Discussion :

[3mPty]

Bonjour,

désolé de vous embêter encore , je réalise un script de login en PHP qui s'interface sur le serveur OpenLDAP de Mac OSX...

Le problème est que je ne comprend pas trop son fonctionnement avec Kerberos, et je n'arrive pas à récupérer le champ mot de passe (dsAttrTypeNative:UserPassword)

Ca ne me renvoie même pas de chaine cryptée... Alors que le champ "dsAttrTypeNative:mail" est bien renvoyé, ainsi que les autres...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
for ($i=0; $i<$info["count"]; $i++) {
       echo 'dn est : ' . $info[$i]["dn"] . '<br />';
       echo 'premiere entree cn : ' . $info[$i]["cn"][0] . '<br />';
       echo 'premier email : ' . $info[$i]["mail"][0] . '<br />';
       echo 'mdp : ' . $info[$i]["userPassword"] . '<br />';
   }

Quelqu'un pourrait-il m'éclairer svp ?

[navis84]

Bonjour,

je n'en suis pas sûre, mais peut-être qu'un champ mot de passe ne peut pas être récupéré...

[3mPty]

Ainsi il serait impossible d'utiliser le serveur LDAP comme serveur d'Authentification lors des phases de login en php ?

[julp]

je n'en suis pas sûre, mais peut-être qu'un champ mot de passe ne peut pas être récupéré...

Tout dépend des ACL : les permissions pour un utilisateur (anonyme, authentifié, ...) à accéder aux données (lecture, écriture, ...). Mais avec kerberos, si j'ai bonne mémoire, ce champ (userPassword) ressemble à une adresse email pour justement utiliser le protocole Kerberos.


Julp.

[3mPty]

Je ne sais pas, ce champ est crypté lorsqu'on y accède... Et vu qu'on ne peut le récupérer en php...

En tout cas j'ai trouvé la solution, il suffit de faire un ldap_bind avec les identifiants entrés et de tester la valeur de retour (False, True).

L'inconvénient de cette méthode est qu'elle affiche un warning en cas d'échec... Existe-t-il une solution pour ne pas afficher de warning dans un script donné sans les désactiver dans le php.ini ?

Merci de vos réponses

[Sub0]

Existe-t-il une solution pour ne pas afficher de warning dans un script donné sans les désactiver dans le php.ini ?

Merci de vos réponses

En faisant précéder la fonction d'un arobas (@), celle-ci ne déclenchera pas de warning.
Exemple, si le champs "test" n'est pas posté, en temps normal, le code suivant génère une erreur sans l'arobas. Il faudrait alors tester le champs avec isset avant de vouloir l'utiliser :

$test=@$_POST['test'];

Dans cet exemple, $test vaut 0 si le champs n'est pas posté, à+

ps: Probable que cela doit fonctionner différemment selon la version du PHP & Apache utilisées...

[julp]

Je ne sais pas, ce champ est crypté lorsqu'on y accède... Et vu qu'on ne peut le récupérer en php...

Encore de mémoire, l'attribut userPassword est stocké sous forme binaire donc utilise un "encodage" base64 : voir les fonctions base64_encode() et base64_decode().

Toutefois, avant de foncer tête baissée dans la programmation en PHP, il serait peut être plus judicieux de comprendre un minimum comment fonctionne LDAP/OpenLDAP et Kerberos.


Julp.

[3mPty]

Toutefois, avant de foncer tête baissée dans la programmation en PHP, il serait peut être plus judicieux de comprendre un minimum comment fonctionne LDAP/OpenLDAP et Kerberos.

Je ne demande pas mieux, seulement je n'ai pas trouvé de bons tuto sur une application concrète de ces deux composants... Si tu connais une bonne doc je suis preneur...

Merci à Sub0 pour l'astuce de l'arobase, qui fonctionne parfaitement !