Bonjour,
J’ai corrigé le LDAP sur mon Jeedom pour qu’il puisse récupérer une liste d’utilisateurs (sans filtrage de groupe). Malgré que le test soit réussi, je n’arrive pas à me connecter avec un utilisateur de mon LDAP.
De plus, je n’arrive pas à mettre Jeedom en DEBUG ou à avoir des informations sur l’erreur en question.
Quelqu’un a une idée à me suggérer ?
Merci
Bonjour,
Quelle type de LDAP (LDAP ou AD) ?
Quelle est ta configuration LDAP dans Jeedom ? Veille à masquer les informations sensibles.
Quelle erreur reçois tu ?
As tu un log ?
Bonjour henribi,
Merci pour ton message, j’ai fini par comprendre mon problème et je partage ma solution ici.
J’ai un NAS Synology avec un serveur LDAP qui me dit que ma base DN est « dc=ldap,dc=local » (les noms ont été modifiés).
Je voyais dans les logs (/var/log/messages) que l’utilisateur avait un mot de passe incorrect, ce qui était étrange vue que cet utilisateur fonctionnait ailleurs.
En creusant le code source de Jeedom, la base DN utilisée par Jeedom doit plutôt être « cn=users,dc=ldap,dc=local » car c’est à partir de là que Jeedom cherche les utilisateurs …
À partir de là, je voyais dans les logs (/var/log/messages) que l’utilisateur n’était pas autorisé à accéder à Jeedom (donc le mot de passe fonctionnait).
En creusant, j’ai fini par voir que c’était la condition du filtre de groupe qui fonctionne mal … en la laissant vide il doit effectuer un filtre malgré tout j’ai l’impression …
J’ai mis comme valeur « (&(objectClass=person)(memberOf=cn=NOM_DU_GROUPE,cn=groups,dc=ldap,dc=local)) » pour indiquer que je cherchais une personne qui appartenait à un groupe en particulier 
J’espère que cela aidera quelqu’un d’autre
Manque plus qu’à savoir comment on paramètre les droits utilisateurs lors de la connexion (j’ai eu un profil administrateur).
Jeedom fait de l’authentification de user par LDAP mais n’a pas de fonction d’autorisation.
Je pense donc que tu dois créer tes utilisateurs dans jeedom avec leur profil. C’est juste la partie validation du mot de passe qui est effectuée par LDAP.
Lors de ma vie professionelle, j’ai eu plusieurs applications qui se comportaient de cette manière.
henribi,
Je suis en train de créer une PR sur le git core de Jeedom pour ajouter la partie autorisation en fonction de leur groupe dans le LDAP.
Ainsi, si tu as des utilisateurs dans un groupe JEEDOM_ADMIN, JEEDOM_USERS et JEEDOM_LIMITED, tu pourras faire une ségrégation des droits automatiquement dans Jeedom au moment de la connexion (il va être capable de mettre des droits utilisateurs par défaut en fonction du profil dans le LDAP)
Belle idée.
Pour aider à ta réflexion. Comment comptes-tu faire pour les préférences propres à chaque utilisateur ?
Vas tu appliquer la même logique que pour les droits ?
Dans tous les cas, bonne réflexion.
Je n’ai pas encore réfléchi aux préférences des utilisateurs et ce serait une bonne chose de les interfacer effectivement.
Je vais pour l’instant rajouter les filtres comme indiqués dans l’image afin de pouvoir filtrer les utilisateurs
OK.
Le jour ou tu veux tester fais moi signe.
Je pense encore a un autre point.
Un utilisateur pourrait appartenir simultanément à 2 ou 3 groupes pour « jeedom ». Les gestionnaire de directory ne font pas toujours attention.
Il faut donc prévoir lequel choisir dans ce cas…
Le PR est disponible ici : https://github.com/jeedom/core/pull/1639
J’ai gardé l’idée d’un profilage du plus petit au plus grand. Si l’utilisateur est à la fois dans restrict et dans admin, alors il sera admin.
De plus, si l’utilisateur n’est pas authentifié via le LDAP, ça essaie en local (ça permet de résoudre un vieux bug qui te met dehors si tu fais une bêtise dans la configuration LDAP et que tu n’as pas de compte local)
En revanche, je ne fais pas de vérification sur l’activation ou non de l’utilisateur (je le laisse à la main dans la configuration des filtres d’ajouter cette condition).
Enfin, j’ai mis une configuration de telle sorte que "si tu n’as pas de filtre administrateur configuré, alors si l’utilisateur n’est ni restrict, ni user, j’essaie de l’authentifier via le LDAP quelque soit son groupe (ça permet de faire fonctionner le LDAP sans les groupes, à la charge de l’administrateur d’ajouter un filtre pour restreindre les administrateurs)
Ce sujet a été automatiquement fermé après 24 heures suivant le dernier commentaire. Aucune réponse n’est permise dorénavant.
