Joomla 1.5 Joomla 1.5 Авторизация LDAP

Тема в разделе "Подбор расширений", создана пользователем didur, 10.11.2008.

  1. Offline

    didur Недавно здесь

    Регистрация:
    10.11.2008
    Сообщения:
    3
    Симпатии:
    1
    Уважаемы камрады! Все ветки на эту тему прочитал, но ничего полезного не нашел. Прошу о помощи. Помогите настроить доменную авторизацию.

    Данные:
    Домен лежит на 2003 серваке
    Джумла на фре
    Версия джумлы 1.5.7
    Домен типа aaa.domen.com
    Юзеры находятся не в стандартных OU , а в созданных админом (для своей удобности).

    Вопросы:
    Как правильно настроить плагин ldap?
    Нужно ли доустанавливать что-то еще (голая сборка джумлы)?
    В каком формате юзеры должны авторизироваться (login, login@aaa.domen.com или Name.Surname@aaa.domen.com)?

    П.С. Для умников: Я уже гуглил.
     
  2.  
  3. OlegM
    Offline

    OlegM Russian Joomla! Team Команда форума

    Регистрация:
    12.04.2007
    Сообщения:
    4 311
    Симпатии:
    375
    Пол:
    Мужской
    Хмм... пока не подтянулись знатоки могу лишь предложить это
    http://community.joomla.org/magazine/article/507-developer-ldap-from-scratch-sam-moffett.html
     
  4. Offline

    KuricH Недавно здесь

    Регистрация:
    12.11.2008
    Сообщения:
    2
    Симпатии:
    0
    +1 Меня, да и многих тоже, эта проблема очееень как интересует!!!
    домен irzs.local
     
  5. OlegM
    Offline

    OlegM Russian Joomla! Team Команда форума

    Регистрация:
    12.04.2007
    Сообщения:
    4 311
    Симпатии:
    375
    Пол:
    Мужской
    Похоже вам придется самим разбираться
     
  6. Offline

    Dagas Недавно здесь

    Регистрация:
    18.01.2008
    Сообщения:
    19
    Симпатии:
    0
    Пол:
    Мужской
    Попробуй так:

    Host: ldap://имясерверадомена.aaa.domen.com
    Port: 389
    Ldap v3: YES
    Negotiate TLS: NO
    Follow referrals: NO
    Authorisation Method: Bind Directly As User
    Base DN: dc=aaa,dc=domen,dc=com
    Search String: uid=[search]
    User's DN: [username]@aaa.domen.com
    Connect username: пусто
    Connect password: пусто
    Map: Full name: fullName
    Map: E-mail: mail
    Map: User id: uid

    Версия Джумлы 1.5.9, контроллер домена Вин 2003 Сервер, Джумла на Фре. В работе актывны 2 плагина аутентификации - один для пользователей - через лдап, второй - стандартный джумловский для суперадмина. Работает.

    Доустанавливать ничего не надо.

    Формат входа пользователей в форме логина Джумловского: username: user; password: ******, где user - имя пользователя в домене, и пароль оттуда же.
    Обращаю внимание, что неактивные учетные записи в Джумлу не логинятся. Т.е. сперва пользователь должен зарегить учетку user в Джумле, можно с пустым паролем, или это должен сделать админ. Потом разрешенная учетка будет логиниться используя аутентификацию лдап.
     
    Последнее редактирование: 16.02.2009
  7. Offline

    MAXuk Недавно здесь

    Регистрация:
    01.06.2009
    Сообщения:
    1
    Симпатии:
    0
    Настроил все как указал Dagas, при попытке залогинится после нажатия на клавишу "Войти" попадаю на страницу http://мой сайт/index.php, ЧПУ отключены, настройки модуля авторизации стандартные.
    Ктонить сталкивался, как решить данную проблему??? Помогите, ооочень нужно....
     
  8. Offline

    Dagas Недавно здесь

    Регистрация:
    18.01.2008
    Сообщения:
    19
    Симпатии:
    0
    Пол:
    Мужской
    Возврат на прежнюю страницу без аутентификации - ошибка входа. Либо ты где-то что-то неверно указал в настройках подключения, либо что-то не то с сервером ЛДАП. Бери в руки какой-то серчер сетевых пакетов и отследи отсылку запроса к серверу ЛДАП и его ответ.
     
