F.A.Q. LDAP
- 1. Les filtres LDAP
- 2. L'extension LDAP ne se charge pas
- 3. Perte des personnes LDAP - Changement d'annuaire LDAP - ...
- 4. Désolidariser un champ LDAP
- 5. Passer outre l'authentification Active Directory
- 6. Aucune donnée n'est importée
- 7. Page blanche au lancement de l'application (Erreur sur la page)
- 8. La fenêtre de saisie de login est systématiquement proposée bien que l'authentification AD soit activée
- 9. FireFox : Activation de l'Authentification ActiveDirectory
- 10. Chrome : Activation de l'Authentification ActiveDirectory
- 11. Safari Windows : Activation de l'Authentification ActiveDirectory
- 12. Erreur : Invalid Credentials
- 13. Erreur : C'est probablement le paramétrage du champ unique
1. Les filtres LDAP
1.1. Filtres LDAP
1 - Personnes dont l'ou ou le dn (distinguish name) = scoqilh OU personnes dont ou et dn contient scoqiusa ET ou et dn contient commercial
Exemple de filtre complet : (&(objectClass=person)(|(ou:dn:=scoqilh)(&(ou:dn:=scoqiusa)(ou:dn:=commercial))))
2 - Filtre permettant de filtrer sur le groupe des utilisateurs
Si le groupe s'appelle QALITEL, la syntaxe du filtre (qui peut être combiner au précédent) est :
(memberof=cn=QALITEL,cn=scoqiorg,dc=scoqi,dc=fr)
3 - Filtre qui recherche tous les groupes qui contiennent grp :
Exemple de filtre complet : (&(objectCategory=group)(SAMAcCOUNTNAME=*grp*))
4 - Exclure les items pour lesquels le CN est vide (ne prendre que ceux pour lesquels le cn contient quelque chose) : (cn=*)
Exemple de filtre complet : (&(objectClass=person)(sn=*))
5 - Prendre toutes les personnes dont le sn est rempli et qui appartiennent à une ou "support" (quel que soit le niveau de cette ou dans l'arborescence)
Exemple de filtre complet : (&(objectClass=person)(ou:dn:=support)(sn=*))
6 - Prendre toutes les personnes dont le sn est rempli et dont dn contient support et scoqiLH OU dn contient commercial et scoqiUSA
Exemple de filtre complet : (&(objectClass=person)(sn=*)(|(&(ou:dn:=support)(ou:dn:=scoqiLH))(&(ou:dn:=scoqiUSA)(ou:dn:=commercial))))
7 - Dans cet exemple de filtre, on prend ou:dn: contenant scoqiorg. La partie du filtre support - socqiLH n'a pas d'intérêt puisqu'elle est englobée (en sous-niveau) de scoqiorg
Exemple de filtre : (&(objectClass=person)(sn=*)(|(ou:dn:=scoqiorg)(&(ou:dn:=support)(ou:dn:=scoqiLH))(&(ou:dn:=scoqiUSA)(ou:dn:=commercial))))
8 - Cet exemple est une version plus précise de la précédente et permet de ne prendre que les personnes rattachée à ou:dn: scoqiorg sans les sous niveaux et enstuire de prendre le sous-niveau scoqiLH-support et scoqi-USA-commercial
Exemple de filtre : (&(objectClass=person)(sn=*)(|(&(ou:dn:=scoqiorg)(!(ou:dn:=scoqiLH)))(&(ou:dn:=support)(ou:dn:=scoqiLH))(&(ou:dn:=scoqiUSA)(ou:dn:=commercial))))
1.2. Filtres sur la structure LDAP
1 - Il n'est pas possible de filtrer sur plusieurs OU spécifiquement
(|(OU=SCOQI US)(OU=Informatique)(OU=SCOQI LH))
|_ SCOQI US
| |__Informatique
|_ SCOQI LH
| |__Informatique
On ne peut pas prendre que ce qu'il y a dans "Informatique"
Le filtre ci-dessus prendra tout ce qu'il y a SCOQI US, dans SCOQI LH et dans Informatique de ces 2 branches SCOQI US et SCOQI LH
2. L'extension LDAP ne se charge pas
La résolution de ce problème est spécifié à ce niveau de la F.A.Q. (F.A.Q. - Serveurs Web)
Vous pouvez consulter le fichier d'erreurs de PHP pour valider la présence d'erreurs telles que :
PHP Fatal error: Uncaught Error: Call to undefined function ldap_connect()
3. Perte des personnes LDAP - Changement d'annuaire LDAP - ...
Si vous n'arrivez plus à vous connecter en authentification LDAP ou Active Directory, cela peut venir par exemple d'un changement d'annuaire.
3.1. Validation des paramètres LDAP
Connectez-vous à l'application avec un compte Administrateur non LDAP puis accédez au menu "Outils - Préférences".
Utilisez le bouton "Tester" présent dans l'onglet "LDAP" des Préférences. Si vous obtenez un listing comme celui ci-dessous avec des "Simulation d'ajout de personne" c'est que l'application a perdu la relation avec les personnes précédemment importées.
