Авторизация LDAP

[HakimzyanovA]

Настроил сабж. Работает. Появились вопросы:
1. Новый пользователь авторизуется по LDAP с логином test и паролем 12345 из AD. В программе создается новый пользователь test с паролем 12345. Меняем в AD пароль пользователя на 67890, в программе он остается с паролем 12345. Так задумано или я что-то делаю не так? Если задумано, то нельзя ли поправить: если у пользователя выставлен признак "LDAP", то не хранить пароль в программе, а обращаться при каждом входе к AD за проверкой. Если пользователь впервые заходит в программу через LDAP, то ставим этот признак автоматом.
2. Пользователь создается с полем Имя=Иван Иванов, Фамилия=пусто и пользователю нужно исправлять данные вручную. При этом атрибут CN=Иван Иванов. Можно ли добавить настройку, из каких атрибутов LDAP брать имя и фамилию, например First Name, Second Name.
3. В настройках программы сделать выбор, какой экран авторизации показывать первым - обычный или через LDAP. Ну или сразу проверять логин/пароль на соответствие и во внутреннем списке и в LDAP, если выполнены настройки LDAP. (можно конечно и просто всем пользователям нужную ссылку прописать на рабочем месте /index.php?module=users/ldap_login).
4. Если "Отправлять все письма с адреса тех. поддержки"="Нет", то при первом входе пользователя через LDAP программа пытается отправить письмо с учетными данными с адреса <noreply@host ip>, лечится выставлением "Да".

[HakimzyanovA]

5. Возможно ли при организации LDAP предоставить возможность доступа только для пользователей, входящих в определенную группу?

Сергей, хотелось бы услышать Ваше мнение, от этого зависит, как заводить пользователей в программу

[support]

Алексей, благодарю за рекомендации. Пожеланий по этому функционалу уже накопилось много, но пока руки не дошли до реализации.

На текущий момент, пользователи дублируются в системе. Жесткой привязки нету.

[HakimzyanovA]

Но надежда есть? При наличии AD прозрачная авторизация с единой точкой входа просто напрашивается, как с точки зрения удобства пользователей, так и с точки зрения безопасности.

[support]

Изначально просили такой вариант, который есть сейчас. Но я согласен с вашими предложениями и добавил их план. Я когда приступлю к работе, задам дополнительные вопросы. Можно рассчитывать на вашу помощь в тестировании?

[HakimzyanovA]

конечно

[DorlasUfa]

Когда настраивал пару лет назад у себя в организации HelpDesk систему OTRS - приходилось решать проблему интеграции OTRS и AD.

По сути интеграция сводилась к двум вещам:

• * Объяснить Apache как авторизоваться в AD - находил и оттестировал два варианта - по Kerberos и по NTLMv2

• * Объяснить OTRS как маппить получаемые от Apache данные во внутренних пользователей

Я сегодня отправлю Вам мои заметки по данному вопросу (полный алгоритм настроек) с моего адреса: vershinin.e@gmail.com.

Как будет возможность - готов пообщаться и протестировать/помочь с реализацией данной аутентификации к Вашем продукте. Спасибо за Вашу работу!

[HakimzyanovA]

Так как прошло уже довольно много времени, а прогресса не видно, я немного исправил исходники, добавив следующее:

1. Установку LDAP-авторизации по-умолчанию для всех пользователей в интерфейсе.
2. Авторизацию по LDAP для существующих учетных записей, а не только при заведении нового пользователя. Т.е. используется доменный пароль.
3. Настройку в конфиге атрибутов LDAP, из которых берется ФИО пользователя при заведении нового пользователя.

Сергей, если это нужно/интересно, могу выложить сюда или вам в личку.

[support]

Да, присылайте в личку.

[max-udacha]

доброго всем дня. подскажите пожалуйста при авторизации LDAP пользователю всегда надо вводить логин и пароль или это у меня что-то не так настроено?