Extension:LDAPProvider/fr

En tant que successeur de LDAPAuthentication2 ^[1][2] une pile d'extensions LDAP a été créée.‎ Elles doivent toutes interagir avec une ressource LDAP distante^[3]. Cette extension a été créée pour faciliter et unifier la configuration et la maintenance. Elle fournit les classes et la configuration pour consulter les données provenant des ressources LDAP.

Installation

• <translate> [[<tvar name=2>Special:ExtensionDistributor/LDAPProvider</tvar>|Download]] and move the extracted <tvar name=name>LDAPProvider</tvar> folder to your <tvar name=ext>extensions/</tvar> directory.</translate>
  <translate> Developers and code contributors should install the extension [[<tvar name=git>Special:MyLanguage/Download from Git</tvar>|from Git]] instead, using:</translate>cd extensions/
git clone https://gerrit.wikimedia.org/r/mediawiki/extensions/LDAPProvider
• <translate> Add the following code at the bottom of your <tvar name=1>LocalSettings.php </tvar> file:</translate>

  wfLoadExtension( 'LDAPProvider' );
  

• Exécutez php maintenance/update.php pour créer les tables nécessaires de la base de données.
• Configurez si nécessaire.
• File:OOjs UI icon check-constructive.svg <translate> Done</translate> – <translate> Navigate to <tvar name=special>Special:Version</tvar> on your wiki to verify that the extension is successfully installed.</translate>

Configuration

« Extension config » avec « Domain config »

Cette extension dispose de deux types de configuration. D'un côté, il y a la classique configuration d'extension. Elle peut être configurée en utilisant des variables globales dans LocalSettings.php. Notez bien que ces variables n'ont pas de préfixe wg. Ces paramètres affectent l'extension dans son ensemble.

D'un autre côté il existe une configuration propre à la ressource LDAP distante, comme les paramètres de connexion, le mécanisme des requêtes du groupe d'appartenance de l'utilidateur ou des DNs^[4] de base. Plusieurs domaines peuvent être configurés de manière indépendante. Ces paramètres n'affectent que la communication vers la ressource LDAP, en fonction du domaine que cette ressource dessert.

Paramètres de configuration des extensions

[
 "removespaces": "\\MediaWiki\\Extension\\LDAPProvider\\PreSearchUsernameModifier\\RemoveSpaces::newInstance",
 "spacetounderscore": "\\MediaWiki\\Extension\\LDAPProvider\\PreSearchUsernameModifier\\SpacesToUnderscores::newInstance",
 "spacestounderscores": "\\MediaWiki\\Extension\\LDAPProvider\\PreSearchUsernameModifier\\SpacesToUnderscores::newInstance",
 "strtolower": "\\MediaWiki\\Extension\\LDAPProvider\\PreSearchUsernameModifier\\ToLower::newInstance",
 "lowercase": "\\MediaWiki\\Extension\\LDAPProvider\\PreSearchUsernameModifier\\ToLower::newInstance"
]

$LDAPProviderPreSearchUsernameModifierRegistry
['custom-prefix-modifier'] = function() {
  return new MediaWiki\Extension\LDAPProvider
  \PreSearchUsernameModifier\GenericCallback(
    function( $username ) {
      return "some_prefix_$username";
  } );
};

Paramètres de configuration du domaine

Fournisseurs de configuration de domaines

Par défaut, la configuration spécifique du domaine est stockée dans un fichier JSON statique. Mais on peut aussi utiliser une configuration (dynamique) basée sur PHP. La configuration de l'extension correspondante est $LDAPProviderDomainConfigProvider. Ce doit être une fonction de callback qui renvoie un objet de type IDomainConfigProvider.

Fichier JSON statique

C'est la manière par défaut. Il suffit de configurer le paramètre de configuration de l'extension $LDAPProviderDomainConfigs en indiquant un fichier JSON valide (doit être en dehors de la racine web).

