[Obm] Minig : Authentification

Wed Jun 23 10:25:40 CEST 2010

Le 21 juin 2010 19:24, nodens2099 <nodens2099 at gmail.com> a écrit :
> Bonjour la liste,
>

Bonjour,

> On est actuellement en train de tester OBM + MiniG dans ma boîte.
>
> On a déjà une infrastructure de messagerie (sendmail avec des milters,
> cyrus avec murder, ldap qui sert à plein d'autres choses, etc). Ce qui
> nous intéresse, c'est l'agenda et le webmail (et peut-être d'autres
> éléments de groupware).
>
> On va donc forcément rencontrer le problème du provisionning des
> utilisateurs, parce qu'il est peu envisageable de modifier l'annuaire
> ldap existant.
>
> Un problème qu'on rencontre, c'est l'authentification pour miniG : il
> est indispensable de mettre le mot de passe en clair dans la base (via
> le obm_conf.inc) pour que le lien vers miniG fonnctionne. Étant donné
> qu'on utilise une authentification ldap pour se connecter à OBM, et que
> le mot de passe n'est pas dans la base au départ, c'est gênant...
>
> Est-ce qu'il y a une méthode qui permet de passer directement le mot de
> passe fourni à OBM vers miniG dès la connexion pour éviter cela
> (réutiliser le mot de passe de la connexion fourni via le formulaire) ?
> Vu ce que je comprends de l'architecture OBM/minig ça ne m'a pas l'air
> gagné...
>
> Alternativement, est-ce qu'on peut faire une authentification
> "Proxyfiée" (pour ceux qui ne connaissent pas, ça consiste à
> s'authentifier avec un utilisateur pour s'identifier sous un autre
> compte, ça demande évidemment que l'utilisateur en question soit
> privilégié au niveau SASL) ?
> On utilise déjà cette méthode dans le cadre du murder cyrus, et aussi au
> niveau de nos réplicats LDAP, ça me pose moins de problèmes que de
> stocker les mots de passe en clair dans la base en obligeant les
> utilisateurs à le réenregistrer via OBM alors qu'on gère les mots de
> passe ailleurs...
>
> Évidemment, je suis aussi preneur de toute autre méthode :)
>
> Par ailleurs, on va devoir se poser la question du provisioning, on va
> problablement faire ça à grands coups de cron (si un utilisateur a été
> créé ou supprimé récemment, on le crée ou le supprime dans OBM). est-ce
> qu'il existe déjà des mécanismes pour gérer ça, au moins en partie ?
> Histoire de ne pas réinventer la roue... Sachant qu'on aimerait bien
> ajouter les utilisateurs dans un ldap local en plus de la base de
> données pour profiter de la complétion.
>
>
> Merci pour votre aide !
>

A priori, Lemonldap::NG répond au besoin (mais non, je ne fais pas de pub !).

OBM peut être configuré pour authentifié des utilisateurs via
Lemonldap::NG. Dans ce cas précis, il est possible d'avoir une
authentification OBM basé sur un annuaire d'entreprise, et une
synchronisation de l'utilisateur authentifié (extrait de cet annuaire)
vers OBM (dont le mot de passe) à la connexion de l'utilisateur à OBM.

Thomas.

-- 
Thomas Chemineau