El suport LDAP

Atenció! Aquest article està destinat bàsicament als usuaris avançats, que dominen l’ús de LDAP i desitgen recolzar SPIP en un anuari LDAP existent.

LDAP (Lightweight Directory Access Protocol) és un protocol que permet interrogar un anuari que conté informacions d’usuaris (nom, login, autenticació...). A partir de la versió SPIP 1.5 és possible verificar si un redactor es troba a la base LDAP abans de donar-li accés a l’espai privat.

En la instal·lació, SPIP detecta si PHP s’ha compilat amb el suport LDAP. Si és així, a la cinquena etapa («crear un accés»), un botó permet afegir un anuari LDAP a la configuració SPIP. La configuració que segueix és relativament simple i intenta endevinar al màxim els paràmetres. Sobretot, permet escollir per defecte l’estatus dels autors que procedeixen de l’anuari: aquests poden ser redactors (aconsellat), administradors o simples persones visitants.

Nota: per defecte, l’extensió LDAP de PHP no està habitualment activada, per tant SPIP no publicarà el formulari corresponent durant la instal·lació. Recordeu-vos d’activar l’extensió LDAP en la vostra instal·lació PHP si voleu utilitzar LDAP amb SPIP.

Si SPIP està ja instal·lat i vosaltres voleu configurar l’anuari LDAP, haureu de reprendre la instal·lació esborrant el fitxer config/connect.php.

Un cop ho tingueu configurat correctament, tots els usuaris de l’anuari LDAP seran identificats quan teclegin el seu login (o nom) a l’anuari LDAP, i després la seva contrasenya. Tingueu present que això no impedeix crear directament autors en l’SPIP; aquests noms d’autors no seran copiats a l’anuari sinó que seran gestionats directament per SPIP. D’altra banda, les informacions personals (biografia, clau PGP...) dels autors autenticats des de LDAP tampoc seran copiats a l’anuari. D’aquesta manera SPIP únicament té necessitat d’un accés només de lectura en l’anuari LDAP.

Important: creeu sempre un primer administrador «normal» (no LDAP) en el moment de la instal·lació de l’SPIP. És preferible per evitar quedar-se bloquejat en cas d’avaria del servidor LDAP.

Per saber-ne més

Les informacions de connexió al servidor LDAP estan escrites a connect.php. Corol·lari: és necessari suprimir aquest fitxer i tornar a executar la instal·lació per activar LDAP en un lloc Web SPIP existent.

A la taula spip_auteurs, s’afegeix un camp «font» que indica d’on vénen les informacions sobre l’autor. Per defecte, és «spip», però també pot prendre el valor «ldap». Això ens permetrà saber sobretot quins camps no s’han de canviar: en particular, no s’ha d’autoritzar la modificació del login, ja que si es permetés es produiria una pèrdua de sincronització entre SPIP i LDAP.

En el moment de l’autenticació, els dos mètodes son testejats: primer SPIP i després LDAP. De fet un autor LDAP no podrà ser autentificat pel mètode SPIP (mètode estàndard amb challenge md5) ja que la contrasenya es deixa buida a la taula spip_auteurs. Pel que fa a un autor SPIP, aquest serà autenticat directament a partir de la taula spip_auteurs. D’altra banda, si el login entrat no prové de SPIP, la contrasenya es tramet en clar.

En el moment que un autor LDAP es connecta per primera vegada, la seva entrada s’afegeix a la taula spip_auteurs. Els camps omplerts són: nom, login i correu electrònic que provenen de LDAP (camps ’cn’, ’uid’ i ’mail’ respectivament) i l’estatus, el valor del qual ha estat definit per defecte durant la instal·lació (redactor, administrador o visitant). Important: l’estatus es pot modificar més endavant, per exemple si es volen escollir «a dit» uns altres administradors.

Un cop un autor s’ha connectat, es autenticat per la via clàssica, és a dir simplement amb la galeta (cookie) de sessió. Per altra banda, les informacions que es tenen en compte en la publicació i els bucles són les de spip_auteurs i no pas les de l’anuari.

Pels autors SPIP res no canvia. Es poden crear i modificar com de costum.

Autor merce Publié le : Mis à jour : 26/10/12

Traductions : عربي, català, English, Español, français, italiano, Nederlands