$LDAPProviderDomainConfigs = "$IP/../ldapprovider.json";

Exemple

{
	"LDAP": {
		"connection": {
			"server": "ldap.forumsys.com",
			"user": "cn=read-only-admin,dc=example,dc=com",
			"pass": "password",
			"options": {
				"LDAP_OPT_DEREF": 1
			},
			"basedn": "dc=example,dc=com",
			"groupbasedn": "dc=example,dc=com",
			"userbasedn": "dc=example,dc=com",
			"searchattribute": "uid",
			"searchstring": "uid=USER-NAME,dc=example,dc=com",
			"usernameattribute": "uid",
			"realnameattribute": "cn",
			"emailattribute": "mail"
		}
	}
}

Tableau PHP dynamique

Comme alternative au fichier JSON, vous pouvez utiliser un tableau PHP pour configurer les domaines. Dans ce cas, il suffit que la fonction de callback rende une instance de InlinePHPArray.

Exemple

$LDAPProviderDomainConfigProvider = function() {
	$config = [
		'LDAP' => [
			'connection' => [
				"server" => "ldap.forumsys.com",
				"user" => "cn=read-only-admin,dc=example,dc=com",
				"pass" => 'password',
				"options" => [
					"LDAP_OPT_DEREF" => 1
				],
				"basedn" => "dc=example,dc=com",
				"groupbasedn" => "dc=example,dc=com",
				"userbasedn" => "dc=example,dc=com",
				"searchattribute" => "uid",
				"searchstring" => "uid=USER-NAME,dc=example,dc=com",
				"usernameattribute" => "uid",
				"realnameattribute" => "cn",
				"emailattribute" => "mail"
			]
		]
	];

	return new \MediaWiki\Extension\LDAPProvider\DomainConfigProvider\InlinePHPArray( $config );
};

Advanced configuration

Dynamic usergroup attribute

Example

ldapprovider.json:

 {
 	"LDAP": {
 		"connection": {
 			"server": "...",
 			...
 			"grouprequest": "...Configurable::factory",
 			"groupobjectclass": "groupOfUniqueNames",
 			"groupattribute": "uniqueMember",
 			"group-attribute-value-callback": "myCoolCallback"
 		},
 },

Here "group-attribute-value-callback" specifies the name of some callback function which contains logic for the calculation of "groupattribute" value.

LocalSettings.php:

function myCoolCallback( $username ) {
 	return new \MediaWiki\Extension\LDAPProvider\EscapedString( $username );
 }

That's an example of a simple callback which returns the unchanged username as "groupattribute" value.

Versions

Guide de dépannage

Exception: « Pas de configuration disponible pour le domaine 'XYZ'! »

Assurez-vous que les valeurs du champ ldap_domains.domain_id de la base de données correspondent aux valeurs établies au premier niveau de la configuration de domaine (par exemple, dans ldapprovider.json, vous devrez remplacer LDAP du niveau supérieur par votre domaine. Vous pouvez vérifier cela en recherchant l'entrée $_SERVER['USERDOMAIN'] dans le phpinfo() de votre serveur). Si ce n'est pas le cas, vous pouvez soit modifier les entrées de la base de données à l'aide de UPDATE ldap_domains SET domain = "DomainNameAsInConfiguration";, soit adapter la configuration. Attention: dans la version actuelle, le nom de domaine est sensible à la casse.

Exception: « Pas de section 'authorization' trouvée dans la configuration pour le domaine 'LDAP' »

Si vous avez activé l'extension LDAPAuthorization (comme recommandé dans la documentation PluggableAuth), vous devez ajouter le paramètre d'autorisation dans la configuration de domaine de LDAPProvider (plus d'informations à Configurer LDAPAuthorization)

Avertissement : Les informations fournies ne sont pas associées à un utilisateur de ce wiki.

Vérifiez que userbasedn et searchattribute sont corrects.

Exemples de bout en bout

• Intégration de Active Directory (PluggableAuth avec la pile LDAP)

Références