Accéder au contenu.
Menu Sympa

fr - Re: [sympa-fr] authentification sur 2 annuaire LDAP

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Chronologique Discussions  
  • From: Jean-Michel Bourdin <adresse@cachée>
  • To: Olivier Salaün <adresse@cachée>
  • Cc: "adresse@cachée" <adresse@cachée>
  • Subject: Re: [sympa-fr] authentification sur 2 annuaire LDAP
  • Date: Tue, 07 Oct 2008 11:34:00 +0200

Bonjour,

J'ai passer le patch (http://sourcesup.cru.fr/cgi/viewvc.cgi/branches/sympa-5.4-branch/wwsympa/Auth.pm?r1=4854&r2=5170&view=patch) et ça semble fonctionner à priori en bindant sur les 2 annuaires LDAP

Par contre j'ai une interrogation sur le mode opératoire lorsque le LDAP est en mode non Anonymous (ce que j'en ai déduis en regardant les sources) :

1) On recherche dans l'annuaire avec avec un premier Bind LDAP avec les paramètre du fichier Auth.conf suivants :
bind_dn
bind_password
get_dn_by_uid_filter = (uid=[sender])

2) Si la recherche est fructueuse, on effectue un second bind LDAP avec les paramètre saisis sur l'interface WEB
identifiant saisie sur l'interface WWW
mot de passe saisie sur l'interface WWW
et à nouveau le filtre (uid=identifiant saisi sur l'inteface)

Ce qui pose souci sur une anuuaire LDAP qui n'a pas les droits adéquats pour que l'utilisateur qui tente un bind ne puisse filtrer ses attributs.
N'est il pas possible de supprimer le filtre dans la seconde passe ?

Cordialement

JMB

Olivier Salaün a écrit :
Bonjour,

Il s'agit effectivement d'un bug de Sympa.
Pouvez-vous soumettre un ticket dans notre gestionnaire de bug, en Anglais si possible :
https://sourcesup.cru.fr/tracker/?group_id=23

Merci.

Jean-Michel Bourdin a écrit :
J'ai modifié mon fichier auth.conf pour valider sur un second annuaire LDAP.
J'ai ajouter une autre section "ldap" mais j'ai l'impression qu'il cherche 2 fois dans le premier annuaire.

Dans les logs j'ai ceci :
Sep 18 14:17:07 ldapauth wwsympa[31538]: Auth::ldap_authentication() No entry in the Ldap Directory Tree of ldap.dijon.iufm.fr:389 for adresse@cachée
Sep 18 14:17:07 ldapauth wwsympa[31538]: Auth::ldap_authentication() No entry in the Ldap Directory Tree of ldap.dijon.iufm.fr:389 for adresse@cachée

Alors que le second annuaire est tout autre (fichier auth.conf):
ldap
host ldap.dijon.iufm.fr:389
timeout 20
suffix ou=people,dc=dijon,dc=iufm,dc=fr
get_dn_by_uid_filter (&(uid=[sender])(accountStatus=active))
get_dn_by_email_filter (&(mail=[sender])(accountStatus=active))
email_attribute mail
scope sub

ldap
host ldap2.dijon.iufm.fr:389
timeout 30
suffix dc=dijon,dc=iufm,dc=fr
get_dn_by_uid_filter (uid=[sender])
get_dn_by_email_filter (mail=[sender])
email_attribute mail
scope one

J'ai comme l'impression qu'il lance 2 recherche mais sur le même host.
merci de votre aide




--


Jean-Michel Bourdin
------------------------------------
Service Informatique
I.U.F.M. de Bourgogne
51 Rue Charles Dumont
21000 Dijon
-----------------------------------
Tel 03-80-67-09-02
Fax 03-80-67-09-53
Mél mailto:adresse@cachée



  • Re: [sympa-fr] authentification sur 2 annuaire LDAP, Jean-Michel Bourdin, 07/10/2008

Archives gérées par MHonArc 2.6.19+.

Haut de le page