Zend FR

J'avais pensé, lors de la création d'un utilisateur, si on l'identifie comme appartenant à l'entreprise, ne pas afficher les champ login et mot de passe mais les récupérer directement en fonction du nom et prénom dans l'annuaire pour les insérer dans MySQL. Problème ce mote de passe est à changer tous les deux mois mais pas pour tout le monde en même temps celà dépend de la date de création.

Autre solution, à la création si l'utilisateur fait parti de l'entreprise on enregistre pas de login et de mot de passe. A mon formulaire d'identification, j'ajoute un choix "entreprise" ou "exterieur" et je fais les verif de tout ça dans mon controleur Auth.

Je sais pas trop vers quoi me tourner ... personne n'a eu quelque chose de similaire à faire ??? Quelqu'un aurait d'autre solution ???

J'ai déjà vu ce genre de fonctionnement, et en gros ça fonctionnait suivant le processus suivant :
Note : dans ce cas, les utilisateurs sont créés à la volée s'ils sont authentifié par le LDAP.

Validation du formulaire de login par l'utilisateur avec username + password :

1- On se connecte au LDAP (on utilise pour celà un compte spécifique défini dans les paramètre de l'application)

2- On effectue une recherche dans l'arborescence voulue (définie dans la configuration de l'application) avec ldap_search avec un filtre du genre (&(objectClass=*)(uid="nom utilisateur"))

3-
  a. On ne trouve pas d'enregistrement -> on passe la main à l'authentification MySQL et on ferme la connexion LDAP

  b. Si on trouve un enregistrement LDAP correspondant : On récupère le DN correspondant, par exemple "uid=Jean, ou=People, o=Org, cn=domain" ainsi que les informations utilisée par notre appli (sn ou givenName et mail par exemple) et on ferme la connexion LDAP (ldap_unbind)

4- on se connecte de nouveau à notre LDAP et on bind avec le DN récupéré à l'étape 3 et le mot de passe fourni par l'utilisateur.

5-
  a. Si mot de passe pas OK -> on gère l'erreur et on averti l'utilisateur ("mot de passe incorrect"). On peut stocké ou non le DN et les autres info dans un registre ou en session pour éviter de répéter les étapes 1 à 3.

  b. Si mot de passe OK : on crée ou on met à jour un enregistrement dans MySQL avec les infos récupérées à l'étape 3b et on lance le processus pour déclarer l'utilisateur comme authentifié ( mise à jour de la session, régénération du session_id, chargement des ACL ...)

Note : le lien entre les utilisateur LDAP et les enregistrement MySQL se fait par la correspondance des login. Par exemple lorsque l'utilisateurs est identifié positivement par LDAP, on recherche l'enregistrement correspondant dans MySQL à l'aide d'une requête du Type

SELECT * FROM utilisateurs WHERE uid = "uid récupéré du LDAP ou du formulaire de login"

Avantages :
- plus besoin de saisir tout les utilisateurs à la main. On pourra définir un role par défaut pour les utilisateur provenant du LDAP afin qu'ils aient les droits correspondants même à leur première connexion (une modification des droits suivant les demandes pourra être faite en aval.
- Si le mot de passe est changé au niveau LDAP, le changement sera effectif immédiatement pour l'application aussi, vu qu'on laisse la vérification du password à LDAP. Les seuls mots de passe à gérer sont ceux des utilisateurs "100% MySQL"

Inconvénients : 2 connexions successives au LDAP sont nécessaires, mais je n'ai pas trouvé moyen de faire autrement avec l'architecture LDAP que j'avais utilisé.

Note : Si un utilisateur a des droits particuliers mais ne s'est pas encore authentifié, on peu créer à l'avance sont compte dans le MySQL et l'associer au rôle désiré, lors de sa première connexion, il sera identifié par le LDAP et l'application fera le lien automatiquement avec l'identifiant correspondant dans la base MySQL.


Le processus décrit est celui que j'ai pu mettre en place il y a quelques temps, mais à l'époque je n'utilisais pas encore Zend Framework, alors je ne saurai pas trop comment implémenter ce système avec les modules ZF (je suis encore un grand débutant du framework). A l'époque j'ai utilisé les fonction native du module PHP_LDAP.


J'espère que mes explications pourront t'aider.

Dernière modification par Willmore (30-05-2009 16:38:01)