Bienvenue, Invité
Nom d'utilisateur : Mot de passe : Se souvenir de moi
  • Page :
  • 1
  • 2

SUJET : Module LDAP : LDAP vers Dolibarr

Module LDAP : LDAP vers Dolibarr il y a 8 ans 3 mois #27554

  • Thibow
  • Portrait de Thibow
Bonjour,

Voila deux jours que je me casse les dents sur cette config...
En essayant de synchroniser mon LDAP (issue d'un AD serveur 2003) avec Dolibarr.

Objectif : Se connecter sur Dolibarr avec les identifiants de sessions de l'AD.

Les paramètres globaux semblent bien renseignés et le test de connexion LDAP est OK.
Connexion TCP au serveur LDAP réussie (Serveur=192.168.90.11, Port=389)
Connection/Authentification au serveur LDAP réussie (Serveur=192.168.90.11, Port=389, [email protected], Password=******)
Serveur LDAP configuré en version 3

Maintenant, comment config les onglets Utilisateurs et Groupes ?

Voici les informations que j'ai fournit :

2.png


La pièce jointe 2.png est absente ou indisponible



Voila le résultat :
3.png


A l'aiiide s'il vous plait ^^
Pièces jointes :
Dernière édition: il y a 8 ans 3 mois par Thibow.
L'administrateur a désactivé l'accès en écriture pour le public.

Re: Module LDAP : LDAP vers Dolibarr il y a 8 ans 3 mois #27626

  • Thibow
  • Portrait de Thibow
Toujours bloqué :'(
L'administrateur a désactivé l'accès en écriture pour le public.

Re: Module LDAP : LDAP vers Dolibarr il y a 8 ans 3 mois #27627

  • Thibow
  • Portrait de Thibow
J'ai avancé dans le sujet...
J'ai enfin réussi a afficher une liste d'utilisateur de mon AD...

Le souci, c'est que j'ai pas mal d'OU bien organisé, et Dolibar ne permet visiblement d'importer qu'une seul OU... a moins que vous ayez une solution ?!

J'ai tenté ceci:
OU=un,deux,trois,DC=mon,DC=domain
OU=un, OU=deux, OU=trois, DC=nom, DC=domain
OU=un;deux;trois, DC=nom, DC=Domain
OU=un,deux,trois; DC=nom, DC=domain

Bref, je vois pô... :unsure:
L'administrateur a désactivé l'accès en écriture pour le public.

Re: Module LDAP : LDAP vers Dolibarr il y a 8 ans 3 mois #27628

  • Thibow
  • Portrait de Thibow
Bon, finalement j'ai pas spécifié d'OU, et effectué mon filter sur l'ensemble des user du ldap... ça tourne enfin ^^

Par contre, ma liste déroulante me donne bien mes utilisateurs, mais de la sorte :
samaccountname=user1
samaccountname=user2
samaccountname=user3
samaccountname=user3
samaccountname=user4
...

Pas évident pour retrouver facilement un user, du coup je me demandait si il était possible de masquer samaccountname ^^
L'administrateur a désactivé l'accès en écriture pour le public.

Re: Module LDAP : LDAP vers Dolibarr il y a 8 ans 2 mois #27653

  • Thibow
  • Portrait de Thibow
Tiens, je viens au passage signaler qu'il y a une souci (côté dev)... a l'authentification des users depuis le ldap sur dolibarr... Que faire :/
L'administrateur a désactivé l'accès en écriture pour le public.

Re: Module LDAP : LDAP vers Dolibarr il y a 8 ans 2 mois #27659

  • jfefe
  • Portrait de jfefe
  • Hors ligne
  • Administrateur
  • Messages : 70
  • Remerciements reçus 8
  • Karma: 0
Migrer vers openldap+samba :)

As tu un message d'erreur qui s'affiche à l'écran ou dans le fichier log ?
L'administrateur a désactivé l'accès en écriture pour le public.

