Diferencia entre revisiones de «LDAP authentication»

De MoodleDocs
Línea 132: Línea 132:
En MS Active Directory, usted tendrá que crear un grupo de seguridad para que todos sus creadores sean parte de éste. Si su contexto ldap arriba es '''ou=staff,dc=mi,dc=org''' entonces su grupo debe ser entonces '''cn=creadores,ou=staff,dc=mi,dc=org'''. Si algunos de sus usuarios pertenecen a otros contextos y han sido agregados al mismo grupo de seguridad, Usted deberá agregar estos como contextos separados después del primero utilizando el mismo formato.  
En MS Active Directory, usted tendrá que crear un grupo de seguridad para que todos sus creadores sean parte de éste. Si su contexto ldap arriba es '''ou=staff,dc=mi,dc=org''' entonces su grupo debe ser entonces '''cn=creadores,ou=staff,dc=mi,dc=org'''. Si algunos de sus usuarios pertenecen a otros contextos y han sido agregados al mismo grupo de seguridad, Usted deberá agregar estos como contextos separados después del primero utilizando el mismo formato.  
|-
|-
| Apellido(''First name'')
| Nombre
|  
| The name of the attribute that holds the first name of your users in your LDAP server. This is usually '''givenName'''.
 
<u>This setting is optional</u>
|-
| Apellido
| The name of the attribute that holds the surname of your users in your LDAP server. This is usually '''sn'''.
 
<u>This setting is optional</u>
|-
| Dirección de Correo Electrónico
| The name of the attribute that holds the email address of your users in your LDAP server. This is usually '''mail'''.
 
<u>This setting is optional</u>
|-
| Teléfono 1
| The name of the attribute that holds the telephone number of your users in your LDAP server. This is usually '''telephoneNumber'''.
 
<u>This setting is optional</u>
|-
| Teléfono 2
|  The name of the attribute that holds an additional telephone number of your users in your LDAP server. This can be '''homePhone''', '''mobile''', '''pager''', '''facsimileTelephoneNumber''' or even others.
 
<u>This setting is optional</u>
|-
| Departmento
| The name of the attribute that holds the department name of your users in your LDAP server. This is usully '''departmentNumber''' (for posixAccount and maybe eDirectory) or '''department''' (for MS-AD).
 
<u>This setting is optional</u>
|-
| Dirección
| The name of the attribute that holds the street address of your users in your LDAP server. This is usully '''streetAddress''' or '''street'.
 
<u>This setting is optional</u>
|-
| Ciudad/pueblo
| The name of the attribute that holds the city/town of your users in your LDAP server. This is usully '''l''' (lowercase L) or '''localityName''' (not valid in MS-AD).
 
<u>This setting is optional</u>
|-
| País
| The name of the attribute that holds the couuntry of your users in your LDAP server. This is usully '''c''' or '''countryName''' (not valid in MS-AD).
 
<u>This setting is optional</u>
|-
|-
| Nombre(''Surname'')
| Descripción
|
| '''description'''
 
<u>This setting is optional</u>
|-
|-
| Correo_electrónico(''Email address'')
| Número de ID
|  
|  
<u>This setting is optional</u>
|-
|-
|  
| Idioma
|  
| '''preferredLanguage'''
 
<u>This setting is optional</u>
|-
|-
|  
| Instrucciones
|  
|  
|}
|}
El resto de los campos son comunes a todos los métodos de autenticación y no serán discutidos aqui..


==Escenarios Avanzados==
==Escenarios Avanzados==

Revisión del 05:50 17 feb 2007

Nota: Pendiente de Traducir. ¡Anímese a traducir esta página!.     ( y otras páginas pendientes)

Este documento describe cómo establecer una autenticación LDAP en Moodle. Puede encontrar un Escenario Básico, en el cuál todo es simple y directo, y eso será suficiente en la mayoría de las instalaciones. Si su instalación es un poco más grande y utiliza múltiples servidores LDAP, o múltiples ubicaciones (contextos) para sus usuarios en su árbol LDAP, entonces eche una ojeada a los Escenarios Avanzados.


