[gepi-users] authentification LDAP et autres
Thomas BELLIARD
thomas.belliard at free.fr
Mer 12 Sep 17:42:36 CEST 2007
Bonsoir,
Stephane Boireau (Animateur TICE Bernay/Pont-Audemer) a écrit :
> Bonjour,
>
> Le mercredi 12 septembre 2007 11:48, Michel A. BEGUE a écrit :
>> La dernière fois que j'ai essayé en modifiant config_ldap.inc.php j'ai
>> été totalement bloqué, meme la connexion d'admin. Ne sachant pas où
>> désactiver l'auth via LDAP à la main, j'ai restauré la base pour m'en
>> sortir.
>>
>> Question 1 : comment repasser à l'auth autonome manuellement ?
>
> Je ne sais pas;o).
Il y a dans le fichier /lib/global.inc.php une variable $block_sso qui
force l'auth en mode autonome, et qui est justement faite pour les cas
où le SSO ne marche pas ;)
>> Question 2 : peut-on en cas de crash machine, restaurer et redémarrer
>> GEPI sur une autre machine en modifiant juste le type
>> d'authentification, revenir au standard par exemple ?
>
> Je ne suis pas trop sûr, mais il me semble que lorsqu'on utilise l'annuaire
> ldap pour l'auth, les comptes sont créés dans la table utilisateurs, mais que
> le champ password est vide.
> Est-ce que changer le mode d'auth et générer des mots de passe suffirait?
Je confirme ce que dit Stéphane : dans le cas d'une auth en SSO le champ
password des comptes venant du LDAP est vide. Quand on repasse en mode
autonome, seuls les comptes non SSO (donc les comptes crées en mode
autonome ou bien les comptes créés avant le passage en SSO) sont
utilisables. Il est donc par exemple conseillé d'avoir un compte admin
spécial, qui ne peut pas s'authentifier en sso mais peut s'authentifier
en mode autonome, en cas de problème.
Pour pouvoir utiliser les comptes SSO en mode autonome, il serait donc
théoriquement possible de simplement réinitialiser tous les mots de
passe des utilisateurs. Pour cela, je pense qu'une simple bascule en
mode autonome suivi d'une procédure de réinitialisation globale des mots
de passe est suffisante (à vérifier). Mais ça veut dire qu'on a de
nouveaux mots de passes aléatoires, qu'il faut redistribuer aux
utilisateurs. Pas très pratique, donc. Mais théoriquement possible.
Bonne soirée,
Thomas
-------------- section suivante --------------
Une pièce jointe non texte a été nettoyée...
Nom: signature.asc
Type: application/pgp-signature
Taille: 252 octets
Desc: OpenPGP digital signature
Url: http://lists.adullact.net/pipermail/gepi-users/attachments/20070912/decbb0bc/attachment-0001.pgp
Plus d'informations sur la liste de diffusion gepi-users