ldapsaisie/doc/conf/srv-ldap.docbook

370 lines
13 KiB
Text
Raw Normal View History

2009-03-17 20:21:10 +01:00
<?xml version="1.0" encoding="UTF-8" ?>
<sect3 id="config-srv-ldap">
<title>Configuration des serveurs LDAP</title>
<para>Cette section décrit le tableau de configuration des différents serveurs
LDAP utilisés par l'application. Ce tableau contient lui même un tableau par
serveur LDAP.</para>
<programlisting linenumbering="unnumbered">
<citetitle>Structure</citetitle>...
2009-03-17 20:21:10 +01:00
<![CDATA[$GLOBALS['LSconfig'] = array(
...
'ldap_servers' => array(
array (
'name' => [nom de l'annuaire],
'ldap_config'=> array(
// Définition des paramètres de connexion à l'annuaire
),
'useUserCredentials' => [boolean],
'useAuthzProxyControl' => [boolean],
'LSauth' => array (
'method' => [LSauth method],
Add API feature Some major changes have been made to handle this new feature : - LSsession now have a flag about API mode. The displayTemplate() and displayAjaxReturn() methods have been adjust to correctly handle this mode. - LSauth system have been adjust to handle a custom API mode : - LSauthMethod can support or not this mode : the $api_mode_supported permit to defined if supported (default, false). Currently, only HTTP (default in API mode) and annonymous mode support it. - An api_access parameter permit to configure witch type of user LSobject types could use the API. This flag must be set to True to allow a type of LSobject (default: False). In a same way, a web_access parameter now permit to disable Web access for some types of users (but this parameter is optional and its default value is True). - The HTTP method is the privileged first method for API mode. In this mode, if auth data aren't present in environment, it will request it by triggered a 403 HTTP error. Realm can be configured with new LSAUTHMETHOD_HTTP_API_REALM constant. - The LStemplate system handle API mode to correctly react on errors: it return a JSON answer instead of HTML page. Error pages also now return adjusted HTTP code (404 or 500). - The LSurl system have been adjust to handle API mode : - On declaring handlers, we could now specify if it's an API view with new $api_mode paremeter of add_handler() method - The LSurlRequest object have a new attribute to check if it's an API request - The error_404() method handle the API mode to return JSON answer. Furthermore, if no handlers matched with the requested URL, API mode is automatically enabled if the requested URL starts with 'api/'. - LSform implement it own API mode flag and a new submited flag that be toggle via the new setSubmited() method. Some major changes also occured on LSformElement classes to specifically handle API input/output for each types of attributes: - a new getApiValue() method permit to retrieve the API value of the attribute (on show API view) - the getPostData() method now have to correctly handle API input for the attribute (on create/modify API views). A programmatic way have been adopted for each types of attributes. - The LSimport and LScli create/modify commands also evolved to enable API mode of the LSform. This permit to take advantage of the new capability of LSform/LSformElement to handle input values with a programmatic way. - New routes have been add to handle API views. All this new routes start with 'api/1.0/' and use the same URL schema as the web UI. The API currently permit to search/show/add/modify/remove LSobjects and manages their relations.
