Shibboleth

Shibboleth

user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '4:514235a120fbc1cdb2893cad814668fb' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 27.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: UPDATE cache_filter SET data = '<div class=\"emailFilter\"><!DOCTYPE HTML PUBLIC \"-//W3C//DTD HTML 4.01 Transitional//EN\">\n<html>\n <head>\n <meta content=\"text/html; charset=UTF-8\" http-equiv=\"Content-Type\">\n </head>\n <body text=\"#000000\" bgcolor=\"#ffffff\">\n Salut François, \n \n C\'est bien searchFromAttributes que tu dois utiliser.</div>', created = 1507748718, expire = 1507835118, headers = '', serialized = 0 WHERE cid = '4:514235a120fbc1cdb2893cad814668fb' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 112.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '4:514235a120fbc1cdb2893cad814668fb' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 27.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: UPDATE cache_filter SET data = '<div class=\"emailFilter\"><!DOCTYPE HTML PUBLIC \"-//W3C//DTD HTML 4.01 Transitional//EN\">\n<html>\n <head>\n <meta content=\"text/html; charset=UTF-8\" http-equiv=\"Content-Type\">\n </head>\n <body text=\"#000000\" bgcolor=\"#ffffff\">\n Salut François, \n \n C\'est bien searchFromAttributes que tu dois utiliser.</div>', created = 1507748718, expire = 1507835118, headers = '', serialized = 0 WHERE cid = '4:514235a120fbc1cdb2893cad814668fb' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 112.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '4:37e0341d7cd3f4b30af7ef1bcdba4d2a' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 27.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: UPDATE cache_filter SET data = '<div class=\"emailFilter\">Bonjour,\nLes 3 universités Nancy et l\'université de Metz envisagent une \ninstallation commune d\'ORI-OAI.\nCeci présuppose bien évidemment l\'utilisation de Shibboleth. \nActuellement, je ne trouve qu\'une configuration pour le module workflow. \nPourriez vous me dire si l\'accès à plusieurs LDAP est prévu \n(récupération des vcard ou autre). \nEst-il prévu à terme une config shibboleth pour Esup-ecm notamment pour \nla gestion des droits d\'accès aux documents?\nPlus globalement, je désire savoir si il est pertinent, aujourd\'hui, de \nvouloir partir sur une installation unique pour plusieurs établissements.\nMerci d\'avance pour vos renseignement.\nAlain Le Drezen \nBU UPV-M\n</div>\n', created = 1507748723, expire = 1507835123, headers = '', serialized = 0 WHERE cid = '4:37e0341d7cd3f4b30af7ef1bcdba4d2a' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 112.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '4:ae1bf212fee71c757af986ba5c82edd2' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 27.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: UPDATE cache_filter SET data = '<div class=\"emailFilter\">Bonjour,\nPour les n LDAP je laisse mes collègues spécialistes du vocabulaire \nrépondre mais je pense que c\'est jaouble. Un vocabulaire par LDAP et un \nvocabulaire qui merge les n vocabulaires.\nPour ESUP-ECM ce n\'est pas encore disponible. C\'est dans les TODO. Je \ndois me charger de la rédaction du cahier des charges très prochainement.\nCordialement.\nledrezen a écrit : \n<div class=\"emailFilter_Toggle\">\n<blockquote class=\"emailFilter_Author_0\">> Bonjour, \n> \n> Les 3 universités Nancy et l\'université de Metz envisagent une \n> installation commune d\'ORI-OAI. \n> \n> Ceci présuppose bien évidemment l\'utilisation de Shibboleth. \n> Actuellement, je ne trouve qu\'une configuration pour le module workflow. \n> Pourriez vous me dire si l\'accès à plusieurs LDAP est prévu \n> (récupération des vcard ou autre). \n> Est-il prévu à terme une config shibboleth pour Esup-ecm notamment \n> pour la gestion des droits d\'accès aux documents? \n> \n> Plus globalement, je désire savoir si il est pertinent, aujourd\'hui, \n> de vouloir partir sur une installation unique pour plusieurs \n> établissements. \n> \n> Merci d\'avance pour vos renseignement. \n> \n> \n> Alain Le Drezen \n> BU UPV-M \n> \n> \n></div>\n</blockquote>\n</div>\n', created = 1507748725, expire = 1507835125, headers = '', serialized = 0 WHERE cid = '4:ae1bf212fee71c757af986ba5c82edd2' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 112.