Discussion :

[P'tite_Lily]

Bonjour,

Nous utilisons un serveur NUXEO (version 5.1.3) connecté à un LDAP afin de gérer les mots de passe.
Nous utilisons le paramètre "passwordretrycount" pour bloquer les connexions après 3 erreurs de mots de passe.
Tout semble très bien fonctionner lors des tests à un détail prés :
lorsque l'utilisateur a réalisé les étapes suivantes :
- Connexion avec le bon mot de passe, suivi d'une déconnexion
- Puis 3 connexions avec un mauvais mot de passe, qui se terminent chacune en échec
- Puis connexion avec le bon mot de passe. Logiquement il n'est plus possible de se connecter et c'est bien ce que le LDAP détecte, mais il se connecte malgré tout. Il doit y avoir un cache dans NUXEO qui permette cette connexion.

Sachant que le fichier "default-ldap-users-directory-bundle.xml " ne contient pas le champ de gestion de cache, avez-vous une idée d'où peut provenir cette erreur ?

Merci

[_Mac_]

Pourquoi ça ne viendrait pas de l'annuaire LDAP ? As-tu vérifié en faisant un ldapbind directement sur l'annuaire qu'après les 3 échecs l'authentification était refusée par l'annuaire ?

[P'tite_Lily]

Bonjour,

Afin de tester mes connexions avec le LDAP, j'ai installé un "ldapadmin" et lorsque mon paramètre "passwordretrycount" est à 3 (nbre max d'essai), le résultat du test de connexion est "LDAP error : Violation de contrainte".
Je continue donc de penser à un cache dans NUXEO, mais où ?

[_Mac_]

Ce n'est pas le bon test : ce n'est pas Nuxeo qui doit mettre à jour le compteur passwordretrycount mais l'annuaire LDAP lui-même. Il faut donc vérifier deux choses :

1. A partir d'un passwordretrycount égal à 0, faire 3 ldapbind (et que du ldapbind) infructueux successifs et vérifier au 4ème avec le bon mot de passe que l'authentification est refusée et donc que passwordretrycount vaut 3 ou 4 (bref, qu'il a été incrémenté). Ca permet de s'assurer que l'annuaire LDAP sait gérer correctement ce paramètre. Si ce n'est pas le cas, faut pas chercher plus loin, le problème ne vient pas de Nuxeo mais de l'annuaire.
2. Si le premier test passe, faire une tentative de connexion avec Nuxeo et vérifier que le compteur passwordretrycount est augmenté de 1. Si le compteur passwordretrycount est incrémenté avec un ldapbind simple mais pas avec Nuxeo, alors oui, là peut-être faut il se demander si Nuxeo n'est pas en cause mais même dans ce cas, l'annuaire LDAP peut être en faute. Poser dans ce cas la question au support Nuxeo si vous en avez un.