Authentification | Utilisateurs | Mot-de-passe |
---|---|---|
✔ | ✔ | ✔ |
LL::NG peut utiliser un annuaire LDAP pour :
Ceci fonctionne avec tout serveur LDAP v2 ou v3, dont Active Directory.
LL::NG est compatible avec la politique de mots-de-passe LDAP :
Dans le manager, aller dans Paramètres généraux
> Modules d'authentification
et choisir LDAP) pour les modules authentification, utilisateurs et/ou mots-de-passe.
Le niveau d'authentification accordé aux utilisateurs authentifiés par ce module.
List of attributes to query to fill user session. See also exported variables configuration.
ldap+tls://server
et pour utiliser LDAPS, indiquer ldaps://server
au lieu du nom de serveur.ldap+tls://server/verify=none&capath=/etc/ssl
. On peut également utiliser les paramètres caFile et caPath.
(&(uid=$user)(objectClass=inetOrgPerson))
)(&(mail=$mail)(objectClass=inetOrgPerson))
)
(&(sAMAccountName=$user)(objectClass=person))
Et le filtre d'adresse mail est :
(&(mail=$mail)(objectClass=person))
modification de mot-de-passe
LDAP au lieu de l'opération standard.Les attributs standards, tels uid, cn ou mail, sont souvent suffisant pour configurer les règles d'accès et en-têtes.
Parfois d'autres données sont nécessaire (en particulier pour utiliser les fonctions étendues):
Bien sûr, les attributs LDAP standard peuvent être utilisés pour stocker ces données, mais LL::NG fournit aussi une extension de schéma LDAP pour les gérer.
Les attributs étendus et classes d'objet utilisent ce préfixe : 1.3.6.1.4.1.10943.10.2.
Le préfixe 1.3.6.1.4.1.10943 est propriété de LINAGORA (Voir http://www.iana.org/assignments/enterprise-numbers).
Ajouter simplement ce fichier aux schémas OpenLDAP en l'incluant dans slapd.conf
:
include /usr/share/lemonldap-ng/ressources/sso.schema
Il fournit les classes auxiliaires ssoUser
avec les attributs :
Cette classe d'objets peut être ajoutée à toute entrée de l'annuaire.