Re: Module LDAP : LDAP vers Dolibarr il y a 8 ans 2 mois #27674

  • Thibow
  • Portrait de Thibow
Salut Meos ! (content d'avoir enfin une réponse :-) )

En fait, pour tout t'expliquer, je travail sur un environnement de prod, impossible de passer sur OpenLDAP comme ça... surtout qu'on vient de migrer l'ensemble de notre archi sur les nouvelles ESX + EMC... pas trop envie de rebricoler la conf ^^

Bon sinon, pour ce qu'il se passe côté Dolibarr, je communique bien avec le ldap, j'ai configuré les bons attributs et récupère a présent la liste des users du ldap. Je sélectionne l'un d'entre eux, le "GET" pour remplir mon formulaire dans dolibarr...
Magie, les données du ldap sont bien rapatrié sur dolibarr... le mot de passe généré disparait et est remplacé par la phrase "Mot de passe du domaine".

Pour le test, j'ai sélectionné mon user ldap, et importé celui ci dans dolibarr... je me déconnecte de ma session administrateur pour me connecter avec mon identifiant ldap... et la, mot de passe incorrect.

Alors, plusieurs questions me turlupinent...dans la conf du module ldap, il est demandé un attributs pour le mappage du mot de passe... chiffré ou non chiffré...
Quel pourrait être cette attribut ? (j'ai bien entendu testé userPassword)
Est il nécessaire de remplir les deux champs ? chiffré et non chiffré ?

a l'aiiide ^^ :S
L'administrateur a désactivé l'accès en écriture pour le public.

Re: Module LDAP : LDAP vers Dolibarr il y a 8 ans 2 mois #27675

  • jfefe
  • Portrait de jfefe
  • Hors ligne
  • Administrateur
  • Messages : 70
  • Remerciements reçus 8
  • Karma: 0
Thibow écrit:

Alors, plusieurs questions me turlupinent...dans la conf du module ldap, il est demandé un attributs pour le mappage du mot de passe... chiffré ou non chiffré...
Quel pourrait être cette attribut ? (j'ai bien entendu testé userPassword)
Est il nécessaire de remplir les deux champs ? chiffré et non chiffré ?

Sur ma config (openldap) l'attribut est le même pour chiffré et non chiffré : 'userPassword'.
A l'époque où j'ai bossé sur une migration AD -> samba/openldap je me suis cassé les dents sur les mots de passe car AD utilisait un chiffrement particulier :(
Il faudrait regarder le schéma AD pour trouver la valeur de l'attribut qui convient pour les mot de passe.
L'administrateur a désactivé l'accès en écriture pour le public.

Re: Module LDAP : LDAP vers Dolibarr il y a 8 ans 2 mois #27698

  • Thibow
  • Portrait de Thibow
Yep, j'ai pu voir sur la toile (d'après le développement de script open source), que certain encodé le mot de passe avant authentification ldap... hm :dry:

Pour moi, on envoie les données des champs en clair au LDAP, et c'est lui qui gère l'encodage et l'authentification non ?

Pour le coup, j'ai regarder dans le schéma de mon AD, pour le CN=User-Password, j'ai bien comme valeur d'attribut userPassword...

J'ai retrouvé également un CN =UnixUserPassword ... mais bon c'est significativement pas cette attribut qui m’intéresse :/
L'administrateur a désactivé l'accès en écriture pour le public.

Re: Module LDAP : LDAP vers Dolibarr il y a 8 ans 2 mois #27703

  • Thibow
  • Portrait de Thibow
Toujours bloqué :/

Je viens compléter mon précédent post avec des nouvelles infos.

Je créé un nouvel utilisateur en l'important son profil depuis le ldap, (dolibarr m'informe par message que le mot de passe est celui du domaine).

Utilisateur créé, mais impossible de s'identifier.
Je vais voir dans l'utilisateur, un carré vert m'informe que l'utilisateur est bien actif. Toujours sur le profil, si je parcours l'onglet Fiche LDAP, un message en rouge m'informe que "Le compte est désactivé sur Dolibarr."

Voila... :/
L'administrateur a désactivé l'accès en écriture pour le public.

