Авторизация LDAP

Все вопросы/проблемы по установке и использовании.
HakimzyanovA
Сообщения: 191
Зарегистрирован: 27 фев 2017, 13:22
Имя: Алексей Хакимзянов
Откуда: Россия

Авторизация LDAP

Сообщение HakimzyanovA »

Настроил сабж. Работает. Появились вопросы:
1. Новый пользователь авторизуется по LDAP с логином test и паролем 12345 из AD. В программе создается новый пользователь test с паролем 12345. Меняем в AD пароль пользователя на 67890, в программе он остается с паролем 12345. Так задумано или я что-то делаю не так? Если задумано, то нельзя ли поправить: если у пользователя выставлен признак "LDAP", то не хранить пароль в программе, а обращаться при каждом входе к AD за проверкой. Если пользователь впервые заходит в программу через LDAP, то ставим этот признак автоматом.
2. Пользователь создается с полем Имя=Иван Иванов, Фамилия=пусто и пользователю нужно исправлять данные вручную. При этом атрибут CN=Иван Иванов. Можно ли добавить настройку, из каких атрибутов LDAP брать имя и фамилию, например First Name, Second Name.
3. В настройках программы сделать выбор, какой экран авторизации показывать первым - обычный или через LDAP. Ну или сразу проверять логин/пароль на соответствие и во внутреннем списке и в LDAP, если выполнены настройки LDAP. (можно конечно и просто всем пользователям нужную ссылку прописать на рабочем месте /index.php?module=users/ldap_login).
4. Если "Отправлять все письма с адреса тех. поддержки"="Нет", то при первом входе пользователя через LDAP программа пытается отправить письмо с учетными данными с адреса <noreply@host ip>, лечится выставлением "Да".
HakimzyanovA
Сообщения: 191
Зарегистрирован: 27 фев 2017, 13:22
Имя: Алексей Хакимзянов
Откуда: Россия

Re: Авторизация LDAP

Сообщение HakimzyanovA »

5. Возможно ли при организации LDAP предоставить возможность доступа только для пользователей, входящих в определенную группу?

Сергей, хотелось бы услышать Ваше мнение, от этого зависит, как заводить пользователей в программу :)
Аватара пользователя
support
Техническая поддержка
Сообщения: 9340
Зарегистрирован: 19 окт 2014, 18:22
Имя: Харчишин Сергей
Откуда: Крым, Евпатория

Re: Авторизация LDAP

Сообщение support »

Алексей, благодарю за рекомендации. Пожеланий по этому функционалу уже накопилось много, но пока руки не дошли до реализации.

На текущий момент, пользователи дублируются в системе. Жесткой привязки нету.
HakimzyanovA
Сообщения: 191
Зарегистрирован: 27 фев 2017, 13:22
Имя: Алексей Хакимзянов
Откуда: Россия

Re: Авторизация LDAP

Сообщение HakimzyanovA »

Но надежда есть? :) При наличии AD прозрачная авторизация с единой точкой входа просто напрашивается, как с точки зрения удобства пользователей, так и с точки зрения безопасности.
Аватара пользователя
support
Техническая поддержка
Сообщения: 9340
Зарегистрирован: 19 окт 2014, 18:22
Имя: Харчишин Сергей
Откуда: Крым, Евпатория

Re: Авторизация LDAP

Сообщение support »

Изначально просили такой вариант, который есть сейчас. Но я согласен с вашими предложениями и добавил их план. Я когда приступлю к работе, задам дополнительные вопросы. Можно рассчитывать на вашу помощь в тестировании?
HakimzyanovA
Сообщения: 191
Зарегистрирован: 27 фев 2017, 13:22
Имя: Алексей Хакимзянов
Откуда: Россия

Re: Авторизация LDAP

Сообщение HakimzyanovA »

конечно :)
DorlasUfa
Сообщения: 9
Зарегистрирован: 09 июн 2017, 13:36
Имя: Egor Vershinin
Откуда: UFA
Организация: Synergy Soft
Контактная информация:

Re: Авторизация LDAP

Сообщение DorlasUfa »

Когда настраивал пару лет назад у себя в организации HelpDesk систему OTRS - приходилось решать проблему интеграции OTRS и AD.

По сути интеграция сводилась к двум вещам:
  • * Объяснить Apache как авторизоваться в AD - находил и оттестировал два варианта - по Kerberos и по NTLMv2
  • * Объяснить OTRS как маппить получаемые от Apache данные во внутренних пользователей
Я сегодня отправлю Вам мои заметки по данному вопросу (полный алгоритм настроек) с моего адреса: vershinin.e@gmail.com.

Как будет возможность - готов пообщаться и протестировать/помочь с реализацией данной аутентификации к Вашем продукте. Спасибо за Вашу работу!
HakimzyanovA
Сообщения: 191
Зарегистрирован: 27 фев 2017, 13:22
Имя: Алексей Хакимзянов
Откуда: Россия

Re: Авторизация LDAP

Сообщение HakimzyanovA »

Так как прошло уже довольно много времени, а прогресса не видно, я немного исправил исходники, добавив следующее:

1. Установку LDAP-авторизации по-умолчанию для всех пользователей в интерфейсе.
2. Авторизацию по LDAP для существующих учетных записей, а не только при заведении нового пользователя. Т.е. используется доменный пароль.
3. Настройку в конфиге атрибутов LDAP, из которых берется ФИО пользователя при заведении нового пользователя.

Сергей, если это нужно/интересно, могу выложить сюда или вам в личку.
Аватара пользователя
support
Техническая поддержка
Сообщения: 9340
Зарегистрирован: 19 окт 2014, 18:22
Имя: Харчишин Сергей
Откуда: Крым, Евпатория

Re: Авторизация LDAP

Сообщение support »

Да, присылайте в личку.
max-udacha
Сообщения: 11
Зарегистрирован: 17 сен 2018, 12:42
Имя: Максим
Откуда: Россия
Организация: КомиМеливодохозпроект

Re: Авторизация LDAP

Сообщение max-udacha »

доброго всем дня. подскажите пожалуйста при авторизации LDAP пользователю всегда надо вводить логин и пароль или это у меня что-то не так настроено?
Ответить