ldap bind modules php
sous apache 2.2.8 (version à confirmer mais bon)
je voudrais que toute requete vers le server web fasse necessairement l'objet d'un controle login/pass vers un annuaire LDAP de mes utilisateurs.
Pas d'exception.
le server ne marche qu'en https de tte facon.
je pensais à une authentification digest plutot que basic, à condition que ca n'introduise pas (trop) de complexité supplémentaire.
je voudrais aussi que le login utilisé pour la requete apparaissent clairement dans le access.log de apache afin de parser le fichier par la suite. J'ai besoin d'etre éventuellement capable de savoir qui a accédé quoi et qd
j'ai pensé à implémenter ca au niveau php. Si j'arrive bien à faire l'authentification et l'authorization bien des ldap_bind(...), je n'arrive pas à faire apparaitre le login dans le access.log (normal je suppose puisque le format de log est défini dans les fichiers conf de apache non?)
de plus, si je laisse qqs users envoyer leurs propres scripts php, alors le fait qu'ils rajoutent un include('check_login.php') dans ts leurs scripts parce que je l'aurais demandé est laissé à leur bon vouloir, voire sujet à oubli/erreur...
sans parler que moi aussi mon code php de login peut etre sujet à erreur. personne n'est parfait. Ca fait donc plus sens de déléguer cette partie à du code super stable et bien maintenu par des experts.
bref, plutot au niveau apache donc. ca me mettrait plus en confiance.
mais comment faire?
je suppose qu'il faut installer et configurer un module... mais lequel ?
en cherchant LDAP sur apache, je suis tombé sur plusieurs modules.
mod_ldap pour apache 2.0 => http://httpd.apache.org/docs/2.0/mod/mod_ldap.html
mod_ldap pour apache 2.2 => http://httpd.apache.org/docs/2.2/mod/mod_ldap.html
(on pourrait taper ds le LDAP, mais peut-on faire un bind avec ca?)
mod_auth_ldap pour apache 2.0 => http://httpd.apache.org/docs/2.0/mod/mod_auth_ldap.html
mod_auth_ldap pour apache 2.2 => ne semble pas exister... ?!?
mod_authnz_ldap pour apache 2.0 => ne semble pas exister... ?!?
mod_authnz_ldap pour apache 2.2 => http://httpd.apache.org/docs/2.2/mod...thnz_ldap.html
bon déjà http://httpd.apache.org/docs/2.2/fr/...tures_2_2.html
semble indiquer que nz dans le nom n'est pas un hommage à son programeur neozelandais mais juste un changement de nom.
(Ce module est flaggué "Status: Extension", VS le précédent flaggué "Status: Experimental" ca veut dire que mod_authnz_ldap est stable? on peut lui faire confiance en production?)
qqn peut me confirmer que
=> vu ce queje veux faire, c'est une bonne approche de déléguer à apache le login
=> c'est bien apache mod_authnz_ldap le module que je dois utiliser dans ce cas
?
merci
ps: je mets ici des liens des topics interessants sur le sujet ue m'a trouvé la fonction recherche
http://www.developpez.net/forums/d60...ap-p-htpasswd/
http://www.developpez.net/forums/d39...ive-directory/
http://www.developpez.net/forums/d47...ation-ldap-ad/
http://www.developpez.net/forums/d44..._auth_ldap-so/
pps: _mac_, julp ? une idée....
Répondre avec citation
Partager