Re: [sympa-fr] authentification sur 2 annuaire LDAP

[Jean-Michel Bourdin <adresse@cachée>]

Bonjour,

J'ai passer le patch 
(http://sourcesup.cru.fr/cgi/viewvc.cgi/branches/sympa-5.4-branch/wwsympa/Auth.pm?r1=4854&r2=5170&view=patch) 
et ça semble fonctionner à priori en bindant sur les 2 annuaires LDAP

Par contre j'ai une interrogation sur le mode opératoire lorsque le LDAP 
est en mode non Anonymous (ce que j'en ai déduis en regardant les sources) :

1) On recherche dans l'annuaire avec avec un premier Bind LDAP avec les 
paramètre du fichier Auth.conf suivants :
     bind_dn
     bind_password
     get_dn_by_uid_filter = (uid=[sender])

2) Si la recherche est fructueuse, on effectue un second bind LDAP avec 
les paramètre saisis sur l'interface WEB
     identifiant saisie sur l'interface WWW
     mot de passe saisie sur l'interface WWW
    et à nouveau le filtre (uid=identifiant saisi sur l'inteface)

Ce qui pose souci sur une anuuaire LDAP qui n'a pas les droits adéquats 
pour que l'utilisateur qui tente un bind ne puisse filtrer ses attributs.
N'est il pas possible de supprimer le filtre dans la seconde passe ?

Cordialement

JMB

Olivier Salaün a écrit : 
> Bonjour,
>
> Il s'agit effectivement d'un bug de Sympa.
> Pouvez-vous soumettre un ticket dans notre gestionnaire de bug, en 
> Anglais si possible :
> https://sourcesup.cru.fr/tracker/?group_id=23
>
> Merci.
>
> Jean-Michel Bourdin a écrit :
> > J'ai modifié mon fichier auth.conf pour valider sur un second 
> > annuaire LDAP.
> > J'ai ajouter une autre section "ldap" mais j'ai l'impression qu'il 
> > cherche 2 fois dans le premier annuaire.
> >
> > Dans les logs j'ai ceci :
> > Sep 18 14:17:07 ldapauth wwsympa[31538]: Auth::ldap_authentication() 
> > No entry in the Ldap Directory Tree of ldap.dijon.iufm.fr:389 for 
> > adresse@cachée
> > Sep 18 14:17:07 ldapauth wwsympa[31538]: Auth::ldap_authentication() 
> > No entry in the Ldap Directory Tree of ldap.dijon.iufm.fr:389 for 
> > adresse@cachée
> >
> > Alors que le second annuaire est tout autre (fichier auth.conf):
> > ldap
> >        host                            ldap.dijon.iufm.fr:389
> >        timeout                         20
> >        suffix                          ou=people,dc=dijon,dc=iufm,dc=fr
> >        get_dn_by_uid_filter            
> > (&(uid=[sender])(accountStatus=active))
> >        get_dn_by_email_filter          
> > (&(mail=[sender])(accountStatus=active))
> >        email_attribute                 mail
> >        scope                           sub
> >
> > ldap
> >        host                            ldap2.dijon.iufm.fr:389
> >        timeout                         30
> >        suffix                          dc=dijon,dc=iufm,dc=fr
> >        get_dn_by_uid_filter            (uid=[sender])
> >        get_dn_by_email_filter          (mail=[sender])
> >        email_attribute                 mail
> >        scope                           one
> >
> > J'ai comme l'impression qu'il lance 2 recherche mais sur le même host.
> > merci de votre aide


--


Jean-Michel Bourdin
------------------------------------
Service Informatique
I.U.F.M. de Bourgogne
51 Rue Charles Dumont
21000 Dijon
-----------------------------------
Tel 03-80-67-09-02
Fax 03-80-67-09-53 

Mél mailto:adresse@cachée