Millora #703
tancatLDAP per a autenticar alternativament usuaris al DDD
Descripció
No se si ara que tenim tants usuaris registrats (més de 3.000) som a temps d'autenticar als usuaris per LDAP i fer que no s'hagin d'identificar si ja ho han fet en alguna altra aplicació.
http://www.leccionespracticas.es/cds-invenio/cds-invenio-configuring-ldap-to-login-into-repository/
Fitxers
FJ Actualitzat per Ferran Jorba fa aproximadament 16 anys
Cristina,
ara mateix, de pressa i corrents, per la 0.99.1, no hi sóm a temps. Hem de mirar també si encara ens afecta el que vaig apuntar a PassarDDDalDominiPuntCat, perquè si utilitzem LDAP haurem de fer una connexió segura per https, i fa temps que no he mirat com ho tenim ara.
D'altra banda, hem de tenir en compte un parell de coses:
- Em va semblar veure que amb la 0.99.1 hi ha més flexibilitat que amb la 0.92.1 per fer redireccions, o sigui que ara potser ens seria més fàcil que amb l'anterior.
- No sé si ens convé més LDAP o Single Sign On (SSO), que vol dir que si ja estàs identificat en qualsevol altra aplicació del campus ja no calgui tornar-te identificar al DDD. La 0.99.1 també dóna suporta a SSO, però hem de veure com aplicar-la al cas de la UAB:
CA Actualitzat per Cristina Azorin fa quasi 14 anys
- Prioritat ha canviat de Baixa a Normal
- Temàtica prevista ha canviat de Tasques informàtiques internes a Migracions i actualitzacions
- Paraula clau s'ha establert a LDAP SAC
Amb l'implementació dels formularis d'autoarxiu caldria estudiar la possibilitat de fer servir el SAC per a autentificar als usuaris. La Núria demana que l'entrada no es faci només sota els criteris de tenir una adreça uab.cat.
FJ Actualitzat per Ferran Jorba fa quasi 14 anys
D'un missatge del Joan Montal, on m'explica que el servei SAC de la UAB és una implementació d'un software lliure anomenat CAS ;-)
From: Joan Montal <joan.montal@uab.cat>
Subject: Validació CAS
To: Ferran.Jorba@uab.cat
Date: Wed, 20 Jun 2012 16:25:13 +0200
Hola Ferran
Et paso un parell de links de com poder validar amb CAS una aplicació phyton
https://wiki.jasig.org/display/CASC/Pycas
https://wiki.jasig.org/display/CASC/mod_python+auth+module
Les dades per a fer proves son:
cas_host = sact.uab.cat
cas_context = /
cas_port = 443
Quan comencis em caldrà saber la url del servei on ho testejaras ja que l'hauré d'afegir com a servei vàlid per CAS
CA Actualitzat per Cristina Azorin fa més de 11 anys
- Paraula clau ha canviat de LDAP SAC a LDAP SAC JR
CA Actualitzat per Cristina Azorin fa més de 11 anys
- Data de venciment s'ha establert a 16-04-2015
CA Actualitzat per Cristina Azorin fa aproximadament 11 anys
- Data de venciment ha canviat de 16-04-2015 a 16-10-2015
CA Actualitzat per Cristina Azorin fa aproximadament 11 anys
- Tema ha canviat de LDAP al DDD, som a temps? a LDAP al DDD
NC Actualitzat per Núria Casaldaliga fa aproximadament 11 anys
- Prioritat ha canviat de Normal a Alta
CA Actualitzat per Cristina Azorin fa quasi 11 anys
- Tema ha canviat de LDAP al DDD a SAC per a autenticar alternativament usuaris al DDD
FJ Actualitzat per Ferran Jorba fa més de 10 anys
- Estat ha canviat de Creada a En curs
El Javier i jo, amb l'ajuda del Txema, hem lograt que els funcioni el LDAP! De moment ho tenim als tres Invenios de prova, però homés està ben explicat al Traces de proves:
https://traces-test.uab.cat/youraccount/login?ln=ca
A més, és tan fantàstic que els que teníem un compte creat, Invenio mira si existim amb l'adreça de correu, i si ens troba, els reconeix el rol amb tots els permisos que ja teníem!
