Aller au contenu

Package Serveur Ldap Et Pgina


Brunchto

Messages recommandés

Bonjour,

J'aimerais également faire l'authentification LDAP avec pGina depuis les postes clients et j'arrive au même constat que toi... J'utilise pGina 1.8.8 sous WinXP SP-3 avec le plugin LDAPAuth 1.5.3. Si je lance un test de login avec l'outil "Plugin Tester" de pGina j'obtiens toujours le message d'erreur "Plugin reported failure" sans autre forme d'explication !!!

Il me semble pourtant avoir tout essayé; les modes Search, MultiMap ou Map, LDAP server avec l'adresse IP ou le nom DNS, PrePend ou Append/Contexts avec différentes valeurs (genre uid= et cn=users,dc=test,dc=local), etc....

Si quelqu'un pouvait donner une procédure pas à pas, notamment sur la configuration du plugin à appliquer pour communiquer avec le Directory Server ça serait vraiment parfait !

Merci,...

Lien vers le commentaire
Partager sur d’autres sites

J'ai encore effectué quelques tests et il semblerait que l'erreur ne vienne pas de la configuration du plugin LDAPAuth !

En effet, si j'essaye de me connecter en utilisant un compte local (Administrateur), cela fonctionne normalement. Par contre, si j'essaye d'utiliser un compte LDAP présent uniquement sur le Directory Server et non en local, il me donne le message d'erreur suivant :

Your username and password are correct, but you are not authorized to use this system. Please see your system administrator.

Dans le même ordre d'idée, si j'utilise ce même compte LDAP mais avec un mot de passe erroné il me signale bien que le mot de passe est faux. Par conséquent, tant la connexion avec le serveur LDAP que l'authentification semblent fonctionner correctement. Apparement, le problème vient du fait que pGina n'arrive pas à créer le compte en local lors de la première connexion. J'ai regardé au niveau des stratégies de sécurité locales, mais les quelques paramètres que j'ai essayé n'ont rien donné.

Je précise que les postes sont tous configurés en "Workgroup" et non sur un domaine AD, l'idée étant que le serveur LDAP permette l'authentification des utilisateurs sur n'importe quel poste et ce, sans avoir à créer chaque compte sur chaque poste !!!

Lien vers le commentaire
Partager sur d’autres sites

J'ai utilisé les paramètres suivants :

LDAP Method : Search Mode

LDAP Server : Adresse IP du Directory Server (Synology) ou son nom DNS (mais dans ce dernier cas, il faut s'assurer que la résolution DNS fonctionne bien !)

Port : 389 (sans SSL)

Contexts : dc=test,dc=local et cn=users,dc=test,dc=local (le FQDN utilisé pour le Directory Server étant "test.local" !)

Concernant le message d'erreur, il apparaît au démarrage, au moment du login. Le test du plugin me donne toujours l'erreur "Plugin reported failure" !

Lien vers le commentaire
Partager sur d’autres sites

Eureka !!!!

Après pas mal de tests et m'être finalement résigné à repartir de zéro, j'ai trouvé l'origine du problème -> Il ne faut rien spécifier dans "User Groups" pour la configuration de LDAPAuth (onglet "User Configuration"). J'avais cru à tord que le groupe LDAP par défaut nommé "Users" devait y être spécifié. Hors, d'après la documentation de LDAPAuth :

  • userOK0-255 (optional) LDAP Group(s) in which user must exist to be successfully authenticated. If left blank (or set to all), all may use the workstation.

Comme quoi, il suffit parfois de juste bien lire la documentation !!!

Afin d'être tout à fait complet et d'éviter à d'autres cette "petite" mésaventure, je vous donne les configurations à utiliser au niveau de LDAPAuth pour que cela fonctionne avec le Directory Server :

1. LDAP Server : Adresse IP ou nom DNS. Le nom DNS est à mon avis préférable mais il faut créer une entrée DNS pour la résolution du nom et la tester avec une requête ping !

2. Use SSL : non activé !

3. Port : 0 (c'est le paramètre par défaut, LDAPAuth utilise automatiquement le port 389 en non-SSL ou le 636 si le SSL est activé)

4. Timeout (sec) : 0

Avec LDAP Method sur "Search Mode" (c'est la méthode la plus simple) :

5. Contexts : dc=test,dc=local*

Avec LDAP Method sur "MultiMap Mode" :

5. PrePend : uid=

6. Contexts : cn=users,dc=test,dc=local*

Avec LDAP Method sur "Map Mode" :

5. PrePend : uid=

6. Append : cn=users,dc=test,dc=local*

Dans l'onglet "User Configuration" :

Admin groups : Ajouter le groupe "administrators"

-> Dans ce cas, tous les utilisateurs qui sont dans ce groupe au niveau du serveur LDAP seront également dans le groupe local "Administrateurs" du poste client. Par contre, ceux qui n'en sont pas membres, seront simplement ajoutés au groupe local "Utilisateurs". Il semble par conséquent impossible d'utiliser le groupe "Utilisateurs avec pouvoir" pour les comptes LDAP !!!

