Products.LDAPUserFolder

Products.LDAPUserFolder est un remplacement pour un dossier d'utilisateur de Zope. Il ne stocke pas ses propres objets utilisateur, mais les construit à la volée après l'authentification d'un utilisateur contre la base de données LDAP.
Comment mettre à jour
Mise à niveau implique non seulement de déballer le nouveau code, vous devez également supprimer et recréer toutes les instances de ldapuserfolder dans votre installation Zope pour éviter les erreurs. Une stratégie de mise à niveau en toute sécurité ressemble à ceci:
& Nbsp; * vous connecter en tant qu'utilisateur d'urgence
& Nbsp; * supprimer toutes les instances de ldapuserfolder
& Nbsp; * améliorer le produit du système de fichiers
& Nbsp; * redémarrer Zope
& Nbsp; * vous connecter en tant qu'utilisateur d'urgence
& Nbsp; * recréer les instances de ldapuserfolder
Comment créer un utilisateur d'urgence est décrit dans le document SECURITY.txt dans le dossier 'doc' à la racine de votre installation de logiciel Zope. Le script mentionné 'zpasswd.py' réside dans le dossier 'bin' à la racine de votre installation de Zope.
Problèmes débogage
Tous les messages de journaux sont envoyés à l'événement Zope norme log 'event.log'. Afin de voir la sortie de journalisation plus détaillé vous devez augmenter le niveau de journal dans le zope.conf de votre instance Zope. Voir la directive 'eventlog'. Réglage de la touche «niveau» à «debug» permettra de maximiser le log de production et peut aider à identifier les problèmes lors de l'installation et les tests.
Pourquoi ne pas montrer l'ldapuserfolder tous mes groupes LDAP?
Selon les commentaires reçus de personnes qui utilisent Netscape produits d'annuaire la façon dont un nouveau groupe est instancié permet à des groupes vides existent dans le système. Toutefois, selon la définition canonique pour le groupe enregistre groupes doivent toujours avoir un attribut membre du groupe. Le ldapuserfolder regarde regrouper les enregistrements à la recherche d'entrées membres du groupe. Si un enregistrement de groupe n'a pas de membres alors il sera ignoré. Comme dit plus haut, cela ne semble affecter les serveurs de Netscape Directory. Pour contourner ce (Netscape) phénomène ajouter un ou plusieurs membres du groupe en question en utilisant les outils fournis avec le serveur d'annuaire. Il devrait apparaître dans la ldapuserfolder après.
Pourquoi utiliser LDAP pour les enregistrements d'utilisateur du magasin?
LDAP comme source d'enregistrements d'utilisateurs Zope est un excellent choix dans de nombreux cas, comme ...
& Nbsp; * Vous avez déjà une configuration LDAP existante qui peut stocker les données des employés de l'entreprise et vous ne voulez pas de dupliquer les données dans un dossier utilisateur de Zope
& Nbsp; * Vous voulez faire la même base de données utilisateur disponibles à d'autres applications comme la messagerie, les clients du carnet d'adresses, authentificateurs du système d'exploitation (PAM-LDAP) ou d'autres services de réseau qui permettent l'authentification LDAP contre
& Nbsp; * Vous avez plusieurs installations de Zope qui doivent partager des enregistrements d'utilisateur ou une configuration de ZEO
& Nbsp; * Vous voulez être en mesure de stocker plus qu'un simple nom d'utilisateur et mot de passe dans votre dossier utilisateur Zope
& Nbsp; * Vous voulez manipuler des données de l'utilisateur en dehors de Zope
... La liste continue.
Le schéma LDAP
Votre serveur LDAP doit contenir des enregistrements qui peuvent être utilisés comme des enregistrements d'utilisateurs. Tous les types d'objets comme personne, organizationalPerson ou inetOrgPerson et tous ses dérivés devraient travailler. Des enregistrements de type posixAccount devraient fonctionner correctement ainsi. Le ldapuserfolder attend vos enregistrements d'utilisateurs d'avoir au moins les attributs suivants, dont la plupart sont nécessaires pour les classes d'objets mentionnés ci-dessus, de toute façon:
& Nbsp; * un attribut de tenir l'ID utilisateur (comme cn, uid, etc)
& Nbsp; * userPassword (le champ de mot de passe)
& Nbsp; * objectClass
& Nbsp; * tout attribut que vous choisissez comme l'attribut de nom d'utilisateur
& Nbsp; * attributs liés à la personne-typcial comme sn (nom de famille), givenName (prénom), uid ou par courrier (adresse de courriel) rendent le travail plus agréable avec le ldapuserfolder
Zope utilisateurs ont certains rôles qui leur sont associés, ces rôles de déterminer quelles sont les permissions l'utilisateur dispose. Pour la ldapuserfolder, informations de rôle peut être exprimée par l'adhésion dans les dossiers de groupe dans LDAP.
dossiers de groupe peuvent être de tout type d'objet qui accepte plusieurs attributs de type "uniqueMember» ou «membre» et qui a un attribut "cn". Un tel type est "groupOfUniqueNames". Le CN décrit le nom de groupe / rôle tandis que les attributs membres pointent vers tous les enregistrements d'utilisateurs qui font partie de ce groupe. Seuls les dossiers groupe de style qui utilisent DNS complet pour ses membres sont pris en charge, ce qui exclut les classes comme posixGroup.
Pour des exemples de groupe- valide et utilisateur-records pour LDAP se il vous plaît voir le fichier SAMPLE_RECORDS.txt dans cette distribution. Il a échantillons pour un utilisateur et un enregistrement de groupe au format LDIF.
Ce est en dehors de la portée de cette documentation pour décrire les différentes classes d'objets et d'attributs en détail, se il vous plaît voir la documentation LDAP pour un meilleur traitement.
Les choses à surveiller pour
Depuis un dossier d'utilisateur est l'un de ces éléments qui peuvent verrouiller les utilisateurs de votre site si ils cassent Je suggère de tester les réglages dans certains endroit discret avant de remplacer le dossier principal acl_users d'un site avec un ldapuserfolder.
En dernier recours, vous serez toujours en mesure de se connecter et apporter des modifications que le super-utilisateur (ou dans les versions plus récentes de Zope appelés "user d'urgence») qui, comme un bonus supplémentaire, peut supprimer et créer des dossiers de l'utilisateur. Ce est une violation de la norme "le super-utilisateur ne peut pas créer / propre quoi que ce soit" la politique, mais peut sauver votre peau à bien des égards.
considérations de schéma LDAP lorsqu'il est utilisé avec le FMC
Le FMC (et par extension, Plone) attendre à ce que chaque utilisateur dispose d'une adresse e-mail. Afin de faire fonctionner le tout correctement vos enregistrements d'utilisateurs LDAP doit avoir un attribut "mail", et que cet attribut doit être mis en place dans l'onglet "schéma LDAP" de votre ldapuserfolder. Lorsque vous ajoutez le "mail" schéma élément assurez-vous que vous définissez le "Plan d'Name" à "email".
Les attributs qui apparaissent sur le formulaire rejoindre et la vue de personnaliser sont régies par les propriétés que vous «Se inscrire» en utilisant l'onglet 'membres Propriétés dans l'outil de portal_memberdata vue ZMI, qui à son tour provient de l'onglet «schéma LDAP" dans le vue ldapuserfolder ZMI. Attributs que vous souhaitez activer pour les membres portail doit être mis en place sur l'onglet ldapuserfolder 'schéma LDAP' abord, puis enregistré à l'aide l'écran 'Membeer propriétés dans l'outil de données de membres vue ZMI.

