sfGuard con LDAP

Ayer me vi en la necesidad de pasar el control de usuarios de un sistema que utiliza el sfGuardPlugin por una base Ldap (Active Directory). Para eso me puse a investigar un poco como hacerlo y ví que el famoso plugin provee de un mecanismo para enganchar una función personalizada para el chequeo del password, dicha función personalizada es la que debe realizar la autenticación del username/password contra el controlador de Dominio; si esta devuelve verdadero significa que el usuario fue validad correctamente, si devuelve falso quiere decir que no. Una consideración a tener en cuenta es que el usuario debe existir dentro de la tabla sf_guard_user por que primero verifica la existencia del username y la autenticación la realiza contra el Controlador de Dominio.

Para poder empezar necesitamos una cuenta válida para bindearnos al arbol LDAP y poder hacer una busqueda por el username (pidanselo a su “amigo” sysadmin). De mas esta decir que debemos tener un Controlador de Dominio funcionando. Tambien deberán tener las extensiones de ldap para PHP, si estan en un debian/ubuntu instalen el paquete php5-ldap.

Paso siguiente es cargar en la base de datos del sistema local todos los nombres de usuario que podrán usar nuestro sistema y que estan en el arbol LDAP, consideren que si quisieran que cualquier usuario definido en el ldap pueda loguearse puedan sincronizar la información o dar de alta al usuario en la base local automáticamente si este no existe la primera vez que intenta loguearse.

El tercer paso es crear una Clase dentro de lib (para que la tome el autoloader de symfony) que posea un método estático llamado checkPassword el cual deberá recibir como argumentos el username y el passoword.  Esto debería quearles algo asi

NOTA: Corregir en el ejemplo los Distinguished Names por los que correspondan en tu arbol ldap.

El paso final es configurar dentro de la configuración de tu aplicación (donde usar el sfGuardAuth) editar el archivo app.yml y especificar que vas a usar la clase LdapLogin y el método checkPassword.

all:
  sf_guard_plugin:
    check_password_callable: [LdapLogin, checkPassword]

Con esto el control de validación user/pass debería ir al controlador de dominio integrando asi tus aplicaciones.

Mas info en http://www.symfony-project.org/plugins/sfGuardPlugin

Share

Leave a Reply

Your email address will not be published. Required fields are marked *