Re: Module LDAP : LDAP vers Dolibarr il y a 8 ans 2 mois #27707

  • Thibow
  • Portrait de Thibow
Personne peut m'aider ? !!
L'administrateur a désactivé l'accès en écriture pour le public.

Re: Module LDAP : LDAP vers Dolibarr il y a 8 ans 2 mois #27735

  • Thibow
  • Portrait de Thibow
Bon bah je continue tout seul, au moins si quelqu'un a un souci il pourra suivre ce que j'ai fait.

Pour le coup j'ai activer le syslog et le mode DEBUG... pfff franchement pas terrible ce qu'il se passe derrière tout ça...

J'ai bien configuré mon fichier de conf en dur.
Maintenant, je peux me connecter en laissant le champs password vide !

debug en laissant le champs password vide :
DEBUG: Logging LDAP steps
DEBUG: Server:192.168.xx.xx, Port:389, Protocol:3, Type:activedirectory DEBUG: uid/samacountname=samaccountname, dn=, Admin:, Pass: DEBUG: login ldap = userTest
DEBUG: UACF =
DEBUG: pwdLastSet =
DEBUG: badPasswordTime =
DEBUG: sid = -1


debug en mettant le mot de passe (normalement valide):
DEBUG: Logging LDAP steps
DEBUG: Server:192.168.xx.xx, Port:389, Protocol:3, Type:activedirectory DEBUG: uid/samacountname=samaccountname, dn=, Admin:, Pass:


Coté log, en essayant de me connecter avec un user/pass valide :
2011-07-25 12:47:56 INFO  192.168.90.167  nologin  index functions_ldap::check_user_password_ldap usertotest=userTest
2011-07-25 12:47:56 INFO  192.168.90.167  nologin  index functions_ldap::check_user_password_ldap Server:192.168.xx.xx, Port:389, Protocol:3, Type:activedirectory
2011-07-25 12:47:56 INFO  192.168.90.167  nologin  index functions_ldap::check_user_password_ldap uid/samacountname=samaccountname, dn=, Admin:, Pass:
2011-07-25 12:47:56 DEBUG 192.168.90.167  nologin  index Ldap::connect_bind try bindauth for activedirectory on 192.168.xx.xx user=samaccountname=userTest,dc=ciaf,dc=local
2011-07-25 12:47:56 WARN  192.168.90.167  nologin  index Ldap::connect_bind return=-1
2011-07-25 12:47:56 INFO  192.168.90.167  nologin  index functions_ldap::check_user_password_ldap Authentification ko failed to connect to LDAP for 'userTest'
2011-07-25 12:47:57 DEBUG 192.168.90.167  nologin  index Bad password, connexion refused
2011-07-25 12:47:57 INFO  192.168.90.167  nologin  index Interfaces::run_triggers action=USER_LOGIN_FAILED Launch triggers for file 'interface_modPropale_PropalWorkflow.class.php'
2011-07-25 12:47:57 INFO  192.168.90.167  nologin  index Interfaces::run_triggers action=USER_LOGIN_FAILED Launch triggers for file 'interface_modAgenda_ActionsAuto.class.php'
2011-07-25 12:47:57 INFO  192.168.90.167  nologin  index Interfaces::run_triggers action=USER_LOGIN_FAILED Triggers for file 'interface_modNotification_Notification.class.php' need module to be enabled
2011-07-25 12:47:57 INFO  192.168.90.167  nologin  index Interfaces::run_triggers action=USER_LOGIN_FAILED Launch triggers for file 'interface_all_Logevents.class.php'
2011-07-25 12:47:57 INFO  192.168.90.167  nologin  index Interfaces::run_triggers action=USER_LOGIN_FAILED Launch triggers for file 'interface_modLdap_Ldapsynchro.class.php'


