worldwide open-source software - wiki:auth

backends

anonymous@undisclosed.example.com (Anonymous) — Thu, 31 Aug 2023 15:31:52 +0000

Authentication Backends

После того, как Вы включили в конфигурационном файле использование ACL, Вам следует решить, как Вы предпочитаете хранить учётные данные пользователей. DokuWiki поддерживает различные методы, и создать новый - довольно просто.

DokuWiki использует так называемые «authentication backends» (системы авторизации, работающие «на заднем плане») предоставляющие определённые методы хранения данных о пользователях и паролях. Пользователи даже не увидят эти «бэкенды», но Вы, как администратор, должны установить выбранный «бэкенд» и правильно его сконфигурировать.

Backends

Вместе с Dokuwiki Вы получите поддержку следующих бэкендов:

ldap – авторизация пользователей на основе каталога LDAP
mysql – доступ к любой базе данных MySQL для авторизации пользователей
pgsql – доступ к любой базе данных Postgres для авторизации пользователей
plain – механизмы, использующие текстовые файлы (по умолчанию выбран этот вариант)
punbb – авторизация с использованием форума PunBB (использует PunBB's куки и базу данных для SSO)

Contributed Backends

Бэкенды, не входящие в комплект поставки, но которые могут пригодиться:

ad – авторизация Active Directory с опциональной поддержкой Single Sign On (SSO)
CAS – авторизация CAS-сервера
drupal – аворизация на основе Drupal install
htaccessauth – идентифицируйте пользователей, которые уже вошли в систему с использованием Basic HTTP Authorization, через .htaccess
radius – авторизуйте пользователей через RADIUS server
ntlm – NTLM (i.e. основанная на Windows NT) авторизация
mod_auth_tkt – mod_auth_tkt авторизация
pam – экспериментальная Experimental PAM авторизация
mybb – авторизация, использующая программное обеспечение форума MyBB
imap – авторизация пользователей через серевер IMAP/POP3
xmpp – авторизация пользователей через серевер XMPP/Jabber
lemonldap – авторизация пользователей через LemonLDAP SSO
Eventum – Как интегрировать DokuWiki с трекером Eventum Issue Tracker
shibauth – Shibboleth Authentication Backend
ggauth – экспериментальные, включая сцепленные (chained), разделённые (split), как указанные ниже, плюс http basic, htaccess и PAM
chained – (chained) сопряжение более одного метода авторизации
split – (split) делегируйте полномочия обслуживания входа в систему одному бэкенду, а управление группами - другому
ning – авторизация Ning ID

Как реализовать новый бэкенд авторизации описано в HOWTO.

ldap_ad

anonymous@undisclosed.example.com (Anonymous) — Wed, 14 Aug 2024 22:53:02 +0000

Модуль авторизации LDAP : примеры Active Directory

Ниже, пример конфигурации для работы с LDAP и сервером Active Directory.

Приятно отметить, что существует модуль авторизации Active Directory в котором гораздо легче настроить Single-Sign-On посредством NTLM.

Замечание: Обращайте внимание на прописные буквам домена, если соединение работает, но группы Active Directory не будут активны, используйте такие инструменты, как AD Explorer для отладки.

Active Directory с группами

Измените «mydomain» и «dom» на свой домен AD (dc).

$conf['authtype']                         = 'ldap';
$conf['auth']['ldap']['server']           = 'mydomain.dom';
$conf['auth']['ldap']['binddn']           = '%{user}@%{server}';
$conf['auth']['ldap']['usertree']         = 'dc=mydomain,dc=dom';
$conf['auth']['ldap']['userfilter']       = '(userPrincipalName=%{user}@%{server})';
$conf['auth']['ldap']['mapping']['name']  = 'displayname';
$conf['auth']['ldap']['mapping']['grps']  = array('memberof' => '/CN=(.+?),/i');
$conf['auth']['ldap']['grouptree']        = 'dc=mydomain,dc=dom'; # position for find groups, at root here
$conf['auth']['ldap']['groupfilter']      = '(&(cn=*)(Member=%{dn})(objectClass=group))'; # поиск групп для пользователя (dn)
$conf['auth']['ldap']['referrals']        = 0; # отключение рефералов при использовании Active Directory
$conf['auth']['ldap']['version']          = 3;
$conf['auth']['ldap']['debug']            = 0; # Установите в 1 для просмотра действий авторизации (напр. отображение групп пользователя) на HTML-странице

Если у вас есть ошибки «LDAP: bind with xxx failed [ldap.class.php:90]», попробуйте это:

$conf['auth']['ldap']['binddn']           = 'domain\%{user}';

Замените имя домена вашим.

