Как настроить аутентификацию из Active Directory через LDAP?

[skw85]

Кто нибуть смог настроит аутентификацию из Active Directory  с помощью плагина Authentication - LDAP?
Не понятны назначение некоторых (Базовый DN, Строка поиска, Пользовательский DN, Map: Полное имя, Map: E-mail, Map: User ID) полей в параметрах плагина...

[leha_kr]

Удалось.. правда потратил на это дней пять пока смог разобраться... судя даже по иностранным форумам она еще кривая...
короче настройки такие ..

Хост - ххх.ru
Порт - 389
LDAP V3 - да
Negotiate TLS - нет
Не следовать перенаправлениям - нет
Authorization Method - Bind Directly As User
Базовый DN - dc=xxx, dc=ru
Строка поиска - sAMAccountName=[search]
Пользовательский DN - пустой
Connect username - пустой
Пароль подключения - пустой
Map FullName - displayName (если хотите чтоб в имя пользователя было как полное имя в AD) или fullname ( если хотите чтоб имя  пользователя было как логин в AD )
Map Email - mail
Map User ID - uid

так работает правда есть ограничения...
у пользователя не должны стоять ограничения на вход только с определенных машин..

будем разбираться дальше...

[skw85]

Спасбо за помощь!
Однако.
У меня название домена name.local;
И, если я ввожу имя и пароль, то ответ: имя или пароль не опознаны.
Если ввожу имя вида name\имя пользователя (name - имя домена без .local), то joomla определят имя пользователя из домена, однако такое имя для автоматического создания не подходит (символ \ не допустим в имени).

[Greycat]

В версии 1.0.x список недопустимых символов можно было изменить. Может быть такую же штуку можно провернуть и на 1.5, но всё на ваш страх и риск.

[leha_kr]

У меня название домена name.local;

Попробуй внести изменения в файл  libraries/joomla/client/ldap.php

Добавь в начале
var $_account_suffix="@local

а функцию setDN замени следующим кодом:

 function setDN($username,$nosub=0)
   {
      if ($this->users_dn == '' || $nosub) {
         $this->_dn = $username.$this->_account_suffix;     
} else {
         $this->_dn = str_replace('[username]', $username, $this->users_dn);
      }
   }

Имя пользователя вводить как в винде.. просто логин без префиксов и собак..

[skw85]

Спасибо за ответ.
Но, все же.
Теперь логин проходит без всяких дефисов и т. п.
Но е майл не воспринимается:

        * Пожалуйста, введите правильный e-mail адрес.
        * E_NOLOGIN_ACCESS

В домене он прописан. В настройках уже перепробовал несколько вариантов - никак

[Greycat]

Посмотрите эту тему, вдруг поможет: http://joomlaforum.ru/index.php/topic,26024.0.html

[leha_kr]

skw85 
  а почтовый домен тоже local или внешняя почта?? 
  1,5 часом не RC ??
  я правда еще библиотеку ldap правил, но это потому что у меня у пользователей ограничение на вход с определенных машин...
  в файле libraries\joomla\client\ldap.php в начале добавляешь
   var $name = null;
            меняешь функцию bind на :
      function bind($username = null, $password = null, $nosub = 0)
   {

      if (strlen($this->username)) {
         $username = $this->username;
      }
      if (strlen($this->password)) {
         $password = $this->password;
      }


      $this->setDN($username,$nosub);
      //if(strlen($this->getDN()))
      $bindResult = @ldap_bind($this->_resource, $this->getDN(), $password);
      return $bindResult;
   }


В настройках
Connect username - ххх@local (пользователь с полными правами)
Пароль подключения - ******* (пароль)

[serge88]

Привет Всем. Такая проблема возникла, поставил себе Ldap_bot (mambot) , но при его активации и правильной настройке всё равно авторизация проходит через Mysql , т.е. плагин успешно поставлен ,но при этом не используется, посоветуйте что-нибудь плиз, либо киньте ссылку на рабочий Ldap плагин

P.S. - Joomla 1.0.14

[bunak]

Ситуация - локальная сетка на MS Active Directory win2003.

Вопрос:
Возможно ли сделать так что бы пользователь посещая сайт Joomla 1.5 автоматически определялся с помощью MS Active Directory win2003? Т.е. зашел пользоватетль на сайт а ему сразу - "Привет Михаил Петрович".

