authentification LDAP
cr882517-Feb-2011/14:55:58+1:00
bonjour,
grâce au script de DocKimbel nous avons acces au LDAP.
par contre quelqu'un aurait la methode pour controler le password d'un user.
merci d'avance
ps: je n'est pas trouvé d'exemple dans le "USAGE"
DocKimbel18-Feb-2011/12:01:14+1:00
"methode pour controler le password d'un user" ??

Je ne suis pas sûr de comprendre ta demande. Si ta question est "comment s'authentifier avec un user/password ?", la réponse est : le driver LDAP actuel ne peut se connecter qu'en mode "anonyme" à un serveur LDAP.

Il serait possible d'ajouter le support de l'authentification simple (user/password sans SASL ou TLS), mais je n'ai pas de serveur LDAP configuré avec un compte user pour tester. Si quelqu'un a un how-to simple pour installer un serveur LDAP sous Windows ou Linux et configurer un compte avec authentification simple, je peux regarder çà dans les prochains jours.
cr882518-Feb-2011/12:26:53+1:00
hello,

DocKimbel, il s'agit bien de faire une authentification simple.(pour vérifier que le user existe bien dans ldap & que le password est le bon !!!)

pour la mise ne place d'un serveur LDAP sur linux j'ai trouvé cela => [url]http://blog.thelinuxfr.org/Installation-et-configuration-d-un.html[/url]

merci beaucoup pour ton aide
DocKimbel18-Feb-2011/15:32:16+1:00
Ok, je vais ce que je peux faire, le plus long va être de configurer proprement le serveur LDAP.
cr882518-Feb-2011/15:43:47+1:00
un tout grand merci
cr882518-Feb-2011/16:00:01+1:00
je me tiens à ta disposition si tu veux faire des tests avec moi
cordialement.
ram dot cla dot be aro gmail dot com
cr882514-Mar-2011/13:53:03+1:00
DocKimbel,

Je sais que tu es très occupé avec RED . Mais as tu eu le temps de regarder à ce petit plus pour R2 ?

merci d'avance
DocKimbel14-Mar-2011/14:09:55+1:00
Ah, désolé, j'ai manqué la "fenêtre d'opportunité".
Je peux regarder çà cette semaine, je vais trouver une petite heure libre pour m'en occuper.
DocKimbel16-Mar-2011/19:39:16+1:00
J'ai regardé et ça se présente pas très bien:

1) Le tuto en haut n'est pas à jour, le fichier de config n'existe plus, il a été remplacé par un dossier virtuel représentant une arborescence LDAP...

2) J'ai essayé avec cette doc là: https://help.ubuntu.com/10.04/serverguide/C/openldap-server.html qui correspond à ma config Linux...je sèche complètement, j'ai utilisé "localhost" comme FQDN, et remplacé "dc=example,dc=com" par "dc=localhost", résultat: impossible de me connecter manuellement. De plus, le serveur semble vouloir du SASL et j'ai besoin de le configurer la gestion du password en "ClearText"...

3) J'ai essayé le client graphique Luma: le formulaire de sauvegarde du mot de passe admin a un bouton déssiné à moitié qui ne marche pas du tout...

4) J'ai essayé le client web "ldap account manager", je suis bloqué dès le login, impossible de trouver le mot de passe admin par défaut...

Donc, comme je n'ai ni le temps, ni l'envie de me transformer en admin LDAP, pour pouvoir tester la fonctionnalité, j'aurai besoin:

- soit un accès à un serveur LDAP configuré avec un entrée LDAPDN + mot de passe en clair (normalement je ne dois pas avoir besoin du mot de passe root ?).

- soit quelqu'un se dévoue pour me faire une image VMWare avec un serveur LDAP préconfiguré qui me permettre de me connecter directement dessus via un LDAPDN + mot de passe en clair.


J'ai tout de même codé une version "en aveugle" du driver LDAP sans pouvoir tester (la modification du protocole était triviale). La nouvelle version est dispo ici: http://softinnov.org/tmp/ldap-protocol-exp.r

La syntaxe pour passer un DN/LDAPDN + mot de passe est triviale:

port: open ldap:[<dn>:<pass>@]//<server>[:<port-id>] 


exemple:
open ldap://dn=user:test@domain.com
[/code]

Evidemment, le caractère : est interdit dans le <dn>.

PS: y'a-t-il une différence entre LDAPDN et DN ??
DocKimbel16-Mar-2011/21:00:11+1:00
Erratum: la bonne syntaxe est:
port: open ldap://[<dn>:<pass>@]<server>[:<port-id>] 
cr882520-Mar-2011/6:57:33+1:00
merci DocKimbel pour ce premier jet.

je vais tacher de faire la vm avec ldap

a bientot
trigram26-Apr-2011/17:36:51+2:00
J'ai testé avec un LDAP Lotus Domino et cela fonctionne.
Pour l'instant, le test est basique :
- authentification avec un utilisateur accrédité : OK
- authentification avec un utilisateur accrédité mais mot de passe erroné : Erreur REBOL
DocKimbel26-Apr-2011/17:41:04+2:00
Cool! Merci Nicolas!
trigram27-Apr-2011/15:19:06+2:00
Par contre, si je fais :

>> in-login: ""
== ""
>> in-pass: ""
== ""
>> p: open join ldap:// [in-login ":" in-pass "@mon.ldap.com"]
connecting to: mon.ldap.com
[bind [3 "" <0> none]]
>> close p


;(
DocKimbel27-Apr-2011/16:50:58+2:00
Ca me semble logique, un login/pass vide n'est pas équivalent à "pas de login/pass". D'ailleurs, ldap://:@mon.ldap.com n'est pas une URL valide. La RFC 1738 (http://www.faqs.org/rfcs/rfc1738.html) dit:
The different components obey the following rules:
    user
        An optional user name. Some schemes (e.g., ftp) allow the
        specification of a user name.

    password
        An optional password. If present, it follows the user
        name separated from it by a colon.

   The user name (and password), if present, are followed by a
   commercial at-sign "@". Within the user and password field, any ":",
   "@", or "/" must be encoded. 


Si tu veux te logguer anonymement, il faut faire un:
p: open ldap://mon.ldap.com
trigram27-Apr-2011/17:01:04+2:00
Oui effectivement, c'est logique.
J'encapsule désormais dans une fonction et même avant au niveau de Cheyenne.
trigram28-Apr-2011/12:07:58+2:00
Par contre, j'ai un peu de mal avec la structure résultante d'une recherche qui retourne plusieurs éléments :

probe find p [
  "ou=People, dc=umich,dc=edu"
  filter sn = "elmer"
]


Qui me retourne :

[make object! [
...
]
make object! [
...
]]
trigram28-Apr-2011/12:10:38+2:00
En fait, je vais m'en sortir avec :

o: find p
length? o
first o
second o
...
DocKimbel29-Apr-2011/1:00:38+2:00
Je n'ai pas compris quel était le problème avec la liste d'objets en résultat ?
trigram29-Apr-2011/7:51:32+2:00
Aucun soucis en fait.

Donc, j'arrive avec un LDAP Lotus Domino à reproduire le même comportement que mes applis J2ee :
- authentification utilisateur sur le LDAP (avec le %ldap-protocol-exp.r)
- récupération des groupes d'appartenance d'une personne pour obtenir ces droits utilisateurs

En moins de 2 jours avec la partie Web sous Cheyenne (en cours d'apprentissage aussi).

Simple, rapide, efficace.

Login required to Post.


Powered by RebelBB and REBOL 2.7.8.4.2