Bogue Authentification externe

fdu · 2006-09-27 11:29:33

Bonjour ,

un ptit bogue :

j'au une authentification externe ldap (AD)

les users de l'ad qui se logguent via la mire d'accueil GLPI sont bien crées
impossible d'en ajouter (pas de message en mode debug) avec l'interface "Ajouter directement un utilisateur d'une source externe"

çà marche en 0.68 et plus en 0.68.2

thank's
Fdu

MoYo · 2006-09-28 00:36:19

avec la 0.68.2 il faut quasi obligatoirement qu'il y ait un rootdn définit pour pouvoir ajouter les utilisateurs de cette manière je pense.

tsmr · 2006-09-28 01:02:35

il faut au moins une OU ou un CN dans le rootDN

Cf
http://glpi-project.org/wiki/doku.php?id=fr:ldap

fdu · 2006-09-28 10:09:31

bonjour ,
j'ai bien un rootdn défini ... CN=jobglpi_idf,CN=Users,DC=idf,DC=fr,DC=ad,DC=maboite,DC=net
c'est un compte spécifique (a mot de passe fixe) pour cette appli..j'ai essayé de mettre les DC et CN en minuscule mais ca change rien

et je précise , cela fonctionne bien en ajout via la mire d'accueil GLPI ....

tsmr · 2006-09-28 11:09:06

baseDN m'a gourré

motsan · 2006-09-28 11:41:31

essayez tout en minuscule, ca marche beaucoup mieux (sensible à la casse)

fdu · 2006-09-28 11:53:08

je vois pas bien l'utilité CN ou OU dans le baseDN ....

je n'ai pas besoin de voir les groupes AD, il sont définis différemment dans l'AD et dans GLPI

et apparamment je ne peux rechercher des utilisateurs que dans l'arborescence du baseDN ...

tsmr · 2006-09-28 12:14:58

fdu wrote:

je vois pas bien l'utilité CN ou OU dans le baseDN ....

C'est une nécessité si tu veux que cela fonctione avec AD : vive Crosoft

fdu · 2006-09-28 12:29:33

en tout l'ajout du code concernant ces OU casse tout chez nous ....

et on arrive très bien a se connecter en standard ldap sur une AD sans avoir besoin de connaitre l'organisation des OU ....

la solution que vous avez choisie se limite à VOTRE structure AD et nous n'allons pas revoir la structure AD chez nous pour ça ..!

je dois pouvoir continuer a me connecter à mon AD en mode LDAP , comme en v 0.68 ....
peut-être faut-t-il mettre une boite a cocher dans les paramètres style mode AD ou mode LDAP ...

tsmr · 2006-09-28 12:34:12

moi aussi sans ou dans le basedn j'arrive à me connecter sans problème.

La n'est pas la questiion.. Si vous voulez importer des users depuis "Depuis une source exeterne" depuis la liste des users, il faut obligatoirement qu'il y est dans le base DN, soit :

OU=secteur,DN=entreprise,DN=fr

soit

CN=secteur,DN=entreprise,DN=fr

C'est tout.

fdu · 2006-09-28 13:03:17

bon, je ne veux pas polémiquer , mais si en v0.68 ca fonctionne ...
et que en v.068.2 i faut OU/CN a cause des groupes ....
peut être bien qu'il faut donner le choix aux utilisateurs de continuer comme avant sans les groupes ...

Si je comprend la logique du code de la v0.68.2 si on tape sur de l'AD on cherche avec OU ou CN forcément .
Alors que si je coche le type de recherche 'dans les utilisateurs' le paramétrage (donc sans groupe) sans OU/CN du baseDN devrai continuer à fonctionner comme avant ....
suis-je clair ?

Last edited by fdu (2006-09-28 13:03:34)

tsmr · 2006-09-28 13:30:49

si tu n'utilises pas l'import des groupes ni importer des users depuis "Depuis une source externe"

Ca fonctionnera pareil, oui.

fdu · 2006-09-28 13:43:37

Non non, je parle bien de la continuité le la fonction

importer des users depuis "Depuis une source externe"

qui a mon sens dois rester indépendante de la fonction

import des groupes

en tout cas , ce que vous proposez comme solution impose un changement bien plus profond dans l'utilisation de votre logiciel que vous ne semblez le penser... et il n'y a plus de compatibilité ascendante
...

tsmr · 2006-09-28 13:45:58

fdu wrote:

en tout cas , ce que vous proposez comme solution impose un changement bien plus profond dans l'utilisation de votre logiciel que vous ne semblez le penser... et il n'y a plus de compatibilité ascendante
...