2021-02-03 14:40:28 +01:00
'api_method' => [LSauth method],
'LSobjects' => array(
'[object type 1]',
'[object type 2]' => array(
'filter' => '[LDAP filter]',
2023-08-18 15:45:07 +02:00
'filter_function' => [callable],
'password_attribute' => '[attribute name]',
Add API feature Some major changes have been made to handle this new feature : - LSsession now have a flag about API mode. The displayTemplate() and displayAjaxReturn() methods have been adjust to correctly handle this mode. - LSauth system have been adjust to handle a custom API mode : - LSauthMethod can support or not this mode : the $api_mode_supported permit to defined if supported (default, false). Currently, only HTTP (default in API mode) and annonymous mode support it. - An api_access parameter permit to configure witch type of user LSobject types could use the API. This flag must be set to True to allow a type of LSobject (default: False). In a same way, a web_access parameter now permit to disable Web access for some types of users (but this parameter is optional and its default value is True). - The HTTP method is the privileged first method for API mode. In this mode, if auth data aren't present in environment, it will request it by triggered a 403 HTTP error. Realm can be configured with new LSAUTHMETHOD_HTTP_API_REALM constant. - The LStemplate system handle API mode to correctly react on errors: it return a JSON answer instead of HTML page. Error pages also now return adjusted HTTP code (404 or 500). - The LSurl system have been adjust to handle API mode : - On declaring handlers, we could now specify if it's an API view with new $api_mode paremeter of add_handler() method - The LSurlRequest object have a new attribute to check if it's an API request - The error_404() method handle the API mode to return JSON answer. Furthermore, if no handlers matched with the requested URL, API mode is automatically enabled if the requested URL starts with 'api/'. - LSform implement it own API mode flag and a new submited flag that be toggle via the new setSubmited() method. Some major changes also occured on LSformElement classes to specifically handle API input/output for each types of attributes: - a new getApiValue() method permit to retrieve the API value of the attribute (on show API view) - the getPostData() method now have to correctly handle API input for the attribute (on create/modify API views). A programmatic way have been adopted for each types of attributes. - The LSimport and LScli create/modify commands also evolved to enable API mode of the LSform. This permit to take advantage of the new capability of LSform/LSformElement to handle input values with a programmatic way. - New routes have been add to handle API views. All this new routes start with 'api/1.0/' and use the same URL schema as the web UI. The API currently permit to search/show/add/modify/remove LSobjects and manages their relations.
2021-02-03 14:40:28 +01:00
'web_access' => [booléen],
'api_access' => [booléen],
)
)
),
2009-03-17 20:21:10 +01:00
'LSprofiles' => array (
// Définition des LSprofiles
),
'cacheLSprofiles' => [boolean],
'cacheSearch' => [boolean],
2019-05-21 12:06:24 +02:00
'globalSearch' => [boolean],
2009-03-17 20:21:10 +01:00
'LSaccess' => array (
[Type LSobject 1],
[Type LSobject 2],
...
),
'subDn' => array(
// Définition des sous-niveaux de l'annuaire
),
'subDnLabel' => [nom des sous-niveaux],
'recoverPassword' => array(
// Définition des paramètres de configuration de la récupération de mot de passe
),
2018-09-13 18:36:45 +02:00
'defaultView' => [view],
2009-03-17 20:21:10 +01:00
'emailSender' => [email],
'keepLSsessionActive' => [booléen]
)
...
);]]>
...
</programlisting>
<!-- Début Paramètres Configuration -->
2009-03-17 20:21:10 +01:00
<variablelist>
<title>Paramètres de configuration</title>
<varlistentry>
<term>name</term>
<listitem>
<simpara>Le nom d'affichage de ce serveur Ldap
(utilisé lorsque plusieurs serveur LDAP sont déclarés).</simpara>
</listitem>
</varlistentry>
<varlistentry>
<term>ldap_config</term>
<listitem>
<simpara>Informations de connexion au serveur LDAP. Ces informations sont
structurées selon les attentes de la librairie &netldap;.
2009-03-17 20:21:10 +01:00
<ulink url='http://pear.php.net/manual/fr/package.networking.net-ldap.connecting.php'>
Plus d'informations</ulink>
</simpara>
</listitem>
</varlistentry>
<varlistentry>
<term>useUserCredentials</term>
<listitem>
<simpara>Booléen définissant si il faut utiliser les identifiants de l'utilisateur pour
se connecter à l'annuaire (<emphasis>false</emphasis> par défaut). Si cette option est
activée, la connexion à l'annuaire LDAP sera établie avec la configuration fournie dans
le paramètre <emphasis>ldap_config</emphasis> en écrasant les informations de connexion
(<emphasis>binddn</emphasis> et <emphasis>bindpwd</emphasis>) par ceux de l'utilisateur.
Si l'utilisateur n'est pas encore connecté, la connexion sera étalie sans modifier la
configuration fournie.