Hem d'acabar de consensuar el text d'ajuda i confirmar quants Invenios ho voldran (sospitem que només el DDD, però cal preguntar-ho) abans de passar-ho a producció.
CA Actualitzat per Cristina Azorin fa més de 10 anys
A mi no em funciona ni a Traces test, ni al DDD test amb el meu niu.
"Could not login using your 'LDAP' account, because you have introduced a wrong password. identificació"
FJ Actualitzat per Ferran Jorba fa més de 10 anys
Cristina Azorin va escriure:
A mi no em funciona ni a Traces test, ni al DDD test amb el meu niu.
"Could not login using your 'LDAP' account, because you have introduced a wrong password. identificació"
Ah, que no ho havíem explicat: al DDD de proves (i al Traces de proves, i l'IFMuC de proves) ens connectem (ens fan connectar) al LDAP de proves, i això vol dir que la contrasenya és el niu i les tres primeres lletres de la contrasenya vigent.
CA Actualitzat per Cristina Azorin fa més de 10 anys
- Assignat a ha canviat de Ferran Jorba a Cristina Azorin
La UTP redactarà la nova pantalla d'identificació del DDD.
El Javier ha de demanar permís per autoritzar el DDD a preguntar sobre la màquina del LDAP.
FJ Actualitzat per Ferran Jorba fa més de 10 anys
Cristina,
heu redactat el text que parlarà de la identificació LDAP? La Núria comentava que fos el mateix que el de Millennium (o SFX?). El teniu a mà, i el copiem?
FJ Actualitzat per Ferran Jorba fa més de 10 anys
Javier,
podries demanar ja el permís per connectar-nos al LDAP de producció des l'homs.uab.cat?
JP Actualitzat per Javier Planella fa més de 10 anys
Ja tenim donat d'alta l'accés
CA Actualitzat per Cristina Azorin fa més de 10 anys
- S'ha afegit Fitxer cataleg.png cataleg.png
- Assignat a ha canviat de Cristina Azorin a Javier Planella
L'entrada per identificació LDAP s'hauria de fer semblant al meu compte del catàleg. El PUC parla de 'identificador' i ens agrada més que sigui niu.
El enllaços del catàleg a com obtenir el niu o la paraula de pas també haurien de sortir.
En el cas del DDD, les opcions per escollir no haurien de ser LDAP i local, sinó NIU-UAB i email. Perquè és imprescindible que esculli? No pot discriminar en funció del que entri l'usuari, si és un NIU o un correu?
Els noms de camp han de ser 'NIU o correu electrònic' i 'Contrasenya'. A la part de text de la dreta hauria de dir. "Si sou membres de la Comunitat Universitària de la UAB identifiqueu-vos sempre amb el vostre NIU".
"Si no sou membres de la UAB identifiqueu-vos amb un correu electrònic".
Les preferències dels comptes de LDAP haurien de ser lleugerament diferents, per exemple, no t'hauria de permetre canviar la contrasenya.
A la vegada, cal eliminar de 'Els vostres paràmetres' (per a tothom) el que dóna com a opció de Clau API.
Per posar-ho en producció ho farem a l'Homs o ja ens podem esperar a tenir les noves màquines (Mompou?).
FJ Actualitzat per Ferran Jorba fa més de 10 anys
Acabo de configurar-ho amb aquests dos textos en el desplegable:
- NIU UAB (en comptes de: LDAP)
- DDD (en comptes de: Local)
https://ddd-test.uab.cat/youraccount/login?ln=ca
Tal com m'ha fet notar el Sebas, per al correu també es fa servir NIU (https://correu.uab.cat). Això ens alinea amb la nomenclatura més usuada a la UAB.
