Autentificación con LDAP

[richard]

Buenas gente,

2. Agregar un unset($_SESSION[TOBA_DIR]['instalacion']);. Esto yo lo suelo poner en $toba_dir/php/nucleo/lib/toba_manejador_sesiones.php al comienzo de la función get_autenticacion

Pablo, no termino de entender para que haria un unset de dicha variable?... la idea es que eso se cachea al momento de loguearse para no tener que ir a buscarlo en cada pedido de pagina. Si no hay modificacion del tipo de autenticacion mientras estas en una sesion abierta... no deberia haber necesidad de que vuelva a leerse, al menos hasta el proximo inicio de sesion.

PD: no usé la extensión del núcleo para la autenticación y tampoco hice uso del tema de contraseñas vencidas (aunque con el tema del ldap asumo que esto va ir por cuenta del que gestione el ldap)

Como bien decis, la parte de la contraseña vencida no la manejaria toba.. sino LDAP, por ello la funcion que retorna si la clave esta vencida siempre devuelve false en dicha clase.

@Oscar:

No tengo muy claro que version de toba estas usando para esto... pero de ser un proyecto que venis migrando desde una version de hace un par de años.. probablemente tengas que regenerar el item de login (con el comando toba proyecto actualizar_login) ya que se ha ido modificando a medida que agregamos distintos metodos de autenticacion.

Tambien deberias tener un archivo ldap.ini dentro de la carpeta instalacion con todas las configuraciones necesarias.
Como el seteo del metodo de autenticacion se hace a nivel de instalacion, el mismo vale para cualquiera de los proyectos, incluido toba_editor... por si queres probarlo en otro distinto.

La modificacion del contexto de ejecucion, se hace en gral cuando necesitas que un proyecto especifico se loguee con LDAP.. pero todo el resto de la instalacion siga funcionando con la autenticacion comun.. bien puede ser el caso del entorno de desarrollo, sin embargo para produccion deberia valer el otro metodo, siempre es mas facil cambiar un archivo ini que reemplazar codigo ante la modificacion de algun parametro.

Estaba charlando con Seba recien sobre este hilo, parece que tuviera sentido hacer que toba_editor se loguee usando siempre el metodo basico, de forma que el seteo en instalacion.ini no lo afecte, ya que no se si tiene sentido usar OpenId por ejemplo para entrar al editor. Parece una buena modificacion para la proxima version esa.

Saludos

[mpablounq]

Richard, mirá el unset lo hago cuando cambio la autenticación por algún motivo, para hacer alguna prueba o algo. El problema es que cuando lo cambiaba, no me daba pelota, ni aunque me desloguease y borrara las cookies. Por eso, directamente hacía el unset.
Por otro lado, el tema del logueo diferenciado está bueno, aunque no estaría bueno que en un ambiente de desarrollo ni siquiera te tengas que loguear? Sé que estaba ese "validación debug" pero nunca me funcionó :(

[richard]

Hola Pablo,

Richard, mirá el unset lo hago cuando cambio la autenticación por algún motivo, para hacer alguna prueba o algo. El problema es que cuando lo cambiaba, no me daba pelota, ni aunque me desloguease y borrara las cookies. Por eso, directamente hacía el unset.

me imagine que venia por ese lado... pero con eliminar la cookie deberia cambiar el metodo de autenticacion para el proximo pedido de login, el cual deberia ser efectivamente el proximo pedido de pagina.

Por otro lado, el tema del logueo diferenciado está bueno, aunque no estaría bueno que en un ambiente de desarrollo ni siquiera te tengas que loguear? Sé que estaba ese "validación debug" pero nunca me funcionó :(

No necesariamente, toba_editor sigue siendo un proyecto de toba y como tal podria (y se que en algun caso esta asi) dejarse instalado en un servidor de produccion... te imaginas si cualquiera pudiera acceder a un editor de codigo remoto sin loguearse?... seria el sueño del script kiddie mas elemental. Lo mismo vale para una maquina de desarrollo en una intranet, si alguien pudiera bypassear el firewall (cosa no tan loca)... te gustaria tener un flaco editando y ejecutando archivos de manera remota en tu maquina?, probablemente no :D.