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '4:03ea1ebc87c4ebb744b265ad0ecc1ec5' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 27.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: UPDATE cache_filter SET data = '<div class=\"emailFilter\">\nBonjour Raymond,\nJe rebondis sur le sujet, car j\'ai eu la question hier et aujourd\'hui \nde ses collègues, au cours de la formation fonctionnelle à Nancy.\nJe pense qu\'il y a deux aspects à regarder dans la question :\n- la gestion par le module de vocabulaires de données provenant de \nplusieurs LDAP : pour une utilisation dans les formulaires par exemple \n(Recherche de VCard notamment) \n(là, je pense comme toi que cela est faisable de fusionner ces infos, \nvia un vocabulaire dynamique ... \nmais à confirmer/expliquer par le(s) spécialistes du vocabulary)\n- la gestion de l\'authentification par le module workflow : \nORI-OAI permet-il l\'installation d\'1 seule instance du workflow, pour \nune utilisation par n établissements (authentification qui \ns\'appuierait sur n LDAP) ? ; \n(la question d\'Alain se situe plus à ce niveau je crois)\nIl serait intéressant d\'avoir des réponses, notamment pour \nl\'authentification, car la question émerge (elle m\'a déjà été posée \nlors des 2 dernières formations fonctionnelles).\nMerci pour toute information à ce sujet.\nA+,\nJacques\nRaymond Bourges <\n <script type=\"text/javascript\" >  </script>> a écrit :\n<div class=\"emailFilter_Toggle\">\n<blockquote class=\"emailFilter_Author_0\">> Bonjour, \n> \n> Pour les n LDAP je laisse mes collègues spécialistes du vocabulaire \n> répondre mais je pense que c\'est jaouble. Un vocabulaire par LDAP et \n> un vocabulaire qui merge les n vocabulaires. \n> \n> Pour ESUP-ECM ce n\'est pas encore disponible. C\'est dans les TODO. \n> Je dois me charger de la rédaction du cahier des charges très \n> prochainement. \n> \n> Cordialement. \n> \n> ledrezen a écrit :</blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Bonjour, \n>> \n>> Les 3 universités Nancy et l\'université de Metz envisagent une \n>> installation commune d\'ORI-OAI. \n>> \n>> Ceci présuppose bien évidemment l\'utilisation de Shibboleth. \n>> Actuellement, je ne trouve qu\'une configuration pour le module workflow. \n>> Pourriez vous me dire si l\'accès à plusieurs LDAP est prévu \n>> (récupération des vcard ou autre). \n>> Est-il prévu à terme une config shibboleth pour Esup-ecm notamment \n>> pour la gestion des droits d\'accès aux documents? \n>> \n>> Plus globalement, je désire savoir si il est pertinent, \n>> aujourd\'hui, de vouloir partir sur une installation unique pour \n>> plusieurs établissements. \n>> \n>> Merci d\'avance pour vos renseignement. \n>> \n>> \n>> Alain Le Drezen \n>> BU UPV-M \n>> \n>> \n>></blockquote>\n<blockquote class=\"emailFilter_Author_0\">> \n> \n> \n></div>\n</blockquote>\n---------------------------------------------------------------- \nThis message was sent using IMP, the Internet Messaging Program.\n</div>\n', created = 1507748725, expire = 1507835125, headers = '', serialized = 0 WHERE cid = '4:03ea1ebc87c4ebb744b265ad0ecc1ec5' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 112.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '4:d7c95757b7d7c14bbd1810d6a48d3b76' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 27.