Table des matières

Une authentification unique

… pour les rassembler tous, et dans les ténèbres les lier…

Description

Le forum, le wiki et les autres modules du site nécessitent des authentifications, avec création de compte, chacun sa façon de faire et sa base de donnée. L'idée est d'unifier toutes ces authentifications en une unique pour une meilleure circulation entre les différentes parties.

LDAP semble le plus efficace, le plus complet, permettant de gérer tous les cas de figures. Voir http://khaganat.ninm.net/forum/viewtopic.php?f=4&t=231#p738 et http://khaganat.ninm.net/wikhan/fr:todo:dev:identification (à mettre à jour ?). La tâche peut se découper en plusieurs sous-tâches, mais comme ce sera à la même personne de tout suivre…

MAJ 17/08/2015 : LDAP est en place mais connecté uniquement à scm pour le moment. Les comptes sont modifiables sur https://ssp.khaganat.net

MAJ 04/03/2016 : On nous conseille d'aller voir du côté de shibboleth . Par ailleurs, Zatalyz a installé https://www.fusiondirectory.org/Fusiondirectory en complément de phpldapadmin pour gérer ldap : création d'utilisateur facilité.

MAJ 04/03/2016 : Un webdev (Aedius) nous a parlé de Oauth, qui semblerait bien convenir à nos besoins. SMF n'a pas de plugin pour ça mais la plupart de nos autres cms semblent pouvoir s'interfacer. Par contre, je trouve peu de doc sur comment installer un serveur Oauth, la plupart des gens utilisant uniquement la version client et se connectant via google/facebook (qui utilisent ce protocole). Il est urgent de trouver une solution : les cms liés à LDAP ne permettent pas la création de compte et ça doit se faire à la main…

Qui travaille dessus ?

Shepeng a commencé à installer LDAP et d'autres trucs du genre.

Compétences demandées

Difficulté estimée ou temps restant à y passer

Compliqué.

Tâches liées

Commentaires

2015-11-04 : Configuration de LDAP pour Wikhan UM1 Mediateki et TAF

À faire par la page d'admin, valeurs à utiliser :

conf/local.php:$conf['plugin']['authldap']['server'] = '10.10.100.1';
conf/local.php:$conf['plugin']['authldap']['usertree'] = 'ou=people,dc=khaganat,dc=net';
conf/local.php:$conf['plugin']['authldap']['grouptree'] = 'ou=groups,dc=khaganat,dc=net';
conf/local.php:$conf['plugin']['authldap']['userfilter'] = '(&(uid=%{user})(objectClass=posixAccount))';
conf/local.php:$conf['plugin']['authldap']['groupfilter'] = '(&(objectClass=posixGroup)(|(gidNumber=%{gid})(memberUID=%{user})))';
conf/local.php:$conf['plugin']['authldap']['binddn'] = 'cn=admin,dc=khaganat,dc=net';
conf/local.php:$conf['plugin']['authldap']['bindpw'] = '';
conf/local.php.bak:$conf['plugin']['authldap']['server'] = 'localhost';
conf/local.php.bak:$conf['plugin']['authldap']['usertree'] = 'ou=people,dc=khaganat,dc=net';
conf/local.php.bak:$conf['plugin']['authldap']['grouptree'] = 'ou=groups,dc=khaganat,dc=net';
conf/local.php.bak:$conf['plugin']['authldap']['userfilter'] = '(&(uid=%{user})(objectClass=posixAccount))';
conf/local.php.bak:$conf['plugin']['authldap']['groupfilter'] = '(&(objectClass=posixGroup)(|(gidNumber=%{gid})(memberUID=%{user})))';
conf/local.php.bak:$conf['plugin']['authldap']['binddn'] = 'cn=admin,dc=khaganat,dc=net';
conf/local.php.bak:$conf['plugin']['authldap']['bindpw'] = '';
conf/plugins.locl.php.bak:$plugins['authldap'] = 0;

Forum, blog, etc

Forum

liens utiles mais rien de prêt à l'emploi pour le moment :

Edit du 4/12/2015 : J'ai trouvé une API à SMF : http://www.simplemachines.org/community/index.php?topic=458832.0 Visiblement, dans les options, il y a tout ce qu'il faut pour s'interfacer avec le cookie de session, l'identifiant et le mot de passe, bref exploitable dans le cadre du sso.

Pastebin

Pastebin peut se lier à une authentification via ldap. Dans pastebin/application/config/stikked.php, passer la valeur $config['require_auth'] = de false à true. Puis modifier le fichier 'pastebin/application/config/auth_ldap.php''.

C'est là que ça se corse et que je suis bloquée. Ça ne semble pas se lier avec un couple login/password, qui marche pourtant sur dokuwiki.

Autres

28/11/2015 : Pour Photo et Blog, il est probable que nous gérions ça dans le futur via spip, qui a des modules pour ça et aussi pour ldap. — Zatalyz 2015/11/28 19:10