User groups : Laisser vide !!!

-> Si vous voulez limiter l'accès à certains postes, il est possible de spécifier ici un groupe LDAP. Dans ce cas, seuls les utilisateurs appartenant au groupe spécifié auront l'autorisation de se connecter sur le poste concerné. Je n'ai pas creusé la question, mais pour que l'utilisation de ce paramètre soit vraiment viable il faudrait favoriser l'utilisation d'une variable (genre %s) plutôt qu'un nom de groupe en dur. La configuration du réseau en serait nettement simplifié et cela éviterai de configurer ce paramètre sur chaque poste client...

* FQDN du Directory Server : "test.local"

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

Merci pour le retour AudioJam!

Avant de me lancer dans la mise en place du DirectoryServer, j'avais 2 questions, vous aurez peut être des réponses ;-)

Aujourd'hui, je créé mes comptes via DSM, je donne acces aux apps, je fais la même chose pour PhotoStation, je donne ensuite les acces aux albums via l'interface PhotoStation. Deux bases de données de comptes, pas pratique.

Avec le DSM 3.2, j'ai vu que l'on pouvais rationaliser tout ca en utilisant la base de compte du DSM pour PhotoStation. Tres bien mais je souhaite utiliser une base LDAP avec DirectoryServer !

Les questions :

1. Est ce qu'en installant DirectoryServer, mes utilisateurs pourront se connecter à Windows (avec pGina), à PhotoStation et à DiskStation avec le même compte et mot de passe ?

2. Est ce que niveau Admin, rien ne change ? Je pourrais toujours utiliser l'interface du DSM pour les accès aux applis et l'interface PhotoStation pour cocher les albums auquels chaque utilisateur à acces ?

Merci d'avance pour vos réponses et bonnes fêtes à tous!

Lien vers le commentaire
Partager sur d’autres sites

1. Est ce qu'en installant DirectoryServer, mes utilisateurs pourront se connecter à Windows (avec pGina), à PhotoStation et à DiskStation avec le même compte et mot de passe ?

Je n'ai pas testé pour PhotoStation, mais pour le reste la réponse est "Oui".

2. Est ce que niveau Admin, rien ne change ? Je pourrais toujours utiliser l'interface du DSM pour les accès aux applis et l'interface PhotoStation pour cocher les albums auquels chaque utilisateur à acces ?

Oui, le compte "Admin" reste au niveau du DSM. Je te conseille de créer un autre compte avec des droits "admin" dans le Directory Server...

Modifié par AudioJam
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Petite question au niveau de pGina, au niveau des connexions utilisateurs tous ce passe bien sauf 2 choses :

  • De temps en temps il me recré un environnement
  • Il met impossible d'exécuter dans la plugin LDAPauth, onglet Hook Configuration un VBS ou un BAT
  • Idem dans la rubrique session

Lancer manuellement après authentification sur le serveur syno avec pGina ça marche

Auriez vous une solution la dessus, ça me permettrai d’exécuter un script de connexion depuis le serveur pour chaque poste client, via pGina

PS : savez vous si on peux comme dans une AD mettre des scripts directement sur les comptes utilisateurs et si une adresse mail peux être configurer a partir d'une adresse type user@domaine.local

Merci et bonne fêtes

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Oui, le compte "Admin" reste au niveau du DSM. Je te conseille de créer un autre compte avec des droits "admin" dans le Directory Server...

Merci pour tes réponses. en fait je me posais surtout la question pour les autres comptes (utilisateurs créés en + du compte Admin). Est ce que l'interface de gestion est la même que pour les compte DSM ? Niveau parametrage, c'est du clic sur qui a acces à quoi ? Ou c'est moins simple?

Merci d'avance!

