<abbrtitle="LemonLDAP::NG">LL::NG</abbr> peut utiliser un annuaire LDAP pour :
</p>
<ul>
<liclass="level1"><divclass="li"> authentifier les utilisateurs</div>
</li>
<liclass="level1"><divclass="li"> obtenir les attributs utilisateurs</div>
</li>
<liclass="level1"><divclass="li"> obtenir les groupes dont l'utilisateur est membre</div>
</li>
<liclass="level1"><divclass="li"> changer les mots-de-passe (avec la gestion de la politique de mot-de-passe côté serveur)</div>
</li>
</ul>
<p>
Ceci fonctionne avec tout serveur LDAP v2 ou v3, dont <ahref="authad.html"class="wikilink1"title="documentation:2.0:authad">Active Directory</a>.
</p>
<p>
<abbrtitle="LemonLDAP::NG">LL::NG</abbr> est compatible avec <ahref="https://opends.dev.java.net/public/standards/draft-behera-ldap-password-policy.txt"class="urlextern"title="https://opends.dev.java.net/public/standards/draft-behera-ldap-password-policy.txt"rel="nofollow">la politique de mots-de-passe LDAP</a> :
</p>
<ul>
<liclass="level1"><divclass="li"> Le server LDAP server peut vérifier la solidité du mot de passe et le portail <abbrtitle="LemonLDAP::NG">LL::NG</abbr> affichera les erreurs correctes (mot-de-passe trop court, dans l'historique, etc…)</div>
</li>
<liclass="level1"><divclass="li"> Le serveur LDAP peut bloquer les attaques par force brute et <abbrtitle="LemonLDAP::NG">LL::NG</abbr> affichera que le compte est bloqué</div>
</li>
<liclass="level1"><divclass="li"> Le serveur LDAP peut imposer le changement de mot-de-passe à la première connexion et le portail <abbrtitle="LemonLDAP::NG">LL::NG</abbr> affichera le formulaire de changement de mot-de-passe avant d'ouvrir la session <abbrtitle="Authentification unique (Single Sign On)">SSO</abbr></div>
Dans le manager, aller dans <code>Paramètres généraux</code>><code>Modules d'authentification</code> et choisir LDAP) pour les modules authentification, utilisateurs et/ou mots-de-passe.
</p>
<divclass="notetip">Pour <ahref="authad.html"class="wikilink1"title="documentation:2.0:authad">Active Directory</a>, choisir <code>Active Directory</code> au lieu de <code>LDAP</code>.
Le niveau d'authentification accordé aux utilisateurs authentifiés par ce module.
</p>
<divclass="noteimportant">Comme LDAP est un module de type login/mot-de-passe, le niveau d'authentification peut être :<ul>
<liclass="level1"><divclass="li"> augmenté (+1) si le portail est protégé par SSL (HTTPS)</div>
</li>
<liclass="level1"><divclass="li"> diminué (-1) si l'autocompletion est autorisée sur le portail (voir <ahref="portalcustom.html"class="wikilink1"title="documentation:2.0:portalcustom">Personnalisation du portail</a>)</div>
Liste d'attributs à interroger pour trouver la session utilisateur. Voir aussi la <ahref="exportedvars.html"class="wikilink1"title="documentation:2.0:exportedvars">configuration des variables exportées</a>.
<liclass="level1"><divclass="li"><strong>Nom de serveur</strong> : nom du serveur LDAP ou <abbrtitle="Uniform Resource Identifier">URI</abbr> (par défaut : localhost). Autres possibilités :</div>
<ul>
<liclass="level2"><divclass="li"> Plusieurs serveurs peuvent être renseignés séparés par des virgules ou espaces. Ils seront testés dans l'ordre indiqué.</div>
</li>
<liclass="level2"><divclass="li"> Pour utiliser TLS, utiliser <code>ldap+tls://server</code> et pour utiliser LDAPS, indiquer <code>ldaps://server</code> au lieu du nom de serveur.</div>
<liclass="level2"><divclass="li"> En utilisant TLS, il est possible d'utiliser toutes les options de la fonction start_tls() <ahref="http://search.cpan.org/~gbarr/perl-ldap/lib/Net/LDAP.pod"class="urlextern"title="http://search.cpan.org/~gbarr/perl-ldap/lib/Net/LDAP.pod"rel="nofollow">Net::LDAP</a> telle <code>ldap+tls://server/verify=none&capath=/etc/ssl</code>. You can also use cafile and capath parameters.</div>
<liclass="level1"><divclass="li"><strong>Port du serveur</strong> : port TCP du serveur LDAP. Peut être surchargé par une <a3>URI</a3> LDAP dans le nom du serveur.</div>
</li>
<liclass="level1"><divclass="li"><strong>Base de recherche des utilisateurs</strong> : base de recherche de l'annuaire LDAP.</div>
</li>
<liclass="level1"><divclass="li"><strong>Compte</strong> : <abbrtitle="Distinguished Name">DN</abbr> à utiliser pour se connecter au serveur LDAP. Par défaut, une connexion anonyme est utilisée.</div>
</li>
<liclass="level1"><divclass="li"><strong>Mot-de-passe</strong> : mot-de-passe à utiliser pour se connecter au serveur LDAP. Par défaut, une connexion anonyme est utilisée.</div>
</li>