</simpara>
</listitem>
</varlistentry>
<varlistentry>
<term>useAuthzProxyControl</term>
<listitem>
<simpara>Booléen définissant si, lorsqu'on utilise les identifiants de l'utilisateur pour
se connecter à l'annuaire, il faut utiliser une authentification via <emphasis>proxy
authorization</emphasis>. Dans ce cas, les identifiants de l'utilisateur ne seront pas, à
proprement parlé, utilisés pour se connecter à l'annuaire, mais une demande de <emphasis>
proxy authorization</emphasis> en tant que l'utilisateur connecté sera faites à l'aide des
identifiants de l'application. Ce mode nécessite une configuration particulière au niveau
de l'annuaire pour autoriser le compte de l'application à faire des demandes de <emphasis>
proxy authorization</emphasis> en tant que les autres utilisateurs de l'annuaire.</simpara>
</listitem>
</varlistentry>
2009-03-17 20:21:10 +01:00
<varlistentry>
<term>LSprofiles</term>
<listitem>
<simpara>Définition des profils d'utilisateurs se connectant à l'annuaire.
<link linkend="config-LSprofile">Voir la section concernée</link>.
</simpara>
</listitem>
</varlistentry>
<varlistentry>
<term>LSauth</term>
<listitem>
<simpara>Ce tableau défini les paramètres d'authentification à l'application.</simpara>
<variablelist>
<title>Paramètres de configuration de l'authentification</title>
<varlistentry>
<term>method</term>
<listitem>
<simpara>Nom de la méthode d'authentification &LSauthMethod;. Exemple : pour utiliser la classe
<literal>LSauthMethod_HTTP</literal>, la valeur de ce paramètre sera <literal>HTTP</literal>.
<emphasis>Paramètre facultatif, méthode par défaut : <literal>basic</literal>.</emphasis>
</simpara>
</listitem>
</varlistentry>
Add API feature Some major changes have been made to handle this new feature : - LSsession now have a flag about API mode. The displayTemplate() and displayAjaxReturn() methods have been adjust to correctly handle this mode. - LSauth system have been adjust to handle a custom API mode : - LSauthMethod can support or not this mode : the $api_mode_supported permit to defined if supported (default, false). Currently, only HTTP (default in API mode) and annonymous mode support it. - An api_access parameter permit to configure witch type of user LSobject types could use the API. This flag must be set to True to allow a type of LSobject (default: False). In a same way, a web_access parameter now permit to disable Web access for some types of users (but this parameter is optional and its default value is True). - The HTTP method is the privileged first method for API mode. In this mode, if auth data aren't present in environment, it will request it by triggered a 403 HTTP error. Realm can be configured with new LSAUTHMETHOD_HTTP_API_REALM constant. - The LStemplate system handle API mode to correctly react on errors: it return a JSON answer instead of HTML page. Error pages also now return adjusted HTTP code (404 or 500). - The LSurl system have been adjust to handle API mode : - On declaring handlers, we could now specify if it's an API view with new $api_mode paremeter of add_handler() method - The LSurlRequest object have a new attribute to check if it's an API request - The error_404() method handle the API mode to return JSON answer. Furthermore, if no handlers matched with the requested URL, API mode is automatically enabled if the requested URL starts with 'api/'. - LSform implement it own API mode flag and a new submited flag that be toggle via the new setSubmited() method. Some major changes also occured on LSformElement classes to specifically handle API input/output for each types of attributes: - a new getApiValue() method permit to retrieve the API value of the attribute (on show API view) - the getPostData() method now have to correctly handle API input for the attribute (on create/modify API views). A programmatic way have been adopted for each types of attributes. - The LSimport and LScli create/modify commands also evolved to enable API mode of the LSform. This permit to take advantage of the new capability of LSform/LSformElement to handle input values with a programmatic way. - New routes have been add to handle API views. All this new routes start with 'api/1.0/' and use the same URL schema as the web UI. The API currently permit to search/show/add/modify/remove LSobjects and manages their relations.