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: UPDATE cache_filter SET data = '<div class=\"emailFilter\">Bonjour,\n* Pour les vocabulaires, je confirme que c\'est normalement faisable même \nsi je ne pense pas que quelqu\'un ait configuré le module de la sorte \nactuellement. \nIl faut en effet ajouter des nouveaux vocabulaires dans \nconf/properties/domain/ldapVocabulary.xml qui vont s\'appuyer non plus \nsur un seul bean ldapServiceUsers ou ldapServiceGroups mais sur plusieurs. \nChaque ldapServiceUsers et ldapServiceGroups spécifiques à chaque ldap \ns\'appuiereont sur des ldapTemplate/contextSource différents (cf \nconf/properties/ldap/ldap.xml, issu du frameworkf esup-commons). \nCes vocabulaires issus des différents ldap pourront ensuite être \nfusionnés au besoin effectivement.\n* Pour la gestion de l\'authentification et de l\'identification dans \nori-oai-wokflow : \n- ori-oai-workflow ne permet pas l\'utilisation conjointe de n LDAP \n- par contre il est prévu pour fonctionner avec shibboleth, et il y a \nune petite documentation à ce sujet qui se trouve ici : \n<a href=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\" title=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\">http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...</a>\nEnfin pour la question sur la pertinence d\'une telle installation \nmutualisée entre n établissements. \nJe pense que cela peut-être pertinent à la fois d\'un point de vue \ntechnique mais aussi d\'un point de vue fonctionnel. \nL\'idée de mutualiser les tâches d\'installation, puis de référencement, \nd\'indexation, de validation ; au moins dans un premier temps ; peut \npermettre de décupler les forces, voire les résultats.\n2 exemples : \n* Dans les UNT type UNIT, on utilise un ORI-OAI inter-établissements \n(même si pour des raisons pratiques on n\'utilise pas shibboleth mais un \nannuaire ldap interne). \n* Au niveau de l\'UNR Normandie \"RUNN\" dans laquelle je suis \npersonnellement et depuis peu responsable du projet \"Faciliter l’usage \ndes ressources de formations à distance\" ( \n<a href=\"http://www.unr-runn.fr/jsp/fiche_article.jsp?CODE=49466505&LANGUE=0&RH=1236247959330\" title=\"http://www.unr-runn.fr/jsp/fiche_article.jsp?CODE=49466505&LANGUE=0&RH=1236247959330\">http://www.unr-runn.fr/jsp/fiche_article.jsp?CODE=49466505&LANGUE=0&RH=1...</a> \n) on va propbablement utiliser un ORI-OAI UNR (commun aux établissements \npartenaires donc) allié à shibboleth (tous les partenaires du RUNN ont \nun idp shibboleth ... ou plutôt ce sera le cas d\'ici quelques semaines) \nau niveau du workflow pour démarrer de façon mutualisée le \nréférencement/indexation des ressources pédagogiques (rien n\'est acté \ncependant et on va maquetter pour commencer ... ).\nN\'oubliez pas de nous tenir au courant de vos actions la-dessus !\nBien cordialement, \nVincent.\nJacques Brassart wrote: \n<div class=\"emailFilter_Toggle\">\n<blockquote class=\"emailFilter_Author_0\">> \n> Bonjour Raymond, \n> \n> Je rebondis sur le sujet, car j\'ai eu la question hier et aujourd\'hui \n> de ses collègues, au cours de la formation fonctionnelle à Nancy. \n> \n> Je pense qu\'il y a deux aspects à regarder dans la question : \n> \n> - la gestion par le module de vocabulaires de données provenant de \n> plusieurs LDAP : pour une utilisation dans les formulaires par exemple \n> (Recherche de VCard notamment) \n> (là, je pense comme toi que cela est faisable de fusionner ces infos, \n> via un vocabulaire dynamique ... \n> mais à confirmer/expliquer par le(s) spécialistes du vocabulary) \n> \n> - la gestion de l\'authentification par le module workflow : \n> ORI-OAI permet-il l\'installation d\'1 seule instance du workflow, pour \n> une utilisation par n établissements (authentification qui \n> s\'appuierait sur n LDAP) ? ; \n> (la question d\'Alain se situe plus à ce niveau je crois) \n> \n> Il serait intéressant d\'avoir des réponses, notamment pour \n> l\'authentification, car la question émerge (elle m\'a déjà été posée \n> lors des 2 dernières formations fonctionnelles). \n> \n> Merci pour toute information à ce sujet. \n> \n> A+, \n> \n> Jacques \n> \n> \n> \n> Raymond Bourges <\n <script type=\"text/javascript\" >  </script>> a écrit : \n></blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Bonjour, \n>> \n>> Pour les n LDAP je laisse mes collègues spécialistes du vocabulaire \n>> répondre mais