FRANCOIS Cedric a écrit :
Bonjour,
Comme je vous l'avais dit, je suis interessé par le fait de me connecter à
mon AD Windows 2003.
Comme je n'y comprend pas grand-chose j'ai fouillé un peu partout, et j'ai
pour l'instant uniquement réussi a me connecter à mon AD, et à l'interroger.
Donc dans l'onglet search, j'arrive a récupérer la liste de mes utilisateurs
AD, mais je ne parviens pas à configurer comment leur affecter un groupe et
un role.
C'est bon signe. Depuis quel annuaire ? Le meta ? Le stacking ? Le LDAPBacking ?
Je ne parviens donc pas a me connecter en utilisant les comptes et mot de
passe utilisateur.
Pour avoir des infos sur ce qu'il se passe dans le event.log, passez le log
level en mode "trace" dans le blog de directive event.log (a ne pas faire en
production, ca va ralentir énormément l'appli a cause des accès disque).
Je suis prêt a essayer de faire avancer un peu le profil pour AD mais je ne
sais pas par ou commencer .... Mettre à jour le schema, ok mais je m'y perd
un peu dans tous ces fichiers xml ... Il y a beaucoup plus de champ que sur
l'ancien module.
Il faut principalement modifier le schema members_ldap et le layout associé.
Il faut aussi changer la configuration du LDAPBackingDirectory pour pointer sur
le bon numéro de port. Il me semble en effet que le port 389 d'un serveur AD
n'implémente pas correctement le protocole LDAP alors qu'un autre port dont j'ai
oublié le numéro le fait bien.
La version trunk de CPSLDAPSetup contient la majorité des champs courants du
schema inetOrgPerson pour essayer de satisfaire 80% des cas d'utilisation. Il me
semble que AD supporte la plupart de ces champs à par le rdn qui est
obligatoirement sAMAccountName.
Y aurait il moyen de gérer les groupes et les membres sur l'AD et les roles
uniquement en local
Oui c'est sûrement possible en utilisant un meta pour les groupes. Je n'ai
personnellement jamais essayé et il vaut mieux commencer par faire en sorte que
les membres fonctionnent avant de s'occuper des groupes.
Une petite remarque egalement, la saisie du mot de passe se fait en clair,
ce qui n'est pas tres sécurisé
Pour cela la méthode recommandée est d'utiliser un virtual host apache https.
Sinon il est possible de modifier le composant d'authentification de CMF
(CookieCrumbler) pour ajouter un support de Kerberos, mais ce demandera de
mettre les mains dans le camboui (enfin je n'en sais rien, je n'ai pas encore eu
l'occasion de le tester) :
http://svn.nuxeo.org/trac/pub/file/CPSKrb5Auth/trunk/README.txt
--
Olivier
_______________________________________________
cps-users-fr
Adresse de la liste : [email protected]
Gestion de l'abonnement : <http://lists.nuxeo.com/mailman/listinfo/cps-users-fr>