Lo de validacion_debug... esta justamente para que no sea necesario introducir un usuario/pwd manualmente, es simplemente un shortcut.. toba aun hace autenticacion, solamente que usas otro metodo para cargar los datos... algo similar a usar los recordatorios de claves del browser.

Estas fijando el valor de esa 'constante' en el punto de acceso?

Saludos

[Carolina Belmonte]

Buenas tardes, me sumo a este tema ya que logre instalar el ldap y tb el ldap account manager.


Tengo dudas respecto a la configuracion del archivo ldap.ini ya que probe con varias opciones y no puedo ingresar al toba_editor. Ya me quedo claro que tanto el toba_usuario como en ldap tienen que estar definidos los usuarios. Ahora bien, especificamente en el ldap.ini.
Pongo los datos ya que son de prueba:
[basicos]
servidor = "ip"
dn = "cn=admin,dc=uner,dc=edu,dc=ar" o es solo dc=uner,dc=edu,dc=ar
bind_dn = "admin@uner.edu.ar" es el usuario con el que se instalo el ldap??
bind_pass = "Admin123"
filter = "uid=%" este campos hace referencia a un "ou" del arbol del ldap?

Agradezco cualquier ayuda al respecto. 
Saludos

[richard]

Hola Carolina,

Tengo dudas respecto a la configuracion del archivo ldap.ini ya que probe con varias opciones y no puedo ingresar al toba_editor. Ya me quedo claro que tanto el toba_usuario como en ldap tienen que estar definidos los usuarios. Ahora bien, especificamente en el ldap.ini.
Pongo los datos ya que son de prueba:

no estoy super empapado del tema LDAP... pero por ahi te puedo orientar un poco:

Código: [Seleccionar]

[basicos]
servidor = "ip"
dn = "dc=uner,dc=edu,dc=ar"                                                  //Esta seria la raiz desde la que se va a hacer la busqueda
bind_dn = "cn=admin,dc=uner,dc=edu,dc=ar"                     //Con esto te logueas al LDAP                   
bind_pass = "Admin123"
filter = "uid=%"                                                                            //Esto se va a reemplazar con el id de usuario especificado al momento de realizar la busqueda

No se si te ayude o te confundi mas... acordate igual que tenes el codigo fuente en toba_autenticacion_ldap.php, por si acaso queres ver como se usan los parametros.

Saludos

[Carolina Belmonte]

Richard y cual seria el log correcto q deberia mirar para encontrar el problema? porq en teoria esta bien definido pero sigo sin poder ingresar :(

[Carolina Belmonte]

Algo que no comente. El error que salta cuando quiero loguearme es "La combinación usuario/clave es incorrecta". Error que lo encontre en toba_manejador_sesiones.php. Tratando de seguir la secuencia aparentemente entra bien a toba_autenticacion_ldap- Pero no puedo identificar bien cual es el problemas
Gracias desde ya por la ayuda
Saludos
Carolina

[mpablounq]

Hola Carolina! No te queda otra que debuggear adentro del toba_autenticacion_ldap, seguí paso a paso el método de autenticar y fijate en dónde falla. Puede ser en la conexión, el bindeo, la búsqueda. De todas maneras en cada uno de estos errores hace un toba::logger()->error por lo que deberías estar viéndolo en el log de toba. Saludos!

[richard]

Hola Carolina,

Algo que no comente. El error que salta cuando quiero loguearme es "La combinación usuario/clave es incorrecta". Error que lo encontre en toba_manejador_sesiones.php. Tratando de seguir la secuencia aparentemente entra bien a toba_autenticacion_ldap- Pero no puedo identificar bien cual es el problemas

los mensajes en la clase de autenticacion LDAP son distintos, como bien dijo Pablo van quedando en el logger de Toba, asi que podes ver ahi cual es puntualmente el problema en mayor profundidad y detectar si se trata de un tema de conexion, de que no encuentra al usuario o que efectivamente no lo puede autenticar.

