damien.metzler a écrit : > Je pense que c'est vers ce genre de configuration que nous allons tendre : > utiliser LDAP pour l'autentification (user / mdp / email / nom / prénom) et > un annuaire ZODB pour le reste des infos (il en reste plus beaucoup en > fait). Existe-t-il des informations sur la manière de s'y prendre ? Je vais essayer d'améliorer CPSLDAPSetup dans les jours qui viennent pour avoir un backing ZODB dédiés aux informations spécifiques à CPS. Ca rendra les choses plus simple. Stay tuned, une nouvelle release de CPSLDAPSetup beta sera faite des que ce sera ajouté. > Si aujourd'hui j'utilise un annuaire ZODB, j'ai quand même intérêt à > utiliser les mêmes id que le futur LDAP non ? Je pense de toute façon que je > vais monter une maquette pour tester la migration. Oui c'est toujours une bonne idée de séparer l'environnement de prod de celui de preprod/test et / ou développement. >>> Dans ce cas, il serait peut être préférable d'utiliser >>> l'autentification Windows qui migrera d'elle même lorsque nous >>> migrerons sous AD. De plus, il sera possible de faire du SSO... >> Je ne suis pas sûr de vous comprendre. Quelle est cette >> authentification Windows dans le contexte de CPS? À part ça, il y a un >> composant Kerberos pour CPS en cours de développement, mais je ne sais >> pas trop où ça en est. > > Il me semblait avoir lu quelque part (je ne sais plus trop où c'est bien ça > le problème) qu'il était possible d'utiliser le composant auth_NTML d'Apache > qui se charge de l'authentification et qui bind l'authentification sur Zope > ensuite. Ca remonte un peu et c'est pour ça que je ne me rappelle plus trop > de la technique. Sinon pour Kerberos, j'avais aussi lu des choses mais comme > vous le dite, c'est en cours de développement .... Le composant NTLM est toujours dans le SVN mais ne recoit pas de support actif car tres peu de monde l'utilise. Pour le redeployer sur CPS 3.4 il faudra probablement mettre les mains dans le cambouis: http://svn.nuxeo.org/trac/pub/browser/CMFNtlmSso/trunk/ Le composant kerberos de JMO lui fonctionne avec CPS 3.4 : http://svn.nuxeo.org/trac/pub/browser/CPSKrb5Auth/trunk/ Il y a aussi SecureAuth qui permet d'utilisé des token (certificat X509) signés par une PKI et validés par Apache pour s'authentifier sur CPS : http://svn.nuxeo.org/trac/pub/browser/SecureAuth/trunk/ (Pas testé sur CPS 3.4) Dans tous les cas il faut bien distinguer les problèmes de d'authentification de celui de l'accès/stockage des données utilisateurs. Par défaut dans CPS : - CookieCrumbler se charge de l'authentification (par cookie) - un ZODBDirectory stocke les données utilsateur. Dans CMFNtlmSso/CPSKrb5Auth/SecureAuth c'est CookieCrumbler qui est modifié. Les utilisateurs sont toujours stockés dans le dirctory members. Dans CPSLDAPSetup, le directory members ZODB est remplacé par une arborescence Meta/Stacking/LDAPBacking. Il est ainsi possible de combiner CPSKrb5Auth avec CPSLDAPSetup. -- Olivier
Hébergement: Nuxeo: Zope service provider