[Greycat]

Такие темы попадаются на forum.joomla.org, но я не вникал и не пробовал:

1.5+Active+Directory

[stormdog]

Спасибо за ответ.
Но, все же.
Теперь логин проходит без всяких дефисов и т. п.
Но е майл не воспринимается:

        * Пожалуйста, введите правильный e-mail адрес.
        * E_NOLOGIN_ACCESS

В домене он прописан. В настройках уже перепробовал несколько вариантов - никак

   
Та же байда... тра...... уже неделю.. Уфффф  Правда ничего не менял...
Неужели никто неможет сказать в чем дело...???

[Ash]

Нашёл тут ссылочку:
http://forum.joomla.org/viewtopic.php?f=304&t=103577&st=0&sk=t&sd=a&start=330#p1269013

Вполне толково написано как чего. Только вот одно "но". В конце говорится, что надо создать в Joomla пользователя, который есть в AD с пустым паролем и валидным мылом. После чего пробовать войти с этим именем и доменным паролем и будет вам счастье. Получается, что Joomla берёт из AD только пароль, без логина и displayName!

В связи с этим возникает вопрос: это мне все 300 человек в Joomla заводить, чтоль? У меня новые пользователи появляются почти каждый день и всем нужен будет доступ к порталу. Что с этим делать?

Только что попробовал: оставил поле "Search String" пустым при способе "Bind and search". Работает, кушать не просит. Получается, что он вообще в AD ничего не ищет?

На всяк случай свой конфиг(строчку поставил обратно):
Host  "host.ru"
Port  "389"
LDAP V3  "Yes" 
Negotiate TLS  "No"
Follow referrals  "No"
Authorisation Method "Bind and SearchBind Directly as User "
Base DN  "DC=optifood.ru, DC=ru"
Search String  "sAMAccountName=[search]"
User's DN  ""
 
--------------------------------------------------------------------------------
 
Connect username  "joomla"
Connect password  "******"
 
--------------------------------------------------------------------------------
 
Map: Full Name  "displayName"
Map: E-mail  "mail"
Map: User ID  "sAMAccountName"
 

[stormdog]

Нет это классно конечно, но мне от такого способа только одни проблемы у меня 200 человек.. и тоже каждый день появляются новые.. Неужель никому из разработчиков нет дела, аль у них AD другое ))))))))))))))))))))))))))))))))))))  Нет надо эту проблему поднимать и как то решать.. Не дело это. Система хорошая, а тут такой пробел..  Взять битрикс в AD за 3 минуты прикручивается.. хоть и не люблю я его.. А Joomla наша хоть ап стену хоть в прорубь ныряй а толку никакого.. для 10 человек постоянных пользюков подойдет.. а всем остальным что делать.. Короче одни вопросы.. У меня уже из за этого проекта 3-4 корпоративных накрылось.. И все из за привязки к AD. Может кто нибудь толковый мод или хак напишет стабильный и грамотный.. А мы все ему скинемся!

[svesve]

Перечитал все топики и весь гугл порвал
Не получилось настроить авторизацию через ЛДАП
Если писать Логин@домен то пишет не верное мыло
по другому Учетная запись не найдена
Подскажите как и что делать?

[leha_kr]

Давно я тут не был... если пишет не правильный e-mail то может он просто не заполнен в AD.
У меня авторизация через LDAP работает без проблем..

[MAXuk]

Решение найдено... 

Сервер у меня на FreeBSD6.4: Apache22+MySQL5.1+PHP5+PHP5-extansion(Обязательно установить модуль OpenLDAP/ldap.so)
Joomla 1.5.9 + обновление до версии 1.5.10, настраивал стандартный модуль LDAP, идущий  в комплекте с Joomla 1.5.9

Настройки модуля слудующие:
Хост:   pdc.domain.local
Порт:   389
LDAP V3:   Да
Выполнять TLS:   Нет
Следовать перенаправлениям:  Нет
Метод авторизации:   Привязать непосредственно как пользователя.
Базовый DN:   dc=domain,dc=local
Строка поиска:   sAMAccountName=[search]
Пользовательский DN:  [username]@domain.local
     
Имя пользователя подключения:   ПУСТО
Пароль подключения:   ПУСТО
     
Map: Полное имя:   displayName (С этим полем можно поиграть чтобы в приветсвии отображалась нужная инфа)
Map: E-mail:   mail
Map: User ID:   sAMAccountName

[sunname]

Решение найдено...  