Различные установки

$conf['authtype']                         = 'ldap';
$conf['auth']['ldap']['server']           = 'ldap://servername.domain.tld:389';
$conf['auth']['ldap']['binddn']           = '%{user}@domain.tld';
$conf['auth']['ldap']['usertree']         = 'ou=Users,dc=domain,dc=tld';
$conf['auth']['ldap']['userfilter']       = '(SAMAccountName=%{user})';
$conf['auth']['ldap']['mapping']['name']  = 'displayname';
$conf['auth']['ldap']['mapping']['grps']  = array('memberof' => '/CN=(.+?),/i');
$conf['auth']['ldap']['referrals']        = 0; # отключение рефералов при использовании Active Directory
$conf['auth']['ldap']['version']          = 3;

Ограничения пользователей USR_*

$conf['authtype']                        = 'ldap';
$conf['auth']['ldap']['server']          = '127.0.0.1:389';
$conf['auth']['ldap']['binddn']          = '%{user}@yourfulldomainname';
$conf['auth']['ldap']['usertree']        = ''; // место, содержащее пользователей, напр. OU=x, DC=y и подобное.
$conf['auth']['ldap']['userfilter']      = '(userPrincipalName=%{user}@yourfulldomainname)';
$conf['auth']['ldap']['grouptree']       = ''; // point this to container where your groups are ie CN=Users, DC=x etc
$conf['auth']['ldap']['groupfilter']     = '(&(cn=USR_*)(Member=%{dn})(ObjectCategory=group))';//selects only the groups with the user as a member
// не забывайте, dn должен быть полным dn учетной записи пользователя - фильтры групп начинаются с USR_
$conf['auth']['ldap']['mapping']['name'] = 'displayname';
$conf['auth']['ldap']['mapping']['grps'] = 'array(\'memberof\' => \'/CN=(.+?),/i\')';
$conf['auth']['ldap']['referrals']       = '0';
$conf['auth']['ldap']['version']         = '3';

ldap

anonymous@undisclosed.example.com (Anonymous) — Wed, 14 Aug 2024 22:53:01 +0000

LDAP-аутентификации

Этот модуль позволяет производить проверку подлинности посредством LDAP, используя списки контроля доступа. Он включён в текущий релиз «ДокуВики».

Пользователь может войти в вики, используя свои имя и пароль, определённые на LDAP-сервере. Добавление новых пользователей в LDAP данным модулем не поддерживается.

Не пытайтесь писать здесь о багах и проблемах. Вместо этого используйте багтрекер, списки рассылки или форум.

Настройка

Вот пример того, как изменить conf/local.php, чтобы использовать аутентификации через LDAP.

$conf['useacl']      = 1;
$conf['openregister']= 0;
$conf['authtype']    = 'ldap';
 
#$conf['auth']['ldap']['server']     = 'localhost';
#$conf['auth']['ldap']['port']       = 389;
$conf['auth']['ldap']['server']      = 'ldap://server.tld:389'; #instead of the above two settings
$conf['auth']['ldap']['usertree']    = 'ou=People, dc=server, dc=tld';
$conf['auth']['ldap']['grouptree']   = 'ou=Group, dc=server, dc=tld';
$conf['auth']['ldap']['userfilter']  = '(&(uid=%{user})(objectClass=posixAccount))';
$conf['auth']['ldap']['groupfilter'] = '(&(objectClass=posixGroup)(|(gidNumber=%{gid})(memberUID=%{user})))';
 
# This is optional but may be required for your server:
#$conf['auth']['ldap']['version']    = 3;

# This enables the use of the STARTTLS command
#$conf['auth']['ldap']['starttls']   = 1;

# This is optional and is required to be off when using Active Directory:
#$conf['auth']['ldap']['referrals']  = 0;

# Optional bind user and password if anonymous bind is not allowed (develonly)
#$conf['auth']['ldap']['binddn']     = 'cn=admin, dc=my, dc=home';
#$conf['auth']['ldap']['bindpw']     = 'secret';

# Mapping can be used to specify where the internal data is coming from. 
#$conf['auth']['ldap']['mapping']['name']  = 'displayname'; # Name of attribute Active Directory stores it's pretty print user name.
#$conf['auth']['ldap']['mapping']['grps']  = array('memberof' => '/CN=(.+?),/i'); # Where groups are defined in Active Directory

# Optional debugging
#$conf['auth']['ldap']['debug']      = 1;

Можно использовать параметр version, чтобы заставит PHP использовать протокол LDAP 3-й версии для подключения к вашему серверу. По умолчанию — 2.

