Bonjour,
Ayant activé l'authentification par LDAP, je me rends compte d'un certain nombre de comportements qui poseront problème pour l'utilisation de GeoSource dans mon établissement (Cemagref). Comme je le disais dans un précédent message, j'aurai bien tenté de faire les modifications moi-même, mais le processus de compilation du GeoSource est pour le moins complexe. Et je suppose comme ces modifications pourrait éventuellement intéressant d'autres personnes.
*N°
* *Identification
* *Importance
* *Description
* *Solution proposée
* *Réglé
*
1
Utilisateurs hors LDAP invalide
Haute
Une fois le LDAP activé, impossible de se connecter avec des utilisateurs qui ne sont pas listés dans l'annuaire.
Lors qu'un utilisateur n'est pas trouvé dans le LDAP et qu'il dispose d'un mot de passe en base, vérifier ce mot de passe. Si l'utilisateur a été trouvé dans le LDAP mais que la vérification du mot de passe échoue, ne pas autoriser la connexion.
2
Comptes des administrateurs indépendants du LDAP
Moyenne
Les comptes administrateurs sont toujours indépendants de l'annuaire même s'ils ont initialement été créés via le LDAP. Si le mot de passe d'un tel compte change dans l'annuaire, GeoSource n'en tiendra pas compte.
Vérifier les mots de passe administrateur comme pour les autres utilisateurs.
3
Mots de passe LDAP stockés dans la base SQL.
Basse Les mots de passe LDAP sont dupliqués dans la base de données. Même s'ils sont cryptés en SHA-1, cela pose des questions de sécurité.
Ne pas stocker les mots de passe LDAP en base.
4
Synchronisation du nom et du prénom
Haute
Lors de la synchronisation depuis l'annuaire, le nom est systématiquement fixé à"(LDAP)" et le prénom à "Nom Prénom". Ceci se produisant à chaque connexion, impossible de les corriger.
1) n'importer qu'une fois à la connexion initiale.
OU
2) permettre de configurer plus finement l'utilisation des attributs LDAP.
5
Profil réinitialisé au profil par défaut à chaque connexion
Bloquant
Le "profil", niveau utilisateur, est réinitialisé à partir du LDAP à chaque connexion de l'utilisateur. Si l'annuaire ne fournit pas d'attribut pour profil, c'est le profil par défaut qui est utilisé. Dans ce cas, impossible d'avoir des utilisateurs LDAP ayant d'autres profils que celui par défaut.
En cas d'absence d'attribut LDAP pour le profil, n'utiliser le profil par défaut qu'à la création du compte.
6
Champs supplémentaires ignorés
Basse
Les champs supplémentaires tel que l'adresse, la ville, l'état, le code postal, le pays, et l'organisation ne sont pas extraits du LDAP.
Permettre de préciser les attributs LDAP à utiliser pour remplir ces champs.
Salutations,
--
Guillaume Perréal Cemagref
guillaume.perreal@anonymised.com Direction des Systèmes d'Information
Tél: 04.72.20.89.30 Pôle Informatique Scientifique