Authentification de dokuwiki sur LemonLDAP::NG

Dokuwiki dispose d'un système de plugin permettant de facilement intégrer d'autres techniques d'authentification. Cette page vous permettra de connecter votre dokuwiki sur une instance de LemonLDAP::NG

La première étape est de déclarer un virtualhost pour votre wiki, par exemple wiki.domain.tld

Règles

Au niveau des règles, tout dépends des ACL que vous désirez. Si vous voulez un wiki entièrement privé, alors, on peut créer une simple règle n'autorisant l'accès au vhost qu'aux utilisateurs authentifiés:

  • Expression: default
  • Règle: accept

Si par contre, vous voulez avoir une partie publique, et une privée, il faut un peu plus de règles

  • Commentaire: 01data
  • Expression: ^/data
  • Règle: deny
  • Commentaire: 02login
  • Expression: ^/(?i)doku.php(/start)?\?(.*)do=login
  • Règle: $groups =~ /\bwiki\b/
  • Commentaire: 03logout
  • Expression: ^/(?i)doku.php(/start)?\?(.*)do=logout
  • Règle: logout_app
  • Expression: default
  • Règle: unprotect

La première règle permet de protéger l'accès au répertoire data, la seconde redirige les utilisateurs vers le portail d'authentification lorsqu'ils cliquent sur le bouton “Connexion”, et n'autorise que les membres du groupe “wiki”. La troisième règle intercepte le clique sur le bouton “Déconnexion” et redirige l'utilisateur sur le portail, enfin, la quatrième règle indique à LemonLDAP de ne pas contrôler l'accès au wiki (ce sont les ACL de dokuwiki qui gèreront ça)

En-têtes HTTP

Il faut maintenant configurer les entêtes HTTP. Les entêtes sont utilisées pour transmettre des informations sur l'utilisateur vers l'application. Ainsi, dokuwiki pourra récupérer le login, le nom complet, l'adresse mail et les groupes des utilisateurs authentifiés. Par défaut, une seule entête est configurée:

  • Auth-User ⇒ $uid

Il faut en créer 3 autres:

  • User-Groups ⇒ $groups
  • User-Mail ⇒ $mail
  • User-Name ⇒ $cn

(bien sûre, ces variables dépendent de ce que vous exporter au niveau de LemonLDAP, mais avec une configuration par défaut, toutes ces variables sont pré-configurées)

Comme pour n'importe quelle application, il faut configurer apache pour que LemonLDAP intercepte toutes les requêtes vers l'application en question, en ajoutant simplement:

PerlHeaderParserHandler My::Package

dans le virtualhost apache, ou dans une section <Directory> (là où dokuwiki est accessible). Si l'installation est sur une iPasserelle, les commandes suivantes se chargeront de configurer apache comme il se doit:

db domains set wiki.domain.tld domain DocumentRoot /opt/dokuwiki TemplatePath WebAppVirtualHost LemonLDAP enabled
signal-event domain-create wiki.domain.tld

Nous avons écrit 2 plugins permettant de s'authentifier avec LemonLDAP::NG. Ces plugins sont différents de celui proposé sur le site de LemonLDAP::NG (http://lemonldap-ng.org/documentation/1.0/applications/dokuwiki). La principal différence est qu'ils permettent d'utiliser les informations LDAP dans les ACL de dokuwiki (utilisateur et groupes).

Version LL::NG simple

Avec ce plugin, dokuwiki n'a pas besoin d'un accès au serveur LDAP, puisque ces informations sont transférées à dokuwiki par LemonLDAP::NG via des entêtes HTTP. Les informations LDAP en question sont:

  • le nom complet de l'utilisateur ($cn)
  • le mail de l'utilisateur ($mail)
  • la liste des groupes dont un utilisateur est membre ($groups)

Il suffit de copier/coller le code suivant dans le fichier inc/auth/lemonldapng.class.php

lemonldapng.class.php
<?php
/**
 * auth/lemonldap-ng.class.php
 *
 * Authenticate and retrieve user informations from a LemonLDAP::NG instance
 *
 * @author    Daniel Berteaud <dani@firewall-services.com>
 */
 
class auth_lemonldapng extends auth_basic {
 
  var $success = true;
 
