quelques avantages :

1/ sécurité : la plupart du temps, quand tu veux vérifier un login/mdp :
* en SQL, c'est le même compte utilisateur SQL qui va faire une recherche dans ta table utilisateurs avec le login et le mot de passe. Donc si ton site est compromis, et que quelqu'un arrive à récupérer ce fameux compte ou faire une recherche en l'utilisant, par exemple via une injection SQL, il peut lire tous les mots de passe de ta base
* en LDAP, ce n'est pas une recherche qui est faite mais une authentification, directement en utilisant le login et le mot de passe (ou le DN et le mot de passe). Donc aucun compte n'a besoin de pourvoir lire les mots de passe. Donc ceux-ci sont mieux protégés.

2/ performance : les principes de modèle arborescent LDAP permettent d'effectuer des recherches significativement plus rapides. Je ne sais pas pourquoi. Mais on le lit de partout.

3/ intéropérabilité : même si comme tu dis les modules SQL existent de partout, il est plus facile de faire un module LDAP que SQL : moins de paramétrage nécessaire car des schémas standards d'utilisateurs/groupes/... existent, protocole identique quel que soit le vendeur, etc.

[ Répondre ]

Oui c'est à ça que je pensais. Ici le lien avec LDAP est donc le login, ce qui est la manière la plus simple de faire (pas besoin de changer le schéma SQL de dotclear pour rajouter une valeur d'attribut LDAP servant à identifier l'utilisateur) et dans ton cas ne pose pas de pb de sécurité je pense.

[ Répondre ]

Pour ce qui est de la création des comptes dans les applications, en général on crée un schema ldap avec un user et un mot de passe

Je ne suis pas d'accord avec le réflexe de créer systématiquement un schéma. Le mieux est plutôt d'utiliser au maximum les schémas standard. En l'occurrence pour un login/mdp, la classe inetOrgPerson propose déjà tout.

De cette manière, toutes les applications partagent les même données, ce qui est l'objectif de Ploum. Je recommande donc de créer les utilisateurs comme des instances de inetOrgPerson, sauf bien sûr si les applis que tu utilises ne supportent pas cette classe d'objet (ce qui m'étonnerait quand même).

généralement, une application qui n'a besoin que d'un couple login mot de passe te demandera la classe des objets utilisateurs à chercher dans l'annuaire (ici: inetOrgPerson), la branche de l'annuaire ou chercher l'utilisateur (tu n'as qu'à mettre la racine de l'annuaire, qui est typiquement de la forme dc=domaine,dc=com dans le cas où ton domaine DNS est domaine.com).

Lors d'une authentification l'application va chercher dans l'annuaire sous dc=domaine,dc=com, un objet de classe inetOrgPerson et de login le login fournit. Cela se traduit par le filtre LDAP suivant : (&(objectClass=inetOrgPerson)(uid=ploum)).

La recherche est faite soit en tant qu'anonyme soit en utilisant un compte fournit dans un fichier de config. Elle va renvoyé soit aucun objet (l'utilisateur n'existe pas ou ne peut être lu avec le compte de l'application à cause de droits d'accès), soit un objet, soit plusieurs (gros problème qui ne devrait pas arriver, qui signifie que plusieurs entrées utilisateurs sont stockées avec le même uid, dans des branches différentes de l'annuaire). L'application va récupérer comme résultat de la recherche le Distinguished Name (DN) de l'objet, qui est du type uid=ploum,ou=utilisateurs,dc=domaine,dc=com
(l'objet ou=utilisateurs,dc=domaine,dc=com est un objet de classe organizationalUnit que tu peut créer pour ne pas mettre tous tes objets sous la racine, et pour réaliser l'arborescence LDAP)

Avec ce DN, et le mot de passe fournit, l'application va effectuer une opération de bind LDAP, c'est-à-dire d'authentification, qui va ainsi vérifier le mot de passe.

Pour ta question concernant dotclear, supposant que dotclear a besoin d'un compte associé au compte LDAP, on peut parfaitement imaginer (je ne connais pas le design de dotclear) que dotclear crée "à la volée" le compte lors d'une authentification LDAP réussie, si ce compte n'existe pas déjà. Pour associer le compte dotclear au compte LDAP, dotclear pourrait stocker le login, ou le DN, ou encore l'attribut entryUUID de l'utilisateur LDAP, qui est une valeur qui ne changera jamais même si l'utilisateur est renommé ou déplacé dans l'annuaire.

J'espère aussi ne pas t'avoir saoulé :)

[ Répondre ]

manque de bol t'aurai une appli qui ne supporte que les
password en sha et l'autre en texte.

C'est que ces applis sont très mal faites et n'ont pas compris l'authentification LDAP.

Si elles étaient bien faites elles feraient un bind (authentification) LDAP pour vérifier le mot de passe, ce qui fonctionne dans tous les cas, quelle que soit la manière dont est stocké le mot de passe.

Donc ce n'est pas vraiment un problème venant d'LDAP. Ou alors si, mais du même genre que "Linux c'est pas bien car ça ne prends pas en charge mon imprimante". C'est de la faute du constructeur de l'imprimante qui ne fait pas de driver/ne fournit pas les specs, mais du coup on est embêté en utilisant linux.

[ Répondre ]

tu es largement dans le faux, si tu veux mon avis

(ok, ok, je prends le large)

[ Répondre ]

A mon avis, si ils louent un boitier réseau contenant le logiciel, ils ne sont pas obligés. cf. les problèmes avec la freebox

[ Répondre ]

y a déjà une confusion dans le journal : une aristo qui invite des bourgeois moi ça me choque

[ Répondre ]

non merci, jamais entre les repas

[ Répondre ]

smack !

[ Répondre ]

Je suis d'accord, autant pour Wikipedia il ne peut pas y avoir mort d'homme à donner une fausse information, autant, là, oui, et pour moi, la médecine et la pharmacie doivent rester affaire de professionnels...

[ Répondre ]

non, non, c'est juste parce que le libre, c'est un truc de communistes

[ Répondre ]

Eventuellement si il n'y a plus d'espace disque il peut aussi y avoir des problème, vérifie de ce côté

[ Répondre ]

pour firefox, non, ils utilisent le compilateur de MS.

[ Répondre ]

ça suffit le pbpg bashing, là, non ? Je ne vois pas du tout en quoi ses arguments mérite le moindre "inutile".

[ Répondre ]

Pourtant des milliers de mots de toutes les langues sont des mots issus d'autres langues qui ont été ensuite modifiés et intégrés. Je vois pas pourquoi ceux-là te choquent. La majorité des mots anglais sont d'origine germano-celtique ou je ne sais quoi, et le reste est d'origine latine et surtout française. Par exemple "beef" vient de "boeuf", "flirt" vient de "compter fleurette", ce sont des exemples parmi des milliers d'autres. Pendant des siècles le français a envahi l'anglais (et d'autres langues j'imagine) de cette manière, je ne vois pas pourquoi l'opération inverse serait embêtante.

[ Répondre ]

peut-être mais avoir un driver libre permet qu'il soit intégré dans le noyau officiel et économise beaucoup de support je pense.

[ Répondre ]

et plus généralement, la quasi totalité des licences logicielles, libres ou proprio. Il y a même des fois une interdiction d'utiliser le logiciel en environnement critique (genre centrale nucléaire)

[ Répondre ]

moi ça m'aurait pas plu qu'on parle de ma femme comme ça...

[ Répondre ]

Hélas non c'est un serveur obscur dont je n'ai que le nom d'hôte et un compte pop.

[ Répondre ]

c'est pas plutôt le pays des merveilles ?

[ Répondre ]