Свойство userfilter определяет LDAP-фильтр, который будет использоваться для поиска контактов. groupfilter используется для получения групп, в которые входит пользователь.

Следующие переменные можно использовать в userfilter и groupfilter:

Переменная	Значение
%{user}	имя, под которым пользователь пытается подключиться
%{server}	сервер, указанный в $conf['auth']['ldap']['server']

Также в groupfilter можно использовать все атрибуты объекта user:

Переменная	Значение
%{dn}	dn пользователя, например, uid=user,ou=People,dc=server,dc=dk
%{uid}	uid пользователя, например, user
%{…}

Свойство mapping используется для каталогов, использующих «нестандартные» имена атрибутов, отображаемый атрибут может быть обработан регулярным выражением перед тем, как будет подставлен в целевую переменную. Для всех переменных, кроме 'grps', используется только первое значение атрибута, если их предоставлено несколько.

Переменная	Отображение	Назначние
grps	array('memberof' => '/CN=(.+?),/i')	Заменяет значение 'grps', тем, что предоставлено в атрибуте memberof и применяет регулярное выражение /CN=(.+?),/i к каждому его элементу.
name	'displayname'	Заменяет значение 'name' первым элементом атрибута 'displayname'.

Аутентификация проходит в три этапа:

First see if we need to do an anonymous bind by looking in the usertree for a %{user}:
- Если нашли — устанавливаем usertree как DN.
- Если нет — пытаемся найти DN для введенного логина, осуществляя поиск в usertree с указанным userfilter. Должен быть найден только один вариант.
Пытаемся подключиться с найденным DN и указанным паролем. Если удалось — доступ разрешён.
Для получения списка групп, в которых состоит пользователь, осуществляется поиск с использованием groupfilter.

Замечания

В процессе настройки LDAP вам может быть полезно установить свойство debug для вывода сообщений об ошибках, присланных вашим LDAP-сервером. По завершении обязательно выключите это свойство.
Свободный LDAP-браузер (написан на Java) может быть полезен, чтобы подобрать правильные значения $conf['auth']['ldap'] и определиться со структурой вашего LDAP-сервера.
Имена полей и отображений (mapping) всегда указываются в нижнем регистре, вне зависимости от регистра, используемого LDAP-сервером.
Убедитесь, что у вас установлено расширение PHP LDAP.

Реальные примеры

Ниже приведён список примеров конфигураций, используемых различными пользователями для различных LDAP-серверов. Это всего лишь примеры. Перед использованием обязательно подправьте под свои настройки сервера.

plain

anonymous@undisclosed.example.com (Anonymous) — Wed, 14 Aug 2024 22:53:02 +0000

Бэк-энд аутентификации на простых текстовых файлах

Бэк-энд использует текстовый файл conf/users.auth.php для хранения паролей и информации о пользователях. Пароли хранятся в зашифрованном одним типом шифрования виде (т. н. хэширование).

Данный бэк-энд используется по умолчанию.

Конфигурация

Бэк-энд включается в настройке конфигурации «authtype».

$conf['authtype'] = "plain";

(Эта строка должна быть в файле conf/local.php)

Формат записей в файле

Пустые и начинающиеся с символа решётки (#) строки игнорируются. Каждая строка содержит разделённый двоеточиями массив из пяти полей:

логин — должен соответствовать именованию страниц;
пароль — зашифрованный пароль. Метод шифрования пароля задаётся настройкой конфигурации «passcrypt». «ДокуВики» автоматически отпределяет использованное шифрование.
настоящее имя — настоящее имя пользователя;
электропочта — адрес электронной почты пользователя;
группы — разделённый запятыми список групп, в которых состоит пользователь. Названия групп должны соответствовать правилам именования страниц.

Для создания MD5-хэша из строки можно использовать скрипт кодирования-декодирования. В «ДокуВики» встроены более хорошие функции шифрования, поэтому предлагаемый сценарий является устаревшим и сохраняется здесь только для ностальгирования.

Пример:

andi:ece23254502f07722a98aa5b7c70baa6:Andreas Gohr:andi@splitbrain.org:admin,users,upload

Редактирование

Т. к. файл conf/users.auth.php является простым текстовым файлом, он может быть отредактирован в любом текстовом редакторе.