Quoi de neuf dans cette version:

• erreur Fix python-ldap ensembles lors de la réception à la place de listes pour les attributs de chercher sur (Patch par Godefroid Chapelle)
• Certains nettoyages trouvés par pyflakes ((Patch par Godefroid Chapelle)

Ce qui est nouveau dans la version 2.24:

• Lorsque l'on compare une valeur de connexion pour vous connecter valeurs trouvées sur le LDAP serveur première bande la valeur de connexion. Cela fait suite à OpenLDAP comportement qui considère valeurs correspond même avec arrière ou avant des espaces dans le filtre valeur de requête. (Https://bugs.launchpad.net/bugs/1060080)
• LDAPDelegate: Lorsque vous utilisez un utilisateur de l'appareil de sécurité Zope dans le but de trouver une liaison appropriée DN et mot de passe pour la connexion à un serveur LDAP, le jeter quand il ne est pas été créé à la suite d'un véritable login et a donc une mot de passe incorrect (https://bugs.launchpad.net/bugs/1060112)
• utiliser un ensemble connu de versions des composants (versions.txt de Zope 2.3.18) pour éviter d'avoir à la microgestion versions de dépendance
• les entrées du journal des modifications déplacés pour la version 2.18 et plus de CHANGES.txt à HISTORY.txt
• reformater HISTORY.txt et le faire reposer conforme
• nettoyer formatage des CHANGES.txt

Ce qui est nouveau dans la version 2.23:

• Ajouter setuptools-git à setup_requires pour empêcher les fichiers manquants dans le libération de l'œuf -. versions 2.22 et 2.21 seront pas construire en raison d'une version.txt
manquant

Ce qui est nouveau dans la version 2.20:

• Correction pour CVE-2010-2944 (http: // secunia.com/advisories/cve_reference/CVE-2010-2944/), qui n'a jamais été signalé en amont par les gens de Debian, qui ont trouvé le problème il ya huit mois (voir http://bugs.debian.org/cgi-bin/bugreport .cgi? bug = 593466). Merci les gars.

Quoi de neuf dans la version 2.19:

• Ajouter nom d'attribut à l'negative_cache_key fait la demande pour une même valeur, mais attribut différent ne empoisonner le cache. (Https://bugs.launchpad.net/bugs/695821)
• Les classes de base modifiés dans Zope 2.13 ne définissent pas isPrincipiaFolderish, de sorte que le dossier utilisateur ne serait plus apparaître dans la navigation de gauche dans le volet ZMI. (Https://bugs.launchpad.net/bugs/693315)
• Correction d'un chèque défectueuse pour l'Unicode ainsi l'utilisateur expiration ne échouera pas si une valeur unicode est transmise. Changé tous les chèques à la corde et Unicode pour utiliser basestring. (Https://bugs.launchpad.net/bugs/700071)
• Correction d'une erreur de test de l'exportation / importation de sorte que tous les tests se exécutent à nouveau.
• Le gestionnaire DN valeur de mot de passe sur l'onglet Configuration dans la ZMI présenté en texte clair lors de l'affichage de la source HTML de la page rendue. (Https://bugs.launchpad.net/bugs/664976)

Exigences :

• Python