Et en me connectant sans mot de passe :
2011-07-25 12:49:54 INFO  192.168.90.167  nologin  index functions_ldap::check_user_password_ldap usertotest=userTest
2011-07-25 12:49:54 INFO  192.168.90.167  nologin  index functions_ldap::check_user_password_ldap Server:192.168.xx.xx, Port:389, Protocol:3, Type:activedirectory
2011-07-25 12:49:54 INFO  192.168.90.167  nologin  index functions_ldap::check_user_password_ldap uid/samacountname=samaccountname, dn=, Admin:, Pass:
2011-07-25 12:49:54 DEBUG 192.168.90.167  nologin  index Ldap::connect_bind try bindauth for activedirectory on 192.168.xx.xx user=samaccountname=userTest,dc=ciaf,dc=local
2011-07-25 12:49:54 DEBUG 192.168.90.167  nologin  index Ldap::connect_bind return=2
2011-07-25 12:49:54 INFO  192.168.90.167  nologin  index functions_ldap::check_user_password_ldap Authentification ok
2011-07-25 12:49:54 DEBUG 192.168.90.167  nologin  index User::Fetch sql=SELECT u.rowid, u.name, u.firstname, u.email, u.office_phone, u.office_fax, u.user_mobile, u.admin, u.login, u.webcal_login, u.phenix_login, u.phenix_pass, u.note, u.pass, u.pass_crypted, u.pass_temp, u.fk_societe, u.fk_socpeople, u.fk_member, u.ldap_sid, u.statut, u.lang, u.entity, u.datec as datec, u.tms as datem, u.datelastlogin as datel, u.datepreviouslogin as datep, u.photo as photo, u.openid as openid FROM llx_user as u WHERE u.entity IN (0,1) AND (u.ldap_sid = '-1' OR u.login = 'userTest') LIMIT 1
2011-07-25 12:49:54 DEBUG 192.168.90.167  nologin  index User::Fetch sql=SELECT u.rowid, u.name, u.firstname, u.email, u.office_phone, u.office_fax, u.user_mobile, u.admin, u.login, u.webcal_login, u.phenix_login, u.phenix_pass, u.note, u.pass, u.pass_crypted, u.pass_temp, u.fk_societe, u.fk_socpeople, u.fk_member, u.ldap_sid, u.statut, u.lang, u.entity, u.datec as datec, u.tms as datem, u.datelastlogin as datel, u.datepreviouslogin as datep, u.photo as photo, u.openid as openid FROM llx_user as u WHERE u.entity IN (0,1) AND u.login = 'userTest'
2011-07-25 12:49:54 INFO  192.168.90.167  userTest index This is a new started user session. _SESSION['dol_login']=userTest Session id=xxxxxxxxxxxxxxxxxxx
2011-07-25 12:49:54 DEBUG 192.168.90.167  userTest index BEGIN Transaction
2011-07-25 12:49:54 DEBUG 192.168.90.167  userTest index Update last login date for user->id=19 UPDATE llx_user SET datepreviouslogin = datelastlogin, datelastlogin = 20110725124954, tms = tms WHERE rowid = 19
2011-07-25 12:49:54 INFO  192.168.90.167  userTest index Interfaces::run_triggers action=USER_LOGIN Launch triggers for file 'interface_modPropale_PropalWorkflow.class.php'
2011-07-25 12:49:54 INFO  192.168.90.167  userTest index Interfaces::run_triggers action=USER_LOGIN Launch triggers for file 'interface_modAgenda_ActionsAuto.class.php'
2011-07-25 12:49:54 INFO  192.168.90.167  userTest index Interfaces::run_triggers action=USER_LOGIN Triggers for file 'interface_modNotification_Notification.class.php' need module to be enabled
2011-07-25 12:49:54 INFO  192.168.90.167  userTest index Interfaces::run_triggers action=USER_LOGIN Launch triggers for file 'interface_all_Logevents.class.php'
2011-07-25 12:49:54 INFO  192.168.90.167  userTest index Interfaces::run_triggers action=USER_LOGIN Launch triggers for file 'interface_modLdap_Ldapsynchro.class.php'
2011-07-25 12:49:54 DEBUG 192.168.90.167  userTest index COMMIT Transaction
2011-07-25 12:49:54 DEBUG 192.168.90.167  userTest index User::getRights sql=SELECT r.module, r.perms, r.subperms FROM llx_user_rights as ur, llx_rights_def as r WHERE r.id = ur.fk_id AND r.entity = 1 AND ur.fk_user= 19 AND r.perms IS NOT NULL
2011-07-25 12:49:54 DEBUG 192.168.90.167  userTest index User::getRights sql=SELECT r.module, r.perms, r.subperms FROM llx_usergroup_rights as gr, llx_usergroup_user as gu, llx_rights_def as r WHERE r.id = gr.fk_id AND gr.fk_usergroup = gu.fk_usergroup AND gu.fk_user = 19 AND r.perms IS NOT NULL AND r.entity = 1
2011-07-25 12:49:54 INFO  192.168.90.167  userTest index --- Access to /dolibarr/htdocs/index.php
2011-07-25 12:49:54 INFO  192.168.90.167  userTest index Menubase::menuTopCharger sql=SELECT m.rowid, m.mainmenu, m.titre, m.url, m.langs, m.perms, m.enabled, m.target FROM llx_menu as m WHERE m.type = 'top' AND m.entity = 1 AND m.menu_handler in('eldy','all') AND m.usertype in (0,2) ORDER BY m.position
2011-07-25 12:49:54 INFO  192.168.90.167  userTest index Menubase::menuLeftCharger sql=SELECT m.rowid, m.fk_menu, m.url, m.titre, m.langs, m.perms, m.enabled, m.target, m.mainmenu, m.leftmenu FROM llx_menu as m WHERE m.menu_handler in('eldy','all') AND m.entity = 1 AND m.usertype in (0,2) ORDER BY m.position, m.rowid
2011-07-25 12:49:54 DEBUG 192.168.90.167  userTest index InfoBox::listBoxes get default box list sql=SELECT b.rowid, b.box_id, b.position, b.box_order, b.fk_user, d.file, d.note FROM llx_boxes as b, llx_boxes_def as d WHERE b.box_id = d.rowid AND d.entity = 1 AND b.position = 0 AND b.fk_user = 0 ORDER BY b.box_order
2011-07-25 12:49:54 DEBUG 192.168.90.167  userTest index DoliDB::disconnect