2021-02-03 14:40:28 +01:00
<varlistentry>
<term>api_method</term>
<listitem>
<simpara>Nom de la méthode d'authentification &LSauthMethod; à utilisée lors d'une connexion à
l'API. Exemple : pour utiliser la classe <literal>LSauthMethod_HTTP</literal>, la valeur de ce
paramètre sera <literal>HTTP</literal>. <emphasis>Paramètre facultatif, méthode par défaut :
<literal>HTTP</literal>.</emphasis></simpara>
<warning><simpara>Toutes les &LSauthMethod; ne supportent pas forcément le mode API.</simpara>
</warning>
</listitem>
</varlistentry>
<varlistentry>
<term>LSobjects</term>
<listitem>
<simpara>Tableau listant les types &LSobjects; pouvant se connecter à l'application. Les valeurs
de ce tableau peuvent être un nom de type d'objet ou bien tableau détaillant les paramètres de
connexion de ce type d'objet.</simpara>
<variablelist>
<title>Paramètres de configuration d'un type d'object</title>
2009-03-17 20:21:10 +01:00
<varlistentry>
<term>filter</term>
2009-03-17 20:21:10 +01:00
<listitem>
<simpara>&LSformat; du filtre de recherche de l'utilisateur à sa connexion.
Ce format sera composé avec l'identifiant fourni par l'utilisateur. Cela peut
par exemple permettre à l'utilisateur de se connecter en fournissant son login
ou son email comme identifiant. Exemple de valeur :
<literal>(|(uid=%{user})(mail=%{user}))</literal>. <emphasis>Paramètre facultatif,
filtre par défaut composé à l'aide de l'attribut RDN.</emphasis></simpara>
2009-03-17 20:21:10 +01:00
</listitem>
</varlistentry>
2023-08-18 15:45:07 +02:00
<varlistentry>
<term>filter_function</term>
<listitem>
<simpara><emphasis>Callable</emphasis> (au sens PHP) utilisé pour filtrer les utilisateurs
trouvés dans l'annuaire à partir des autres paramètres : cette fonction, si elle est définie,
sera appelée pour chaque utilisateur trouvé, avec pour unique paramètre, une référence à l'objet
LDAP correspondant (<literal>LSldapObject</literal>). Cette méthode devra alors retourner
<literal>true</literal> ou <literal>false</literal> pour respectivement autoriser ou interdire
l'accès à l'application à l'utilisateur.</simpara>
<note><simpara>Si un utilisateur est exclus par cette méthode et qu'aucun autre utilisateur
correspondant n'a été trouvé dans l'annuaire, une page d'erreur sera affichée et indiquera que
l'accès à l'application est refusée.</simpara></note>
</listitem>
</varlistentry>
2009-03-17 20:21:10 +01:00
<varlistentry>
<term>password_attribute</term>
2009-03-17 20:21:10 +01:00
<listitem>
<simpara>Nom de l'attribut stockant le mot de passe de ce type d'&LSobject;. <emphasis>
Paramètre facultatif, valeur par défaut : <literal>userPassword</literal>.</emphasis></simpara>
<note><simpara>C'est cet attribut de l'utilisateur qui sera modifié par la fonctionnalité
de récupération de mot de passe.</simpara></note>
2009-03-17 20:21:10 +01:00
</listitem>
</varlistentry>
Add API feature Some major changes have been made to handle this new feature : - LSsession now have a flag about API mode. The displayTemplate() and displayAjaxReturn() methods have been adjust to correctly handle this mode. - LSauth system have been adjust to handle a custom API mode : - LSauthMethod can support or not this mode : the $api_mode_supported permit to defined if supported (default, false). Currently, only HTTP (default in API mode) and annonymous mode support it. - An api_access parameter permit to configure witch type of user LSobject types could use the API. This flag must be set to True to allow a type of LSobject (default: False). In a same way, a web_access parameter now permit to disable Web access for some types of users (but this parameter is optional and its default value is True). - The HTTP method is the privileged first method for API mode. In this mode, if auth data aren't present in environment, it will request it by triggered a 403 HTTP error. Realm can be configured with new LSAUTHMETHOD_HTTP_API_REALM constant. - The LStemplate system handle API mode to correctly react on errors: it return a JSON answer instead of HTML page. Error pages also now return adjusted HTTP code (404 or 500). - The LSurl system have been adjust to handle API mode : - On declaring handlers, we could now specify if it's an API view with new $api_mode paremeter of add_handler() method - The