize'>server_names_hash_bucket_size Taille du hash des noms de serveur pour NGINX</variable> <variable name='nginxBucketSize'>server_names_hash_bucket_size Taille du hash des noms de serveur pour NGINX</variable>
<variable name='llCheckLogins'>Affiche une case à cocher sur la mire SSO qui permet a l'utilisateur de voir l'historique de connection de son compte avant d'être redirigé vers le service demandé</variable> <variable name='llCheckLogins'>Affiche une case à cocher sur la mire SSO qui permet a l'utilisateur de voir l'historique de connection de son compte avant d'être redirigé vers le service demandé</variable>
<variable name='llCSPTargets'>Liste des domaines à ajouter à la directive form-action.</variable>
</help> </help>
</creole> </creole>

View File

@ -39,7 +39,7 @@ server {
error_page 403 404 502 503 504 /nginx.html; error_page 403 404 502 503 504 /nginx.html;
location = /nginx.html{ location = /nginx.html{
root /usr/share/nginx/www; root /usr/share/nginx/html;
} }
location = /reload { location = /reload {

View File

@ -20,7 +20,7 @@ server {
error_page 403 404 502 503 504 /nginx.html; error_page 403 404 502 503 504 /nginx.html;
location = /nginx.html{ location = /nginx.html{
root /usr/share/nginx/www; root /usr/share/nginx/html;
} }
root /usr/share/lemonldap-ng/manager/htdocs/; root /usr/share/lemonldap-ng/manager/htdocs/;

View File

@ -5,6 +5,8 @@
# ~/CN=(?<CN>[^/]+) $CN; # ~/CN=(?<CN>[^/]+) $CN;
#} #}
%set %%webDomain = %%authWebName.split('.',1)[1] %set %%webDomain = %%authWebName.split('.',1)[1]
%set %%CSPTargets = %%custom_join(['http://*.{0} https://*.{0}'.format(d) for d in set([%%webDomain] + %%getVar('llCSPTargets'))], ' ')
server { server {
listen 80; listen 80;
@ -42,7 +44,7 @@ server {
fastcgi_split_path_info ^(.*\.psgi)(/.*)$; fastcgi_split_path_info ^(.*\.psgi)(/.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_hide_header Content-Security-Policy; fastcgi_hide_header Content-Security-Policy;
add_header Content-Security-Policy "default-src 'self'; form-action 'self' http://*.%%webDomain https://*.%%webDomain; object-src 'none'"; add_header Content-Security-Policy "default-src 'self'; form-action 'self' %%CSPTargets; object-src 'none'";
} }

View File

@ -50,6 +50,7 @@ server {
################################## ##################################
auth_request /lmauth; auth_request /lmauth;
auth_request_set $lmremote_user $upstream_http_lm_remote_user; auth_request_set $lmremote_user $upstream_http_lm_remote_user;
auth_request_set $lmremote_custom $upstream_http_lm_remote_custom;
auth_request_set $lmlocation $upstream_http_location; auth_request_set $lmlocation $upstream_http_location;
# If CDA is used, uncomment this # If CDA is used, uncomment this
#auth_request_set $cookie_value $upstream_http_set_cookie; #auth_request_set $cookie_value $upstream_http_set_cookie;