Déjà 1 ce n'est pas Mon logiciel..je fais uniquement partie de la communauté donc du bénévolat au même titre que les développeurs.

ET de 2 au lieu de critiquer, proposez une alternative...codez..faites quelque chose d'autre en somme..

fdu · 2006-09-28 13:59:47

la solution , je l'ai proposée .....

pour le codage .... php j'y connait rien .... a moins que qq devellope un plugin COBOL (quoique j'en ai oublié une bonne partie)

vous me sembler refuser le principe que ma demande concerne un BUG , et c'en est un fonctionnel en plus ...

JMD · 2006-09-28 19:33:20

Mon cher fdu,

Aprés avoir lu vos échanges avec mon collègue Moyo et maintenant avec un contributeur important au projet GLPI. Je me dois de réagir car comme dirait une amie qui m'est proche "Faut pas pousser mémé dans les orties".

Vous êtes déplaisant, agressif, arrogant et condescendant. Vous vous comportez en carricature de l'utilisateur consommateur de logiciel libre.

Alors je vais pas le répéter : nous ne VOUS devons rien et nous ne sommes pas votre fournisseur de service.

Si vous avez des choses à exprimer vous le faites de manière courtoise et agréable. Les personnes qui travaillent bénévolement autour de ce projet ne le font pas pour être traitée de la sorte.

Faire des remontées de bugs est un début de contribution maintenant si vous voulez qu'on vous aide, modifie ou amende le code de GLPI ou simplement exprimer un point de vue, vous êtes prié d'y mettre la forme. Nous serons alors à même de vous entendre.

Je vous demanderai de ne répondre à ce message que s'il vous reste une once de bon sens pour reconnaitre que vous exagérez. Dans le cas contraire, merci de ne pas polluer ce forum et bon vent.

fdu · 2006-09-29 15:29:51

Monsieur ,
vous me traiter rapidement dans votre message de profiteur indélicat ..! parfait !
je voudrai quand même vous retouner cette arrogance et cette condescendance: les réflexion que je me me suis en pleine poire sont du style: faites le vous même et comme vous êtes nul tant pis pour vous ..
j'ai relevé une fois que le projet est peu documenté, soit ! mais quand les fonctionnalités évoluent il faut S'ATTENDRE à recevoir des observations....
Mais comme les développeurs ce ce produit sont si géniaux que ça, nous n'avons que le devoir de leur baiser les pieds ? quoique je me demande si certain on compris la notion de réentrance en programmation transactionnelle ..

Certains ici se prennent les rois du logiciel libre, et peut être qu'on retrouvera la v2 ou la v3 de glpi en licence commerciale ...

Vous requête en reconnaissance heurte mon BON SENS et je continuerai de faire mon travail sans vous demander votre avis . Notez cependant que si j'étais réellement ce que vous semblez insinuer le fait que vous considériez ma prose comme de la pollution devrai m'indiférer, ce qui n'est pas le cas ...

A bon entendeur ... salut

nota :

Alors je vais pas le répéter : nous ne VOUS devons rien et nous ne sommes pas votre fournisseur de service.

au sens commercial non , au sens moral si ... et je vous laisse tout lloisir d'y réfléchir ...

fdu · 2006-09-29 15:37:20

petit détail sans importance , j'ai vérifie l'usage de PHP avec une ad avec le produit phpldapadmin et je n'y ai eu nul besoin de OU= ou CN= pour faire des recherches de groupe .... si le technicien php-ldap qui a donné cette explication pour GLPI pouvait mieux expliciter sa solution, ca serai plus pertinent que que dire "c'est comme ça" et rejeter l'excuse sur microsoft ...... au bénéfice de TOUS les utlisateurs de glpi / ad
merci.

tsmr · 2006-09-29 16:20:40

Tu vas non plus les brouter car il faut ajouter une OU sous ton DC..