Escenario Básico

Suposiciones

  1. La dirección en internet de su sitio moodle es http://su.sitio.moodle/
  2. Tiene configurada su instalación PHP con la extensión LDAP. Está cargada y activada, y se muestra cuando va a http://su.sitio.moodle/admin/phpinfo.php (iniciando la sesión como 'admin').
  3. La dirección IP de su servidor LDAP es 192.168.1.100.
  4. No utiliza LDAP con SSL (conocido como LDAPS) en su configuración. Esto podría impedir ciertas operaciones (por ejemplo, no puede actualizar datos si utiliza el Directorio Activo de Microsoft -- MS-AD de aquí en adelante--), pero será suficiente si únicamente quiere autenticar sus usuarios.
  5. No quiere que sus usuarios cambien sus contraseñas la primera vez que inicien la sesión en Moodle.
  6. Está utilizando un único dominio como origen de sus datos de autenticación, en caso de que esté utilizando MS-AD (más sobre esto en los Apéndices).
  7. El nombre distinguido (abreviado como DN, del inlgés Distinguished Name) de la raíz del árbol LDAP para la autenticación es dc=mi,dc=organizacion,dc=dominio.
  8. Tiene una cuenta de usuario LDAP no privilegiada que utilizará para enlazar con el servidor LDAP. Esto no es necesario con ciertos servidores LDAP, pero MS-AD requiere ésto y no estará de más utilizarlo incluso si su servidor LDAP no lo necesita. Asegúrese de que la cuenta y contraseña no caducan, y haga que la contraseña sea tan segura como le sea posible. Recuerde que sólo necesita teclearla una vez, cuando configure Moodle, así que procure que sea lo más difícil de adivinar posible. Supongamos que esta cuenta de usuario tiene el nombre distinguido (DN) cn=usuario-ldap,dc=mi,dc=organizacion,dc=dominio, y su contraseña es contraseñadifícil.
  9. Todos sus usuarios en Moodle están en una unidad organizativa (OU) denominada usuariosenmoodle, que se encuentra justo colgando de su raíz LDAP. Esa OU tiene el DN ou=usuariosenmoodle,dc=mi,dc=organizacion,dc=dominio.
  10. No desea que las contraseñas de sus usuarios LDAP se almacenen en Moodle.

Configuración de la autenticación en Moodle

Inicie la sesión como usuario "admin" y vaya a Administración >> Usuarios >> Autenticación. En la lista desplegable titulada "Escoger un método de autenticación:" elija "Usar un servidor LDAP". Obtendrá una página similar a ésta:


auth ldap config screenshot.jpg


Ahora sólo tiene que rellenar las casillas. Vayamos paso a paso:

Nombre de Campo Valor
ldap_host_url Como la dirección IP de su servidor LDAP es 192.168.1.100, ponga "ldap://192.168.1.100" (sin las comillas).
ldap_version A no ser que esté utilizando un servidor LDAP realmente antigua, version 3 es el valor que debería escoger.
ldap_preventpassindb Como usted no quiere almacenar las contraseñas de usuario en la base de datos de Moodle, seleccione Si.
ldap_bind_dn Este es el nombre de la cuenta no-privilegiada usada para enlazar con el servidor LDAP mencionada anteriormente. Simplemente ponga "cn=usuario-ldap,dc=mi,dc=organizacion,dc=dominio" (sin las comillas).
ldap_bind_pw Esta es la contraseña del usuario declarado en el campo anterior. Teclee "contraseñadifícil" (sin las comillas).
ldap_user_type Escoja:
  • Novel Edirectory si su servidor LDAP es Novell eDirectory.
  • posixAccount (rfc2307) si su servidor LDAP es compatible con RFC-2307 (elija ésta si su servidor es OpenLDAP).
  • posixAccount (rfc2307bis) si su servidor LDAP es compatible con RFC-2307bis.
  • sambaSamAccount (v.3.0.7) si su servidor LDAP es está usando la extensión del esquema LDAP de SAMBA 3.x.
  • MS ActiveDirectory si su servidor LDAP es Directorio Activo de Microsoft (MS-AD).
ldap_contexts El nombre distinguido del contexto (contenedor) en el que se encuentran todos sus usuarios Moodle. Teclee ou=usuariosmoodle,dc=mi,dc=organizacion,dc=dominio.
ldap_search_sub Si tiene alguna sub unidad organizacional (subcontexto) colgando de ou=usuariosmoodle,dc=mi,dc=organizacion,dc=dominio y quiere que Moodle busque ahí también, cambie a si. En caso contrario ponga no.
ldap_opt_deref Algunas veces su servidor LDAP le dirá que el contenido que está buscando en realidad está en otra parte del árbol LDAP (se denomina un alias). Si quiere que Moodle desreferencie el alias y obtenga el contenido desde su ubicación ponga si. Si quiere no quiere que lo desreferencie, ponga no. Si utiliza MS-AD, ponga no.
ldap_user_attribute El atributo que se usa para nombrar y buscar a los usuarios en su árbol LDAP. Esta opción toma un valor por defecto basado en el valor del campo ldap_user_type que elijió anteriormente. A menos que necesite algo especial, no necesita rellenar este campo.

