h1. HowDoWeDoLDAP

h2. Configurer authentic pour le LDAP LE

* Ajouter le code suivant dans /etc/authentic2-multitenant/config.py (ou /etc/authentic2/config.py pour un authentic monotenant):
<pre>LDAP_AUTH_SETTINGS=[
        {
            "url": "ldaps://ldap.libre-entreprise.org/",
            "basedn": "o=entrouvert,ou=companies,o=libre-entreprise",
            "user_filter": "uid=%s",
            "username_template": "{uid[0]}@{realm}",
            "groupsu": ["cn=ldapadmins,ou=groups,o=entrouvert,ou=companies,o=libre-entreprise"],
            "groupstaff": ["cn=ldapadmins,ou=groups,o=entrouvert,ou=companies,o=libre-entreprise"],
            "group_filter": "(&(uniqueMember={user_dn})(objectClass=legroup))",
            "create_group": True,
            "attributes": [ "uid" ],
            "set_mandatory_groups": ["LDAP Entrouvert"]
         }
]</pre>
* Installer le paquet @ee-ca@ qui contient le certificat racine de l'autorité de certification Easter-Eggs qui a produit le certificat du serveur LDAP LE
* Pour plus de sûreté on peut aussi ajouter notre copie du serveur @ldaps://cresson.entrouvert.org@ et notre AC avec le paquet @ca-certificates-entrouvert@

h2. BABA de la connexion à un LDAP

* Demander le root DSE, i.e., la description du serveur par lui même

<pre>ldapsearch -H ldap[s]://hostname[:port]/ -b '' -s base -x +</pre>

On trouvera la liste des base DN dans l'attribut namingContexts .

* Pour voir si la connexion est bloquée par des certificats tenté un ldapsearch avec @LDAPTLS_REQCERT=never@

h3. Configuration

* user_filter : filtre LDAP permettant de trouver un utilisateur. Doit obligatoirement contenir au moins un *%s* qui sera remplacé par l'identifiant de l'utilisateur. Sans *%s* la tentative d'authentification est interrompue.