LSurlRequest object have a new attribute to check if it's an API request - The error_404() method handle the API mode to return JSON answer. Furthermore, if no handlers matched with the requested URL, API mode is automatically enabled if the requested URL starts with 'api/'. - LSform implement it own API mode flag and a new submited flag that be toggle via the new setSubmited() method. Some major changes also occured on LSformElement classes to specifically handle API input/output for each types of attributes: - a new getApiValue() method permit to retrieve the API value of the attribute (on show API view) - the getPostData() method now have to correctly handle API input for the attribute (on create/modify API views). A programmatic way have been adopted for each types of attributes. - The LSimport and LScli create/modify commands also evolved to enable API mode of the LSform. This permit to take advantage of the new capability of LSform/LSformElement to handle input values with a programmatic way. - New routes have been add to handle API views. All this new routes start with 'api/1.0/' and use the same URL schema as the web UI. The API currently permit to search/show/add/modify/remove LSobjects and manages their relations.
2021-02-03 14:40:28 +01:00
<varlistentry>
<term>web_access</term>
<listitem>
<simpara>Permet de définir si ce type d'objet à le droit d'utiliser l'interface web (facultatif,
par défaut : <literal>True</literal>).</simpara>
</listitem>
</varlistentry>
<varlistentry>
<term>api_access</term>
<listitem>
<simpara>Permet de définir si ce type d'objet à le droit d'utiliser l'API (facultatif,
par défaut : <literal>False</literal>).</simpara>
</listitem>
</varlistentry>
</variablelist>
</listitem>
</varlistentry>
2009-03-17 20:21:10 +01:00
<varlistentry>
<term>allow_multi_match</term>
<listitem>
<simpara>Booléen permettant de définir si un doublon d'identifiant utilisateur est autorisé.
Si c'est le cas et lorsqu'un identifiant fourni par l'utilisateur a sa connexion a permi
de trouver plus d'un utilisateur possible correspondant, l'application tentera de déterminer
lequel de ces utilisateurs correspond à la tentative d'authentification. La méthodologie
employée dépendra de la &LSauthMethod; configurée. Par exemple, la &LSauthMethod; <literal>
basic</literal> tentera de s'identifier avec le mot de passe. Dans tous les cas, si cette
méthode n'a pas permi d'identifier un seul utilisateur, l'authentification échoura. <emphasis>
Paramètre facultatif, valeur par défaut : <literal>Faux</literal>.</emphasis>
</simpara>
</listitem>
</varlistentry>
</variablelist>
2019-05-21 12:06:24 +02:00
</listitem>
</varlistentry>
2009-03-17 20:21:10 +01:00
<varlistentry>
<term>cacheLSprofiles</term>
2009-03-17 20:21:10 +01:00
<listitem>
<simpara>Activation/Désactivation de la mise en cache des &LSprofiles; des
utilisateurs connectés à ce serveur.</simpara>
<simpara>Valeur par défaut : <emphasis>valeur de la variable globale
du même nom</emphasis></simpara>
2009-03-17 20:21:10 +01:00
</listitem>
</varlistentry>
<varlistentry>
<term>cacheSearch</term>
<listitem>
<simpara>Activation/Désactivation de la mise en cache du résultat des
recherches sur ce serveur.</simpara>
<simpara>Valeur par défaut : <emphasis>valeur de la variable globale
du même nom</emphasis></simpara>
</listitem>
</varlistentry>
2009-03-17 20:21:10 +01:00
<varlistentry>
<term>globalSearch</term>
2009-03-17 20:21:10 +01:00
<listitem>
<simpara>Activation/Désactivation de la recherche globale sur ce serveur
en particulier. Par defaut, la valeur du paramètre global
<literal>globalSearch</literal> est utilisée.</simpara>
<simpara>Valeur par défaut : <emphasis>valeur de la variable globale
du même nom</emphasis></simpara>
2009-03-17 20:21:10 +01:00
</listitem>
</varlistentry>
<varlistentry id="config-LSaccess">
<term>LSaccess</term>
<listitem>
<simpara>Définition des types d'&LSobjects; devant apparaître dans le menu de
2009-03-17 20:21:10 +01:00
l'interface.</simpara>
<important><simpara>Ce paramètre n'est utilisé que pour les annuaires n'ayant
2009-03-17 20:21:10 +01:00
pas de sous-niveaux (&subDn;).</simpara></important>
</listitem>
</varlistentry>
<varlistentry>
<term>subDn</term>
<listitem>
<simpara>Définition des sous-niveaux de connexion à l'annuaire.
