Forum général.général MediaWiki et filtre de group LDAP

Posté par Henry-Nicolas Tourneur (site web personnel) le 21 mai 2010 à 12:24.

Étiquettes : aucune

mai

2010

Bonjour,

Je viens de mettre en place un MediaWiki pour ma société et ça tourne niquel. Les utilisateurs doivent se connecter via leur login/mot de passe OpenLDAP et donc j'utilise le plugin adéquat.

Tout fonctionne, sauf la restriction par groupe, je suppose que j'ai une erreur dans ma configuration, pourriez-vous la vérifier ? MediaWiki est en version 1.15 et le plugin ldap en 2.2. J'ai déjà comparé mon soucis à certain posts équivalent sur internet sans succès.

Voici ma config (LocalSettings.php) :



$wgAuth = new LdapAuthenticationPlugin();



// Debug info

//$wgLDAPDebug = 3;

//$wgDebugLogGroups["ldap"] = "/tmp/debug.log" ;



// Authentication & connect info to search in LDAP

$wgLDAPProxyAgent = array( "LDAP" => "cn=admin,dc=company,dc=local" );

$wgLDAPProxyAgentPassword = array( "LDAP" => "pwd" );

$wgLDAPServerNames = array( "LDAP" => "server.company.local" );

$wgLDAPEncryptionType = array( "LDAP" => "ssl" );



// How to bind a User

$wgLDAPUseLocal = false;

$wgLDAPDomainNames = array( "LDAP" );

$wgLDAPSearchAttributes = array( "LDAP" => "uid" );

$wgLDAPBaseDNs = array( "LDAP"=>"dc=company,dc=local" );





// Group restrictions

$wgLDAPRequiredGroups = array ("LDAP" => array ("cn=server,ou=Group,dc=company,dc=local") );

$wgLDAPGroupUseFullDN = array( "LDAP"=>true );

$wgLDAPGroupObjectclass = array( "LDAP"=>"posixGroup" );

$wgLDAPGroupAttribute = array( "LDAP"=>"memberUid" );

$wgLDAPGroupNameAttribute = array( "LDAP"=>"cn" );

L'erreur que MediaWiki me donne en mode Debug est qu'il pense que l'utilisateur ne fait partie d'aucun groupe (ce qui est incorrect).

Merci d'avance,

# ldapsearch

Posté par nono14 (site web personnel) le 21 mai 2010 à 13:15. Évalué à 1.

La requête ldap en ligne de commande renvoie le résultat attendu ?
Système - Réseau - Sécurité Open Source
- [^] # Re: ldapsearch
  
  Posté par Henry-Nicolas Tourneur (site web personnel) le 21 mai 2010 à 13:43. Évalué à 1.
  
  Si je tape par exemple :
  
  ldapsearch -b "dc=company,dc=local" "(&(memberUid=cn=Henry-Nicolas Tourneur,ou=People,dc=company,dc=local)(objectclass=posixGroup))" o description
  
  J'ai comme résultat :
  ldap_sasl_interactive_bind_s: No such attribute (16)
  
  Maintenant j'avoue que je ne suis pas un expert des commandes LDAP, j'ai installé slapd dans Debian et configuré avec le SSL et je l'utilise dans PAM + qq logiciels mais ça s'arrête là.
  - [^] # Re: ldapsearch
    
    Posté par nono14 (site web personnel) le 21 mai 2010 à 14:09. Évalué à 1.
    
    Essaie en "simple" c-a-d sans sasl, de mémoire c'est -x l'option.
    Système - Réseau - Sécurité Open Source
    - [^] # Re: ldapsearch
      
      Posté par Henry-Nicolas Tourneur (site web personnel) le 21 mai 2010 à 14:23. Évalué à 1.
      