Сервер у меня на FreeBSD6.4: Apache22+MySQL5.1+PHP5+PHP5-extansion(Обязательно установить модуль OpenLDAP/ldap.so)
Joomla 1.5.9 + обновление до версии 1.5.10, настраивал стандартный модуль LDAP, идущий  в комплекте с Joomla 1.5.9

Настройки модуля слудующие:
Хост:   pdc.domain.local
Порт:   389
LDAP V3:   Да
Выполнять TLS:   Нет
Следовать перенаправлениям:   Нет
Метод авторизации:   Привязать непосредственно как пользователя.
Базовый DN:   dc=domain,dc=local
Строка поиска:   sAMAccountName=[search]
Пользовательский DN:   [username]@domain.local
     
Имя пользователя подключения:   ПУСТО
Пароль подключения:   ПУСТО
     
Map: Полное имя:   displayName (С этим полем можно поиграть чтобы в приветсвии отображалась нужная инфа)
Map: E-mail:   mail
Map: User ID:   sAMAccountName

у меня тоже версия 5.10 - плагин включила, настроила (все по правилам)
но когда пытаюсь войти - на сайте в ответ пустой экран (никакких признаков жизни), логи лдап пустые - выходит даже не пытается конектиться.
прочла про дополнительный плагин User ldap, установила, но не помогло.
что делать, помогите
Может еще какие-то дополнительные плагины нужны????

[yurap]

Итак, у меня заработало, пусть и у Вас заработает :-).
Система: WinXP/Apache
Домен: Windows 2003
CMS: Joomla 1.5.15
Включаем плагин LDAP
/* здесь и далее везде: domain это адрес вашего домена, если ваш домен 3го уровня вводите sub.domain.ru, где sub - это ваш домен 3го уровня */
настройки плагина:
Хост: domain.ru (можно ввести конкретный IP адрес контроллера домена)
Порт 389 (оставляем по умолчанию)
LDAP V3 Да
Выполнять TLS Нет
Следовать перенаправлениям Нет
Метод авторизации Привязать и найти
Базовый dc=domain,dc=ru  (если у вас домен 3го уровня вводите dc=sub,dc=domain,dc=ru )
Строка поиска sAMAccountName=[search]
Пользовательский DN оставляем пустым

Имя пользователя подключения login@domain.ru (нy или login@sub.domain.ru если у вас домен 3го уровня - обязательное условие - этот пользователь (login) д.б. Админом в домене)
Пароль подключения: собственно пароль пользователя login@domain.ru

Map: Полное имя displayName (если хотите чтоб в имя пользователя было как полное имя в AD) или fullname (если хотите чтоб имя  пользователя было как логин в AD)
Map: E-mail mail
Map: User ID uid

При аутентификации вводите просто пару login & password . Данные пользователя копируются из AD.
Для успешной регистрации обязательно наличие корректно заполненного поля E-mail у пользователя AD.

[Ирра]

Товарищи, настроить лдап можно с помощью JDiagnostic , разобраться не сложно.  Единственное, не удается сделать автоматическую аутентификацию. Может кто разобрался до конца? Это ведь не дело постоянно логин и пароль забивать...

[tikondrus]

всё работает, кроме одного НО

Если у пользователя нет или не задан аттрибут "mail", то авторизоваться не получится. как хакнуть ldap.php, чтобы всё заработало?

[tikondrus]

всё работает, кроме одного НО

Если у пользователя нет или не задан аттрибут "mail", то авторизоваться не получится. как хакнуть ldap.php, чтобы всё заработало?

нужно в $/libraries/joomla/database/table/user.php (строка примерно 157-160)

заменить

if ((trim($this->email) == "") || ! JMailHelper::isEmailAddress($this->email) ) {
   $this->setError( JText::_( 'WARNREG_MAIL' ) );
   return false;
}

на

if ((trim($this->email) == "") || ! JMailHelper::isEmailAddress($this->email) ) {
   $this->email = $this->username . "@dummydomain.com";
   // Find the explanation below
}

нашел на http://forum.joomla.org/viewtopic.php?p=1351507

[ejik_off]

Помогите настроить авторизация через LDAP, делал все как здесь описано, но не работает. Когда подключаю прлагин авторизация-LDAP и включен плагин авторизация-joomla, зайти на сайт не возможно ни с аккаунтом AD ни с joomla-вксим аккаунтом. Или нужно чтобы только один тип авторизации был подключен?