Estic veient, però, que segurament caldria canvier el text «Nom d'usuari» per «Identificació», que serviria tant per al NIU com per al compte local del DDD.
Tal com funciona, no és possible posar-ho amb alternatives diferents segons l'idioma de la interfície; per això he triat aquestes sigles, molt genèriques. De tota manera, tenim espai a la dreta, substituint els textos actuals, per posar-hi l'ajuda que calgui i, aquesta sí, traduible als tres idiomes.
FJ Actualitzat per Ferran Jorba fa més de 10 anys
He fet els canvis que m'heu dit, i a l'hora de traduir-lo a l'anglès, hi he afegit que si s'utilitza el NIU es pot utilitzar la contrasenya única de la UAB, cosa que no estava en el text en català.
El text castellà encara no l'he canviat. El text de «Nom d'usuari:» tampoc, queda pendent.
He pogut aprofitar per treure la referència a la API key.
Vull mirar-me amb més detall si es pot fer que distingeixi LDAP o no, potser si la identificació és numèrica.
CA Actualitzat per Cristina Azorin fa més de 10 anys
o si té @
FJ Actualitzat per Ferran Jorba fa més de 10 anys
Cristina Azorin va escriure:
o si té @
Per això (ara me n'enrecordo) no m'acaba de convencer posar 'email', perquè actualment pots identificar-te amb l'email o amb l'alias. I jo he estat fent servir l'alias, que és molt més curt, i molt més fàcil d'escriure que l'email. El CERN en diu 'Local', que no ens agrada a ningú, i jo proposava 'DDD'. I si posem 'Email o alias', comptant que és (pràcticament) idèntic amb els tres idiomes?
CA Actualitzat per Cristina Azorin fa més de 10 anys
Uuuufff, aixo de l'àlies... Jo posaria la ma al foc que només ho fas servir tu :-)))
No, jo no ho posaria, o correu o niu.
JP Actualitzat per Javier Planella fa més de 10 anys
Canviats els textos d'ajuda a la pantalla d'identificació:
https://ddd-test.uab.cat/youraccount/login
per part nostre ja tenin permis per utilitzar LDAP de producció, falta el vist-i-plau de Biblioteques
JP Actualitzat per Javier Planella fa més de 10 anys
- Assignat a ha canviat de Javier Planella a Cristina Azorin
CA Actualitzat per Cristina Azorin fa més de 10 anys
Hola,
a la pàgina d'identificació canviar el text
"Si encara no teniu un compte, podeu donar-vos d'alta en un compte intern."
"Si no sou membres de la UAB, podeu donar-vos d'alta amb el vostre correu electrònic."
Original en anglès:
"If you don't own an account yet, please register an internal account"
potser caldria que a la pàgina 'donar-se d'alta' (https://ddd-test.uab.cat/youraccount/register) digues alguna cosa de que no cal si ja tens niu uab, no?
El text podria ser:
Si formeu part de la comunitat universitària de la UAB i disposeu de NIU i paraula de pas (Amb un enllaç a http://sia.uab.es/gestio_pwd.html) no cal que realitzeu aquest registre; entreu directament amb el NIU.
I, a més, s'hauria de treure tot el text de ma dreta amb els dominis.
A la pàgina https://ddd.uab.cat/youraccount/lost s'han de fer els següents canvis:
- Canviar el text "Si heu perdut la contrassenya del compte intern de Dipòsit Digital de Documents de la UAB, escriviu la vostra adreça electrònica en aquest formulari perquè us enviem un enllaç per reiniciar-la vostra contrassenya." per "Si sou membres de la comunitat universitària de la UAB i voleu gestionar la vostra contrasenya accediu a la pàgina de Gestió de paraules de pas (Amb un enllaç a http://sia.uab.es/gestio_pwd.html).