Si ton AD est bien structurée tes Users ne se trouvent pas à la racine de ton DC, mais sont bien compartimentée dans une OU et des sous OU par secteurs..par exemple

Si c'est le contraire permet moi de te dire de "ranger ta chambre avant de vouloir déranger celle des autres"..

Jm0u · 2006-09-29 16:33:50

Bonjour fdu,

Alors moi je dis : pourquoi tant de haine

Je pense, à mon avis, que les dires de tout le monde ont mal été interprétées et ne voulais en aucun nuire à qui que ce soit.

Bref fdu j'ai testé la chose est, moi qui n'utilise pas l'import des groupes mais l'utilisation "Ajouter directement un utilisateur d'une source externe" je n'est pas rencontré de probléme.

Peut être que j'ai mal compris votre problème.

Personne n'est ici pour se battre et savoir qui à raison ou non.

Donc essayons de résoudre le problème dans la joie et la bonne humeur

Jm0u

:) un petit contributeur de plugin GLPI :)

Jm0u · 2006-09-29 16:35:04

tsmr wrote:

Si ton AD est bien structurée tes Users ne se trouvent pas à la racine de ton DC, mais sont bien compartimentée dans une OU et des sous OU par secteurs..par exemple

Effectivement si il est bien structuré

tsmr wrote:

Si c'est le contraire permet moi de te dire de "ranger ta chambre avant de vouloir déranger celle des autres"..

Ma chambre est bien rangé :)

Jm0u

VANB · 2006-09-29 18:28:53

Pour calmer le jeu, si on reprenait tout à zéro :

- un petit tour ici http://glpi-project.org/wiki/doku.php?id=fr:ldap ou tout est parfaitement expliqué

- vérifier la configuration en suivant ces explications à la lettre car il y a eu effectivement des petits changements entre les versions (entre 0.68 et 0.68.1 si je me souviens bien), en particulier le "Champ de login" qui doit être samaccountname

Ma configuration est la suivante et elle fonctionne :

Hote LDAP : <adresse IP du serveur LDAP>

LDAP Port : 389

BaseDN : DC=<mon sous domaine>,DC=<mon domaine>,DC=fr : Racine de la recherche (pas besoin d'OU)

RootDN : CN=<utilisateur>,OU=<sous OU de l'utilisateur>,OU=<OU de l'utilisateur>,DC=<mon sous domaine>,DC=<mon domaine>,DC=fr : le chemin complet d'un utilisateur autorisé à accéder à l'AD (la ou les OU sont obligatoires). Le plus sûr pour ne pas se tromper est de recopier ce chemin dans adsiedit.

Pass : mot de passe du dit utilisateur

Champ de login : samaccountname

Utiliser TLS : non

Je précise que je n'ai rien changé entre la 0.68 et la 0.68.2 et que ça a toujours fonctionné.

Cela devrait suffire à authentifier les utilisateurs. Les paramètres qui suivent servent à récupérer les groupes et autres informations. On verra cela après.

Par ailleurs, je n'ai pas fait de tests en connexion anonyme, mais je pense que sur l'AD, l'authentification est obligatoire.

Last edited by VANB (2006-09-29 18:35:19)

JMD · 2006-09-29 19:40:30

Bien... J'ai toujours tendance naïvement à croire que l'humain est perfectible mais dans certains cas je doute....

Je répond à ce salmigondis d'anneries imbhibées de mauvaise foi :

fdu wrote:

vous me traiter rapidement dans votre message de profiteur indélicat ..! parfait !

FAUX : Je ne vous traite pas, je vous fait remarquer que vous exprimez d'une façon désagréable envers des personnes qui n'ont aucunement l'obligation de vous répondre.

je voudrai quand même vous retouner cette arrogance et cette condescendance: les réflexion que je me me suis en pleine poire sont du style: faites le vous même et comme vous êtes nul tant pis pour vous ..

Si on pouvait éviter les arguments du style "C'est celui qui le dit qui y est....". Ca éléverait un peu le débat.

