Discussion :

[JonathanMQ]

Bonjour,

J'ai besoin d'extraire de l'information sur le LDAP de mon organisation.

Mise en contexte : Les utilisateurs de mon réseau, qui sont déjà authentifié via leurs session, visitent une page et cette page retourne leurs informations du LDAP afin qu'ils puissent les validers.

Voici le petit bout de code qui me cause problème.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
    Set oRootDSE 		= GetObject("LDAP://RootDSE")
    sDomainADsPath	= "LDAP://" & OU & oRootDSE.Get("defaultNamingContext")
    Set oRootDSE 		= Nothing
    Set oCon 		= CreateObject("ADODB.Connection")
    oCon.Provider 		= "ADsDSOObject"
    oCon.Open "ADProvider","DOMAINE\USER","PASSWORD"

Actuellement, tout ceci fonctionne dans mes tests sauf que j'utilise mon compte DOMAINE\USER et mon mot de passe réseau.

Ce qui n'est vraiment mais vraiment pas une bonne solution !

Tout mes utilisateurs étant authentifié via notre LDAP, ont accès à ce dernier. J'aurais donc aimé pouvoir faire mon ouverture de connexion via leurs compte à eux.

Je suis capable d'extraire leurs DOMAINE\USER avec Request.ServerVariables("AUTH_USER") mais pas le mot de passe.

Est-ce qu'il y aurait donc une façon d'ouvrir ma connexion au provider, sans hardcoder un user / mot de passe.

Merci.

[fredoche]

salut

oui je pense que tu peux le faire en changeant la méthode d'authentification IIS sur ta page ASP ou bien sur la partie de l'application qui contient cette page.

En fait il te faut désactiver l'authentification anonyme sur cette partie de l'appli, et activer l'authentification intégrée windows

ensuite en arrivant sur cette partie de l'application, les utilisateurs sont promptés pour saisir leur compte/mdp s'ils ne sont pas déja authentifiés, et celui-ci sera validé par le système d'authentification windows.
L'impersonnalisation n'est plus alors l'utilisateur anonyme (IUSR ou IWAN) mais le compte windows saisi

Si ton ldap repose sur AD et si l'authentification repose sur AD, alors en principe tu dois pouvoir directement authentifier ton utilisateur sur le ldap puisque le script ASP s'exécute alors avec les propriétés du compte windows.

C'est bien sur théorique, je n'ai jamais essayé dans le cadre de ldap, mais l'authentification windows fonctionne bien pour protéger l'accès aux ressources disques par exemple en utilisant ce type compte windows et la sécurité windows

En principe dans le cadre de domaines approuvés ou du même domaine, avec IE et IIS, tu dois avoir une authentification de type kerberos (AUTH_TYPE), donc une espèce de jeton que tu peux promener sur les ressources du domaine.
Sinon ce sera du NTLM qui ne permet pas la délégation d'authentification sur un domaine je pense

Une autre solution serait de ressaisir dans un formulaire les informations de login/pwd et d'utiliser ces infos pour ta chaine de connexion.

Tu dis récupérer leur compte de domaine avec Request.ServerVariables("AUTH_USER"), cela veut il dire que tu forces déjà cette authentification quelque part ?