Bonjour à tous,

Tout est dans le titre.
Je fais une requête ldap_connect puis ldap_bind. Tout fonctionne quand le full name de l'utilisateur est le même que son login, mais s'il est différent ça ne fonctionne pas.
Par contre ça fonctionne si je rentre directement le full name + password.

Pour me faire comprendre : mon AD sous Win2K3S a un utilisateur "Michael Truc" dont le login est "mtruc".
Si j'entre "mtruc" + password, ça ne passe pas. Si j'entre "Michael Truc" + password, ça passe.

Mon code :

Une idée ? Ou c'est une limitation ?

essaye de préfixer avec le nom du domaine AD (genre "DOMAINE\mtruc" )
et essaye aussi avec la v3 du protocole ldap :

ldap_set_option($ldap_connect, LDAP_OPT_PROTOCOL_VERSION, 3);

Ok merci, je testerai demain

Aucune des solutions ne fonctionne
 
J'ai préfixé avec "domaine\", avec "@domaine.com", ça ne change rien.
J'ai aussi mis en place la V3.
 
C'est étrange comme comportement. Se connecter par "Prénom Nom" c'est pas des plus intuitifs...

PS : j'ai mis à jour mon code sur le premier message.

bizarre, à mon taff ça marche sans soucis avec une AD sur 2003 serveur
- t'as quoi dans $ldap['dn'] ?
- tu as testé en dur avec par exemple un truc du genre : ldap_bind($ds, 'DOMAIN\mtruc', 'pass');

ha ok, remplace la ligne 18 :

$ldap['bind'] = ldap_bind($ds, $ldap['user'], $ldap['pass']);

L'erreur est normale : pour identifier l'utilisateur, tu passes son DN complet et son mot de passe. En l'occurence (dans AD généralement), le DN d'un utilisateur est du genre "cn=Prenom Nom,<reste du DN>".
 
Quand tu entres le login 'Michael Truc', la variable $ldap['user'] (ligne 2) s'initialise avec 'Michael Truc' et la ligne 6 génère le DN "cn=Michael Truc,<reste du dn>" qui est un DN existant.
Lorsque tu passes en paramètre du script le login AD (mtruc) et non plus le nom prénom (qui correspond à la valeur du cn), tu te retrouves avec le DN suivant : "cn=mtruc,<reste du DN>", or ce DN ne doit pas exister dans AD, d'où l'erreur.
 
Une solution serait de rechercher le DN de l'utilisateur à partir de son login AD via un filtre ldap classique ; l'attribut AD contenant le login AD est 'sAMAccountName'. Une fois ce DN trouvé, tu refais le bind en l'utilisant ; si le filtre échoue, c'est que l'utilisateur a entré un mauvaus login.

Ok, le bind marche maintenant, merci ! A force de regarder son code on ne voit plus les erreurs de ce genre...

Par contre j'ai un nouveau problème :
J'ai un ldap_search juste après, qui ne trouve plus ce que je lui demande:

Une idée ? C'est lié mais je vois pas en quoi, puisqu'il devrait chercher sur les bons users.

C'est étonnant, quand j'utilise un utilisateur qui a son full name identique à son login, ça fonctionne sans erreurs. Dans l'autre cas, j'ai :

PS : electric, merci pour le conseil. Je vais chercher sur cette piste.

Toujours le même problème : tu génères un DN inexistant ligne 4.
 
Voici l'algo que je vois :
1- connexion en tant que manager à l'annuaire
2- recherche de l'entrée avec le filtre suivant : (|(cn=$login)(samaccountname=$login))
3- un seul résultat doit être retourné par la requête ci dessus, sinon erreur
4- un fois l'entrée trouvée, tu prends son DN
5- tu refais un bind en utilisant ce DN et le mot de passe de l'utilisateur

Ok nickel. Je teste demain et je te dis.

ou plus simple :
- bind direct avec le login de l'utilisateur
- recherche avec "sAMAccountName=$login"

Comment il peut binder s'il ne connait justement pas l'entrée de l'utilisateur?

comme j'ai dit plus haut
ça marche très bien sur mes applis

Tu pourrais être plus précis svp?
Qu'est-ce que tu entends par login de l'utilisateur (DN, RDN, juste la valeur)?
Tes applis ont-elles un mécanisme d'authentification inclus ou est-ce toi qui l'as développé?

juste DOMAINE\login
et authentification maison
 
Je ne suis pas un spécialiste de ldap ni ad, mais je trouvais bizarre de devoir s'authentifier sur l'annuaire avec un compte générique juste pour authentifier un utilisateur.
 

Ca m'intéresse bien de savoir comment tu fais soju