Relisez vos posts et ne m'obligez pas à en citer un extrait (je vous aide : comptez les "....". Vous verrez que si le contributeur a commencé à s'agacer, c'etait à raison. D'autre part j'attire votre attention sur le glissement sémantique que vous opérez et qui me semble dangereux : l'avis d'un contributeur n'engage que lui. Donc les amalgames du style : son avis/l'équipe de dev/la communauté d'utilisateurs et le logiciel GLPI sont érronés

j'ai relevé une fois que le projet est peu documenté, soit ! mais quand les fonctionnalités évoluent il faut S'ATTENDRE à recevoir des observations....

Observations oui, agressions non ! Relisez vous.

Mais comme les développeurs ce ce produit sont si géniaux que ça, nous n'avons que le devoir de leur baiser les pieds ?

Il me semble que nous n'avons jamais tenu de tels propos et si nous avions un égo surdimensionné comme vous le sous-entendez, nous utiliserions notre temps à bien d'autres tâches que GLPI. Votre réflexion est stupide et encore une fois arrogante. Relisez vos posts et le mien peut-être que vous finirez par comprendre que ce qui vous est repproché c'est n'est pas le fond mais la forme.

quoique je me demande si certain on compris la notion de réentrance en programmation transactionnelle ..

Je ne vois pas le lien là...

Certains ici se prennent les rois du logiciel libre,

Quelle reflexion fielleuse, Je me demande d'où vient tout ce fiel. Qu'est ce qui peut vous rendre aussi mauvais dans vos propos. Vous nous prétez des motivations qui ne sont pas les notres. Vous n'avez aucune connaissance de la quantité de travail que nous consacrons bénévolement au projet et vous vous permettez de nous vomir dessus. C'est pitoyable.

et peut être qu'on retrouvera la v2 ou la v3 de glpi en licence commerciale ...

Vous vous fourvoyez là . L'opposé d'une licence libre n'est une licence commerciale mais une licence propriétaire. Il est tout à fait possible de vendre un logiciel libre et donc de le commercialiser. Par ailleurs le code de GLPI étant sous GPL et utilisant d'autres librairies GPL il n'est pas possible de basculer sur une licence propriétaire....

Vous requête en reconnaissance heurte mon BON SENS et je continuerai de faire mon travail sans vous demander votre avis.

Nous ne souhaitons pas être reconnus comme vous le dites mais que vous respectiez les personnes auprés de qui vous sollicitez de l'aide alors que je le répête elle n'ont aucune obligation envers vous.

D'autre part, vous vous exprimez sur un forum hébergé sur un serveur que la structure de developpement administre et finance et vous utilisez une bande passante qu'encore une fois la structure de développement finance. Vous êtes donc notre invité sur ce forum, comportez vous comme tel : ayez du respect pour ceux qui vous accueille.

Notez cependant que si j'étais réellement ce que vous semblez insinuer le fait que vous considériez ma prose comme de la pollution devrai m'indiférer, ce qui n'est pas le cas ...

Ce n'est pas l'homme que je condamne, c'est le comportement et surtout le verbe. Et je reste persuadé que quand les choses sont dites posément et correctement, il est possible d'avancer.

Alors je vais pas le répéter : nous ne VOUS devons rien et nous ne sommes pas votre fournisseur de service.
au sens commercial non , au sens moral si ... et je vous laisse tout lloisir d'y réfléchir ...

Juste pour que les choses soient parfaitement claires : vous utilisez GLPI et bénéficiez gratuitement de notre travail parce que nous avons choisis de le diffuser sous une licence qui le permet. Il n'y a rien à dire la dessus, nous assumons notre choix.

En revanche nous n'avons aucun engagement envers vous concernant un quelconque support de quelque nature que ce soit (relisez la licence GPL).

