toujours ldap, :)

tango · 2004-09-14 00:20:13

Iop tous,

bonne idée que de mettre un forum .. je vais encore pouvoir poser des questions sur le ldap .. smiley

Puisque je ne n’ai pas reçu de réponse au poste dans la mailing list hier soir je remet la question ici... donc, j’ai passé pratiquement toute l’après midi avec un collégue à decortiquer les fonctions ldap de glpi et je crois avoir trouvé mon probléme. L’authenfication s’arrête à la ligne 213 du classes.php

If ( $conn = ldap_connect($host) )

C’est là que je comprends pas, $conn retourne une valeur (ressource id #18) et ldap_connect($host) retourne (ressource id #19) et la fonction s’arrete là sans aller au bind qui est à la ligne suivante. Est ce que quelqu’un peut m’expliquer ce qui se passe à ce moment ?

Pour info j’ai réussi à binder mon serveur ldap avec un script d’authentification fournis dans le manuel php

Voilà, j’ai un peu avançé, là j’ai besoin de vous.

Merci

MoYo · 2004-09-14 00:21:18

S’il récupère un ressource ID il doit normalement allez plus loin.

Ce qui se passe peut-etre c’est qu’il n’arrive pas à binder ensuite. Cela peut etre du a un mauvais base_dn ou au fait que la connection anonyme ne soit pas possible.

Tu utilises quelle version déjà ??

tango · 2004-09-14 00:22:01

j’utilise la daily snapshot d’hier. Le truc c’est que je peux binder en anonyme avec phpldapadmin et aussi avec un script de bind tout con récuperé du manuel php. Et quand je mets des echos dans classes.php, je vois très bien qu’il s’arrete juste avant le bind. Il ne rentre pas dedans.... smiley

MoYo · 2004-09-14 00:22:31

A priori je ne vois pas pourquoi cela ne marche pas avec cette version. Cela fonctionne très bien chez moi. Je resteste tout de suite.

MoYo · 2004-09-14 00:22:53

Aucun probleme chez moi. Je renseigne uniquement l’hote ldap : ldap.chez.moi et le base_dn : dc=chezmoi,dc=fr

et vendu ca marche

tango · 2004-09-14 00:26:20

ptain, bon je reprend à 0. tu te logs sur openldap ou active directory ?

tango · 2004-09-14 00:26:48

non, toujours pas moyen, j’ai toujours bad user name or password, c’est de la folie.. donc je résume, tu configure la connexion ldap depuis la page de configuration de glpi. Ensuite tu te log avec un nom et mot de passe d’un utilisateur qui est dans le ldap. et là ça doit marcher...

MoYo · 2004-09-14 00:27:08

Ce n’est pas un active directory.

Si tu arrives a te connecter en anonyme (avec phpldapadmin par exemple) le base_dn que tu dois rentré est celui de la racine.

Le base_dn réel de l’utilisateur est ensuite recherché pour finalement testé la connection avec ce base_dn et les logins/passwd passé par l’utilisateur

tango · 2004-09-14 00:28:38

en fait en anonyme avec phpldapadmin je peux me connecter mais je peux rien faire, meme pas une recherche. Donc je laisse tomber l’anonyme. De toute façon ça devrais marcher aussi avec le login et mot de passe. autre question, pourquoi j’ai toujours ce message d’erreur ’bad name or password’ ??? il n’y a pas d’erreur conçernant directement le bind ?? ou l’etat d’avançement de la connexion ldap ?

MoYo · 2004-09-14 00:28:56

Alors la solution si tu n’a pas acces en anonyme au LDAP c’est d’entrer les login/mot de passe admin dans les champs de config : rootdn et Pass.

Je modifierai un peu la methode de connnection pour gérer les cas ou :
- Pas d’anonyme
- Pas de login/mdp admin

A ce moment la je prendrait directement le base_dn de la config.