 
  /**
   * Posible things an auth backend module may be able to
   * do. The things a backend can do need to be set to true
   * in the constructor.
   */
  var $cando = array (
    'addUser'     => false, // can Users be created?
    'delUser'     => false, // can Users be deleted?
    'modLogin'    => false, // can login names be changed?
    'modPass'     => false, // can passwords be changed?
    'modName'     => false, // can real names be changed?
    'modMail'     => false, // can emails be changed?
    'modGroups'   => false, // can groups be changed?
    'getUsers'    => false, // can a (filtered) list of users be retrieved?
    'getUserCount'=> false, // can the number of users be retrieved?
    'getGroups'   => false, // can a list of available groups be retrieved?
    'external'    => true, // does the module do external auth checking?
    'logout'      => true,  // can the user logout again? (eg. not possible with HTTP auth)
  );
 
  function auth_lemonldapng() {
    global $conf;
    $this->cnf = $conf['auth']['lemonldapng'];
 
    // Set default headers name
    if(empty($this->cnf['header_login'])) $this->cnf['header_login'] = 'HTTP_AUTH_USER';
    if(empty($this->cnf['header_name'])) $this->cnf['header_name']  = 'HTTP_USER_NAME';
    if(empty($this->cnf['header_mail'])) $this->cnf['header_mail'] = 'HTTP_USER_MAIL';
    if(empty($this->cnf['header_groups'])) $this->cnf['header_groups'] = 'HTTP_USER_GROUPS';
  }
 
  function trustExternal($user,$pass,$sticky=false){
    global $USERINFO;
 
    $username = $_SERVER{$this->cnf['header_login']};
    $USERINFO['name'] = $_SERVER{$this->cnf['header_name']};
    $USERINFO['mail'] = $_SERVER{$this->cnf['header_mail']};
    $USERINFO['grps'] = preg_split("/; /", $_SERVER{$this->cnf['header_groups']});
 
    // print info if debug is enabled
    if ($this->cnf['debug']){
      msg('LemonLDAP::NG Login Name: '.htmlspecialchars($username),0,__LINE__,__FILE__);
      msg('LemonLDAP::NG Full Name: '.htmlspecialchars($USERINFO['name']),0,__LINE__,__FILE__);
      msg('LemonLDAP::NG User Email Address: '.htmlspecialchars($USERINFO['mail']),0,__LINE__,__FILE__);
      if (is_array($USERINFO['grps'])) foreach ($USERINFO['grps'] as $group){
        msg('LemonLDAP::NG User Groups: '.htmlspecialchars($group),0,__LINE__,__FILE__);
      }
    }
    $success = $USERINFO !== false;
    if ($success) {
      $_SERVER['REMOTE_USER'] = $username;
      $_SESSION[DOKU_COOKIE]['auth']['user'] = $username;
      $_SESSION[DOKU_COOKIE]['auth']['info'] = $USERINFO;
    }
    return $success;
  }
}

Il ne reste plus qu'à modifier la configuration de dokuwiki pour qu'il utilise ce nouveau plugin pour l'authentification, pour cela, il suffit de modifier le fichier conf/local.php, et de configurer:

$conf['authtype'] = 'lemonldapng';

Le plugin ne nécessite pas réellement de configuration, mais vous pouvez toutefois changer le nom des entêtes HTTP, et activer le debug, par exemple:

$conf['auth']['lemonldapng']['debug'] = 1;
$conf['auth']['lemonldapng']['header_login'] = 'HTTP_AUTH_USER';
$conf['auth']['lemonldapng']['header_name'] = 'HTTP_USER_NAME';
$conf['auth']['lemonldapng']['header_mail'] = 'HTTP_USER_MAIL';
$conf['auth']['lemonldapng']['header_groups'] = 'HTTP_USER_GROUPS';

L'avantage de ce plugin est qu'il ne nécessite aucun accès au serveur LDAP (idéal si le serveur Web se trouve dans une DMZ et ne peut pas accéder directement à l'annuaire). L'inconvénient est que certaines fonctions ne sont plus disponibles, comme l'abonnement aux modifications des pages (si un utilisateur s'abonne à une page, son login est bien inscrit à la liste, mais il n'y a aucune information persistante sur son adresse mail)