- Si heu perdut la contrasenya de l'email al vostre compte del Dipòsit Digital de Documents de la UAB, escriviu la vostra adreça electrònica en aquest formulari perquè us enviem un enllaç per tornar-la a generar."
- Eliminar tota la frase final: Tingueu en compte que si heu estat utilitzant un sistema d'identificació extern, no podem fer-hi res, i els hi haurieu de demanar a ells. Alternativament, podeu demanar a ddd.bib@uab.cat que us canvïi el sistema d'identificació a l'intern.
CA Actualitzat per Cristina Azorin fa més de 10 anys
- Assignat a ha canviat de Cristina Azorin a Javier Planella
CA Actualitzat per Cristina Azorin fa més de 10 anys
Els canvis en aquestes pàgines d'informació representaran que deixem d'informar de quins són els dominis que permeten l'autoarxiu al DDD, però és que en aquests moments són molts i no veig la manera de donar la informació en un altre lloc.
*@uab.cat/
*@uab.es/
*@carrerasresearch.org/
*@ced.uab.cat/
*@ced.uab.es/
*@creaf.uab.cat/
*@creaf.uab.es/
*@cresa.uab.cat/
*@cresa.uab.es/
*@crm.cat/
*@crm.es/
*@flsida.org/
*@guttmann.com/
*@icn.cat/
*@icn.es/
*@iconcologia.net/
*@ifae.cat/
*@ifae.es/
*@igtp.es/
*@igtp.cat/
*@imppc.org/
*@irsicaixa.es/
*@irsicaixa.cat/
*@mat.uab.cat/
*@mat.uab.es/
*germanstrias@gencat.cat/Ferran, caldria veure la compatibilitat entre l'opció que permet a uns dominis determinats accedir als formularis i LDAP. Ho detectarà automàticament, si alguna d'aquestes persones té niu??
JP Actualitzat per Javier Planella fa més de 10 anys
- Categoria s'ha establert a Tecnologia
- Assignat a ha canviat de Javier Planella a Cristina Azorin
Ens sembla que esta tot traduit (al DDD de proves https://ddd-test.uab.cat), faltaria el vist-i-plau de la Cristina
JP Actualitzat per Javier Planella fa més de 10 anys
- Tema ha canviat de SAC per a autenticar alternativament usuaris al DDD a LDAP per a autenticar alternativament usuaris al DDD
CA Actualitzat per Cristina Azorin fa més de 10 anys
- Assignat a ha canviat de Cristina Azorin a Ferran Jorba
Ja teniu el meu vist-i-plau, per mi està tot correcte.
El que em fa més por és l'accés als formularis, però confio que funcionarà.
Pots fer-me un llistat de membres de la uab amb uab.es, potser se'ls podria fer un correu per avisar-los que millor facin el canvi.
JP Actualitzat per Javier Planella fa més de 10 anys
El mòdul python-ldap de Debian es obsolet i l'hem hagut d'instal·lar a traves de "pip", com a usuari "root", seguint aquests passos:
- apt-get install python-pip
- apt-get install libldap2-dev (fatal error: lber.h)
- pip install python-ldap
Ho haurem de repetir a les noves màquines Mompou (homs) i Taltabull (nuix)
CA Actualitzat per Cristina Azorin fa més de 10 anys
- Estat ha canviat de En curs a Tancada
Ja portem quatre dies i no hi ha hagut cap queixa amb LDAP. He canviat alguns comptes a ma. Hem fet un SB21 i una notícia a la web.
Com a continuació d'aquesta tasca i de cara a les accions de millora del 2016 caldria plantejar-se una neteja d'usuaris, obro una tasca apart.
CA Actualitzat per Cristina Azorin fa més de 10 anys
- Paraula clau ha canviat de LDAP SAC JR a LDAP SAC
FJ Actualitzat per Ferran Jorba fa més de 10 anys
Ja he instal·lat python-ldap a Taltabull de la manera que el Javier descriu en aquesta mateixa tasca.