Autenticazione LDAP ed abilitazione nuovi utenti creati nel db Joomla

[Stefano_Bali]

Dopo varie prove, sono riuscito con successo a settare l'autenticazione LDAP.
In questo modo però, tutti i potenziali utenti presenti nella directory aziendale possono diventare utenti Joomla, senza controllo dell'amministratore Joomla (al di là che vengano ad aggiungersi o meno al db degli utenti Joomla).
Dovrei però limitare l'accesso al sito Joomla (dipartimentale) soltanto ad alcuni utenti tra quelli presenti in nella directory aziendale. Il sito è infatti destinato ad una piccola comunità di qualche decina di persone rispetto a  qualche centinaio di utenti presenti in azienda.
Come posso operare?
Ad esempio:
1) Assumendo di mantenere abilitata la funzionalità di auto-creazione degli utenti nel db Joomla successivamente all'autenticazione positiva in LDAP, è possibile evitare che i nuovi utenti creati in Joomla dal plug-in LDAP siano soggetti all'abilitazione manuale del Amministratore Joomla anzichè "auto-abilitarsi" come di fatto avviene?
2) In alternativa, poichè lo scopo principale dell'autenticazione tramite LDAP è quella evitare agli utenti dell'azienda che dovranno accedere al portale Joomla ulteriori credenziali di accesso sfruttando proprio le loro stesse credenziali LDAP (ed evitando così di ricordarsi ulteriori passwords) è possibile creare degli utenti in Joomla (il cui nome utente coincida con il nome utente LDAP) la cui autenticazione avvenga attraverso LDAP anzichè attraverso autenticazione Joomla? In questo modo si potrebbe limitare l'accesso al portale  soltato agli utenti creati dall'amministratore in Joomla, pur mantenendo per questi utenti la loro autenticazione attraverso LDAP. Non so però come operare anche perchè creando tali utenti in Joomla senza password (ipotizzando che l'autenticazione avvenga via LDAP e la cui password è di fatto  sconosciuta oltre a poter essere modificata nella directory aziendale a piacere dell'utente) come si può forzare l'autenticazione per questi utenti via LDAP? Non specificando la pswd infatti, questi utenti potrebbero accedere direttamente senza validazione di pswd passando direttamente attraverso l'autenticazione Joomla.

Ho fatto varie prove ma non ne sono venuto a capo. Eppure mi sembrerebbe un'esigenza abbastanza comune.

Spero che il problema sia chiaro. Ringrazio in anticipo per qualsiasi suggerimento ed a disposizione per qualsiasi chiarimento.

[jeckodevelopment]

Ciao Stefano_Bali,

non è un'esigenza così comune come tu dici, o quanto meno, quando si usa l'autenticazione LDAP non si necessita di restringere gli utenti ad un solo gruppo (comunemente, ma ogni caso è diverso).

Ti consiglio una lettura (in inglese) su Joomla e LDAP
http://community.joomla.org/component/zine/article/507-developer-ldap-from-scratch-sam-moffatt.html

http://sammoffatt.com.au/jauthtools/Main_Page

e qualche estensione eventualmente da provare
http://extensions.joomla.org/extensions/access-a-security/authentication-cloud-based/158

[Stefano_Bali]

Ciao Jeckodevelopment,
grazie per il contributo. Di fatto, il successo nel settaggio della mia LDAP era avvenuto proprio grazie alle letture da Te consigliate di Sam Moffatt (tra le tante...) ed al suo tool diagnostico "JDiagnostics" che conoscerai sicuramente.
Senza dubbio ripercorrerò le letture consigliate per affinare la conoscenza e prendere migliori spunti sul mio caso specifico (la prima lettura infatti aveva l'obiettivo immediato di far funzionare l'autenticazione LDAP nel mio ambiente).
Circa la necessità, nell'azienda in cui lavoro (medio-grande) è cosa abbastanza comune e sono convinto che lo sia in molte altre realtà. Del resto, non possiamo mai pensare di voler dare a tutti i dipendenti l'accesso a delle informazioni che possono e debbono restare di interesse di un solo gruppo. Una cosa infatti è autenticare un soggetto sulla LDAP, altra cosa è poterlo indirizzare/limitare sulle informazioni di suo interesse! Purtroppo non ho nenache la possibilità di intervenire sull'amministratore della LDAP facendo predisporre una Organization Unit specifica per il mio gruppo (in modo da utilizzarla quale chiave di ricerca nel plug-in joomla di autenticazione ldap) perchè le persone interessate al gruppo di lavoro hanno provenienze organizzative diverse e diventerebbe di difficile manutenzione a livello LDAP (preferisco gestire il tutto al solo livello di sitojoomla che amministro direttamente).
Comunque intanto grazie. Continuerò le ricerche e ti farò sapere eventuali sviluppi. Se nel frattempo venisse in mente qualche altra soluzione a te o a chi ci legge, anche attraverso l'utilizzo di altre estensioni....
Altrimenti non ci resterà che attendere il rilascio della tanto attesa 1.6 per valutare un miglior impiego della nuova ACL. Grazie.