[gepi-users] authentification LDAP et autres
Michel A. BEGUE
michel at misouk.com
Mer 12 Sep 19:39:43 CEST 2007
Selon Thomas BELLIARD <thomas.belliard at free.fr> :
> Bonsoir,
>
> Stephane Boireau (Animateur TICE Bernay/Pont-Audemer) a écrit :
> > Bonjour,
> >
> > Le mercredi 12 septembre 2007 11:48, Michel A. BEGUE a écrit :
> >> La dernière fois que j'ai essayé en modifiant config_ldap.inc.php j'ai
> >> été totalement bloqué, meme la connexion d'admin. Ne sachant pas où
> >> désactiver l'auth via LDAP à la main, j'ai restauré la base pour m'en
> >> sortir.
> >>
> >> Question 1 : comment repasser à l'auth autonome manuellement ?
> >
> > Je ne sais pas;o).
>
> Il y a dans le fichier /lib/global.inc.php une variable $block_sso qui
> force l'auth en mode autonome, et qui est justement faite pour les cas
> où le SSO ne marche pas ;)
>
> >> Question 2 : peut-on en cas de crash machine, restaurer et redémarrer
> >> GEPI sur une autre machine en modifiant juste le type
> >> d'authentification, revenir au standard par exemple ?
> >
> > Je ne suis pas trop sûr, mais il me semble que lorsqu'on utilise l'annuaire
> > ldap pour l'auth, les comptes sont créés dans la table utilisateurs, mais que
> > le champ password est vide.
> > Est-ce que changer le mode d'auth et générer des mots de passe suffirait?
>
> Je confirme ce que dit Stéphane : dans le cas d'une auth en SSO le champ
> password des comptes venant du LDAP est vide. Quand on repasse en mode
> autonome, seuls les comptes non SSO (donc les comptes crées en mode
> autonome ou bien les comptes créés avant le passage en SSO) sont
> utilisables. Il est donc par exemple conseillé d'avoir un compte admin
> spécial, qui ne peut pas s'authentifier en sso mais peut s'authentifier
> en mode autonome, en cas de problème.
>
> Pour pouvoir utiliser les comptes SSO en mode autonome, il serait donc
> théoriquement possible de simplement réinitialiser tous les mots de
> passe des utilisateurs. Pour cela, je pense qu'une simple bascule en
> mode autonome suivi d'une procédure de réinitialisation globale des mots
> de passe est suffisante (à vérifier). Mais ça veut dire qu'on a de
> nouveaux mots de passes aléatoires, qu'il faut redistribuer aux
> utilisateurs. Pas très pratique, donc. Mais théoriquement possible.
>
> Bonne soirée,
> Thomas
>
>
Merci pour ces infos. Je ferai des tests dés que je serais un peu plus
disponible et vous tiendrai au courant.
Cordialement
M. BEGUE
Plus d'informations sur la liste de diffusion gepi-users