#1 2006-05-12 08:55:26

flipflip
Membre
Lyon
2005-03-19
2316

[A réfléchir]Authentification LDAP

Salut, décidement en ce moment je doit trop penser. Encore une petite réflexion sur la gestion de l'authentification. Pour faire simple je vais expliqué mon cas.

Dans la boite où je boss nous allons utiliser PhpWebGallery pour gérer notre base de photos (~10 000). Cette base va servir pour le service communication/marketing, commercial et informatique (dev de site internet). Nous sommes environ 30 personnes. Chaques personnes doit avoir accès à PhpWebGallery mais aussi y apporter des commentaires. Pour l'accès c'est facile, pour les commentaires aussi mais voila la finalitée de ma réflexion. Dans une société les admins systèmes gèrent, dans le meilleur des cas une base utilisateurs, dans le pire une base par application (Domaine, ERP, intranet). Bien sur je suis dans le deuxiement cas (comme beacucoup), quoi que cela va changer dans pas longtemps grâce à OpenLDAP (http://www.openldap.org). Pour ceux qui ne connaissent pas c'est un annuaire qui à pour but de gérer uniquement les données utilisateurs (login, mots de passe, nom, prénom...). Bien sûr ça c'est pour linux mais je pense qu'il est possible d'utiliser l'Active Directory de Windows (enfin j'espère). Donc pourquoi ne pas envisager d'ajouter un module à PhpWebGallery pour utiliser un annuaire LDAP pour l'authentification au lieu de la base mysql ?

Cette utilisation est un peu particulière puisqu'elle serait limitée aux Intranet, mais ne serait-ce pas un moyen de faire entrer un peu plus PhpWebGallery dans l'environnement pro ?

Bien sur c'est une reflexion, mais dès que j'ai un moment j'étudie au niveau de php comment ça se passe.


Le cerveau à des capacités tellement étonnantes qu’aujourd’hui pratiquement tout le monde en à un

Mon site : http://www.blogoflip.fr

Hors ligne

#2 2006-05-12 13:59:58

mathiasm
Former Piwigo Team
2006-02-06
2692

Re: [A réfléchir]Authentification LDAP

Bonjour flipflip

Dans mes souvenirs, un des membres bossait sur lep rincipe de l'authentificaiton externe. Je pense que c'était prévu pour la 1.6, reporté en 1.7. Cela initalement pour pouvoir synchroniser les inscriptions forums/galeries/n'importe quoi avec une inscription.

Pour LDAP ça reste une base interrogeable, mais les requêtes d'accès se gèrent très différemment.
A étudier; effectivement.

Merci de ton aide :-)

Dernière modification par mathiasm (2006-05-12 14:00:20)

Hors ligne

#3 2006-05-14 11:06:28

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12671

Re: [A réfléchir]Authentification LDAP

Depuis la branche 1.5, il est possible d'utiliser une table externe a PhpWebGallery pour l'identification. Les contraintes sont très importantes car il faut que les utilisateurs soient listés dans une table MySQL dans la même base que l'installation de PhpWebGallery. Bref, c'est bien pour un site avec un forum + une galerie, ça ne va pas plus loin.

L'idéal serait de pouvoir dissocier complètement la gestion basique des utilisateurs. Comme dans un annuaire LDAP par exemple. Le problème c'est qu'il s'agit d'un bien grand travail pour une utilité toute relative (pour ce type d'application, non métier dans la grand majorité des cas).

Dans l'immédiat, je ne compte pas développer l'interfaçage avec un annuaire LDAP, en tout cas pas directement dans PWG. Mon conseil, c'est d'extraire périodiquement la liste des utilisateurs de ton annuaire et de synchroniser avec la table des utilisateurs PWG. L'outil pourrait être distribué sous forme d'extension. Je propose donc une approche différente, plus simple pour le code de PWG.


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#4 2006-05-14 19:46:24

flipflip
Membre
Lyon
2005-03-19
2316

Re: [A réfléchir]Authentification LDAP

Salut, effectivement l'utilisation sera limité. Je pensais bien que tu n'allais pas te lancer dans un truc comme ça. Je pense que je vais mettre les mains dedans et essayer de pondre le système en me basant sur la version 1.6 quand elle sera sortie en stable.

Depuis la branche 1.5, il est possible d'utiliser une table externe a PhpWebGallery pour l'identification. Les contraintes sont très importantes car il faut que les utilisateurs soient listés dans une table MySQL dans la même base que l'installation de PhpWebGallery. Bref, c'est bien pour un site avec un forum + une galerie, ça ne va pas plus loin.

En effet l'authentification externe est pas des plus simples à gérer, surtout qu'on perd la gestion de beaucoup de chose (groupes, droit) des deux côtés.

Mon conseil, c'est d'extraire périodiquement la liste des utilisateurs de ton annuaire et de synchroniser avec la table des utilisateurs PWG.

C'est une solution qui peu parfaitement fonctionner pour mon cas puisqu'il y a peu de mouvement. Mais dans le cas d'une plus grosse structure ou il y a plus d'allé et venue c'est pas simple. Mais je pense surtout à ce système pour permettre une gestion centralisé des différents interfaces de connexion qui peuvent exister au sein d'une société.

Dernière modification par flipflip (2006-05-14 19:51:36)


Le cerveau à des capacités tellement étonnantes qu’aujourd’hui pratiquement tout le monde en à un

Mon site : http://www.blogoflip.fr

Hors ligne

#5 2006-05-14 20:24:08

nicolas
Former Piwigo Team
2004-12-30
1565

Re: [A réfléchir]Authentification LDAP

Le fait que les sessions utilisent un mécanisme standard dans la version 1.6 devrait te faciliter le boulot. Je ne suis pas sûr que ce soit si compliqué que ça en a l'air.
La réflexion pourrait être poussée plus loin et voir ce que donnerait une abstraction de base de données pour ne pas dépendre que de mysql.


Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

#6 2006-05-14 20:40:13

flipflip
Membre
Lyon
2005-03-19
2316

Re: [A réfléchir]Authentification LDAP

La réflexion pourrait être poussée plus loin et voir ce que donnerait une abstraction de base de données pour ne pas dépendre que de mysql.

Ca serait le top mais est-ce que les connecteurs génériques de php gèrent l'ensemble des besoins de PhpWebGallery. Il me semble avoir lu que les couches d'abstractions de php ne comportait pas toute les particularités de chaques base de données. D'un autre côté si tout le monde s'en tenait au standart SQL ça serait plus simple :)


Le cerveau à des capacités tellement étonnantes qu’aujourd’hui pratiquement tout le monde en à un

Mon site : http://www.blogoflip.fr

Hors ligne

#7 2006-05-14 22:50:33

mathiasm
Former Piwigo Team
2006-02-06
2692

Re: [A réfléchir]Authentification LDAP

la synchro LDAP/MySQL peut être faite en automatique avec un script dans une crontab. Du coup, même si ta base utilisateurs évolue règulièrement, tu es vite à jour.

Hors ligne

#8 2006-05-15 08:45:32

flipflip
Membre
Lyon
2005-03-19
2316

Re: [A réfléchir]Authentification LDAP

C'est vrai je n'y avait pas pensé.


Le cerveau à des capacités tellement étonnantes qu’aujourd’hui pratiquement tout le monde en à un

Mon site : http://www.blogoflip.fr

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact