Authentification LDAP avec des OU multiples

geminux · ‎22 Jul 2009

Bonjour,
J'utilise actuellement Alfresco Community 3.2 connecté à un OpenLDAP dont voici l'architecture :

DC=domaine,DC=fr
 '-> OU=People
    |-> OU=Compta
    |   |-> UID=utilisateur1
    |   '-> UID=utilisateur2
    '-> OU=Etudiants
        |-> UID=utilisateur3
        '-> UID=utilisateur4‍‍‍‍‍‍‍‍

Autrement dit ceci :

UID=utilisateur1,OU=Compta,OU=People,DC=domaine,DC=fr
UID=utilisateur2,OU=Compta,OU=People,DC=domaine,DC=fr
UID=utilisateur3,OU=Etudiants,OU=People,DC=domaine,DC=fr
UID=utilisateur4,OU=Etudiants,OU=People,DC=domaine,DC=fr‍‍‍‍

Dans le fichier ldap-authentication.properties, il faut spécifier le paramètre ldap.authentication.userNameFormat. Si je met

ldap.authentication.userNameFormat=uid=%s,ou=Compta,ou=People,dc=domaine,dc=fr‍

je peux alors me connecter avec utilisateur1 et utilisateur2.

Si au contraire je met

ldap.authentication.userNameFormat=uid=%s,ou=Etudiants,ou=People,dc=domaine,dc=fr‍

je peux alors me connecter avec utilisateur3 et utilisateur4.

Jusqu'ici tout est normal. Mais ce que je voudrais c'est pouvoir indiquer un ldap.authentication.userNameFormat qui permette de se connecter avec les utilisateurs de OU=Compta ET OU=Etudiants. J'ai bien essayer de mettre

ldap.authentication.userNameFormat=uid=%s,ou=People,dc=domaine,dc=fr‍

sans spécifier ni Compta ni Etudiants, mais évidement ça ne marche pas.

Alfresco peut-il aller authentifier des utilisateurs dans différentes OU d'un LDAP ou est-ce obligatoire d'avoir tous les utilisateurs en vrac dans une seule OU (ce qui me semblerais être assez bloquant. Je ne suis quand même pas tout seul à faires des 'sous-OU' :? ) ??

Si quelqu'un a une piste……
Merci

crokette · ‎22 Jul 2009

et si tu laisses

ldap.authentication.userNameFormat=uid=%s‍

tout court, il englobe pas la totalité de ton ldap ?

geminux · ‎23 Jul 2009

et si tu laisses
ldap.authentication.userNameFormat=uid=%s‍
tout court, il englobe pas la totalité de ton ldap ?

Merice de ta réponse. Je n'avais même pas pensé à essayer ça….
Mais malheureusement non ça ne fonctionne pas non plus.

bka · ‎23 Jul 2009

Le connecteur LDAP (pour authentification) d'alfresco est assez rudimentaire il ne permet pas de "parcourir" le LDAP, voici vos alternatives :
- utiliser le mode digest comme suggéré mais ceci ne concerne que les LDAP/AD permettant une authentification par md5/digest ce qui, s'il n'est pas activé nécessite de changer la conf du LDAP/AD et de réinitialise tout les mot de passes de celui-ci, de plus certains administrateurs refuse ce mode pour des raisons de sécurité (j'ai oublié la raison précise)
- faire un chainage d'authentification (chercher chaining authentification dans le wiki alfresco), ce qui consistera, en gros, à chainer plusieurs composants d'authentification paramétré pour chaque OU à adresser, la limite étant qu'un nouveau composant doit être chainé pour chaque nouvelle OU fille nouvellement créée (ce qui n'est pas trés flexible)
- coder un nouveau composant d'authentification en partant du code du composant existant afin de faire une recherche récursive sur tout les éléments fils de l'OU (solution la plus pérenne et au final souvent moins couteuse que les 2 autres)

bonne chance