Il va donc être nécessaire de réimporter les personnes. Elles seront alors présentes en double dans l'application. Il sera alors nécessaire de les fusionner afin d'affecter les données associées à l'ancienne personne sur la nouvelle.
3.2. Import des personnes
Pour importer votre liste de personnes (après avoir validé le résultat proposé par le bouton "Tester"), cliquez sur le bouton "Activer". Vous obtenez alors un écran comme présenté ci-dessous avec le listing des éléments importés dans votre liste du personnel.
3.3. Fusion des personnes
A ce stade, les personnes sont présentes en double dans la liste du personnel. Utilisez alors le bouton "Fusion" présent dans l'onglet "LDAP" des Préférences pour effectuer cette fusion.
Vous accédez à cette première fenêtre vous montrant la liste du Personnel
Cette fenêtre va vous permettre de sélectionner successivement les personnes nouvellement importes et pouvoir ensuite leur transférer les données associées aux personnes présentes précédemment.
Pour cela, cliquez sur le bouton de la barre d'outils vous permettant d'afficher la liste du Personnel.
Une seconde fenêtre, présentée ci-dessous s'affiche.
Séelctionnez alors la personne correspondante puis double cliquez ou utilisez le bouton de choix de la barre d'outils. Vous pouvez vérifier que la personne sélectionnée est bien celle utilisée jusqu'à présent dans le logiciel en faisant défiler horizontalement l'affichage pour faire apparaître les colonnes situées à droite et comptabilisant le nombre d'éléments associés à la personne comme montré ci-dessous :
Une fois la correspondance des personnes effectuée dans la première fenêtre validez votre paramétrage avec le bouton correspondant puis passez à la page suivante.
4. Désolidariser un champ LDAP
Dans le cas où vous avez synchronisé un champ de la fiche Personnel avec le LDAP et que vous souhaitez que ce champ redevienne libre, il vous suffit d'accéder à l'écran de paramétrage du LDAP (Menu Outils - Paramètres Utilisateurs puis le menu Outils - Préférences - LDAP de l'environnement des Utilisateurs). Sur la ligne Champs Personne, cliquez sur le botoun situé à droite du champ pour accéder à la fiche de mappage des champs de l'application QALITEL avec ceux de votre annuaire. Supprimez à ce niveau le champs que vous ne souhaitez plus synchroniser. Au prochain démarrage de l'application, ces champs deviendront alors libres en saisie.
5. Passer outre l'authentification Active Directory
Ce besoin peut apparaître si vous avez activé l'authentification Active Directory et qu'un utilisateur ait besoin d'utiliser plusieurs connexions différentes à l'application. Le lancement du lien "standard" le fera se connecter automatiquement toujours sous le même profil.
En utilisant le lien suivant, http;//..../app/identification.php?activeDir=1, l'écran d'authentification sera demandé à l'utilisateur qui pourra alors se connecter avec un autre profil.
(ATTENTION, la passage du paramètre activeDir=1 ne fonctionne pas sur la page index.php mais uniquement sur la page identification.php)
6. Aucune donnée n'est importée
Après le paramétrage de l'onglet LDAP dans les Préférences de l'application et avoir cliqué sur le bouton Activer, la page d'import des données s'affiche. Les 2 premières lignes concerne la connexion au serveur LDAP :
connexion LDAP sur le serveur : 192.168.0.200 - port 389 connexion login : scoqi2008
Si vous n'avez pas d'erreur à ce niveau c'est que la connexion LDAP a été réalisée sinon revoyez les paramétrages effectués dans la fenêtre des Préférences.
Ensuite doivent figurer toutes les personnes importées, modifiées ou supprimées. Si aucune modification n'est effectuée sur la personne (déjà importée) alors la ligne suivante est affichée :
Pas de modification personne : JEAN - Nicolas
Si rien n'apparait sous les 2 lignes de connexion c'est qu'aucune donnée n'a été importée ou mise à jour. Dans ce cas, cela vient soit du filtre LDAP sur la personne / service soit du positionnement dans la racine de votre annuaire tel que vous l'avez paramétré dans l'écran de Préférences.
Le processus d'import des personnes doit avoir au moins un niveau à parcourir. Aussi, le problème peut provenir de se placer trop bas dans la structure de l'annuaire (directement sur le niveau contenant les personnes à importer). Il est alors nécessaire de modifier la racine pour remonter d'un niveau.
7. Page blanche au lancement de l'application (Erreur sur la page)
Environnement Windows - IIS - Authentification Active Directory activée.
Si après avoir validé les différents points présentés ci-dessus vous avez au lancement de l'application une page blanche (aucun écran de saisie de login n'est proposé) avec une erreur sur la page, vérifiez alors le PHP.LOG. Si vous rencontrez l'erreur PHP Notice: Undefined variable: param_GET ... vérifiez alors le point suivant.
Connectez vous à la console d'IIS puis placez-vous sur le répertoire virtuel de l'application. Faites alors un clic droit Propriétés puis sur l'onglet Sécurité de répertoire cliquez sur le bouton Modifier de la rubrique Authentification et contrôle d'accès.