  9. Offline

    didur Недавно здесь

    Регистрация:
    10.11.2008
    Сообщения:
    3
    Симпатии:
    1
    Все кто мучится LDAP! Я настроил у меня работает.
    Система: FreeBSD 7.0
    Домен: Windows 2003
    CMS: Joomla 1.5.9
    Включаешь плагин LDAP
    настройки плагина:
    Хост 192.168.0.1 (это айпишник домен контроллера, можно писать сетевое имя)
    Порт 389 (оставляем по умолчанию, если во фре поднят IP_FW, то нужно открыть этот порт)
    LDAP V3 Да
    Выполнять TLS Нет
    Следовать перенаправлениям Нет
    Метод авторизации Привязать и найти
    Базовый DN OU=Accounts Users,OU=UKR,DC=eeu,DC=mkcorp,DC=com (это мой домен, прописать путь к контейнеру с пользователями своего домена, удобно для этого использовать AdExplorer, если надо - вышлю, это бесплатная утилита)
    Строка поиска sAMAccountName=[search]
    Пользовательский DN оставляем пустым

    Имя пользователя подключения CN=Didur\, Aleksandr,OU=Accounts Admin,OU=UKR,DC=eeu,DC=mkcorp,DC=com (путь к контейнеру с учетной записью для подключения к АД, эта запись должна иметь права админа АД, я использовал свою, но лучше создать системную)
    Пароль подключения собственно пароль

    Map: Полное имя fullName
    Map: E-mail mail
    Map: User ID uid

    Аутентификация работает по принципу login password (не e-mail). Любой пользователь подтягивается из АД и появляется в джумле. Потом в джумле можно пользователю поднять права, если он к примеру релизер.

    Вроде все. Если есть вопросы. Ася 338733433
     
    Asylum нравится это.
  10. Offline

    Dagas Недавно здесь

    Регистрация:
    18.01.2008
    Сообщения:
    19
    Симпатии:
    0
    Пол:
    Мужской
    Замечательно. А если у людей прописано что-то типа OU=Сотрудники, или еще какая-нибудь кириллическая мутотень, то твои настройки для них не прокатят.
     
  11. Offline

    didur Недавно здесь

    Регистрация:
    10.11.2008
    Сообщения:
    3
    Симпатии:
    1
    Уважаемый Dagas, мое сообщение не является универсальным хендбуком для решения проблемы аутентификации ЛДАП, а всего лишь описанием удачной попытки настройки вышеуказаного плагина, в надежде что это хоть кому-нибудь поможет. Попрошу Вас описать процесс настройки при наличии кириллических названий в контейнерах АД.
     
  12. Offline

    monkery Недавно здесь

    Регистрация:
    02.07.2009
    Сообщения:
    1
    Симпатии:
    0
    2 didur:
    Огромное спасибо, все заработало. А то у меня постоянно был неправильный e-mail адрес)
     
  13. Offline

    rush Недавно здесь

    Регистрация:
    13.01.2010
    Сообщения:
    1
    Симпатии:
    0
    Пол:
    Мужской
    Здраствуйте.
    А у меня проблема такая, после включения плагина LDAP, при авторизации на сайте появляется сообщение типа "Удаленный сервер или файл не найден http://localhost/mysite/index.php". Не пойму в чем дело. Может кто сталкивался и знает в чем проблема?.

    OS Windows 7
    Denwer 4
    Настройки прописал аналогичные как у didur, параметры естественно мои.
     
  14. Offline

    yurap Недавно здесь

    Регистрация:
    18.01.2010
    Сообщения:
    1
    Симпатии:
    0
    Пол:
    Мужской
    Итак, у меня заработало, пусть и у Вас заработает :) .
    Система: WinXP/Apache
    Домен: Windows 2003
    CMS: Joomla 1.5.15
    Включаем плагин LDAP
    /* здесь и далее везде: domain это адрес вашего домена, если ваш домен 3го уровня вводите sub.domain.ru, где sub - это ваш домен 3го уровня */
    настройки плагина:
    Хост: domain.ru (можно ввести конкретный IP адрес контроллера домена)
    Порт 389 (оставляем по умолчанию)
    LDAP V3 Да
    Выполнять TLS Нет
    Следовать перенаправлениям Нет
    Метод авторизации Привязать и найти
    Базовый dc=domain,dc=ru (если у вас домен 3го уровня вводите dc=sub,dc=domain,dc=ru )
    Строка поиска sAMAccountName=[search]
    Пользовательский DN оставляем пустым

    Имя пользователя подключения login@domain.ru (нy или login@sub.domain.ru если у вас домен 3го уровня - обязательное условие - этот пользователь (login@domain.ru) д.б. Админом в домене)
    Пароль подключения: собственно пароль login@domain.ru

    Map: Полное имя displayName (если хотите чтоб в имя пользователя было как полное имя в AD) или fullname (если хотите чтоб имя пользователя было как логин в AD)
    Map: E-mail mail
    Map: User ID uid

    При аутентификации вводите просто пару login & password . Данные пользователя копируются из AD.
    Для успешной регистрации обязательно наличие корректно заполненного поля E-mail у пользователя AD.
     
  15. Offline

    sunsevna Недавно здесь

    Регистрация:
    09.07.2009
    Сообщения:
    9
    Симпатии:
    0
    Пол:
    Женский
    Ура! наконец-то удалось настроить LDAP-аутентификацию.
    Настройки взяла как в сообщении у yurap. Но, хочу заметить, что в Имени пользователя для подключения указать можно и пользователя, который не является "Админом домена", нужно лишь иметь права на чтение AD.
     