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Bonjour,

Petite question au niveau de pGina, au niveau des connexions utilisateurs tous ce passe bien sauf 2 choses :

  • De temps en temps il me recré un environnement
  • Il met impossible d'exécuter dans la plugin LDAPauth, onglet Hook Configuration un VBS ou un BAT
  • Idem dans la rubrique session

Lancer manuellement après authentification sur le serveur syno avec pGina ça marche

Auriez vous une solution la dessus, ça me permettrai d’exécuter un script de connexion depuis le serveur pour chaque poste client, via pGina

PS : savez vous si on peux comme dans une AD mettre des scripts directement sur les comptes utilisateurs et si une adresse mail peux être configurer a partir d'une adresse type user@domaine.local

Merci et bonne fêtes

Quelqu'un pourrai m'aider ??

Merci

Lien vers le commentaire
Partager sur d’autres sites

Quelqu'un pourrai m'aider ??

Merci

J'ai eu des problèmes similaires dans mes premiers essais. Le problème viendrait de Windows. Il lance l'exporer dès l'ouverture de la session: si le mappage du lecteur n'est pas terminé, il ne le voit pas ou n' y accède pas. Du coup si la config qui lui est donné ( emplacement du desktop, fichier temp....) pointe vers le lecteur réseau, ne pouvant les voir, il préfère recréer un environnement complet dans les répertoires par défaut.

La solution que j'ai utilisée : je ne donne plus de chemin par un lecteur réseau mais j'indique directement le chemin par le réseau genre DISKSTATIONhomesnanard.

Je gère les droits d'accès avec le client LDAp du NAS. et ça se passe bien.

Je sais pas si ca donne une solution mais certain admin inscrivent dans le script une relance de l'explorer pour régler ce problème. J'ai essayé mais ca n"est pas concluant avec Pgina ( Ca allonge considérablement le temps d'ouverture sur de petite machines comme les miennes )

Sinon, en effet je ne suis pas arrivé à lancer un script depuis l'onglet Hook du PLUGIN. Mais dans la partie session, ca marche pour moi.

Bon courage

Lien vers le commentaire
Partager sur d’autres sites

Re,

D'abord merci pour ta réponse

Au niveau du script c'est Cool il s’exécute correctement par "session"

Par contre, pour ce qui est des comptes j'ai toujours ce problème d'environnement qui se recrée systématiquement et j'ai pas trop compris ton explication

Pourrais-tu me réexpliquer s'il te plait

Merci

Pour infos j'ai essayé avec le version 3.0.7.0 BETA mais rien ne marche même pas la connexion au LDAP

Modifié par zode94
Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Bonsoir,

J'ai suivi les instructions, mais je n'arrive à rien. Je m'explique : dans Directory Server, j'ai activé le serveur LDAP, et nommé FQDN : test.local. Pour le mot de passe, j'ai pris essai.

J'ai créé un nouvel utilisateur avec un mot de passe, puisque ceux qui existaient auparavant dans le syno, n'apparaissent pas automatiquement (ce qui me semble normal). Je lui ai donné tous les droits en l'incluant à tous les groupes (users, admin et directory admin).

Dans Service de rpéertoire, le client LDAP m'indique qu'il est connecté, et la prise en charge de Windows CIFS, est activé

Ensuite sur le PC (sous Seven), j'ai installé pgina et le plugin LDAPAuth configuré comme ci-dessus.

De là, j'ai plusieurs soucis :

- l'authentification n'aparaît pas par défaut, et pour voir le logon pgina, je dois démarrer le pc, puis choisir fermer la session

- plus grave : qd j'ai la page de connexion, je saisis le nom d'utilsateur, et le mot de passe tel que définis dans directory server, mais sysmatiquement, j'ai user or password incorrect... Si je mets un nom d'utilsateur bidon, c'est pareil.

Bref, je n'arrive à rien pour l'instant.

Comme je ne sais pas où se situent les erreurs, et que depuis 3 jours, je galère, je fais appel à vous.

Merci

Modifié par fastrene
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

Désolé de tarder à répondre, ZODE94, je ne suis pas vraiment régulier dans mes visites au forum.

Pour information, j'ai eu des problèmes avec pgina sous vista... ou plus précisément avec le plugin LDAP pour 64bits.

Suite à une mise à jour système, il n'a plus fonctionné du tout... et impossible ni de revenir en arrière... ni de le réinstaller.

Je suis donc dans les tatonnement avec la version 3.0.8 de Pgina. et je n'avance pas trop.

quand à Pgina 2.1.0 avec le plugin pour architecture 32bit, lui vit sa vie et fonctionne encore très bien.

Je concentre mes tatonnements sur la nouvelle version . et si ca fonctionne je met ma config sur le forum. Mais j'avoue ne pas avoir rencontrer de problèmes similaire à ceux de fastene.

