Autore Topic: Autologin con LDAP (Letto 17109 volte)

giorgio61 · « **il:** 18 Mar 2013, 15:58:28 »

Ciao a tutti. ho realizzato un sito joomla per una intranet i cui client fanno parte di un dominio windows.
Tramite il modulo LDAP, che funziona correttamente, sono in grado di consentire agli utenti di autenticarsi utilizzando le proprie credenziali di dominio in luogo di nuove credenziali joomla e questo è già un buon risultato.
Dato che l'utente per accedere al sistema ha già effettuato una autenticazione nel dominio trovo che sia inutile che egli si ri-autentichi anche nel sito joomla e vorrei quindi attivare una sorta di autologin.
Ho cercato una risposta alla mia esigenza senza successo. Chi parla di autologin si riferisce solitamente alla possibilità di richiamare joomla indicando le credenziali come parametri per bypassare il login, ma non è quello che serve a me. Io vorrei che il login fosse effettuato automaticamente utilizzando le credenziali active directory. Chi mi può aiutare?

BelinBelan · « **Risposta #1 il:** 18 Mar 2013, 16:39:33 »

Ciao Giorgio61

io inizierei partendo da qui:

http://extensions.joomla.org/extensions/access-a-security/authentication-cloud-based/18108

giorgio61 · « **Risposta #2 il:** 18 Mar 2013, 16:52:02 »

Grazie ho visto quell'estensione ma non l'ho installata per due motivi. 1. non ho letto nelle specifiche che disponga della caratteristica che serve a me. parla soprattutto di gestione dei gruppi, una funzionalità che credo di poter gestire direttamente con i gruppi joomla (oppure ho capito male?)
l'altro mio problema è che non dispongo personalmente della password di configurazione del domino perche me lo gestisce un outsourcer e quindi temevo che l'installazione di questa estensione mi avrebbe nuovamente richiesto di coinvolgerlo.
tu conosci bene questa estensione?

BelinBelan · « **Risposta #3 il:** 18 Mar 2013, 16:56:40 »

no non la conosco ma visto che gestisco joomla nella intranet aziendale mi riservo di testarla.
Nella descrizione ti deve essere sfuggito che fa proprio quello che chiedi: SSO e cioè Single Sign On

Non disponendo della Password di un Amministratore di Dominio come lo configuri l'aggiornamento LDAP?

cioè se aggiungono un nuovo utente nel Dominio il tuo Login Joomla non lo "vede"...

Ciao!

giorgio61 · « **Risposta #4 il:** 18 Mar 2013, 17:07:48 »

1. allora cercherò di testarlo
2. devo chiedere all'outsourcer ma volevo evitare di chiedergli cose inutili
3. attualmente nella mia lista utenti ci sono solo 2 utenti del dominio ma ho visto che se un utente cerca di fare login con le credenziali di dominio viene aggiunto all'elenco degli utenti. allo stesso modo se io nel pannello amministratore aggiungo un utente utilizzando lo userid del dominio (ma ovviamente senza inerire la password che non conosco) quell'utente può fare login con le credenziali di dominio

vorrei liberarmi dell'inutile autenticazione dato che gli utenti si sono già autenticati quando hanno acceso la macchina

BelinBelan · « **Risposta #5 il:** 18 Mar 2013, 17:49:28 »

Ciao,

secondo me puoi testare quel componente, ne esiste un altro creato anni fa sa Sam Moffatt ma mi pareva di ricordare che era senza documentazione e difficile da configurare.

Nella JED pogtresti trovare anche altri SSO per LDAP ma non sono sicuro.

Al Amministratore del Dominio puoi chiedere che venga creato un "Domain Admins" solo per la tua applicazione Joomla! Credo non ci siano problemi.

Appena finisco un sito a cui sto lavorando voglio rimettere mano alla intranet ed aggiungere questo plugin che ti ho segnalato

giorgio61 · « **Risposta #6 il:** 18 Mar 2013, 18:03:48 »

ho già installato il componente e l'ho anche configurato. l'unica cosa che mi manca è la password dell'amministratore ldap. gli ho chiesto di inserirla.
dopodichè non ho capito come funziona l'SSO anche perche la documentazione si limita a descrivere il significato di tutti i parametri ma incredibilmente manca un testo, anche breve, che descriva il funzionamento dell'insieme.

BelinBelan · « **Risposta #7 il:** 18 Mar 2013, 18:18:04 »

Ciao,

sperando di non dire stupidaggini, credo che faccia lo SSO in automatico una volta abilitato il plugin

giorgio61 · « **Risposta #8 il:** 19 Mar 2013, 14:47:28 »

ciao Belin (ahaha). ho installato e settato tutto il gurppo JMapmyldap. non ho errori e l'autoenticazione funziona.
nonostante ciò quando lancio il sito non viene fatto alcun autologin, devo sempre inserire le credenziali nel modulo di login
credo, ma è una ipotesi, che sia io che te abbiao frainteso il significato di SSO che forse si riferisce al meccanismo che consente di effttuare il sign on utilizzando le credenziali di dominio, mentre quello che io sto cercando è un plugin che effettui un autologin. che ne pensi?
in pratica sono allo stesso punto in cui ero utilizzando il modulo LDAP fornito con joomla. questi plugin fors emi danno qualcosa in piu per gestire i gruppi di dominio anche se la mancanza di un manualetto decente non mi consente di capire esattamene queli sono le funzionalità offerte., ciao

BelinBelan · « **Risposta #9 il:** 19 Mar 2013, 15:17:25 »

hehehe

Ciao Giorgio, SSO, secondo quel che so, significa che Joomla! all'avvio trova l'Utente di Dominio che si è loggato su quella macchina, cerca ne DB Utenti di Joomla! e nel Dominio la stessa MAIL (o USERNAME) ed effettua l'accesso come Utente Joomla! riconosciuto anche ne Dominio. Quindi, nel form di registrazione ti dovrebbe apparire un "pulsante" o un "link" che ti permetta l'SSO.

