Discussion :

[misseva]

Bonjour,

Je réalise un projet dans lequel j'utilise un CMS et un wiki.En fait j'aimerais que mes deux outils utilisent la même base d'utilisateurs et que l'authentification soit unique. Je pense que la technologie adéquat est d'utiliser un annuaire LDAP (avis à d'autres propositions)
Pour ce qui est d'un annuaire LDAP je souhaite utiliser OpenLDAP comme serveur d'annuaire je travaille en local pour l'instant (et j'utilise JXplorer éventuellement comme interface graphique pour modifier/visualiser mon arborescence)

Je voudrais donc faire en sorte que mon CMS et mon wiki utilisent cet annuaire LDAP pour l'identification des utilisateurs et pour la gestion des droits (j'ai besoin d'un wiki en particulier c'est pour ça que j'ai deux outils différents et que je n'utilise pas un CMS qui propose un wiki comme extension)


Donc est-ce que quelqu'un sait comment faire (si c'est pas la bonne technologie)?
Sinon, j'ai construit mon arborescence (incomplète) : il me semble que je dois renseigner aussi mes "applications" (mon wiki et mon CMS) dans l'annuaire et je ne sais pas quel type de classe choisir applicationProcess ou applicationEntity et qu'en est-il de l'attribut presentationAddress?

Pour l'instant j'ai choisis la classe applicationProcess car elle ne demande pas de renseigner l'attribut presentationAddress (pour lequel je ne sais pas quoi mettre)

Pour ce qui est de la Gestion des droits d'accès
Est-ce que quelqu'un a un site ou un tuto simple pour les ACL OpenLDAP?


voilà ça fait beaucoup de question mais si vous pouviez m'aider ça m'aiderai beaucoup

[polo(31)]

bonjour,

je suppose que tu utilise la même BDD pour ton CMS et ton wiki,
pourquoi ne pas dans ce cas utilisé la table users de ta base?

par contre je ne comprend pourquoi tu a besoin d'ACL?

[misseva]

Bah en fait j'ai pas encore choisi le CMS mais le wiki si il est sur mon serveur local. Donc pour ce qui est de la base de donnée je suis pas sur que celle du wiki et celle du CMS que je choisirai auront le même schéma et je pense que si j'utilise la même base de données ce que ça va faire c'est que ça va me faire de tables user différentes

et en fait j'ai besoin d'ACL dans OpenLDAP pour définir mais droit d'accès à l'annuaire dire que par exemple telle application ou telle personne ou tel groupe peut modifier tel ou tel attribut du profil d'une personne

[polo(31)]

Bah en fait j'ai pas encore choisi le CMS mais le wiki si il est sur mon serveur local. Donc pour ce qui est de la base de donnée je suis pas sur que celle du wiki et celle du CMS que je choisirai auront le même schéma et je pense que si j'utilise la même base de données ce que ça va faire c'est que ça va me faire de tables user différentes

si tu utilise 2 bases différentes tu doit pouvoir faire une procédure avec un trigger par exemple pour faire une "mise a jour", ou plus simple, tu crée une base et dans ton schéma tu dissocie bien les tables WIKI des tables CMS

et en fait j'ai besoin d'ACL dans OpenLDAP pour définir mais droit d'accès à l'annuaire dire que par exemple telle application ou telle personne ou tel groupe peut modifier tel ou tel attribut du profil d'une personne

je ne pense pas que ce soit des ACL que tu veuille (on parle bien d'access list?).

[misseva]

En fait j'ai essayé hier avec un CMS quelconque si j'utilise la même base les tables du CMs sont bien différenciables de celles du wiki genre j'ai une table CMS_users et une table wiki_users. Donc en gros j'ai la même chose que si j'ai 2 bases différentes sauf que c'est tout dans la même.
Donc si je comprend bien ton idée c'est de faire un trigger qui s'execute chaque fois qu'on a une modif dans une des tables users?

Sinon oui c'est bien d'access list dont je parle mais c'est juste que si j'utilise un annuaire je veux que y ait que l'admin qui y ait accès (à l'annuaire)

Sinon question droits je voudrais par exemple que si la personne est "auteur" dans le wiki, qu'elle ait le droit de faire telle ou telle chose du coté CMS. En fait je voudrais utiliser la même gestion des droits pour les deux

[polo(31)]

En fait j'ai essayé hier avec un CMS quelconque si j'utilise la même base les tables du CMs sont bien différenciables de celles du wiki genre j'ai une table CMS_users et une table wiki_users. Donc en gros j'ai la même chose que si j'ai 2 bases différentes sauf que c'est tout dans la même.
Donc si je comprend bien ton idée c'est de faire un trigger qui s'execute chaque fois qu'on a une modif dans une des tables users?

tu peut pas utilisé la même table? une table qui gère les users du wiki et du CMS? sinon oui tu peut faire une fonction qui a l'ajout/modification applique les changement sur l'autre table, mais ca veut dire que sur ta base tu aura 2 table identique (et il faut voir coté performance aussi)

Sinon oui c'est bien d'access list dont je parle mais c'est juste que si j'utilise un annuaire je veux que y ait que l'admin qui y ait accès (à l'annuaire)

désolé j'été resté sur les ACL routage, c'est pour ca que je comprenais pas

[misseva]

tu peut pas utilisé la même table? une table qui gère les users du wiki et du CMS? sinon oui tu peut faire une fonction qui a l'ajout/modification applique les changement sur l'autre table, mais ca veut dire que sur ta base tu aura 2 table identique (et il faut voir coté performance aussi)
désolé j'été resté sur les ACL routage, c'est pour ca que je comprenais pas

