LDAP (Lightweight Directory Access Protocol) es un protocolo que permite consultar un directorio que contiene información sobre usuarios (nombre, login, autenticación...). Desde la versión [SPIP 1.5] es posible verificar si una redactora se encuentra en la base LDAP antes de darle acceso al espacio privado.
En la instalación, SPIP detecta si PHP ha sido compilado con el soporte LDAP. Si es así, en la quinta etapa («crear un acceso») un botón permite añadir un directorio LDAP en la configuración de SPIP. La configuración que sigue es relativamente simple e intenta adivinar al máximo los parámetros. Especialmente, permite elegir el estado por omisión de las autoras que se encuentran en el directorio: pueden ser redactores (aconsejado), administradoras, o simples visitantes.
Nota: por omisión, la extensión LDAP de PHP habitualmente no está activada; por lo tanto, SPIP no mostrará el formulario correspondiente durante la instalación. Acordaros de activar la extensión LDAP en vuestra instalación de PHP si vais a utilizar LDAP con SPIP.
Si SPIP se encuentra ya instalado y quieres configurar el directorio LDAP, bastará con retomar la instalación borrando el fichero ecrire/inc_connect.php3
.
Una vez que la configuración se ha realizado correctamente, los usuarios del directorio LDAP serán identificados escribiendo su login (o nombre) en el directorio LDAP y después su contraseña. Ten en cuenta que ello no impide crear directamente autoras en SPIP; estos nombres de autores no se copiarán en el directorio, sino que serán gestionados directamente por SPIP. Por otro lado la información personal (biografía, clave PGP...) de los autores autentificados desde LDAP tampoco se volverán a copiar en el directorio. Así SPIP solo necesita un acceso en modo solo lectura al directorio LDAP.
Importante: crea siempre una primera administradora «normal» (no LDAP) durante la instalación de SPIP. Es preferible para evitar quedarse bloqueado en caso de avería del servidor LDAP.
Para saber más
La información de conexión al servidor LDAP se graba en inc_connect.php3.
Corolario : es necesario suprimir este fichero y volver a lanzar la instalación para activar LDAP en el sitio SPIP existente.
En la tabla spip_auteurs, se añade un campo “fuente” que indica de donde viene la información sobre la autora. Por omisión, es “spip” pero también puede tener el valor “ldap”. Ello permite saber concretamente cuales son los campos que no deben cambiarse: en particular no se debe autorizar la modificación del login, puesto que de lo contrario se produce una pérdida de sincronización entre SPIP y LDAP.
Durante la autenticación se prueban los dos métodos: primero SPIP y posteriormente LDAP. De hecho, un autor LDAP no podrá ser identificado por el método SPIP (método estandar con «challenge md5»), ya que la contraseña queda vacía en la tabla spip_auteurs. Con respecto al autor SPIP, se autentifica directamente desde la tabla spip_auteurs. Por otro lado, si el login no viene de SPIP, la contraseña se transmite en claro [1].
Cuando un autor LDAP se conecta por primera vez, su entrada se añade en la tabla spip_auteurs. Los campos que se rellenan son: nombre, login y correo electrónico que vienen de LDAP (campos “cn”, “uid” y “mail” respectivamente) y el estado, cuyo valor por omisión se define durante la instalación redactor, administradora o visitante. Importante: después se puede modificar el estado, por ejemplo con el fin de elegir a los administradores a mano.
Una vez que la autora se ha conectado es autentificada por la vía clásica, es decir simplemente con la cookie de sesión. Así solo se conecta al servidor LDAP durante el login (spip_cookie.php3). Por otro lado, la información que se tiene en cuenta para la publicación y los bucles es la de spip_auteurs y no la del directorio.
Para los autores SPIP no cambia nada. Pueden crearse y modificarse como de costumbre.
Traducido por : Montserrat Boix
Mujeres en red por el software libre y no sexista