{{tag>fr fr:linux fr:serveur fr:web fr:wiki fr:authentification}}
====== Authentification LDAP dans Dokuwiki ======

Cette page décrit l'activation de l'authentification LDAP avec [[linux:Dokuwiki]].\\
Pour plus d'information sur la configuration du serveur LDAP, voir [[linux:openldap]].

L'utilisation de l'authentification LDAP est relativement simple, il y a cependant quelques limitations comme l'impossibilité d'utiliser l'auto-enregistrement.\\
La documentation de l'authentification LDAP est disponible ici : http://wiki.splitbrain.org/wiki:auth:ldap

L'activation de l'authentification LDAP peut être réalisé via l'interface d'administration mais pas la configuration.\\
Voici la configuration nécessaire pour ce serveur (à mettre à la fin de //conf/local.php//) :
<file>
$conf['useacl'] = 1;
$conf['authtype'] = 'ldap';
$conf['superuser'] = '@wikiadmin';


$conf['auth']['ldap']['version']    = 3;
$conf['auth']['ldap']['server']      = 'localhost';
$conf['auth']['ldap']['port']        = 389;
$conf['auth']['ldap']['binddn']     = 'cn=apache, ou=services, dc=bouthors, dc=fr';
$conf['auth']['ldap']['bindpw']     = '***';
$conf['auth']['ldap']['usertree']    = 'ou=users, dc=bouthors, dc=fr';
$conf['auth']['ldap']['grouptree']   = 'ou=groups, dc=bouthors, dc=fr';
$conf['auth']['ldap']['userfilter']  = '(&(cn=%{user})(objectClass=mboUser))';
$conf['auth']['ldap']['groupfilter'] = '(&(objectClass=mboGroup)(uniqueMember=%{dn}))';
$conf['auth']['ldap']['mapping']['name']  = 'sn';
#$conf['auth']['ldap']['debug']      = true;
</file>

Les paramètres sont bien sûr adaptés à mon arbre ldap décrit dans la section [[linux:openldap]].

Pour information, les étapes d'authentification (messages LDAP envoyés par Dokuwiki au serveur LDAP) sont :
  - connexion au serveur LDAP avec binddn/bindpw
  - recherche de l'utilisateur dans usertree avec le critère userfilter
  - recherche du groupe de l'utilisateur dans grouptree avec le critère groupfilter
  - bind de l'utilisateur avec le dn trouvé et le mot de passe fourni par l'utilisateur
  - l'option mapping permet d'indiquer quel champ contient le nom complet de l'utilisateur