Bah j'arrive pas à faire utiliser la même table, je sais pas comment faire. En fait quand tu installes le cms il te demande quelle base de donnée tu veux utiliser (donc là je peux renseigner celle du wiki) et après ça me crée toutes les tables nécessaires automatiquement

et puis en fait pour les ACL je pense finalement que comme ça concerne que l'annuaire je dois pas avoir grand chose à faire mais c'est pour la gestion des sessions que je vois pas trop parce que je veux utiliser la gestion d'accès de mon wiki (auteur, modérateur, anonyme, lecteur identifié etc) pour mon CMS

[polo(31)]

Bah j'arrive pas à faire utiliser la même table, je sais pas comment faire. En fait quand tu installes le cms il te demande quelle base de donnée tu veux utiliser (donc là je peux renseigner celle du wiki) et après ça me crée toutes les tables nécessaires automatiquement

c'est quel CMS? il faudrait voir dans la/les section(s) dédié au CMS ou sur le site officiel pour les configuration, mais ca doit être possible, après il faut voir si les architecture des tables font qu'elles peuvent être imbriqué

et puis en fait pour les ACL je pense finalement que comme ça concerne que l'annuaire je dois pas avoir grand chose à faire mais c'est pour la gestion des sessions que je vois pas trop parce que je veux utiliser la gestion d'accès de mon wiki (auteur, modérateur, anonyme, lecteur identifié etc) pour mon CMS

et puis comment faire pour que le CMS tape dans LDAP?

[misseva]

c'est quel CMS? il faudrait voir dans la/les section(s) dédié au CMS ou sur le site officiel pour les configuration, mais ca doit être possible, après il faut voir si les architecture des tables font qu'elles peuvent être imbriqué

j'avais essayé sur plusieurs cms je n'en ai pas choisi un en particulier encore mais il fonctionne à peu près pareil j'essayerai de faire comme ça si ldap marche pas

et puis comment faire pour que le CMS tape dans LDAP?

Et là plus part des CMS (ou en tous cas beaucoup) ont des extensions LDAP (pour utiliser des utilisateurs de l'annuaire)
et après pour que le CMS écrive dans LDAP c'est ça que j'ai pas encore trouvé y a une classe dans ldap qui s'appelle applicationEntity (décrit une application accessible via une URL) mais je sais pas l'utiliser en fait je dois renseigner un attribut obligatoire qui est presentationAddress (Adresse de présentation contenant une adresse OSI ou une adresse réseau. En fait cet attribut contient l'URL de l'application)
l'application c'est mon wiki qui est en local et quand je renseigne l'adresse ça marche pas

[polo(31)]

désolé mais la je pense que ca dépasse mon niveau de compétence, je risque de dire plus de bêtise que de piste de solutions

[misseva]

j'arrive à utiliser un utilisateur de l'annuaire LDAP pour s'authentifier dans mediawiki et maintenant la question c'est par exemple pour un nouvel utilisateur,(pas de compte ni dans LDAP ni dans mediawiki) comment le créer automatiquement dans LDAP quand on fait "creer un compte " dans mediawiki

@polo : merci tu m'as déjà bien aidé

[spawntux]

Bonjour,

http://www.mediawiki.org/wiki/Extens...Authentication

Apres au besoin tu codes un peux pour que la creation ce fasse sur ton ldap et non plus sur la bdd de ton wiki

[misseva]

En fait j'ai déjà regardé sur ce site
mais j'arrive pas à faire le bon paramétrage je pense
et puis du coté de LDAP y a la classe "applicationEntity" et en gros mediawiki correspond à ce genre de classe le problème c'est l'attribut "presentationAddress" qui est obligatoire et pour lequel j'arrive pas à trouver la bonne syntaxe.
En fait qd j'aurai créé cet objet je pourrais (je pense) avec les ACL dire que cet objet de type "applicationEntity" peut écrire, modifier dans l'annuaire
enfin c'est ce que je comprend dans les livres (mais aucun ne détaille la classe applicationEntity et son fameux attribut presentationAddress)

[misseva]

En fait je crois que c'est configuré comme il faut (j'ai utilisé ton site spawntux ) mais c'est du coté du serveur ldap que y a un pb parce que quand j'essaie de créer un nouveau compte j'ai ça comme erreur

"Une erreur s’est produite avec la base de données d’authentification externe, ou bien vous n’êtes pas autorisé(e) à mettre à jour votre compte externe."

pourtant mes ACL ont l'air d'être ok :

coté slapd.conf (serveur LDAP)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
access to *
	by self write
	by dn.base="cn=Eva,ou=Utilisateurs,ou=Personnes,dc=my-domain,dc=com" write
	by * read

coté LocalSettings.php (Mediawiki)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
$wgUseLDAP = true;
$wgLDAPWriterDN = array(
  "LOCALLDAP"=>"cn=Eva,ou=Utilisateurs,ou=Personnes,dc=my-domain,dc=com"
  );
$wgLDAPWriterPassword = array(
  "LOCALLDAP"=>"pwd"
  );
$wgLDAPWriteLocation = array(
  "LOCALLDAP"=>"ou=Utilisateurs,ou=Personnes,dc=my-domain,dc=com"
  );
  $wgLDAPAddLDAPUsers = array(
  "LOCALLDAP"=>true
  );
$wgLDAPUpdateLDAP = array(
 "LOCALLDAP"=>true
  );

je vois pas ce qui ne va pas

[misseva]

En fait j'ai demandé au créateur de l'extension LDAP de médiawiki
apparement ça vient de son codage
il a codé un schéma en dur qui n'existe pas pour openLDAP le serveur d'annuaire que j'utilise. La ligne du schema qui pose probleme c'est objectclass : inetorgperson et c'est ça apparement qui n'est pas pris en charge par l'annuaire LDAP
Enfin dans Active directory c'est sur il existe pas mais dans openLDAP je le trouve pas non plus ou alors je cherche très mal