connexion à Microsoft AD

Stephan Durieux · 2007-06-30 11:58:24

Bonjour,
pour faire dans l'originalité, Mais bon quand fô le dire ,
BRAVO et merci(ssss) pour le développement, la mise à disposition de GLPI,et vos implications sur ce forum ;
GENIAL sur tous les points.

Mandaté pour une mise en place d'un système de gestion de 'ticket', j'ai proposé GLPI qui est passé.
Depuis environ 1 mois de mise en production les choses se passent bien, jusqu'à hier, à 5 jours de la soutenance :-(,
lorsqu'un admin rzo, philantrope et bien intentionné ..., s'exclame :
"Mon dieu le mot de passe d'un utilisateur autorisé à parcourir l'AD (personne n'est parfait) est stocké dans 2 bdd différentes sur notre Intranet ..! (ad et glpi)"

Sa suggestion est d'utiliser la fonction ldap_bind (-> modif du code ...) pour récupérer login/pwd, et fort de ces infos,
aller lire l'AD, et donc plus besoin des ces champs dans la bdd.

Pour moi pas possible, qui dit AD dit autorisateur déclaré au préalable
(quoi qu'en l'écrivant, je me dis que j'ai bien un login et pwd en variable)
Pris par le temps, et pas du tout envie de toucher au code, j'en appelle à la communauté pour avoir des infos/avis.

J'espère avoir été assez clair, par avance merci,
stf.

tsmr · 2007-06-30 12:38:22

Oui mais ce user a juste le droit de lire. Il n'a aucun droit sur le réseau. Don tu ne cours aucun risque.

Je vois pas ou est le problème.

Si tu installes un webmail OWA avec isa il faut aussi déclarer ce user. Donc même microsoft n'est pas parfait

Stephan Durieux · 2007-06-30 19:46:35

merci pour cette réponse rapide, 1 argument de + en K de question pénible lors de la soutenance !
1/ bien d'accord pour crosoft et la perfection,
2/ je préfère ne pas ajouter une couche sur le user déclaré pour l'envoie de mail ...

mais, au moins en théorie, est il possible d'aller lire une AD microsoft avec un user/pwd entré
dans le formulaire de connexion ?

tsmr · 2007-07-01 01:21:32

le pb c'est que le user va lire l'AD a chaque qu'un user se connecte à glpi (pour voir s'il est présent) donc il faut mieux qu'il soit dans la base en dur.

Stephan Durieux · 2007-07-01 08:29:06

merci TSMR,
je prends les 2 réponses,
et j'attends la question dérangeante en public sereinement.
stf.

JMD · 2007-07-01 13:41:33

Je ne saisi pas bien : ça change quoi que les paramètres du user autorisé à lire le ldap soit stocké dans la db ou dans un fichier ?

Si vous faites un ldap_bind il faut lui passer des paramêtres...

De même lors que vous souhaitez utiliser un serveur SMTP il faut la plupart du temps lui passer un login et un pass ....

Bref, j'ai l'impression qu'on reporte sur GLPi des problématiques de confiance entre machines et de sécurisation de l'infra.

Il incombe aux admins de mettre en place les sécurités necessaires : liaison ldaps, droit du user ldap limités, droit du user de la DB limités etc...

Stephan Durieux · 2007-07-01 19:05:54

bonsoir,
de nature plus développeur qu'admin rzo, je suis tout naturellement à 100%, voire +, en accord avec vous, cependant (déolé ; je m'en passerais bien mais je sais que l'on va me titiller la dessus),
ne peut on pas utiliser en paramètre les variables login et pwd ?

Maintenant comme je le disais dans mon post précédent, vos réponses me conviennent, et advienne ce qu'il advienne, ils ont quand même un outils FORMIDABLE, et à pas cher ...

Bonne soirée et encore merci.

Forum GLPI-Project

Announcement

#1 2007-06-30 11:58:24

connexion à Microsoft AD

#2 2007-06-30 12:38:22

Re: connexion à Microsoft AD

#3 2007-06-30 19:46:35

Re: connexion à Microsoft AD

#4 2007-07-01 01:21:32

Re: connexion à Microsoft AD

#5 2007-07-01 08:29:06

Re: connexion à Microsoft AD

#6 2007-07-01 13:41:33

Re: connexion à Microsoft AD

#7 2007-07-01 19:05:54

Re: connexion à Microsoft AD

Board footer