LDAPでのアカウント管理†
- ページ: BugTrack2
- 投稿者: umorigu
- 優先順位: 低
- 状態: 完了
- カテゴリー: 本体新機能
- 投稿日: 2015-07-07 (火) 00:54:46
- バージョン: 1.5.0
- リリース予定バージョン: 1.5.1
メッセージ†
PukiWiki独自にアカウントを作るのではなく既存のLDAPアカウントを使って認証を行いたい
ユーザー認証時に、LDAP上のユーザー情報を参照し、そのユーザー名を使ってPukiWiki上のアクセス制御(閲覧・編集制限)を行う。
仕様(2016-01-21)†
pukiwiki.ini.php にて
$auth_type = AUTH_TYPE_FORM;
/////////////////////////////////////////////////
// LDAP
$ldap_user_account = 1; // (0: Disabled, 1: Enabled)
$ldap_url = 'ldap://ldapserver:389/dc=example,dc=com';
$ldap_bind_dn = 'cn=read-only-admin,dc=example,dc=com';
$ldap_bind_password = 'password';
- 開発サイト内でLDAPあたりのまとめがあるのは、認証パスワード関連を拡張した時のBugTrack/709#cc57dfa0ぐらい?と関連リンク --
- 現状のパスワードフォーマットがOpenLDAP実装互換になっているんですね。参考にします。外部のLDAPサーバーとも通信して認証したいと思って実装してみています -- umorigu
- 実運用においては通信路(LDAPサーバーとPukiWiki、PukiWikiとユーザー)の暗号化をお忘れなく -- henoheno
- 暗号化→そうですね。LDAPS(ssl)で接続できるようにもしたいです。 -- umorigu
- LDAP認証というのはちょっと言葉として違う気がしたのでタイトルを変えてみました。「LDAPでの認証に対応してほしい」→「LDAPでのアカウント管理」 -- umorigu
- 対応しました branch_r1_5 -- umorigu
- 走らせてないけど気になったのはget_ldap_user_info()で、返り値がFALSEの場合もあるとldap_get_entries()のマニュアルにはあるのに $info = $entries[0]; と配列前提の造りになっているようなので、大丈夫なのかな~と --
- あと、設定を誤った場合などのために、ldap_connect()が存在しない(LDAPが無効でビルドされているなど)場合の保険とかは必要なのかな?(常にFALSEを返すだけとか、PKWK_OPTIMISE設定に応じて関数の定義を変えるとか) --
- ldap_get_entriesの戻り値をチェックするようにしました。更に、検索文字列のエスケープをしてませんでしたので追加しています。LDAPが読み込まれてない場合はきちんとFatal Errorなるので今のままで問題ないと思っています。PKWK_OPTIMISEは今までよくわかったいなかったのですが、実行時の速度最適化のためのフラグのようですね -- umorigu
- PHPのFatal Error メッセージ(内部パス付き)そのままで構わないなら、保険は忘れてください(レンタル鯖で制限されてるでも無い限り、本番環境ではdisplay_errors 設定を無効にしている方が多いでしょうし) -- [[2016-02-14 (日) 10:12:32の人]]
- ログイン情報だけLDAP参照できてもグループを使えないと嬉しさ半減、という気がしてきたのでグループの対応もいれることにします -- umorigu