Je galère quoi...
Dernière édition: il y a 8 ans 2 mois par Thibow.
L'administrateur a désactivé l'accès en écriture pour le public.

Re: Module LDAP : LDAP vers Dolibarr il y a 8 ans 2 mois #27736

  • Thibow
  • Portrait de Thibow
A mon sens, le souci viens du fait que je n'arrive pas a récupérer le SID ldap...

J'ai pourtant bien mis en en attribut le objectsid
Je cherche toujours....
L'administrateur a désactivé l'accès en écriture pour le public.

Re: Module LDAP : LDAP vers Dolibarr il y a 8 ans 2 mois #27737

  • Thibow
  • Portrait de Thibow
De toute évidence, je récupère bien le SID dans la fiche utilisateur LDAP...
(En fait, il faut mettre tout les attribut en minuscule dans la conf).

Mais en mode debugg, le SID reste sur la valeur "-1" :-\

Dur...
L'administrateur a désactivé l'accès en écriture pour le public.

Re: Module LDAP : LDAP vers Dolibarr il y a 8 ans 2 mois #27739

  • Thibow
  • Portrait de Thibow
2011-07-25 14:54:17 INFO  192.168.90.167  nologin  index functions_dolibarr::check_user_password_dolibarr sql=SELECT pass, pass_crypted FROM llx_user WHERE login = 'userTest' AND entity IN (0,1)
2011-07-25 14:54:17 INFO  192.168.90.167  nologin  index functions_dolibarr::check_user_password_dolibarr Authentification ok - found pass in database

Comment peut il me dire qu'il a trouvé le mot de passe en base et que l'authentification est ok alors que je n'es rien saisie !? :dry:
L'administrateur a désactivé l'accès en écriture pour le public.
  • Page :
  • 1
  • 2