Quand à l'aspect moral de la chose, nous allons bien au delà de l'engagement moral que constitue la mise à disposition d'une application sous licence libre en téléchargement chaque fois que nous répondons sur le forum, que nous écrivons de la documentation, que nous répondons sur les mailings listes, que nous animons des conférences, que nous modifions GLPI pour qu'il s'interface avec des logiciels propriétaires alors que NOUS ne les utilisons pas etc..etc...etc...

fdu · 2006-09-29 19:41:03

Tu vas non plus les brouter car il faut ajouter une OU sous ton DC..

vous êtes modérateur ? j'ai comme un doute

Si ton AD est bien structurée tes Users ne se trouvent pas à la racine de ton DC, mais sont bien compartimentée dans une OU et des sous OU par secteurs..par exemple
Si c'est le contraire permet moi de te dire de "ranger ta chambre avant de vouloir déranger celle des autres"..

c'est pas MON AD , c'est celle de la boite , je n'ai AUCUN pouvoir de remettre en cause sa structure : elle du style les CN standards avec quelques comptes et groupes d'admin et une quinzaine d'OU maitres avec des délégation d'admin .... et pour 15000 comptes de users dans les branches ...

et pour info VANB ; baseDN tout en minuscules sans espaces ...
et le sAMaccountName avec cette casse ... en 0.68

donc mon AD est pourrie , mais j'y peux pas grand chose ...
moralité , je vais utiliser un truc tout aussi pourri comme extraction de l'AD injecté dans un ldap plat ...et sans groupes ....

un vieux proverbe dit : qui peut le plus peut le moins
mais c'est pas une raison de se contenter du moins .

& MERCI a VANB et JmOu pour leurs encouragement et leur soutien.

Last edited by fdu (2006-09-29 19:42:13)

fdu · 2006-09-29 19:58:15

petit apparté juridique : en france , et malgré le bon travail de la communauté , la gpl n'a strictement aucune valeur jurique & n'est pas opposable ... il y a une licence française dont je ne me rappelle plus le non, je croit que l'inria a bossé dessus qui est valable ...
quand à notion de travail gratuit , ce n'est pas cette notion qui est mise en valeur par la fsf , mais la liberté pour l'utilisateur de ne pas subir les problèmes d'une licence propriétaire.
la plupart des bons produit open source ou freeware (au sens gpl) que je connait sont le fruit de sociétés commerciales (voire associations) qui ont fait le choix de vivre du service autour du produit en question et en général passent a des versions propriétaires ... le minimum étant de maintenir une version libre .

Quand à l'affirmation qu'on ne peut abandonner une GPL pour une licence autre , voire proriétaire , c'est HELAS , juridiquement faux.

bon WE

Forum GLPI-Project

Announcement

#1 2006-09-27 11:29:33

Bogue Authentification externe

#2 2006-09-28 00:36:19

Re: Bogue Authentification externe

#3 2006-09-28 01:02:35

Re: Bogue Authentification externe

#4 2006-09-28 10:09:31

Re: Bogue Authentification externe

#5 2006-09-28 11:09:06

Re: Bogue Authentification externe

#6 2006-09-28 11:41:31

Re: Bogue Authentification externe

#7 2006-09-28 11:53:08

Re: Bogue Authentification externe

#8 2006-09-28 12:14:58

Re: Bogue Authentification externe

#9 2006-09-28 12:29:33

Re: Bogue Authentification externe

#10 2006-09-28 12:34:12

Re: Bogue Authentification externe

#11 2006-09-28 13:03:17

Re: Bogue Authentification externe

#12 2006-09-28 13:30:49

Re: Bogue Authentification externe

#13 2006-09-28 13:43:37

Re: Bogue Authentification externe

#14 2006-09-28 13:45:58

Re: Bogue Authentification externe

#15 2006-09-28 13:59:47

Re: Bogue Authentification externe

#16 2006-09-28 19:33:20

Re: Bogue Authentification externe

#17 2006-09-29 15:29:51

Re: Bogue Authentification externe

#18 2006-09-29 15:37:20

Re: Bogue Authentification externe

#19 2006-09-29 16:20:40

Re: Bogue Authentification externe

#20 2006-09-29 16:33:50

Re: Bogue Authentification externe

#21 2006-09-29 16:35:04

Re: Bogue Authentification externe

#22 2006-09-29 18:28:53

Re: Bogue Authentification externe

#23 2006-09-29 19:40:30

Re: Bogue Authentification externe

#24 2006-09-29 19:41:03

Re: Bogue Authentification externe

#25 2006-09-29 19:58:15

Re: Bogue Authentification externe

Board footer