Lien vers le commentaire
Partager sur d’autres sites

Je concentre mes tatonnements sur la nouvelle version . et si ca fonctionne je met ma config sur le forum. Mais j'avoue ne pas avoir rencontrer de problèmes similaire à ceux de fastene.

Bonjour à tous,

Si tu trouves une config pour la version 3.0.8 de pgina, je suis preneur.. et t'en remercierait infiniment !! Je l'ai testé mais cela me met erreur ldap... je l'ai paramétré similairement à la 1.8.1.1 et 2.x.x pourtant mais des choses m'échappent.

Je vous explique mon cas, je suis en stage pour mon bts informatique dans une fac et j'ai un projet à mettre en place...

Je dois mettre en place un Pgina avec le plugin ldap, tout en sachant qu'il doit communiquer avec l'active directory, c'est à dire créer les utilisateurs dans l'active directory dans un groupe spécifique. J'ai créer mon domaine et tout fonctionne à ce niveau, mais...

Impossible de faire fonctionner Pgina. J'ai paramétré le plug in ldap-auth exactement comme mes collègues le font sous xp avec la version 1.8.1.1 qui fonctionne très bien, mais là ma mission est de l'installer sur windows seven. Avec la version 1.8.1.1, avec le plug in testeur, tout fonctionne mais lorsque je redemarre mon pc, je n'ai pas de pgina affiché, seulement l'identification windows sur mon domaine...

Auriez vous une idée, j'espère avoir été clair dans mes explications

Merci d'avance pour vos réponse.

.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

J'ai débloquée la situation hier soir, ou plutôt ce matin très tôt. Je n'ai donc pas posté tout de suite, mais comme souvent quand je bloque sur un problème, c'est parce que je n'ai pas lu la doc ou que je l'ai survolée.

La solution pour mettre en place PGINA 3.0.8 est de mettre en application l'exemple donné dans la doc: donc

pour le LDAP Plugin :

  • LDAP Host(s): DISKSTATION ( c'est le nom réseau de mon petit DS212 , mais l'adresse IP fonctionne aussi )
  • LDAP Port : 389 pour du non crypté, je vais dormir un peu entre deux, avant d'essayer le port 636.
  • Timeout : Ca peut être interressant d'augmenter cette valeur quand on a des problème de ping, mais 10s c'est déjà bien ( c'est plus du problème de ping là; je ne sais pas si ca vaut le coup de garder un réseau avec un ping comme ça ).
  • Use SSL : surtout pas pour l'instant
  • Verify Server Certificate : Sans objet pour nous.
  • SSL Certificate File : Sans objet pour nous.
  • DN Pattern : uid=%u,cn=users,dc=test,dc=local

Le reste bien sur, je ne m'en suis pas servi

Pour la config du prog principal, rien de spécial, les config par défaut fonctionne très bien. par contre une des raisons de mes problèmes se trouvait sur le serveur SYNO lui-même : le compte LDAP que j'utilisais en test avait un quotta de stockage de 4Go (c'est bien moi qui l'avait fixé) et celui-ci était déja atteint, résultat le serveur essayant d'écrire une donnée ( je ne sais pas laquelle mais j'imagine que c'est une log de connection pour chaque user ), Cela ne fonctionnait pas et j'atteigais donc LE timer de 10s provoquant une 'autorization failed'.

Voila pour ma trouvaille. En attendant heureusement que je suis en vacances cette semaine, je n'ai pas assez dormi.

J'en ai marre de PGina , je vais passer à d'autres problèmes pour changer.

Bon courage

Lien vers le commentaire
Partager sur d’autres sites

  • 4 mois après...

Bonjour

Très intéressant ce post qui répond à ma question posée par ailleurs sur la centralisation d'un système de login à partir de différents PC sur un synology qui joue le controlleur

Ma question: est-il possible d'indiquer à windows, au démarrage du premier login d'un nouvel utilisateur, de monter les disques réseaux du synology ? (users folders...)

Merci

Lien vers le commentaire
Partager sur d’autres sites

  • 7 mois après...

bonjour, je suis actuellement en stage et après un echec sur maarch .. bah laisser de coté.. on m'a demandé de gérér les authentifications sur directory server installé sur un synologie.. j'ai bien trouvé quelques fichiers conf mais je sèche un peu.. le soucis c'est que je voudrai pouvoir enlever l'authentification anonyme et simple et ne laisser que celle qui demande login/mdp avec SSL apres (mais apres... certificats ..). Le menu de directory server est super léger et aucune options de ce genre n'est disponible... Je suis persuadé que je peux le changer ce paramètre mais ou ???

bonne journée à vous.. cordialement.. timmy

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...
  • 3 ans après...
Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.