  16. Offline

    tauron Недавно здесь

    Регистрация:
    08.04.2009
    Сообщения:
    12
    Симпатии:
    1
    Пол:
    Мужской
    Для тех, у кого танк такой же броневой как у меня и до сих пор белый лист после авторизации после настройки лдап плагина решение таково - вытащить php_ldap.dll из папки ext в корневую папку php и снять комент в php.ini. После этого по настройкам yurap все пошло как по маслу :)
    теперь в идеале осталось только найти как сделать "прозрачную" авторизацию aka NTLM и будет вообще сказка)
     
    Последнее редактирование: 04.02.2010
  17. Offline

    Notsaint Недавно здесь

    Регистрация:
    14.02.2010
    Сообщения:
    1
    Симпатии:
    0
    Пол:
    Мужской
    Странно

    Видимо у меня танк еще более броневой... :(

    Ни под каким соусом не хотело принимать юзеров и их пароли.

    Устанавливал на Денвере и в нем не оказалось php_ldap.dll вообще. Пришлось скачать и добавить ( как указано в корень рнр и убрал комменты).

    Результат плачевный при любом раскладе - Invalid password (при использовании Community Builder) или белый экран (при обычной аутентификации Joomla + LDAP)
     
  18. Offline

    tikondrus Недавно здесь

    Регистрация:
    30.12.2010
    Сообщения:
    1
    Симпатии:
    0
    Пол:
    Мужской
    это я уже понял из практического применения. интересно встретить ссылку на официальную документацию по этому поводу.

    и ещё. не у всех юзеров это поле заполнено и не всем есть возможно добавить. как "подпилить" джумлу, чтобы можно было авторизироваться всем юзерам, независимо от заполненности поля mail?
     
  19. Offline

    vovannovig Недавно здесь

    Регистрация:
    05.02.2011
    Сообщения:
    4
    Симпатии:
    0
    Пол:
    Мужской
    Добрый день.
    Подскажите пожалуйста,а возможно ли подружить с доменом Server 2008 R2?
    Если да,есть несколько вопросов:
    1)Какие права надо давать пользователю учетные данные которого указываются в настройках(Пользователь или повышать надо?)
    2)Если можно подружить с 2008 R2 надо ли на нем настраивать"Службы облегченного доступа"?
    3)Что надо указывать в случае домена - oun.dp.ua (Пользователи - 1@oun.dp.ua)
    -Основное отличительное имя (DN)
    -Строка для поиска
    -Отличительное имя (DN) пользователей

    Если для удобства созданы собственные подразделения к примеру:
    -IT_dep
    -Grad
    -User_r
    Надо ли их всех иерархировать под один каталог типа:
    -User
    ---IT_dep
    ---Grad
    ---User_r

    4)Имя пользователя для подключения ---- имя учетной записи(про которую спрашивал какие правами она должна обладать)
    5)Пароль для подключения ----- пароль данной учетной записи

    Карточка: Полное имя - думаю можно оставить по умолчанию "fullName"
    Атрибут: е-mail - думаю можно оставить по умолчанию "mail"
    Карточка: ID пользователя - думаю можно оставить по умолчанию "uid"

    Думаю ответ на мой пост можно смело помещать в FAQ :)

    (Извините что задаю еще такой вопрос - есть ли возможность реализовать справочник который брал бы все данные с АД?в то числе номер телефона,...)

    ЗАРАНЕЕ СПАСИБО! [!]
     
  20. Offline

    celadon Недавно здесь

    Регистрация:
    03.06.2008
    Сообщения:
    15
    Симпатии:
    0
    Пол:
    Мужской
    Просто в граббере плагина ldap.php (plugins/authentication/ldap) вставляем строку (модифицируем по необходимости):

    $response->email = $credentials['username'].'@domen.ru';

    Вместо:

    if (isset($userdetails[0][$ldap_email][0])) {
    $response->email = $userdetails[0][$ldap_email][0];
    }
     
  21. Offline

    bokus Недавно здесь

    Регистрация:
    04.04.2012
    Сообщения:
    2
    Симпатии:
    0
    Пол:
    Мужской
    Всё сделал как yurap начал выдавать "Пожалуйста, введите корректный адрес электронной почты." в логах "LDAP CANCELED:" чтоб избавиться от данной ошибки отредактировал ldap.php но строка предложенная celadon $response->email = $credentials['username'].'@domen.ru' не дала результата, после изменения на $response->email = 'qweqwe@domen.ru' он заработал но при этом возможно регистрировать одного.
    Впоследствии выяснил что не дает зайти joomlа т.к. libraries\joomla\database\table\user.php стоит проверка на валидность E-mail, !JMailHelper::isEmailAddress($this->email) если убрать её то всё ок. Есть ли в интерфейсе joomlы галочка поверки мыла.
     
    Последнее редактирование: 04.04.2012

Поделиться этой страницей

Загрузка...