      Alors le résultat donne :
      
      # extended LDIF # # LDAPv3 # base <dc=company,dc=local> with scope subtree # filter: (&(memberUid=cn=Henry-Nicolas Tourneur,ou=People,dc=company,dc=local)(objectclass=posixGroup)) # requesting: o description # # search result search: 2 result: 0 Success # numResponses: 1
      - [^] # Re: ldapsearch
        
        Posté par nono14 (site web personnel) le 21 mai 2010 à 14:57. Évalué à 1.
        
        L'authentification fonctionne en simple et sasl.
        
        La requete retourne aucun résultat.
        
        Un ldif de l'entree correspondante serait utile.
        Système - Réseau - Sécurité Open Source
        
        [^] # Re: ldapsearch
        
        Posté par Henry-Nicolas Tourneur (site web personnel) le 21 mai 2010 à 15:24. Évalué à 1.
        
        Voici donc le ldif de mon compte LDAP :
        
        dn: cn=Henry-Nicolas Tourneur,ou=Provisioning,ou=People,dc=company,dc=loc al objectClass: inetOrgPerson objectClass: posixAccount objectClass: top givenName: Henry-Nicolas sn: Tourneur uid: hnt uidNumber: 1000 homeDirectory: /home/hnt loginShell: /bin/sh cn: Henry-Nicolas Tourneur userPassword: {crypt}blub gidNumber: 1003
        
        Et le LDIF du groupe dans lequel il faut être membre :
        dn: cn=server,ou=Group,dc=company,dc=local objectClass: posixGroup objectClass: top userPassword: {crypt}x gidNumber: 1003 cn: server memberUid: hnt
        
        Et donc moi je me connecte avec l'account hnt.
        
        [^] # Re: ldapsearch
        
        Posté par nono14 (site web personnel) le 21 mai 2010 à 17:18. Évalué à 1.
        
        Peut etre:
        
        http://wawadeb.crdp.ac-caen.fr/iso/tmp/stage/divers/ldap/rec(...)
        
        attention member != memberUid
        
        La requete est peut etre incorrecte ou le champs mal renseigné:
        
        ou
        memberUid=cn=Henry-Nicolas Tourneur
        Système - Réseau - Sécurité Open Source
        
        [^] # Re: ldapsearch
        
        Posté par nono14 (site web personnel) le 21 mai 2010 à 17:20. Évalué à 1.
        
        La requete: ( tout du moins le filtre )
        
        (&(memberUid=*,ou=People,dc=company,dc=local)(objectclass=posixGroup))
        Système - Réseau - Sécurité Open Source
        
        [^] # Re: ldapsearch
        
        Posté par Henry-Nicolas Tourneur (site web personnel) le 21 mai 2010 à 19:43. Évalué à 1.
        
        Bon, vu que j'arrive pas à corriger ma requête, je poste le log d'erreur de mediawiki car on ne sait jamais :
        
        Entering Connect Using SSL Using servers: ldaps://server.company.local Connected successfully Entering getSearchString Doing a proxy bind Entering getUserDN Created a regular filter: (uid=Hnt) Entering getBaseDN basedn is not set for this type of entry, trying to get the default basedn. Entering getBaseDN basedn is dc=company,dc=local Using base: dc=company,dc=local Fetched username is not a string (check your hook code...). This message can be safely ignored if you do not have the SetUsern ameAttributeFromLDAP hook defined. userdn is: cn=Henry-Nicolas Tourneur,ou=People,dc=company,dc=local Binding as the user Bound successfully Entering getGroups Retrieving LDAP group membership Searching for the groups Entering searchGroups Entering getBaseDN basedn is not set for this type of entry, trying to get the default basedn. Entering getBaseDN basedn is dc=company,dc=local Search string: (&(memberUid=cn=Henry-Nicolas Tourneur,ou=People,dc=company,dc=local)(objectclass=posixGroup)) Binding as the proxyagent Returned groups: Entering checkGroups Checking for (new style) group membership Required groups: cn=server,ou=group,dc=company,dc=local Couldn't find the user in any groups. Entering strict. Returning true in strict(). Entering allowPasswordChange Entering modifyUITemplate

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.