Version LDAP

Ce plugin là surcharge simplement le plugin LDAP fournit de base, il ne remplace que la vérification du mot de passe. Ce fichier est à placer dans inc/auth/httpldap.class.php

httpldap.class.php
<?php
/**
 * HTTP/LDAP authentication backend
 * HTTP (your web server) handle the authentication
 * LDAP handle user informations, and group membership
 * This plugin have been written to work with LemonLDAP::NG WebSSO
 * @license   GPL 2 (http://www.gnu.org/licenses/gpl.html)
 * @author    Daniel Berteaud <daniel@firewall-services.com>
 */
 
require("ldap.class.php");
class auth_httpldap extends auth_ldap {
    var $cnf = null;
 
    /**
    * Posible things an auth backend module may be able to
    * do. The things a backend can do need to be set to true
    * in the constructor.
    */
    var $cando = array (
        'addUser'     => false, // can Users be created?
        'delUser'     => false, // can Users be deleted?
        'modLogin'    => false, // can login names be changed?
        'modPass'     => false, // can passwords be changed?
        'modName'     => false, // can real names be changed?
        'modMail'     => false, // can emails be changed?
        'modGroups'   => false, // can groups be changed?
        'getUsers'    => false, // can a (filtered) list of users be retrieved?
        'getUserCount'=> false, // can the number of users be retrieved?
        'getGroups'   => false, // can a list of available groups be retrieved?
        'external'    => true, // does the module do external auth checking?
        'logout'      => true,  // can the user logout again? (eg. not possible with HTTP auth)
    );
 
 
    /**
     * Constructor
     */
    function auth_httpldap() {
        global $conf;
        $this->cnf = $conf['auth']['ldap'];
 
        // ldap extension is needed
        if(!function_exists('ldap_connect')) {
            if ($this->cnf['debug'])
                msg("LDAP err: PHP LDAP extension not found.",-1,__LINE__,__FILE__);
            $this->success = false;
            return;
        }
 
        if(empty($this->cnf['groupkey']))   $this->cnf['groupkey']   = 'cn';
        if(empty($this->cnf['userscope']))  $this->cnf['userscope']  = 'sub';
        if(empty($this->cnf['groupscope'])) $this->cnf['groupscope'] = 'sub';
    }
 
 
    /**
    * Check if REMOTE_USER is set
    */
    function trustExternal($user,$pass,$sticky=false){
        global $USERINFO;
        $success = false;
        $username = $_SERVER['REMOTE_USER'];
        // print info if debug is enabled
        if ($this->cnf['debug']){
          msg('LemonLDAP::NG Login Name: '.htmlspecialchars($username),0,__LINE__,__FILE__);
        }
        if (!empty($username)){
            $USERINFO = $this->getUserData($user,true);
            $success = true;
            $_SESSION[DOKU_COOKIE]['auth']['user'] = $username;
            $_SESSION[DOKU_COOKIE]['auth']['info'] = $USERINFO;
        }
        // Deny access if user is not found in LDAP
        // This should never happen
        if (!empty($USERINFO['dn'])){
            $success = false;
        }
        return $success;
    }
}

La configuration de ce plugin est parfaitement identique au module LDAP de base, exemple:

$conf['authtype'] = 'httpldap';
$conf['auth']['ldap']['server'] = "ldap://localhost:389";
$conf['auth']['ldap']['version'] = '3';
$conf['auth']['ldap']['usertree'] = 'ou=Users,dc=domain,dc=tld';
$conf['auth']['ldap']['grouptree'] = 'ou=Groups,dc=domain,dc=tld';
$conf['auth']['ldap']['userfilter'] = '(&(uid=%{user})(objectClass=inetOrgPerson))';
$conf['auth']['ldap']['groupfilter'] = '(&(objectClass=posixGroup)(memberUid=%{user}))';

La seule partie importante ici, c'est $conf['authtype'] = 'httpldap'; (le reste se configure comme le plugin ldap de base)

  • tuto/webapps/llng/dokuwiki.txt
  • Dernière modification: 13/07/2012 12:24
  • par dani