LDAP

Authentification Utilisateurs Mot-de-passe

Présentation

LL::NG peut utiliser un annuaire LDAP pour :

Ceci fonctionne avec tout serveur LDAP v2 ou v3, dont Active Directory.

LL::NG est compatible avec la politique de mots-de-passe LDAP :

Configuration

Dans le manager, aller dans Paramètres généraux > Modules d'authentification et choisir LDAP) pour les modules authentification, utilisateurs et/ou mots-de-passe.

Pour Active Directory, choisir Active Directory au lieu de LDAP.

Niveau d'authentification

Le niveau d'authentification accordé aux utilisateurs authentifiés par ce module.

Comme LDAP est un module de type login/mot-de-passe, le niveau d'authentification peut être :

  • augmenté (+1) si le portail est protégé par SSL (HTTPS)
  • diminué (-1) si l'autocompletion est autorisée sur le portail (voir Personnalisation du portail)

Variables exportées

List of attributes to query to fill user session. See also exported variables configuration.

Connexion

Filters

Dans les filtres LDAP, $user est remplacé par le nom du compte et $mail par l'adresse email.

Pour Active Directory, le filtre d'authentification par défaut est :

(&(sAMAccountName=$user)(objectClass=person))

Et le filtre d'adresse mail est :

(&(mail=$mail)(objectClass=person))

Groupes

Mot-de-passe

Extension de schéma

Les attributs standards, tels uid, cn ou mail, sont souvent suffisant pour configurer les règles d'accès et en-têtes.

Parfois d'autres données sont nécessaire (en particulier pour utiliser les fonctions étendues):

Bien sûr, les attributs LDAP standard peuvent être utilisés pour stocker ces données, mais LL::NG fournit aussi une extension de schéma LDAP pour les gérer.

Préfixe OID

Les attributs étendus et classes d'objet utilisent ce préfixe : 1.3.6.1.4.1.10943.10.2.

Le préfixe 1.3.6.1.4.1.10943 est propriété de LINAGORA (Voir http://www.iana.org/assignments/enterprise-numbers).

Schéma OpenLDAP

Ajouter simplement ce fichier aux schémas OpenLDAP en l'incluant dans slapd.conf:

include /usr/share/lemonldap-ng/ressources/sso.schema

Il fournit les classes auxiliaires ssoUser avec les attributs :

Cette classe d'objets peut être ajoutée à toute entrée de l'annuaire.

Pour utiliser ces valeurs dans les sessions, il faut les déclarer dans les variables exportées