Je suis actuellement à la recherche d’une méthode à suivre pour créer un utilisateur ActiveDirectory qui pourra seulement accéder en lecture seule à l’annuaire LDAP.
Je m’explique un peu plus en détail.
J’ai un serveur sous windows 2003 server avec un controleur de domaine activedirectory. Tous les employés ont un identifiant et mot de passe propre pour se conencter aux pc et aux mails.
Le site intranet sera sur un autre serveur avec debian apache php5 mysql.
Dans le cadre de mon stage, je dois créer un site intranet pour mettre quelques outils pratiques. Je dois donc vérifier que la personne est bien de l’entreprise. En ce qui concerne les méthodes d’autentification, j’en ai trouvé plusieurs pour interroger l’annuaire mais je n’arrive pas à établir une connexion. J’ai essayé avec des logiciels comme LDAP browser mais même lui n’arrive pas à se connecter. J’en ai donc déduis que je n’avais tout simplement pas accès à la LDAP.
J’ai lu sur plusieurs sites qu’il fallait créer un utilisateur dédié pour la lecture d’ActiveDirectory mais je n’arrive pas à la faire.
J’ai même essayer de chercher sur technet mais c’est un fameau foutoir et leur moteur de recherche interne n’est pas très éfficace (google sur technet ? :D)
Merci à tous par avance.
Edité le 01/08/2007 à 15:18
C’est vrai que ça à l’air de marcher. Mais ce que je souhaiterais faire est d’aller chercher directement les informations dans l’annuaire pour éviter d’avoir une tache à répeter à la main.
Pour y accéder en PHP, j’ai déjà trouvé les ressources. C’est l’accès à AD qui me pose problème.
j’ai fait que lire en diagonale mais si j’ai bien compris tu as utilisé ldifde.exe pour exporter les données vers le serveur intranet et tu voudrais qu’il les consulte directement pour pas à avoir à exporter régulièrement les données?
C’est bien ça?
J’ai pas de solution à te proposer pour une consultation directe! Mais pour éviter d’exporter manuellement les données tu peux toujours faire un script qui automatise l’exportation! :neutre:
En fait je voulais qu’il y ai le moins de choses à faire lorsqu’on crée un utilisateur. Je veux aler directement lire les utilisateurs et mots de passe dans l’annuaire.
Le problème est résolu, l’administrateur a trouvé comment créer un utilisateur avec pour seul droit la lecture de cet annuaire.
Pour l’authentification, je pense que je vais mettre un htaccess avec lecture dans l’annuaire (plus sécurisé à mon gout que le PHP).
Merci de ton aide.
ps : pour ceux que ca interresse, voici la méthode que je pense employer (pas encore testée) : www.developpez.net…
Il faudrait faire attention aux termes employés : la lecture seule d’active directory existe quoi qu’il arrive et ca s’appelle le catalogue global et tout le monde peut le consulter (c’est utilisé par exchange par exemple)
Mais ton problème concernait plus la restriction de lecture de certains attributs (ici mot de passe) des utilisateurs.
J’ai pas regardé ton lien, mais à priori il faut faire une délégation de contrôle et restreindre les droits à un utilisateur.
Avant je n’arrivais meme pas à lister les groupes et les utilisateurs. Maintenant j’y arrive avec l’utilisateur spécial.
La méthode que j’ai mentionné au dessus ne fonctionne pas chez moi (un des paramètre semble invalide pour apache2).
J’ai donc essayer en php. Cela fonctionne mais toutes les fonctions de vérification d’utilisateurs sont en fait des tentatives de connexion puis AD répond oui ou non.
Mon problème existe donc toujours (malheureusement).
De plus, même avec mon utilisateur avec privilèges, je n’arrive pas à lire le mot de passe (même cripté).
Si quelqu’un aurait une solution à me proposer, je l’en remercie d’avance.
Je m’explique : je devai installer un IPcop (FW linux pour ce qui ne connaisent pas) et les gens devaient se connecter via le proxy d’ipcop avec une authentification (pour savoir qui faisaient quoi).
A la fin du pdf, il explique comment créer un user avec les droits de lecture des propriétés, il faut faire attention au nom LDAP qui doivent bien corespondre au nom de l’utilisateur.
Si ca a fonctionné pour une distrib de 40M sans pages de MAN, ca devrait le faire pour ton apache2…
