Discussion :

[bleporini]

Bonjour,

J'essaie de monter dans apache 2 une authentification LDAP vers un Windows Server 2003.

Ca marche presque et c'est le presque qui fait toute la diff!!

En fait j'arrive à authentifier uniquement l'administrateur du domaine et pas les utilisateurs du domaine.

J'ai monté également un petit programme de test en Java et je confirme le comportement: authentification possible en administrateur et refusée en utilisateur avec une erreur 49.

Ce qui me donne un peu plus de vision sur le pb, car l'erreur 49 correspond à un mauvais password ou à une mauvaise chaîne de connexion, mais pourtant tout est correct puisque j'ai vérifié le DN de l'utilisateur dans LDAP Browser.

Est-ce que qqun a déjà rencontré ce genre de pb?

Merci

[bleporini]

Nous avons trouvé quelques éléments de réponses avec la personne en charge de l'administration de l'AD en question.

Il semble que les comptes qui ont été créés pour exchange et qui sont utilisateurs du domaine ne soient pas directement authentifiables via l'interface LDAP. Après avoir fait un renommage des comptes concernés, l'authentification est devenue possible.

Autre point: il était pour le moins embêtant qu'Apache stocke dans sa config les username/password de l'administrateur de l'AD, mais pour pouvoir "binder" l'AD en LDAP, il suffit de créer un compte utilisateur du domaine sans boîte exchange.

Vous remarquerez bien que nous avons réussi à trouver un moyen de faire fonctionner notre chaîne mais que les raisons des manipulations nous sont encore obscures, ainsi les questions suivantes demeurent:

• Y a-t-il un privilège windows particulier pour pouvoir binder un LDAP AD?
• Quel est la subtilité qui lie la messagerie et l'authentification LDAP, autant pour le binding que pour l'authentification elle même?

Voilà pour ceux qui se heurtent au même problème, et merci à ceux qui pourraient apporter des réponses aux questions!