Altrimenti si rimane al punto iniziale che devi inserire Dominio\User e Password per fare Login e non è quello che desideri tu.

giorgio61 · « **Risposta #10 il:** 19 Mar 2013, 15:26:59 »

si credo che tu abbia ragione. secondo me non funziona bene il plugin HTTP_SSO che ha queste istruzioni. credo di non sapere come configurare i primi parametri
Configuring the SSO HTTP plugin This section demonstrates the usage for the SSO HTTP plugin.

Open the 'SSO - HTTP' configuration through the Plug-in Manager.

Use the following settings:

Key	Value
User Key	This is the key in the $_SERVER array that holds the username. Check the environment section in the PHPInfo for the correct key. Examples: set to REMOTE_USER* or AUTH_USER in most cases*
Username Replacement	Enter a list of strings separated by a semi-colon to replace any domain related strings from the User Key result to return only the username. Examples: if the User Key result is DOMAIN\user then set to DOMAIN\. If it was user@DOMAIN.LOCAL then set to @DOMAIN.LOCAL. NOTE: there has been reports of backslashes getting stripped therefore, also try DOMAIN instead of DOMAIN\.
IP Rule	Specify the default rule for IP addresses to use HTTP SSO. If set to Allow all: allows IP address except those specified in the 'IP Exception List'. If set to Deny all: denies IP address except those specified in the 'IP Exception List'.
IP Exception List	Enter IP addresses separated by a newline that should be excluded from the IP Rule. Masks, wildcards, selections and single IP addresses are supported. Examples: 192.168.2.10 192.168.2.* 192.168.2.0-192.168.2.254 192.168.2.0/24

Set the plugin to the enabled state.
Save.

NOTE: Make sure the System SSO plugin is enabled and configured.

BelinBelan · « **Risposta #11 il:** 19 Mar 2013, 15:35:02 »

Ciao,

guarda se questa guida fa per te:

http://forum.joomla.org/viewtopic.php?p=2658424

jjoommla · « **Risposta #12 il:** 19 Mar 2013, 15:55:02 »

Mi associo a giorgio61, sono nella tua identica situazione, speriamo di uscirne

giorgio61 · « **Risposta #13 il:** 19 Mar 2013, 16:42:47 »

porca miseria credo che il problema sia nella configurazione del plugin HTTP_SSO ma non riesco a capire quale è il valore, nel mio ambiente, della variabile dell'array _SERVER REMOTE_USER. voi sapete come fare?

BelinBelan · « **Risposta #14 il:** 19 Mar 2013, 17:09:13 »

Ciao,

spero di non sbagliare ma a "intuito" il plugin deve conoscere:

nome o ip del Domain Controllere

Nome/password utente Domain/Admins

Stringa di connessione LDAP...

Usa auth_user per fare delle prove

giorgio61 · « **Risposta #15 il:** 19 Mar 2013, 17:22:13 »

ho provato sia con remote_user che con auth_user
mi chiedo che apache deve avere qualche configurazione particolare e come cavolo fare a conoscere il valore da metter ein userkey e in username replacement

giorgio61 · « **Risposta #16 il:** 19 Mar 2013, 18:13:40 »

mi chiedo anche se ci debba essere qualcosa attivato su apache nell'htpd.conf
per esempio questo
mod_auth_sspi

BelinBelan · « **Risposta #17 il:** 19 Mar 2013, 18:47:21 »

ciao,

semmai mod_auth_ldap ma l'hai certamente già attivato con tutte le sue librerie se no come la facevi prima la connessione

giorgio61 · « **Risposta #18 il:** 19 Mar 2013, 19:32:22 »

boh allora non so cosa sia, comunque sono riuscito a visualizzare la variabile remote_user o auth_user con un echo e mi viene dato valore bullo. quindi credo che il problema sia li. perche' la variabile è null?

BelinBelan · « **Risposta #19 il:** 19 Mar 2013, 20:12:08 »

Queste variabili le ottieni interrogando il D.C. Domain Controller usando le credenziali di un Domain Admins?

Credo sia un permesso di diritti... dai che piano piano mi sa che ci stiamo arrivando.

Un consiglio, se hai un pc/portatile potente, ti basterebbero due macchine virtuali: 1 DC basato su Windows Server 2003/2008 (se se in possesso delle licenze) una linux dove installi Lamp e joomla e il tuo client che ospitando tutte e due ti permette di simulare un ambiente DC Windows Cliente/Server...

Ovvio che io ho fatto così... perr portarmi "a casa" un po' di lavoro ma è un "bagno di sangue" fare tutto questo, a me personalmente, mi ci sono voluti a tempo perso, quasi 5 giorni per fare tutto!!!