Mais malheureusement gna fait de siennes en ce moment je ne peux donc pas mettre en place les modifs

Pour les messages d’erreurs il faudrait que je regarde pour que cela soit plus explicite

tango · 2004-09-14 00:29:46

désolé mais ça marche pas. C’est clair qu’avec plus de message différents ont pourait mieux voir jusqu’ou va la procédure. A quoi sert ldap condition ???

— - dans le login.php ligne 67, la variable $_POST[’login_password’] me retourne uid=nom d’utilisateur. Elle ne devrais pas retourner le pass que j’ai entré dans le formulaire plutot ??

MoYo · 2004-09-14 00:30:07

ldap_condition sers a restreindre la recherche anonyme à un ensemble de personne. Exemple : utilisation d’un annuiare LDAP d’une université pour laquelle on ne veux toucher qu’un service précis.

Pour la variable _POST je ne vois pas tro pcomment tu arrives a avoir ca tu doit avoir le passwd

tango · 2004-09-14 00:30:36

ok pour la condition.. je fais des echo pour voir comment ça se passe..

MoYo · 2004-09-14 00:30:42

Je test le ldap sur un active directory la semaine prochaine je te tiendrai au courant.

tango · 2004-09-14 00:34:48

yes yes yes. je peux partir en week end tranquille. pour info, un autre collégue d’une autre boite est sur le coup. je pense qu’il vous contactera bientot,

++ et bon week end

PS : et bon courage avec l’ad.

tango73 · 2004-09-15 10:44:32

des news ????

MoYo · 2004-09-15 14:56:15

oui bientot ... je finalise mes tests

MoYo · 2004-09-15 17:15:47

bon finalement cette ****perie de active directory est vraiment pas standard

J'ai donc ajouté un système d'authentification spécial pour l'AD.
J'ai testé sur de l'AD win2k. Je testerai surement demain sur de l'AD 2k3.

Pour cela, il vous faut obligatoirement un utilisateur qui peut parcourir l'arbre LDAP (un utilisateur standard doit suffir, en tout cas c'etait mon cas)
Les paramètres de connexions que j'ai utilisé :
hote : ldap://nom_ou_adresse_de_mon_serveur
base_dn : DC complet du serveur (exemple : DC=labo,DC=sp2mi,DC=univ-poitiers,DC=fr)
rootdn : le chemin complet de l'utilisateur pour parcourir l'AD (ex : CN=prenom nom,OU=INVITES,DC=labo,DC=sp2mi,DC=univ-poitiers,DC=fr)
Pass: le mot de passe de l'utilisateur entré ci dessus
Filtre : rien ou quelquechose du genre (&(objectClass=user)(objectCategory=person)) pour restreindre uniquement la recherche aux personnes physiques et exclure les machines

Je fini de faire mes derniers tests et cette solution sera disponible demain dans le daily tarball

MoYo · 2004-09-16 01:39:15

J'ai mis en ligne une documentation sur la mise en place de LDAP au sein de GLPI dans le cas de LDAP classique et des Active Directory....
Il peut être utile pour configurer GLPI avec votre système.

tango73 · 2004-09-16 10:40:07

Okay, bien joué .. je vais faire quelques tests avec ces infos et je te tiens au courant. Merci et bravo pour le boulot !

tango73 · 2004-09-16 11:33:28

iop,

bon ben ça marche maintenant .... j'ai pris la dailysnapshot et après avoir testé quelques config c'est passé, c'est génial ..
pour info voilà ce que j'ai mis dans glpi :

---------------------------------
Hote LDAP : nomduserveur
Basedn : DC=xxx,DC=xxx
rootdn : CN=Administrateur,OU=xxx,OU=xxx,DC=xxx,DC=xxx
Pass : monpass
Filtre de connection : rien ici

Liaisons GLPI/LDAP
name : sAMAccountName
email : mail
location : physicaldeliveryofficename
phone : telephonenumber
realname : displayName
--------------------------------

J'ai pris les valeurs de l'active directory pour email et realaname. L'authentification fonctionne et l'utilisateur est ajouté dans la base glpi par contre il ne récupere pas le realname et le mail...

