Configuration du connecteur LDAP
Un article de EpistemaWiki.
Sommaire |
Introduction
L'authentification par protocole LDAP permet l'import de personnes telles qu'identifiées dans un annuaire LDAP dans Epilearn, et de vérifier leur mot de passe par rapport à celui dans l'annuaire LDAP (le mot de passe n'est pas stocké dans Epilearn).
Le profil des personnes ainsi importées sont mis à jour à chaque connexion de l'administrateur, mais ne sont pas détruits s'ils n'existent plus dans l'annuaire.
L'import des utilisateurs se fait lors de l'ouverture d'une session administrateur.
Configuration
La configuration de l'authentification se fait dans le fichier \epilearn\lms_hmi\conf\conf.lms.php. Vous pouvez éditer ce fichier dans notepad ou dans n'importe quel éditeur texte.
Voici les différentes lignes de configuration à indiquer dans ce fichier :
| $LMS_USE_LDAP = true; | Indique à Epilearn que l'on souhaite activer l'import LDAP |
| $LMS_LDAP_SERVER = "ldap://192.168.1.20"; | URL du serveur d'annuaire LDAP |
| $LMS_LDAP_ROOT = "OU=SBSUsers,OU=Users,OU=MyBusiness,DC=epistema,DC=local"; | Descripteur de l'emplacement où se trouvent les utilisateurs LDAP à importer |
| $LMS_LDAP_CONNECTION_USER_LOGIN = "ldapuser@epistema.local"; | Identifiant d'un utilisateur ayant les droits de connexion et de lecture sur le serveur |
| $LMS_LDAP_CONNECTION_USER_PASSWORD = ""; | Mot de passe de l'utilisateur précisé ci-dessus |
| $LMS_LDAP_FIELDS['login'] = 'userprincipalname'; | Attribut LDAP de l'identifiant de l'utilisateur à importer |
| $LMS_LDAP_FIELDS['name'] = 'sn'; | Attribut LDAP du nom de l'utilisateur à importer |
| $LMS_LDAP_FIELDS['firstname'] = 'givenname'; | Attribut LDAP du prénom de l'utilisateur à importer |
| $LMS_LDAP_FIELDS['email'] = 'mail'; | Attribut LDAP de l'email de l'utilisateur à importer |
| $LMS_LDAP_FIELDS['memo1'] = 'description'; | Attributs LDAP optionels (memo1 à memo10) |
| $LMS_LDAP_FIELDS['memo2'] = 'mailNickname'; | |
| $LMS_LDAP_FIELDS['...'] = '...'; | |
| $LMS_LDAP_FIELDS['memo10'] = 'givenname'; |
Configuration de l'authentification par SingleSignOn
L'authentification par SingleSignOn (SSO) autorise la connexion d'un candidat à la plate-forme sans avoir à entrer son mot de passe s'il l'a entré précédemment dans le système.
Pour fonctionner, le système doit rediriger l'utilisateur vers la page de connexion des candidats (.../epilearn/lms_hmi/student/index.php?studentLightAuth_action=login) en spécifiant dans l'entête HTTP LPFUSER l'identifiant du candidat à connecter.
Par ailleurs, la ligne de configuration suivante doit être indiquée dans le fichier de configuration \epilearn\lms_hmi\conf\conf.lms.php pour indiquer à Epilearn que le mode SingleSignOn est activé :
// SSO $SINGLE_SIGN_ON = true;
Configuration du filtrage par adresse IP
Le filtrage par adresse IP permet de limiter les postes autorisés à se connecter à la plate-forme. Trois modes de configuration peuvent être utilisés (et additionnés) pour spécifier les postes autorisés : déclaration de poste un à un, déclaration de plage d'adresses, authentification par nom du poste :
| //IP FILTERING $GLOBALS['conf']['IPFiltering'] = true; | Indique à Epilearn que le filtrage par adresse IP est actif. |
| $GLOBALS['conf']['AllowIPs'][] = array('from' => '192.168.1.1', 'to' => '192.168.1.128'); | Spécification d'une plage d'adresses IP autorisées à se connecter. |
| $GLOBALS['conf']['AllowIPs'][] = array('exact' => '192.168.1.1'); | Spécification d'un poste particulier |
| $GLOBALS['conf']['AllowIPs'][] = array('hostname' => '*.mycompany.com'); | Spécification d'un nom de machine. Les * permettent d'autoriser un ensemble de machines d'un même domaine par exemple. |
