[spip-dev] Interfaçage annuaire LDAP

Bonjour à tous!

Ce mail s'adresse principalement à tous les utilisateurs de la fonctionnalité d'identification LDAP de SPIP depuis la version 1.5.

Toujours dans le cadre du même projet visant à développer un framework basé sur Spip ;), nous allons intégrer des options plus poussées de la gestion de l'authentifaction via LDAP. Ainsi, le fonctionnement actuel qui consiste à vérifier qu'un utilisateur est défini dans la table auteurs de spip, puis sur l'annuaire LDAP va être transformé.

En effet, le fonctionnement actuel ne garantit aucune synchronisation avec l'état d'un utilisateur au sein d'un annuaire LDAP. Voici donc ce que nous voulons mettre en oeuvre :
Ajout dans la table spip_auteurs d'un champs ldap permettant de savoir si l'accès de cet utilisateur a été authorisé par sa présence dans un annuaire LDAP, ou bien si cet utilisateur est géré comme un acteur Spip "traditionnel".

Ensuite, lorsqu'un utilisateur se connecte à l'interface d'administration de SPIP, voici ce que nous proposons :
Vérification de son existence dans la base de données spip via la table spip_auteurs.
Si l'utilisateur n'a pas le flag ldap défini, le processus d'authentification normal continue.
Si l'utilisateur a le flag ldap défini, se connecter à l'annuaire et vérifier que l'utilisateur existe encore et qu'il peut encore se connecter. Dans ce cas, assurer la synchonisation des données définies dans l'annuaire et dans la table spip_auteurs.

Si l'utilisateur n'est pas défini dans la table spip_auteurs, on utilise le procédé actuel en prenant soin de bien définir le tag ldap lors de la création de l'acteur...

De plus, nous allons intégrer une interface d'administration d'un annuaire LDAP afin de permettre l'accès / modification / création des méta-données des utilisateurs enregistrés dans cet annuaire...

Voila, je pense que ces fonctionnalités sont suceptibles d'intéresser pas mal de gens s'appuyant sur un annuaire LDAP pour l'authentification / gestion des utilisateurs dans SPIP, donc toutes vos remarques / critiques / bouts de code sont les bienvenus!

A++

Antoine.

Salut,

J'ai peut-être mal compris ce que tu proposes mais, sous réserve
de quiproquo...

Ajout dans la table spip_auteurs d'un champs ldap permettant de savoir
si l'accès de cet utilisateur a été authorisé par sa présence dans un
annuaire LDAP, ou bien si cet utilisateur est géré comme un acteur Spip
"traditionnel".

Cela existe déjà (champ "source").

Ensuite, lorsqu'un utilisateur se connecte à l'interface
d'administration de SPIP, voici ce que nous proposons :
Vérification de son existence dans la base de données spip via la table
spip_auteurs.
Si l'utilisateur n'a pas le flag ldap défini, le processus
d'authentification normal continue.
Si l'utilisateur a le flag ldap défini, se connecter à l'annuaire et
vérifier que l'utilisateur existe encore et qu'il peut encore se
connecter. Dans ce cas, assurer la synchonisation des données définies
dans l'annuaire et dans la table spip_auteurs.

Idem.

Si l'utilisateur n'est pas défini dans la table spip_auteurs, on utilise
le procédé actuel en prenant soin de bien définir le tag ldap lors de la
création de l'acteur...

Tout pareil.

De plus, nous allons intégrer une interface d'administration d'un
annuaire LDAP afin de permettre l'accès / modification / création des
méta-données des utilisateurs enregistrés dans cet annuaire...

Ca doit déjà exister en logiciel libre, non ? J'ai souvenir d'un
petit soft en java pas trop mal foutu, et il doit aussi y avoir un
truc en PHP (PHPdirectory, quelque chose dans le genre).

Amicalement

Antoine.