Project

General

Profile

Anomalie #4845

utiliser le compte de lecture défini pour chaque annuaire lors de la recherche des homonymes.

Added by Bruno Boiget about 8 years ago. Updated about 7 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Category:
-
Start date:
02/06/2013
Due date:
02/07/2014
% Done:

100%

Spent time:
Distribution:
EOLE 2.3

Description

problème remonté par plusieurs académies pour le branchement de Seshat sur un annuaire académique :

La recherche sur les 'DN' pour détecter les différents annuaires dans lesquels un utilisateur est présent se fait en anonyme.
Cela n'étant pas autorisée sur l'annuaire académique, EoleSSO ne détecte pas les utilisateurs dans celui-ci.

Pour éviter d'ajouter des autorisations, il faudrait également effectuer cette recherche avec l'utilisateur configuré le cas échéant.


Related issues

Related to EoleSSO - Evolution #6734: permettre la configuration de l'attribut LDAP utilisé comme identifiant de l'utilisateur Fermé 02/07/2014
Related to EoleSSO - Anomalie #7300: applique la correction publiée en 2.3.12 RC sur la recherche d'utilisateur lors d'une fédération Fermé 02/20/2014

Associated revisions

Revision 0c5cd6e3 (diff)
Added by Bruno Boiget about 8 years ago

détection des branches d'un utilisateur avec l'utilisateur en lecture de chaque annuaire (fixes #4845)

Revision e19438ea (diff)
Added by Bruno Boiget over 7 years ago

Utilisation de l'utilisateur reader dans toutes les recherches ldap si possible

- recherche des dn d'utilisateurs (homonymes)
- lecture des informations sur les groupes
- l'attribut correpondant au login est désormais configurable en mode expert

Fixes #4845
Fixes #6734

Revision d355624c (diff)
Added by Bruno Boiget over 7 years ago

eoleldaptor: ajout d'un fallback en mode anonyme si mauvais mot de passe reader (+log)

Ref #4845

Revision 0bc529e3 (diff)
Added by Bruno Boiget over 7 years ago

Report des modifications de la version 2.3

- utilisation de l'utilisateur en lecture si possible (ref #4845)
- configuration de l'attribut de recherche des utilisateurs (ref #6743)

Revision cefc5832 (diff)
Added by Bruno Boiget over 7 years ago

eoleldaptor: ajout d'un fallback en mode anonyme si mauvais mot de passe reader (+log)

ref #4845

Revision 7e17f458 (diff)
Added by Bruno Boiget over 7 years ago

modif oubliée sur eoleldaptor (ref #4845)

Revision db74f254 (diff)
Added by Bruno Boiget over 7 years ago

modif oubliée sur eoleldaptor (ref #4845)

Revision ad2c95e5 (diff)
Added by Bruno Boiget about 7 years ago

correction de la recherche d'utilisateur en cas de fédération (FS)

Fixes #4845 @25m

History

#1 Updated by Bruno Boiget about 8 years ago

  • Status changed from Accepté to Résolu
  • % Done changed from 0 to 100

#2 Updated by Bruno Boiget about 8 years ago

  • Status changed from Résolu to Réouvert
  • % Done changed from 100 to 80

fonctionne pour la recherche des annuaires où l'utilisateur est présent, mais pas au moment de l'authentification (il reste une recherche de DN anonyme dans ce cas).

Faire un bind sur l'utilisateur reader aussi dans ce cas

#3 Updated by Luc Bourdot about 8 years ago

  • Due date changed from 02/08/2013 to 02/15/2013

#4 Updated by Bruno Boiget about 8 years ago

  • Due date changed from 02/15/2013 to 02/22/2013
  • Target version changed from Mises à jour 2.3.8 to Mises à jour 2.3.9

vu avec mathieu (poitiers), la demande peut être reportée à la candidate suivante.

#5 Updated by Fabrice Barconnière about 8 years ago

  • Due date deleted (02/22/2013)

#6 Updated by Redmine Admin about 8 years ago

  • Target version changed from Mises à jour 2.3.9 to Mises à jour 2.3.10

#7 Updated by Joël Cuissinat almost 8 years ago

  • Target version changed from Mises à jour 2.3.10 to Mises à jour 2.3.11

#8 Updated by Fabrice Barconnière over 7 years ago

  • Due date set to 11/08/2013

#9 Updated by Bruno Boiget over 7 years ago

  • Due date deleted (11/08/2013)
  • Target version changed from Mises à jour 2.3.11 to Mises à jour 2.3.12

problème contourné temporairement en jouant sur les règles des annuaires académiques

#10 Updated by Bruno Boiget over 7 years ago

  • Status changed from Réouvert to Résolu
  • % Done changed from 80 to 100

#11 Updated by Bruno Boiget about 7 years ago

  • Status changed from Résolu to Réouvert
  • % Done changed from 100 to 90

Les modifications sur eolesso/dataproxy.py empêchent la recherche d'utilisateur de fonctionner lors d'un fédération (fournisseur de service)

pb détecté dans le cas d'une fédération de seshat vers scribe (annuaire de scribe répliqué sur seshat avec uid comme attribut de fédération) :

test de fédération avec l'url : https://<adresse_seshat>:8443/saml?sp_ident=scribe

- scribe indique qu'il n'a pas retrouvé l'utilisateur
- dans les logs de scribe (/var/log/rsyslog/local/eoleosso/eolesso.alert.log)

Feb  4 12:18:11 scribe23-yo-91 eolesso: [TLSProtocolWrapper,5,192.168.230.32] Traceback (most recent call last):
Feb  4 12:18:11 scribe23-yo-91 eolesso: [TLSProtocolWrapper,5,192.168.230.32]   File "./authserver.py", line 694, in authenticate_federated_user
Feb  4 12:18:11 scribe23-yo-91 eolesso: [TLSProtocolWrapper,5,192.168.230.32]     defer_fed_data = self._data_proxy.get_user_data(search_attrs, search_branch)
Feb  4 12:18:11 scribe23-yo-91 eolesso: [TLSProtocolWrapper,5,192.168.230.32]   File "/usr/lib/pymodules/python2.6/eolesso/dataproxy.py", line 264, in get_user_data
Feb  4 12:18:11 scribe23-yo-91 eolesso: [TLSProtocolWrapper,5,192.168.230.32]     return defer_auth.addCallbacks(self.callb_get_data, self.errb_auth, callbackArgs=[user_id, passwd, filter_attrs, search_branch, servers[1:]])
Feb  4 12:18:11 scribe23-yo-91 eolesso: [TLSProtocolWrapper,5,192.168.230.32] NameError: global name 'user_id' is not defined

#12 Updated by Bruno Boiget about 7 years ago

  • Status changed from Réouvert to Résolu
  • % Done changed from 90 to 100

#13 Updated by Lionel Morin about 7 years ago

  • Status changed from Résolu to Fermé

Testé sur un scribe avec accès à un zéphir dont le dn n'est pas accessible en mode anonyme (avec configuration de l'utilisateur reader).

access to dn=*
        by self read
        by dn="cn=reader,o=gouv,c=fr" read
        by * none

# ACL par défaut
access to *
        by * read

Si un utilisateur est présent dans les 2 annuaires, les 2 entrées sont bien détectées et apparaissent dans une liste déroulante.

#14 Updated by Fabrice Barconnière about 7 years ago

  • Due date set to 02/07/2014

Also available in: Atom PDF