Discussion :

[aZrael51]

Salut à tous !

Je souhaiterais faire un petit Intranet en PHP sur un serveur Apache2 sous debian (Sarge). Pour éviter de gérer 2 bases d'annuaires, j'aimerais, via le module "mod_auth_ldap" pouvoir authentifier les utilisateurs de l'intranet par leur compte utilisateur du domaine.
Mon controlleur de domaine est sous Win2K Server (Active Directory).

J'ai parcouru la doc sur ce module sur le site de apache.org, ainsi que sur un tas d'autres sites,mais je n'ai pas trouvé de détails très précis.

Voici ce que j'ai dans mon apache2.conf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<Directory /var/www/essai>
   Options Indexes FollowSymLinks MultiViews
   AllowOverride None
   Order allow,deny
   allow from all
 
  #mod_auth_ldap
  AuthLDAPEnabled on
  AuthLDAPAuthoritative on
  AuthName "Veuillez vous identifier."
  AuthType Basic
  AuthLDAPURL ldap://mon_serveur:389/OU=mon_unite,DC=mon_domaine,DC=com
require valid-user
</Directory>

Jusqu'à maintenant, j'ai bien la fenêtre d'identification qui apparaît, mais lorsque je tape mon identifiant et mot de passe, ça ne veut rien savoir.

Voici ce que j'ai dans "/var/log/apache2/error.log" :

[Wed Jun 29 13:44:40 2005] [warn] [client xxx.xxx.xxx.xxx] [3247] auth_ldap authenticate: user mon_identifiant authentication failed; URI /essai/ [User not found][No such object]

Ce qui n'est pas très explicite (je n'arrive pas a savoir si au moins il parvient jusqu'au controlleur de domaine !)

Est-ce que quelqu'un aurait une piste ? car j'ai tenté un tas de modification dans mon "AuthLDAPURL" sans résultat et je ne sais plus trop vers où me tourner...

D'avance merci !

aZ

[Bidouille]

Je pencherais plutôt pour une authentification via PHP

[aZrael51]

Slt Bidouille.

Via PHP ? mais comment accéder à Active Directory alors ?

[aZrael51]

up !

[julp]

Active Directory a beau être propriétaire, il n'en reste pas moins un annuaire et qui par conséquent peut être consulté avec n'importe quel client. Donc pour PHP, le client sera PHP lui-même et cela n'est possible que si l'extension php-ldap est "installée", une API LDAP C sera requise (OpenLDAP ou autres).

Pour revenir à ton problème avec le module :
_ As-tu essayé de te connecter avec un client (console, ldapbrowser, ...) ?
_ Peux-tu te connecter en anonyme à l'annuaire ? (j'ai jamais utilisé Active Directory)
_ As-tu essayé de préciser un filtre ?


Cordialement, Julp

[aZrael51]

Ca fonctionne maintenant !!

<Directory /var/www/mon_respertoire>
Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all

#mod_auth_ldap
AuthLDAPEnabled on
AuthLDAPAuthoritative on
AuthName "Connexion à mon_repertoire"
AuthType Basic
AuthLDAPURL ldap://server-activedirectory.mon-domaine.com:3268/dc=mon-domaine,dc=com?sAMAccountName?sub?(objectClass=user)
AuthLDAPBindDN "uid=mon_compte,dc=mon-domaine,dc=com"
AuthLDAPBindPassword xxxpasswdxxx
require valid-user
</Directory>

[king of the taupe]

Exactement le même problème. Le parametrage est en effet un peu subtile. Je viens de tomber sur ce poste juste après être arrivé aux mêmes conclusions.

Voici qq explications pour éviter aux autres de galérer :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
AuthLDAPBindDN "uid=mon_compte,dc=mon-domaine,dc=com"
AuthLDAPBindPassword xxxpasswdxxx

Si cette portion n'est pas précisée, la tentative de connexion au ldap se fait en mode anonymous. Dans certains cas (comme le mien) ce n'est pas permis. Il faut donc impérativement spécifier un utilisateur avec lequel Apache pourra se connecter pour effectuer alors l'authentification à proprement parler. Cette partie est donc indispensable si les connexions anonymous ne sont pas autorisées sur le LDAP.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

AuthLDAPURL ldap://server-activedirectory.mon-domaine.com:3268/dc=mon-domaine,dc=com?sAMAccountName?sub?(objectClass=user)

Ici, l'URL est très imortante car elle va être utilisée pour effectuer l'authentification de l'utilisateur qui va fournir un login / mdp. Dans ce cas le login va être comparé à sAMAccountName. Le filtre que Apache va construire va être de la forme :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

(&(objectClass=user)(sAMAccountName=$nom_saisi_par_utilisateur)).

Suivant si le login est contenu dans sAMAccountName, sn, givenname, displayname, mail... il va falloir changer la valeur de AuthLDAPURL.
La documentation Apache est très claire sur ce dernier point (AuthLDAPURL), faut-il encore la lire calmement et en entier.


J'espère que cela va aider certain et que vous ne perdrez pas 1 heure comme moi à tourner en rond...
Merci à aZrael51 pour avoir posté la solution à son problème !

++

[misterbillyboy]

Bonjour,

Je suis dans le même cas que vous, j'ai dû ajouter les directives AuthLDAPBindDN et AuthLDAPBindPassword pour pouvoir authentifier les utilisateurs via LDAP.
Etant donné que j'administre le serveur web mais pas les sites qu'il héberge, les utilisateurs mettent en place leur authentification en plaçant un fichier .htaccess dans le répertoire à protéger.
Par contre n'y a-t-il pas un moyen de mettre les deux directives AuthLDAPBindDN et AuthLDAPBindPassword dans le fichier httpd.conf afin de ne pas donner directement aux utilisateurs un compte ldap avec son mot de passe, car je trouve que ça ne marque pas trés bien.

J'ai essayé de mettre ces deux directives dans un bloc "Directory" :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
<Directory /etc/httpd/vhosts-sites>
  AuthLDAPBindDN cn=userLdap,ou=appli,dc=domaine,dc=fr
  AuthLDAPBindPassword mdpUserLdap
  Options Includes Indexes FollowSymLinks
  XBitHack Full
  AllowOverride AuthConfig FileInfo Indexes Limit
  AddHandler cgi-script .cgi .pl
</Directory>

pour qu'ensuite les utilisateurs aient juste à mettre les lignes suivantes dans un .htaccess :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
AuthType Basic
AuthName Authentification
AuthLDAPURL ldap://srvLdap.ent.fr:389/ou=people,dc=domaine,dc=fr?uid?sub
AuthLDAPAuthoritative off
require valid-user

Mais en faisant cela ça ne fonctionne pas, il faut absolument que AuthLDAPBindDN et AuthLDAPBindPassword soient dans le .htaccess.

Avez-vous rencontrer ce problème ? et avez-vous trouver une solution pour ne pas communiquer un login/mdp aux utilisateurs ?

Merci d'avance pour votre aide

[wyllyam]

Salut,

As tu essayer avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

AllowOverride All

?

[misterbillyboy]

Bonjour,

oui j'ai essayé mais cela ne change rien.
Pour info, j'ai fait les essais avec apache 2.0.52 et apache 2.2.2 mais je n'ai rencontré aucun changement.