LDAP su Unbit

Al momento dell'attivazione riceverete una mail con questi dati:

Host: ldap.unbit.it
Base: dc=XXX,dc=ldap
Bind_DN (admin): uid=admin,dc=XXX,dc=ldap
Bind_DN Password (admin): XXXX
Bind_DN (user): uid=user,dc=XXX,dc=ldap
Bind_DN Password (user): XXXX

Host e' l'indirizzo del server LDAP, e' attivo su tutti i domini un CNAME 'ldap' che punta a ldap.unbit.it, quindi potete anche usare la forma ldap.miodominio

Base e' il percorso del vostro tree. Tutti i vostri dati saranno all'interno di Base.

Per ogni tree vengono definiti due oggetti: uid=admin e uid=user

Entrambi sono usati per fare il bind sul proprio tree. L'oggetto user ha privilegi di sola lettura mentre admin puo' scrivere su tutto il tree.

Questo permette di fornire ai propri utenti dei servizi (come ad esempio le rubriche condivise) essendo certi che non potranno modificare le varie entry.

E' disponibile una interfaccia web per gestire i tree ldap:

https://manage.unbit.it/phpldapadmin

Autenticazione HTTP con htaccess

Puoi utilizzare LDAP per autenticare le tue sessioni HTTP protette (Basic HTTP AUTH)

La sintassi per i tuoi file htaccess e' la seguente:

AuthName "<reame di autenticazione>"
AuthType Unbit_AUTH_LDAP|<bind_dn>|<bind_password>|<base>|<filter>

dove <reame di autenticazione> e' il nome per l'area protetta

bind_dn e' il dn con cui fare l'autenticazione

bind_password e' la password del bind_dn

base e' la base di ricerca

filter e' il filtro di ricerca a cui si possono passare due variabili: [username] e [domain], rispettivamente lo user passato durante l'autenticazione e il nome del dominio.

Ex.

AuthName "area protetta"
AuthType Unbit_AUTH_LDAP|uid=user,dc=test,dc=ldap|pippo|dc=topsecret,dc=test,dc=ldap|uid=[username]

notare il filtro di ricerca uid=[username], il testo [username] verra' automaticamente sostituito con lo user passato durante il login.

E' possibile sfruttare le variabili anche per la base di ricerca, implementando sistemi molto granulari:

AuthName "area protetta"
AuthType Unbit_AUTH_LDAP|uid=user,dc=test,dc=ldap|pippo|dc=[domain],dc=topsecret,dc=test,dc=ldap|uid=[username]

...notare il [domain] all'interno della base di ricerca.

Subversion

Settando il flag ldap nelle opzioni (pannello di controllo o api) di un repository svn, si disabilitera' il sistema standard di utenti e si abilitera' quello LDAP.

E' possibile quindi gestire gli utenti subversion all'interno del tree LDAP.

Le opzioni sono le classiche bind_dn,bind_password,base e filter ma sara' possibile utilizzare oltre a [username] e [domain] anche la variabile [project] che sara' sostituita con il nome del repository.

E' importante notare che stavolta ci sono 2 filtri di ricerca, uno per gli utenti in sola lettura e uno per quelli in scrittura. (ovviamente se si vuole i 2 filtri possono essere uguali)

Trac

L'opzione trac_ldap permette di gestire gli utenti trac su un tree LDAP.

Come per Subversion viene fornita la variabile [project] che viene sostituita con il nome del progetto trac.

Mercurial

Anche gli utenti mercurial possono essere definiti su LDAP.

Il sistema e' attualmente in fase sperimentale, quindi e' opportuno contattare lo staff Unbit prima di procedere alla configurazione.