Por cierto, los valores habituales son: cn (para Novell eDirectory y MS-AD), uid (para RFC-2037, RFC-2037bis y SAMBA 3.x LDAP). Si utiliza MS-AD, también puede usar sAMAccountName (el nombre de cuenta pre-Windows 2000) si es necesario.

ldap_memberattribute El atributo utilizado para listar todos los miembros de un grupo. Esta opción toma por defecto un valor basado en el tipo-usuario_ldap(ldap_user_type) que elijió anteriormente. A menos que necesite algo especial, no necesita rellenar este campo.

Además, su valor normalmente será miembro(member).

objeto_clase_ldap(ldap_objectclass) El tipo de objeto LDAP utilizado para buscar usuarios. Esta opción toma un valor por defecto basado en el tipo_usuario_ldap(ldap_user_type) que escogió anteriormente.A menos que necesite algo especial, no necesita rellenar este campo.

Aquí están los valores por defecto para cada uno de los valores en tipo_usuario_ldap( ldap_user_type):

  • Usuario(User) en Novel eDirectory
  • posixAccount en RFC-2037 y RFC-2037bis
  • sambaSamAccount en SAMBA 3.0.x LDAP
  • usuario(user) en MS-AD
Cambio de contraseña a la fuerza( Force change password) Ponga Si(Yes) si quiere que sus usuarios cambien su contraseña en su primer acceso( login) a Moodle. En caso contrario, ponga no. Tenga en mente que la contraseña que fuerza a cambiar es la almacenada en su servidor LDAP.

Si no quiere que sus usuarios cambien sus contraseñas en su primer acceso(login), ponga No

Utilizar la página estándar de Cambiar contraseña( Use standard Change password page)
  • Poner Si(Yes) fuerza a Moodle a utilizar su propia página de cambiar contraseña, cada vez que los usuarios quieran cambiar su contraseña.
  • Poner No fuerza a Moodle a utilizar la página nombrada en el campo Cambiar contraseña URL (Change password URL)" (al final de la página de configuración).

Tenga presente que cambiar las contraseñas en Moodle puede requerir conexiones LDAPS ( es cierto al menos para MS-AD).

También, el código para cambiar contraseñas de Moodle para otro sistema que no sea Novell eDirectory casi no está probado, puede o no funcionar el otros servidoresLDAP.

finalización_ldap( ldap_expiration)
  • Poner No forzará a Moodle a no comprobar si la contraseña del usuario ha finalizado o no( si tiene permiso activo o no).
  • Poner LDAP forzará a Moodle a comprobar si la contraseña LDAP del usuario ha finalizado o no( si el usuario LDAP tiene o no permiso activo), y avisarle unos días antes de que la contraseña finalice(pierda su permiso activo).

El código actual funciona sólo con el servidor LDAP Novell eDirectory, pero hay un parche circulando que funciona con MS-AD también( búscale en el forun de autenticación( authentication).

A menos que tenga el servidor Novell eDirectory( o utilice el parche), ponga No aquí.

aviso_finalización_ldap(ldap_expiration_warning) Este campo muestra con cuántos días de antelación se informa al usuario de que su contraseña va a finalizar( no va a tener permiso activo).
ldap_exprireattr El atributo de usuario LDAP suele comprobar la finalización de la contraseña( la pérdida de permiso activo del usuario). Esta opción toma un valor por defecto del valor del campo tipo_usuario_ldap( ldap_user_type) que estableció anteriormente. A menos que necesite algo especial, no necesita rellenar este campo.
ldap_gracelogins Este campo es específico de Novell eDirectory. Si hay Si(Yes), habilita el soporte LDAP gracelogin. Después de que la contraseña haya finalizado ( el usuario pierda el permiso activo) éste puede acceder(login) hasta que el contador gracelogin esté a 0.

