damien.metzler a écrit :
Je pense que c'est vers ce genre de configuration que nous allons tendre :
utiliser LDAP pour l'autentification (user / mdp / email / nom / prénom) et
un annuaire ZODB pour le reste des infos (il en reste plus beaucoup en
fait). Existe-t-il des informations sur la manière de s'y prendre ?
Je vais essayer d'améliorer CPSLDAPSetup dans les jours qui viennent pour avoir
un backing ZODB dédiés aux informations spécifiques à CPS. Ca rendra les choses
plus simple. Stay tuned, une nouvelle release de CPSLDAPSetup beta sera faite
des que ce sera ajouté.
Si aujourd'hui j'utilise un annuaire ZODB, j'ai quand même intérêt à
utiliser les mêmes id que le futur LDAP non ? Je pense de toute façon que je
vais monter une maquette pour tester la migration.
Oui c'est toujours une bonne idée de séparer l'environnement de prod de celui de
preprod/test et / ou développement.
Dans ce cas, il serait peut être préférable d'utiliser
l'autentification Windows qui migrera d'elle même lorsque nous
migrerons sous AD. De plus, il sera possible de faire du SSO...
Je ne suis pas sûr de vous comprendre. Quelle est cette
authentification Windows dans le contexte de CPS? À part ça, il y a un
composant Kerberos pour CPS en cours de développement, mais je ne sais
pas trop où ça en est.
Il me semblait avoir lu quelque part (je ne sais plus trop où c'est bien ça
le problème) qu'il était possible d'utiliser le composant auth_NTML d'Apache
qui se charge de l'authentification et qui bind l'authentification sur Zope
ensuite. Ca remonte un peu et c'est pour ça que je ne me rappelle plus trop
de la technique. Sinon pour Kerberos, j'avais aussi lu des choses mais comme
vous le dite, c'est en cours de développement ....
Le composant NTLM est toujours dans le SVN mais ne recoit pas de support actif
car tres peu de monde l'utilise. Pour le redeployer sur CPS 3.4 il faudra
probablement mettre les mains dans le cambouis:
http://svn.nuxeo.org/trac/pub/browser/CMFNtlmSso/trunk/
Le composant kerberos de JMO lui fonctionne avec CPS 3.4 :
http://svn.nuxeo.org/trac/pub/browser/CPSKrb5Auth/trunk/
Il y a aussi SecureAuth qui permet d'utilisé des token (certificat X509) signés
par une PKI et validés par Apache pour s'authentifier sur CPS :
http://svn.nuxeo.org/trac/pub/browser/SecureAuth/trunk/
(Pas testé sur CPS 3.4)
Dans tous les cas il faut bien distinguer les problèmes de d'authentification de
celui de l'accès/stockage des données utilisateurs.
Par défaut dans CPS :
- CookieCrumbler se charge de l'authentification (par cookie)
- un ZODBDirectory stocke les données utilsateur.
Dans CMFNtlmSso/CPSKrb5Auth/SecureAuth c'est CookieCrumbler qui est modifié. Les
utilisateurs sont toujours stockés dans le dirctory members.
Dans CPSLDAPSetup, le directory members ZODB est remplacé par une arborescence
Meta/Stacking/LDAPBacking.
Il est ainsi possible de combiner CPSKrb5Auth avec CPSLDAPSetup.
--
Olivier
_______________________________________________
cps-users-fr
Adresse de la liste : [email protected]
Gestion de l'abonnement : <http://lists.nuxeo.com/mailman/listinfo/cps-users-fr>