El error que estas recibiendo por parte del manejador es generico, ya que la autenticacion falló, de ahi no vas a poder sacar mucho salvo que quieras loguear que datos se le pasan efectivamente a la clase de autenticacion.

Saludos

[fleonardi]

Configuracion Archivo ldap.ini para conectar a Active Directory:
Fijate que en el archivo original dice servidor y debe decir server
[basicos]
server = '192.168...'
bind_db = 'CN=nombre-usuario,CN=Users,DC=uner,DC=edu,DC=ar'
bind_pass = 'contraseña'
dn = 'CN=Users,DC=uner,DC=edu,DC=ar'
filter = 'sAMAccountName=%s'


en toba_autenticacion_ldap.php en la linea 29:
                $this->bind_pas = $datos['basicos']['bind_pass'];
debe ser
                $this->bind_pass = $datos['basicos']['bind_pass'];

No se a quien informar este error pero seria interesante corregirlo para proximas veriones

[richard]

Hola Francisco,

el lugar para reportar toda situacion que se de con el framework es justamente este foro, tenemos las secciones divididas por cuestiones de orden pero en cada una hay distintos temas, ya sean reportes de bugs, o preguntas de trabajo.

Ya subi el fix a lo que mencionas a las ramas de desarrollo de las versiones 2.4-2.6, cualquier inconveniente me avisan por aca mismo.

Saludos y gracias por el aviso :)

[marisa]

Buenos Días:

Estoy tratando de que los sistemas SIU-Mapuche, Siu-Diaguitas y SIU-Pilaga validen contra ldap.
Segui todos los pasos indicados en este hilo del foro y al momento de ingresar el usuario y la contraseña dice la combinacion de usuario y contraseña es incorrecta
Alguna sugerencia?

[richard]

Hola Marisa,

Estoy tratando de que los sistemas SIU-Mapuche, Siu-Diaguitas y SIU-Pilaga validen contra ldap.

que versiones de los sistemas son?.. supongo que estan todas en instalaciones distintas. Sino al menos saber que version de Toba tienen por si hay algun bug que se arreglo mas adelante.

Segui todos los pasos indicados en este hilo del foro y al momento de ingresar el usuario y la contraseña dice la combinacion de usuario y contraseña es incorrecta
Alguna sugerencia?

Te diria que te fijes en el log de toba para verificar si el error es de contraseña incorrecta o si existe otro problema, el mensaje que se envia por pantalla es siempre el mismo, independientemente de lo que haya pasado de fondo.

Saludos

[marisa]

Hola Richard
la versión de mapuche es la 2.2.0 y toba 2.5.2
la versión de pilaga es la 2.3.0 y toba 2.5.3
la versión de diaguita es la 2.1.2 y toba 2.6

Me podrias indicar donde esta el log de toba?

Saludos.

Marisa
 

[richard]

Hola Marisa,

la versión de mapuche es la 2.2.0 y toba 2.5.2
la versión de diaguita es la 2.1.2 y toba 2.6

segun veo, estos dos sistemas podrian no tener el ultimo fix que se subio, fijate que mas arriba en este hilo Francisco reporto el error, en particular el fix salio con las versiones 2.5.3 y 2.6.1, con lo cual estos dos sistemas te podrian dar un error de autenticacion por no poder conectarse al servidor.

En el caso de Pilaga sin embargo, segun veo salio con el fix por lo que de producirse un error con la autenticacion ldap tiene que venir por otro lado, de ahi que es importante verificar lo que dice el log.

Me podrias indicar donde esta el log de toba?

El log se encuentra dentro del directorio instalacion/i__nombre_instancia/p__nombre_proyecto/logs/sistema.log por ejemplo para Pilaga en una instancia de desarrollo, seria la siguiente ruta:

* instalacion/i__desarrollo/p__pilaga/logs/sistema.log

Saludos