Moodle et LDAP : problème avec des comptes ayant le même login

Moodle et LDAP : problème avec des comptes ayant le même login

par Malvina Vieux,
Nombre de réponses : 8

Bonjour,

Nous avons rencontré cette année un souci avec certains comptes sur notre moodle. Ce dernier permet l'authentification des utilisateurs via la connexion au LDAP. LDAP qui a plusieurs domaines sur lesquels des utilisateurs dans des domaines différents peuvent cependant avoir le même identifiant (mais pas le même mot de passe). Nous avons rencontré un problème insolite :

Un étudiant (que nous appellerons Pierre Dupont) s'est connecté sur moodle. Il a utilisé les identifiants qui lui ont été remis à la rentrée et qui sont uniques. Une fois connecté il s'est rendu compte qu'il accédait au compte d'une autre personne (que nous appelons Pauline Dupont) et qui a le même identifiant mais se trouve dans un autre domaine du LDAP. Cependant son mot de passe est différent de celui de Pierre. Pauline existe dans la base depuis plus longtemps que Pierre et elle accède bien à ses informations.

Ma question : comment est-il possible que moodle donne accès au compte de Pauline à Pierre alors qu'ils sont 2 individus différents avec une combinaison d'identifiants différents ?

(pour le moment nous avons modifié l'identifiant de Pierre dans le LDAP pour qu'il soit bien reconnu comme Pierre).

Merci

Malvina

Moyenne des évaluations  -
En réponse à Malvina Vieux

Re: Moodle et LDAP : problème avec des comptes ayant le même login

par Bruno Malaval,
Avatar Moodleurs particulièrement utiles

Bonjour,

Si vous faites une authentification LDAP, la validation de celle-ci est faite par le serveur LDAP et non par Moodle.

En détail :

  • L'étudiant saisi son identifiant / mot de passe
  • ceux-ci sont envoyés au serveur LDAP qui répond "OK, l'authentifiction est valide"
  • Moodle associe la session au premier compte de la base correspondant à l'identifiant, donc au plus ancien
A partir du moment où vous n'avez pas un identifiant unique pour chaque utilisateur, cela va être compliqué pour résoudre le problème
Moyenne des évaluations  -
En réponse à Bruno Malaval

Re: Moodle et LDAP : problème avec des comptes ayant le même login

par Malvina Vieux,

Bonjour,

D'accord, cela veut dire qu'il ne teste pas la combinaison complète ? puisque les 2 utilisateurs ont bien des mots de passe différents et surtout sont dans des domaines différents.

Donc d'après vous il faudrait que dans le LDAP on interdise les logins identiques sur tous les domaines ?

Malvina

Moyenne des évaluations  -
En réponse à Malvina Vieux

Re: Moodle et LDAP : problème avec des comptes ayant le même login

par Bruno Malaval,
Avatar Moodleurs particulièrement utiles

Il y a 2 choses :

  1. Ce n'est pas Moodle qui teste la validité du couple identifiant/mot de passe
    Avec une authentification LDAP, Moodle ne stocke pas les mots de passe dans la base
    Il envoie une requete au serveur LDAP avec les donnees saisies dans la page de login et LDAP lui répond c'est bon ou pas

    Moddle ne sait donc qu'une chose : pour l'identifiant X , l'authentification est correcte

    il recherche ensuite l'identifiant X dans la base pour ouvrir la session, donc le premier

  2. L'identifiant devrait effectivement être unique.
    Cela se produit car les informations sont récupérées depuis le serveur LDAP
    Si vous essayez de créer manuellement un compte sur Moodle avec un identifiant déjà existant, il sera rejeté
Moodle ne peut vérifier que votre annuaire LDAP contient des doublons

Donc oui, la solution serait de ne pas avoir avoir de doublons, ou choisir un attribut LDAP qui soit réellement unique sur votre "cluster" LDAP

Nous utilisons également LDAP pour l'authentification, avec comme identifiant l'adresse mail qui est unique

Moyenne des évaluations Utile (1)
En réponse à Bruno Malaval

Re: Moodle et LDAP : problème avec des comptes ayant le même login

par Malvina Vieux,

D'accord, merci Bruno pour ces explications, je fais passer au service informatique sourire

Malvina

Moyenne des évaluations  -
En réponse à Bruno Malaval

Re: Moodle et LDAP : problème avec des comptes ayant le même login

par Jérôme DEMIAUX,
Avatar Traducteurs

... adresse mail qui est unique ....

tant que tu n'as pas 2 Paul Durand, Jean Martin ou John Doe clin d’œil

Jérôme.

Moyenne des évaluations  -
En réponse à Jérôme DEMIAUX

Re: Moodle et LDAP : problème avec des comptes ayant le même login

par Bruno Malaval,
Avatar Moodleurs particulièrement utiles

justement on en a

Je suis en Alsace, donc avec des patronymes comme Meyer, Muller, Schmitt, Klein .... on a eu des doublons

Donc ajout d'un numéro sur l'adresse mail dans ce cas ... cool

Moyenne des évaluations  -
En réponse à Bruno Malaval

Re: Moodle et LDAP : problème avec des comptes ayant le même login

par Patrick Lemaire,
Avatar Développeurs de plugins Avatar Documentation writers Avatar Moodleurs particulièrement utiles Avatar Testeurs Avatar Traducteurs

Bonjour Bruno,

2 remarques, indirectement liées à ton explication très claire du mécanisme d'authentification.

1) Il est tout de même regrettable que Moodle ne permettent pas de distinguer un couple login/méthode_dauthentification dans le cadre spécifique de CAS et MNET puisque le choix de la méthode d'authentification se fait par l'usager.

Autant je comprends que pour LDAP et les comptes internes Moodle, la plateforme ne peut pas choisir pour l'usager si le compte est de l'une ou l'autre nature puisque la "porte d'entrée" est la même... Mais dans le cadre de CAS ou MNET, c'est légèrement différent.

Du coup, si vous mettez deux Moodles en réseau, prenez bien garde de ne pas avoir la même "recette" pour la constitution des logins ! Idéalement il faudrait préfixer chacun, voir utiliser les adresses mails comme login...

2) Moodle, par défaut, met en cache le mot de passe LDAP (sous forme hashée !). Il faut désactiver cette fonctionnalité dans la configuration de LDAP (paramètre "Ne pas mettre les mots de passe en cache").

Je suppose que c'est pour palier à une indisponibilité temporaire du serveur d'authentification ? Mais soyez vigilant là dessus !!

A bientôt,
Patrick

Moyenne des évaluations  -
En réponse à Patrick Lemaire

Re: Moodle et LDAP : problème avec des comptes ayant le même login

par Bruno Malaval,
Avatar Moodleurs particulièrement utiles

Bonjour Patrick,

Je suis d'accord avec toi.

Après, ce sont souvent de problèmes qui arrivent lors d'une évolution (regrouper des domaines, fusionner des bases, etc ...)

C'est pour cette raison que, lors de la mise en place d'un système d'authentification, il est nécessaire d'avoir une période de réflexion sur l'identifiant et sur son unicité.

Le problème arrive sous cette forme sur Moodle, il peut se produire sur d'autres plateforme.

Une bonne chose dans Moodle, l'identifiant de connexion n'est pas l'identifiant utiliser dans la bdd, c'est un id numérique.

Sur d'autres plateformes, l'identifiant de connexion est l'identifiant utilisé pour les relations. C'est de plus en plus rare mais dans ce cas, pas de solution.

L'adresse mail reste à mon sens une valeur sûre dans ce domaine


Moyenne des évaluations  -