++

MoYo · 2004-09-16 19:36:15

J'ai également testé sur une Active Directory 2k3 aujourd'hui et aucun probleme, cela fonctionne de la meme manière

Pour le mail et le realname allez voir sur la documentation LDAP présente sur le site de GLPI
Les valeurs que j'ai testé et qui marchent sont :
name : le nom d’utilisateur (LDAP : uid, Active Directory : sAMAccountName)
email : l’email de l’utilisateur (LDAP : mail, AD : userPrincipalName)
location : le lieu de l’utilisateur (LDAP : physicaldeliveryofficename, AD : ????)
phone : le numéro de téléphone (LDAP : telephonenumber, AD : ????)
realname : le nom complet (LDAP : cn, AD : name ou cn)

donc mail = userPrincipalName
et realname=cn ou name

tango73 · 2004-09-17 11:30:28

bonjour,

merci pour toutes les infos. Malgrés tout, après plusieurs tests avec des valeurs différentes dans la config de glpi, je n'arrive pas à lui faire récuperer les infos de l'ad. Mon utilisateur est bien crée mais comme réel name il prends le nom de login et le mail, tél et lieu reste vide. Enfin c'est surtout le mail et le realname qui m'interesse.

si tu as d'autres infos..

merci

MoYo · 2004-09-17 12:27:52

Non je n'ai pas d'autres infos, il faut que tu regardes exactement les données de ton AD.
En faisant un dump de l'AD tu verras les noms des champs pour lesquels tu as les adresses mail et complagnie

Les valeurs que je donnais ont fonctionné avec AD 2k..

je n'avais pas testé avec AD2k3... et la je me rend compte que ca recupère rien en effte.
tu utilises du 2k3 ??

MoYo · 2004-09-17 12:41:16

Cela fonctionne si tu met tout en minuscule.
et surtout ele samaccountname

Forum GLPI-Project

Announcement

#1 2004-09-14 00:20:13

toujours ldap, :)

#2 2004-09-14 00:21:18

Re: toujours ldap, :)

#3 2004-09-14 00:22:01

Re: toujours ldap, :)

#4 2004-09-14 00:22:31

Re: toujours ldap, :)

#5 2004-09-14 00:22:53

Re: toujours ldap, :)

#6 2004-09-14 00:26:20

Re: toujours ldap, :)

#7 2004-09-14 00:26:48

Re: toujours ldap, :)

#8 2004-09-14 00:27:08

Re: toujours ldap, :)

#9 2004-09-14 00:28:38

Re: toujours ldap, :)

#10 2004-09-14 00:28:56

Re: toujours ldap, :)

#11 2004-09-14 00:29:46

Re: toujours ldap, :)

#12 2004-09-14 00:30:07

Re: toujours ldap, :)

#13 2004-09-14 00:30:36

Re: toujours ldap, :)

#14 2004-09-14 00:30:42

Re: toujours ldap, :)

#15 2004-09-14 00:34:48

Re: toujours ldap, :)

#16 2004-09-15 10:44:32

Re: toujours ldap, :)

#17 2004-09-15 14:56:15

Re: toujours ldap, :)

#18 2004-09-15 17:15:47

Re: toujours ldap, :)

#19 2004-09-16 01:39:15

Re: toujours ldap, :)

#20 2004-09-16 10:40:07

Re: toujours ldap, :)

#21 2004-09-16 11:33:28

Re: toujours ldap, :)

#22 2004-09-16 19:36:15

Re: toujours ldap, :)

#23 2004-09-17 11:30:28

Re: toujours ldap, :)

#24 2004-09-17 12:27:52

Re: toujours ldap, :)

#25 2004-09-17 12:41:16

Re: toujours ldap, :)

Board footer