<liclass="level1"><divclass="li"><strong>Timeout</strong> : délai maximum de connexion.</div>
</li>
<liclass="level1"><divclass="li"><strong>Version</strong> : version du protocole LDAP.</div>
</li>
<liclass="level1"><divclass="li"><strong>Attributs binaires</strong> : expression régulière correspondant aux attributs binaires (voir la documentation <ahref="http://search.cpan.org/~gbarr/perl-ldap/lib/Net/LDAP.pod"class="urlextern"title="http://search.cpan.org/~gbarr/perl-ldap/lib/Net/LDAP.pod"rel="nofollow">Net::LDAP</a>).</div>
<liclass="level1"><divclass="li"><strong>Filtre d'authentication</strong> : filtre pour trouver l'utilisateur à partir de son login (défaut : <code>(&(uid=$user)(objectClass=inetOrgPerson))</code>)</div>
</li>
<liclass="level1"><divclass="li"><strong>Filtre mail</strong> : filtre pour trouver l'utilisateur à partir de son mail (défaut: <code>(&(mail=$mail)(objectClass=inetOrgPerson))</code>)</div>
</li>
<liclass="level1"><divclass="li"><strong>Déréférence d'alias</strong> : comment gérer les alias LDAP. (défaut: <code>find</code>)</div>
</li>
</ul>
<divclass="notetip">Pour Active Directory, le filtre d'authentification par défaut est :
<liclass="level1"><divclass="li"><strong>Base de recherche</strong> : <abbrtitle="Distinguished Name">DN</abbr> de la branche des groupes. La recherche des groupes est désactivé si cette valeur est vide.</div>
</li>
<liclass="level1"><divclass="li"><strong>Classe d'object</strong>: objectClass du groupe (défaut: groupOfNames).</div>
</li>
<liclass="level1"><divclass="li"><strong>Attribut cible</strong> : nom de l'attribut du groupe stockant le lien vers l'utilisateur (défaut: member).</div>
</li>
<liclass="level1"><divclass="li"><strong>Attribut source utilisateur</strong> : nom de l'attribut utilisateur utilisé dans le lien (défaut: dn).</div>
<liclass="level1"><divclass="li"><strong>Attributs recherchés</strong> : nom(s) de l'attribut stocké dans le nom du groupe, séparés par des espaces (défaut: cn).</div>
<liclass="level1"><divclass="li"><strong>Récursivité</strong> : active la fonctionnalité récursive (défaut: 0). Si activé et si le groupe de l'utilisateur est membre d'un autre groupe (groupes de groupes), tous les groupes parents seront considérés comme groupes de l'utilisateur.</div>
</li>
<liclass="level1"><divclass="li"><strong>Attribut source du groupe</strong> : nom de l'attribut dans l'entrée groupe utilisé dans le lien pour la recherche récursive de groupe (défaut : dn).</div>
<liclass="level1"><divclass="li"><strong>Contrôle de politique de mot-de-passe</strong> : active l'utilisation de la politique de mots-de-passe LDAP. Nécessite une version de Net::LDAP égale ou supérieure à 0.38. (voir le procédé de politique de mots-de-passe ci-dessous)</div>
</li>
<liclass="level1"><divclass="li"><strong>Opération étendue de modification de mot-de-passe</strong> : active l'utilisation de l'opération étendue de <code>modification de mot-de-passe</code> LDAP au lieu de l'opération standard.</div>
</li>
<liclass="level1"><divclass="li"><strong>Change comme utilisateur</strong> : active la modification du mot-de-passe avec les éléments d'authentification de l'utilisateur connecté. Nécessite de requérir l'ancien mot-de-passe (voir <ahref="portalcustom.html"class="wikilink1"title="documentation:2.0:portalcustom">personnalisation du portail</a>).</div>
<liclass="level1"><divclass="li"><strong>LDAP password encoding</strong>: can allow one to manage old LDAP servers using specific encoding for passwords (default: utf-8).</div>
<liclass="level1"><divclass="li"><strong>Utiliser l'attribut reset</strong> : activé pour utiliser l'attribut reset du mot-de-passe. Cet attribut est activé par LemonLDAP::NG lorsque <ahref="resetpassword.html"class="wikilink1"title="documentation:2.0:resetpassword">le mot-de-passe a été réinitialisé par mail</a> et que l'utilisateur a choisi de générer le mot-de-passe (défaut : activé).</div>
</li>
<liclass="level1"><divclass="li"><strong>Attribut reset</strong> : nom de l'attribut reset du mot-de-passe (défaut : pwdReset).</div>
</li>
<liclass="level1"><divclass="li"><strong>Valeur de reset</strong> : valeur à mettre dans l'attribut reset pour activer la réinitialisation du mot-de-passe (défaut : TRUE).</div>
</li>
<liclass="level1"><divclass="li"><strong>Allow a user to reset his expired password</strong>: if activated, the user will be prompted to change password if his password is expired (default: 0)</div>
</li>
</ul>
<p>
</p><divclass="row"><divclass="col-md-6">
<strong>Procédé d'avertissement avant expiration du mot-de-passe</strong>