LDAP (Lightweight Directory Access Protocol) is een protocol waarmee gebruikersgegevens kunnen worden opgevraagd (naam, login, authentificatie...). In SPIP kun je hiermee verifiëren of een redacteur in LDAP is gedefinieerd voordat je hem toegang geeft tot het privé gedeelte.
Tijdens de installatie zal SPIP detecteren of de PHP werd gecompileerd met LDAP ondersteuning. Is dat het geval, dan zal in de vijfde stap («het toegang verlenen») een knop verschijnen die het mogelijk maakt de LDAP gebruikerslijst te integreren in de configuratie van SPIP. Zo kan bijvoorbeeld de standaard status van auteurs aan de hand van deze lijst bepaald worden.
Let op: De LDAP-extensie van PHP is meestal niet geactiveerd, waardoor SPIP tijdens de installatie ook niet de optie zal aanbieden. Zorg er dus voor dat de extensie actief is vóór SPIP wordt geïnstalleerd.
Werd SPIP al geïnstalleerd voordat de LDAP-extensie actief was, dan moet een herinstallatie worden gedaan door het verwijderen van het bestand config/connect.php
.
Wanneer de configuratie correct werd uitgevoerd, dan zullen de gebruikers uit de LDAP lijst kunnen worden herkend aan hun login (of naam) en vervolgens hun wachtwoord. Gebruikens blijven inSPIP geregistreerd staan en persoonlijke gegevens zoals de biografie en de PGP-sleutel zullen niet naar de LDAP-lijst worden overgezet. Ook kunnen in SPIP gebruikers worden gecreëerd die niet in de LDAP lijst voorkomen. SPIP vereist dan ook geen schrijfrechten op de LDAP lijst, het leest alleen gegevens.
Belangrijk: de eerste beheerder moet altijd «normaal» (buiten LDAP) tijdens de installatie worden aangemaakt om te voorkomen dat SPIP ontoegankelijk wordt bij een storing in de LDAP server.
Aanvullende informatie
De verbindingsgegevens met de LDAP server staan beschreven in het bestand connect.php
.
In de tabel spip_auteurs staat een veld "source" dat aangeeft waar de auteursgegevens vandaan komen. Standaard is de waarde "spip", maar het kan ook de waarde "ldap" hebben. Hieraan kan worden gezoen welke gegevns in SPIP niet mogen worden aangepast: in het bijzonder is dat de login, want dat zou de synchronisatie tussen SPIP en LDAP verbreken.
Bij authenticatie worden twee methodes na elkaar getest: eerst SPIP, dan LDAP. De authenticatie van een LDAP auteur kan feitelijk niet door SPIP worden gedaan omdat het wachtwoord in de tabel spip_auteurs leeg is. De authenticatie van een SPIP auteur gebeurt direct via de tabel spip_auteurs. Dus komt de login niet van SPIP komt, wordt het wachtwoord doorgestuurd.
Meldt een LDAP zich voor het eerst aan in SPIP, dan wordt hij aan de tabel spip_auteurs toegevoegd. De volgende velden worden vanuit LDAP gevuld: naam, login en email. De status wordt degene die standaard werd bepaald tijdens de installatie (redacteur, beheerder of bezoeker). Deze status kan later worden aangepast.
Wanneer de auteur is aangemeld, wordt hij opde klassieke wijze geautheticeerd: met een sessie-cookie. Alle gegevns over hem zullen uit SPIP komen en niet van de LDAP lijst.
Voor SPIP auteurs verandert er niets. Ze kunnen worden aangemaakt en aangepast als gebruikelijk.