Vérifiez alors que la case Activer la connexion anonyme est décochée et que la case Authentification Windows intégrée est quant à elle cochée. Il est possible en effet que le paramétrage ait été fait au niveau du site Web et non répercuté sur les répertoires virtuels. Ceci provoque alors l'erreur mentionnée ci-dessus.
8. La fenêtre de saisie de login est systématiquement proposée bien que l'authentification AD soit activée
Le principe de fonctionnement des applications avec l'authentification Active Directory est que si le profil passé à l'application FW est reconnu, l'accès direct est effectué sinon la fenêtre d'identification (Identifiant / Mot de passe) est alors proposée. Cela permet de gérer des utilisateurs QALITEL/ Epistolaire disposant ou non d'un compte LDAP. Les points ci-dessous permettent de répondre à une non reconnaissance de l'authentification Active Directory pour un profil utilisateur disposant d'un compte LDAP valide.
- Vérification au niveau d'IIS
- Vous avez configuré votre application FullWeb (FW) avec la connexion LDAP et activé l'authentification Windows sous IIS. Malgré cela, la fenêtre d'identification de QALITEL vous est systématiquement proposée. Validez alors que dans les propriétés du Site ou répertoire virtuel dans IIS vous avez bien l'option Activer la connexion anonyme décochée (ATTENTION, cette option peut être activée sur le répertoire virtuel et il est donc nécessaire de valider chacun des répertoires virtuels). cette option est accessible dans l'onglet Sécurité de répertoire puis bouton Modifier dans la rubrique Authentification et contrôle d'accès. Vous devez avoir, dans cette même fenêtre, la case Authentification Windows intégrée cochée.
- Vérification dans l'application FW
- Accédez à l'écran des Préférences (menu Outils - Paramètres Utilisateurs puis menu Outils - Préférences) puis à l'onglet LDAP. Assurez vous que la case Activer l'authentification Active Directory soit activée.
- Vérification des paramètres LDAP
- Reprenez les paramètres de la fenêtre des Préférences (voir ci-dessus) et validez l'accès à l'annuaire via un utilitaire externe.
- Vérification du paramétrage d'Internet Explorer
- Accédez à l'écran des Préférences d'Internet Explorer via le menu Outils - Options Internet.
Dans un premier temps, assurez-vous que la sécurité Internet autorise l'authentification Windows. Pour cela, accédez à l'onglet Avancés de la fenêtre des Options et cochez la case Activer l'authentification Windows intégrée.
L'activation de cette option nécessite un redémarrage d'Internet Explorer.
Ensuite, l'autre vérification à effectuer dans les Options Internet se situe sur l'onglet Sécurité. Vous devez ajouter le site où se trouve hébergée l'application QALITEL dans la liste des sites de confiance. Pour cela, accédez à l'onglet Sécurité des Options Internet, cliquez sur l'icone Sites de confiance puis sur le bouton Sites. Entrez alors l'adresse du site sous la forme : http://scoqi.fr/qdoc par exemple.
Le dernier paramétrage consiste à personnaliser le niveau de sécurité des sites de confiance. Pour cela, sur cette même fenêtre, vous disposez d'un bouton Personnaliser le niveau. Cochez la case Connexion automatique avec le nom de l'utilisateur et le mot de passe actuel dans la rubrique Authentification utilisateur.
Relancez Internet Explorer pour la prise en compte des ces modifications.
9. FireFox : Activation de l'Authentification ActiveDirectory
Pour utiliser FireFox sur un Intranet dans un domaine Windows, IIS utilise l'authentification NTLM.
Il est nécessaire de configurer FireFox pour envoyer automatiquement le nom et mot de passe comme Internet Explorer et ce pour une liste de domaines précis.
Lancer la page de config de FireFox : about:config
Ensuite double cliquer sur la ligne : network.automatic-ntlm-auth.trusted-uris
Entrer le nom du domaine : http://nomdomaine.com
10. Chrome : Activation de l'Authentification ActiveDirectory
Chrome se base sur les mêmes paramétrages des Options Internet qu'Internet Explorer. Aussi, reportez-vous à la rubrique correspondante.
11. Safari Windows : Activation de l'Authentification ActiveDirectory
La fonctionnalité d'authentificaiton Active Directory automatique n'est actuellement pas possible. Il est nécessaire de saisir l'identifiant / mot de passe LDAP pour se connecter. Il est néanmoins possible de demander à SAFARI de mémoriser ces identifiants afin de pas les saisir à chacune des connexions aux applications QALITEL.
12. Erreur : Invalid Credentials
Généralement, le libellé comple de cette erreur est : Connexion échouée : 49 - Invalid credentials
Ceci est dû à une erreur de connexion de l'application au serveur LDAP. Il est alors nécessaire de revoir les paramètres de connexion utilisés notamment le login et le mot de passe.
13. Erreur : C'est probablement le paramétrage du champ unique
Cette erreur est générée dans le cas où le champ unique défini est vide (pour toute ou partie des éléments importés) ou n'existe pas dans l'annuaire LDAP.
Vous pouvez dans ce cas vous aider d'un utilitaire permettant de visualiser le contenu de l'annuaire avec les noms des champs LDAP pour valider le nom du champ contenant l'identifiant unique.