Vous êtes ici : 6.0 > Connecteurs > Connecteur LDAP

Activation du connecteur et définition du ou des annuaires LDAP

Pour configurer le connecteur LDAP, nous vous recommandons de créer un fichier de propriétés dédié, nommé par exemple application_ldap.properties.

Déclaration d'un ou plusieurs annuaires

La synchronisation pouvant s'effectuer avec un ou plusieurs annuaires, il est indispensable d'identifier le paramétrage propre à chacun d'eux. Le paramètre ldap.liste.alias permet de renseigner une liste d'alias à synchroniser, où chaque alias correspondra à un annuaire LDAP.
Par exemple, si K-Portal doit se synchroniser avec deux annuaires MonAnnuaireLdap et AnnuaireLdapDesClients, il faudra définir deux alias ldapPerso et ldapCusto, séparés par un point-virgule :
ldap.liste.alias=ldapPers;ldapCusto
Ainsi, dans votre fichier de configuration :
  • le paramétrage relatif à l'annuaire MonAnnuaireLdap sera préfixé de ldapPerso :
    ldapPerso.parametre1=
    ldapPerso.parametre2=
    ...
  • et le paramétrage relatif à l'annuaire AnnuaireLdapDesClients sera préfixé de ldapCusto :
    ldapCusto.parametre1=
    ldapCusto.parametre2=
    ...
Ce paramétrage peut également être utilisé pour créer plusieurs synchronisations qui interrogent le même annuaire LDAP, mais avec des options différentes : une pour les enseignants et une pour les étudiants par exemple.

! Attention, si vous définissez plusieurs synchronisations, et que les populations sélectionnées se recoupent (par exemple, les doctorants sont souvent présents dans la population des enseignants ET dans la population des étudiants), vous devrez ajouter un paramètre pour ne pas avoir de comptes créés en doublons. En effet, par défaut, les comptes créés par deux configurations distinctes sont considérés comme des personnes différentes, et deux comptes sont donc créés dans K-Portal, avec un login suffixé d'un chiffre, par exemple : michel.durand et michel.durand0. Pour ne pas générer de doublons, ajoutez le paramètre suivant (à définir pour chaque alias configuré) :
ldap.utilisateur.ignoresource=1
Si un seul annuaire est synchronisé, le paramètre ldap.liste.alias pourra être occulté et l'alias par défaut sera "ldap".

Si vous utilisez la fonctionnalité de groupes dynamiques LDAP et que vous souhaitez vous baser sur d'autres alias que ceux utilisés pour la synchronisation, il est possible de déclarer des alias spécifiquement pour ces requêtes à l'aide du parmètre suivant :
ldap.liste.alias.groupedynamique=ldap1;ldap2

Paramètres de connexion pour chaque annuaire

Pour chaque annuaire, vous devez connaître :
  • son URL. Afin d'effectuer de la haute disponibilité il est possible de déclarer plusieurs serveurs dans ce champ (ldap.provider_url=serveur1;serveur2)
  • le port pour y accéder
  • le protocole à utiliser (mode simple ou sécurisé)
  • le DN du compte utilisateur qui sera utilisé pour lire les données de l'annuaire
  • le mot de passe de ce compte utilisateur
  • le mode d'authentification :
    • super-utilisateur : le compte utilisateur configuré est utilisé pour récupérer le DN de l'utilisateur qui est en train de se connecter
    • anonyme : un bind anonyme est réalisé
  • le format utilisé pour les données de type timestamp. Par exemple, un annuaire tel que Active Directory utilise le format AAAAMMJJHHMMSS.0Z alors que d'autres utilisent le format AAAAMMJJHHMMSSZ
  • le critère de pagination éventuellement défini au niveau de l'annuaire (généralement utilisé pour paginer les résultats de requêtes qui renvoient plus de 500 ou 1000 résultats)
Ajoutez ces informations pour chaque annuaire, dans votre fichier ldap.properties :
# Paramètres de connexion  
ldap.provider_url=localhost
ldap.port=389
# protocole de connexion : simple ou ssl
ldap.type_securite=simple
# Paramètres du compte utilisateur
ldap.adminuser=cn=manager,dc=marmotte,dc=fr
ldap.adminpwd=secret
# Mode d'authentification : normaluser (bind anonyme) ou superuser
ldap.modeauth=normaluser
# Paramètre sur le format des attributs de type timestamp
ldap.format_time_stamp=AAAAMMJJHHMMSSZ
# Paramètre de pagination des résultats défini dans l'annuaire
ldap.resultatparpage=500
# Paramètre de timeout en lecture (en ms)
ldap.timeout=180000

Autres paramètres

Vous pouvez définir le niveau de log (par alias) :
# Niveau de log : 0, 1 ou 2
ldap.debug=1
Vous pouvez recevoir le compte-rendu de la synchronisation par mail (envoyé au mail défini dans mail.webmaster) (paramètre appliqué pour tous les alias, doit être obligatoirement défini avec le préfixe "ldap") :
ldap.mail=1