Optimisation de la connexion LDAP

remi · 2008-04-07 13:32:51

Salut.

Situation actuelle

A chaque connexion l'ensemble des droits dynamiques sont supprimés et recalculer en appliquant le moteur de règle sur le compte de l'utilisateur.

Problème :

Ce peut devenir assez long... (plusieurs centaines de règles)

Proposition :

Configuration de l'authentification

1/ ajouter un champ : use_timestamp (je ne suis pas sur que tous les serveurs LDAP gère correctement cette valeur).

2/ ajouter un champ ldap_timestamp dans chaque compte utilisateur

3/ raz du champ lors de la modification du moteur de règle

4/ raz du champ lors du changement de méthode d'authentification

5/ lors de la connexion, rejouer les règles si :

- use_timestamp du serveur à true
et
- ldap_timestamp est nul
ou
- ldap_timestamp < timestamp du compte

6/ après la connexion
- ldap_timestamp = timestamp du compte

Votre avis ?

Ticket or not ticket ?

MoYo · 2008-04-07 18:31:30

est-ce que le timestamp LDAP des objets liés engenre une modif du timestamp des utilisateurs ?
du style les groupes ?

remi · 2008-04-07 18:51:37

Pas dans tous les cas...

Si l'appartenance à un groupe est enregistrée dans les attributs de l'utilisateur (genre memberOf) c'est bon.

Si les menbres du groupe sont enregistrés dans les attributs du groupe (genre attribut member) c'est pas bon.

C'est clairement une optimisation qui ne marchera que dans certains.

Oui, je sais, pas glop.
Mais j'ai pas trouvé d'autres idées pour optimiser cette recherche.

++

MoYo · 2008-04-07 18:59:41

il y a une autre solution : recalcul des droit que tous les X jours.
+ possibilité de forcer la synchro au prochain démarrage.

Mais ce n'est pas satisfaisant non plus.

Forum GLPI-Project