Anomalie #4845
utiliser le compte de lecture défini pour chaque annuaire lors de la recherche des homonymes.
Description
problème remonté par plusieurs académies pour le branchement de Seshat sur un annuaire académique :
La recherche sur les 'DN' pour détecter les différents annuaires dans lesquels un utilisateur est présent se fait en anonyme.
Cela n'étant pas autorisée sur l'annuaire académique, EoleSSO ne détecte pas les utilisateurs dans celui-ci.
Pour éviter d'ajouter des autorisations, il faudrait également effectuer cette recherche avec l'utilisateur configuré le cas échéant.
Demandes liées
Révisions associées
détection des branches d'un utilisateur avec l'utilisateur en lecture de chaque annuaire (fixes #4845)
eoleldaptor: ajout d'un fallback en mode anonyme si mauvais mot de passe reader (+log)
Ref #4845eoleldaptor: ajout d'un fallback en mode anonyme si mauvais mot de passe reader (+log)
ref #4845modif oubliée sur eoleldaptor (ref #4845)
modif oubliée sur eoleldaptor (ref #4845)
correction de la recherche d'utilisateur en cas de fédération (FS)
Fixes #4845 @25m
Historique
#1 Mis à jour par Bruno Boiget il y a environ 11 ans
- Statut changé de Accepté à Résolu
- % réalisé changé de 0 à 100
Appliqué par commit 0c5cd6e3b96f99efd7c2f1089b48bf4a7193f3e1.
#2 Mis à jour par Bruno Boiget il y a environ 11 ans
- Statut changé de Résolu à À valider
- % réalisé changé de 100 à 80
fonctionne pour la recherche des annuaires où l'utilisateur est présent, mais pas au moment de l'authentification (il reste une recherche de DN anonyme dans ce cas).
Faire un bind sur l'utilisateur reader aussi dans ce cas
#3 Mis à jour par Luc Bourdot il y a environ 11 ans
- Echéance changé de 08/02/2013 à 15/02/2013
#4 Mis à jour par Bruno Boiget il y a environ 11 ans
- Echéance changé de 15/02/2013 à 22/02/2013
- Version cible changé de Mises à jour 2.3.8 à Mises à jour 2.3.9
vu avec mathieu (poitiers), la demande peut être reportée à la candidate suivante.
#5 Mis à jour par Fabrice Barconnière il y a environ 11 ans
- Echéance
22/02/2013supprimé
#6 Mis à jour par Redmine Admin il y a environ 11 ans
- Version cible changé de Mises à jour 2.3.9 à Mises à jour 2.3.10
#7 Mis à jour par Joël Cuissinat il y a presque 11 ans
- Version cible changé de Mises à jour 2.3.10 à Mises à jour 2.3.11
#8 Mis à jour par Fabrice Barconnière il y a plus de 10 ans
- Echéance mis à 08/11/2013
#9 Mis à jour par Bruno Boiget il y a plus de 10 ans
- Echéance
08/11/2013supprimé - Version cible changé de Mises à jour 2.3.11 à Mises à jour 2.3.12
problème contourné temporairement en jouant sur les règles des annuaires académiques
#10 Mis à jour par Bruno Boiget il y a plus de 10 ans
- Statut changé de À valider à Résolu
- % réalisé changé de 80 à 100
Appliqué par commit e19438ea06dc6869894214a0479357323c4c563e.
#11 Mis à jour par Bruno Boiget il y a environ 10 ans
- Statut changé de Résolu à À valider
- % réalisé changé de 100 à 90
Les modifications sur eolesso/dataproxy.py empêchent la recherche d'utilisateur de fonctionner lors d'un fédération (fournisseur de service)
pb détecté dans le cas d'une fédération de seshat vers scribe (annuaire de scribe répliqué sur seshat avec uid comme attribut de fédération) :
test de fédération avec l'url : https://<adresse_seshat>:8443/saml?sp_ident=scribe
- scribe indique qu'il n'a pas retrouvé l'utilisateur
- dans les logs de scribe (/var/log/rsyslog/local/eoleosso/eolesso.alert.log)
Feb 4 12:18:11 scribe23-yo-91 eolesso: [TLSProtocolWrapper,5,192.168.230.32] Traceback (most recent call last): Feb 4 12:18:11 scribe23-yo-91 eolesso: [TLSProtocolWrapper,5,192.168.230.32] File "./authserver.py", line 694, in authenticate_federated_user Feb 4 12:18:11 scribe23-yo-91 eolesso: [TLSProtocolWrapper,5,192.168.230.32] defer_fed_data = self._data_proxy.get_user_data(search_attrs, search_branch) Feb 4 12:18:11 scribe23-yo-91 eolesso: [TLSProtocolWrapper,5,192.168.230.32] File "/usr/lib/pymodules/python2.6/eolesso/dataproxy.py", line 264, in get_user_data Feb 4 12:18:11 scribe23-yo-91 eolesso: [TLSProtocolWrapper,5,192.168.230.32] return defer_auth.addCallbacks(self.callb_get_data, self.errb_auth, callbackArgs=[user_id, passwd, filter_attrs, search_branch, servers[1:]]) Feb 4 12:18:11 scribe23-yo-91 eolesso: [TLSProtocolWrapper,5,192.168.230.32] NameError: global name 'user_id' is not defined
#12 Mis à jour par Bruno Boiget il y a environ 10 ans
- Statut changé de À valider à Résolu
- % réalisé changé de 90 à 100
Appliqué par commit ad2c95e58abc41226713f67a72876719cd9048a8.
#13 Mis à jour par Lionel Morin il y a environ 10 ans
- Statut changé de Résolu à Fermé
Testé sur un scribe avec accès à un zéphir dont le dn n'est pas accessible en mode anonyme (avec configuration de l'utilisateur reader).
access to dn=*
by self read
by dn="cn=reader,o=gouv,c=fr" read
by * none
# ACL par défaut
access to *
by * read
Si un utilisateur est présent dans les 2 annuaires, les 2 entrées sont bien détectées et apparaissent dans une liste déroulante.
#14 Mis à jour par Fabrice Barconnière il y a environ 10 ans
- Echéance mis à 07/02/2014