<link linkend="config-subDn">Voir section concernée</link>.</simpara>
<important><simpara>Ce paramètre remplace le paramètre
<link linkend="config-LSaccess">LSaccess</link> dans le cas d'un annuaire
2009-03-17 20:21:10 +01:00
multi-niveaux.</simpara></important>
</listitem>
</varlistentry>
<varlistentry>
<term>subDnLabel</term>
<listitem>
<simpara>Définition du label utilisé pour qualifier les sous-niveaux de
connexion.</simpara>
<important><simpara>Ce paramètre est utile uniquement dans le cas d'un annuaire
2009-03-17 20:21:10 +01:00
multi-niveaux.</simpara></important>
</listitem>
</varlistentry>
<varlistentry>
<term>recoverPassword</term>
<listitem>
<simpara>Définition des paramètres de la récupération de mot de passe.
<link linkend="config-recoverPassword">Voir la section concernée</link>.</simpara>
</listitem>
</varlistentry>
2018-09-13 18:36:45 +02:00
<varlistentry>
<term>defaultView</term>
<listitem>
2020-05-19 18:13:02 +02:00
<para>Définition de la vue par défaut de l'application. Par défaut, une page
2018-09-13 18:36:45 +02:00
blanche est affichée et il est possible de définir à l'aide de ce paramètre la
vue qui s'affichera. Ce paramètre peut prendre comme valeur :
<itemizedlist>
<listitem>
<simpara><literal>SELF</literal> pour la vue <emphasis>Mon compte</emphasis></simpara>
</listitem>
<listitem>
<simpara>Le nom d'un &LSobject; pour afficher la liste de ce type d'objet</simpara>
</listitem>
<listitem>
<simpara>Le nom d'une vue d'un &LSaddon; au format <literal>[addon]::[viewId]</literal>
pour afficher cette vue</simpara>
</listitem>
</itemizedlist>
2018-09-13 19:02:13 +02:00
</para>
2018-09-13 18:36:45 +02:00
</listitem>
</varlistentry>
2009-03-17 20:21:10 +01:00
<varlistentry>
<term>emailSender</term>
<listitem>
<simpara>Adresse mail utilisée par &LdapSaisie; pour envoyer des e-mails en
relation avec cet annuaire. Cette adresse est celle utilisée par défaut.
2009-03-17 20:21:10 +01:00
L'adresse utilisée peut également être configurée dans le contexte de
configuration du module devant envoyer des e-mails.</simpara>
</listitem>
</varlistentry>
<varlistentry>
<term>keepLSsessionActive</term>
<listitem>
<simpara>Activation/Désactivation du maintient de la LSsession active.</simpara>
<simpara>Valeurs possibles : <emphasis>True</emphasis> ou
2009-03-17 20:21:10 +01:00
<emphasis>False</emphasis></simpara>
<simpara>Valeur par défaut : <emphasis>valeur de la variable globale
du même nom</emphasis></simpara>
2009-03-17 20:21:10 +01:00
</listitem>
</varlistentry>
</variablelist>
<!-- Fim Paramètres Configuration -->
&conf-LSprofile;
&conf-subDn;
&conf-recoverPassword;
</sect3>