A menos que tenga el servidor Novell eDirectory y quiera permitir soporte gracelogin, ponga No aquí.

ldap_graceattr Este campo no se utiliza en el código( y es específico de Novell eDirectory).

Por lo que no necesita rellenarle

crear_contexto_ldap(ldap_create_context)
creadores_ldap(ldap_creators) El DN del grupo que contiene todos los creadores en Moodle. Esto es típicamente un posixGroup con un atributo "memberUid" para cada usuario que quiere que sea un creador. Si su grupo es llamado creadores, teclee aqui cn=creadores,ou=usuariosmoodle,dc=mi,dc=organizacion,dc=dominio. Cada atributo memberUid contiene el CN de un usuario que está autorizado para ser un creador. No utilice el DN completo del usuario (ej.: no use memberUid: cn=JoseProfesor,ou=usuariosmoodle,dc=mi,dc=organizacion,dc=dominio, sino que use memberUid: JoseProfesor).

En eDirectory, el objectClass para un grupo es (predeterminado) no posixGroup sino groupOfNames, cuyo atributo miembro es member, no memberUid, y cuyo valor es el DN completo de el usuario en cuestión. Sin embargo usted puede modificar el código de Moodle para utilizar este campo, una mejor solución es simplemente agregar un nuevo atributo objectClass de posixGroup a su grupo de creadores y poner el CN de cada creador en un atributo memberUid.

En MS Active Directory, usted tendrá que crear un grupo de seguridad para que todos sus creadores sean parte de éste. Si su contexto ldap arriba es ou=staff,dc=mi,dc=org entonces su grupo debe ser entonces cn=creadores,ou=staff,dc=mi,dc=org. Si algunos de sus usuarios pertenecen a otros contextos y han sido agregados al mismo grupo de seguridad, Usted deberá agregar estos como contextos separados después del primero utilizando el mismo formato.

Nombre The name of the attribute that holds the first name of your users in your LDAP server. This is usually givenName.

This setting is optional

Apellido The name of the attribute that holds the surname of your users in your LDAP server. This is usually sn.

This setting is optional

Dirección de Correo Electrónico The name of the attribute that holds the email address of your users in your LDAP server. This is usually mail.

This setting is optional

Teléfono 1 The name of the attribute that holds the telephone number of your users in your LDAP server. This is usually telephoneNumber.

This setting is optional

Teléfono 2 The name of the attribute that holds an additional telephone number of your users in your LDAP server. This can be homePhone, mobile, pager, facsimileTelephoneNumber or even others.

This setting is optional

Departmento The name of the attribute that holds the department name of your users in your LDAP server. This is usully departmentNumber (for posixAccount and maybe eDirectory) or department (for MS-AD).

This setting is optional

Dirección The name of the attribute that holds the street address of your users in your LDAP server. This is usully streetAddress or street'.

This setting is optional

Ciudad/pueblo The name of the attribute that holds the city/town of your users in your LDAP server. This is usully l (lowercase L) or localityName (not valid in MS-AD).

This setting is optional

País The name of the attribute that holds the couuntry of your users in your LDAP server. This is usully c or countryName (not valid in MS-AD).

This setting is optional

Descripción description

This setting is optional

Número de ID

This setting is optional

Idioma preferredLanguage

This setting is optional

Instrucciones

El resto de los campos son comunes a todos los métodos de autenticación y no serán discutidos aqui..

Escenarios Avanzados

Utilización de múltiples servidores LDAP

Utilización de múltiples ubicaciones (contextos) de usuario en su árbol LDAP

Apéndices

Hablar sobre Servidores de Catálogo Global y Directorio Activo de Microsoft.

Ver también

Obtenido de «https://docs.moodle.org/all/es/index.php?title=LDAP_authentication&oldid=9203»
Powered by MediaWiki