je pense que c\'est jaouble. Un vocabulaire par LDAP et \n>> un vocabulaire qui merge les n vocabulaires. \n>> \n>> Pour ESUP-ECM ce n\'est pas encore disponible. C\'est dans les TODO. Je \n>> dois me charger de la rédaction du cahier des charges très \n>> prochainement. \n>> \n>> Cordialement. \n>> \n>> ledrezen a écrit :</blockquote>\n<blockquote class=\"emailFilter_Author_2\">>>> Bonjour, \n>>> \n>>> Les 3 universités Nancy et l\'université de Metz envisagent une \n>>> installation commune d\'ORI-OAI. \n>>> \n>>> Ceci présuppose bien évidemment l\'utilisation de Shibboleth. \n>>> Actuellement, je ne trouve qu\'une configuration pour le module \n>>> workflow. \n>>> Pourriez vous me dire si l\'accès à plusieurs LDAP est prévu \n>>> (récupération des vcard ou autre). \n>>> Est-il prévu à terme une config shibboleth pour Esup-ecm notamment \n>>> pour la gestion des droits d\'accès aux documents? \n>>> \n>>> Plus globalement, je désire savoir si il est pertinent, aujourd\'hui, \n>>> de vouloir partir sur une installation unique pour plusieurs \n>>> établissements. \n>>> \n>>> Merci d\'avance pour vos renseignement. \n>>> \n>>> \n>>> Alain Le Drezen \n>>> BU UPV-M \n>>> \n>>> \n>>></blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> \n>> \n>> \n>></blockquote>\n<blockquote class=\"emailFilter_Author_0\">> \n> \n> \n> ---------------------------------------------------------------- \n> This message was sent using IMP, the Internet Messaging Program. \n> \n> \n></div>\n</blockquote>\n</div>\n', created = 1507748725, expire = 1507835125, headers = '', serialized = 0 WHERE cid = '4:d7c95757b7d7c14bbd1810d6a48d3b76' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 112.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '4:c3efd7c05cc69497e7d45eb8a7efce36' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 27.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: UPDATE cache_filter SET data = '<div class=\"emailFilter\">Bonjour,\nMerci pour les informations de la page : \n<a href=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\" title=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\">http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...</a>\nJ\'imagine qu\'il faut activer l\'utilisation de l\'authentification \nshibboleth. \nJ\'ai essayé de rajouter à main-config.properties : \n\"authentication.shibAuthenticationEnabled=true\" en passant cas et \nldap à false sans succès. J\'ai une page simple avec le message \"Merci \nde vous authentifier\".\nD\'autre part les attributs shibboleth (par exp Shib-InetOrgPerson-mail \nutilisé par shibAttrsMap.get(\"Shib-InetOrgPerson-mail\")) sont-il bien \nceux visibles dans <a href=\"http://xxxx/Shibboleth.sso/Session\" title=\"http://xxxx/Shibboleth.sso/Session\">http://xxxx/Shibboleth.sso/Session</a> ou existe-t-il une \ntable de translation ?\nMerci d\'avance pour tout élément de réponse.\nAlain Le Drezen \nBU UPV-Metz\n</div>\n', created = 1507748725, expire = 1507835125, headers = '', serialized = 0 WHERE cid = '4:c3efd7c05cc69497e7d45eb8a7efce36' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 112.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '4:f1e86305cb8eb883451953ad27e3e547' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 27.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: UPDATE cache_filter SET data = '<div class=\"emailFilter\">Bonjour,\nCf la documentation citée (la page sur ori-oai.org), sachez que le gros \ndu mécanisme Shibboleth n\'est pas fait par l\'application \nori-oai-workflow elle-même mais par une couche supérieure (on préconise \nd\'utiliser le mod_shib d\'Apache). \nEn utilisant le mod_shib, et via le bout de conf suivant :\n<Location /ori-oai-workflow-spring> \n AuthType shibboleth \n ShibRequireSession On \n ShibUseHeaders On \n require valid-user \n</Location>\nVous forcez les utilisateurs à s\'authentifier en shib pour accéder à \ntout /ori-oai-workflow-spring\n=> Il faut ici pour activer shibboleth véritablement proscrire l\'accès \ndirect en HTTP sur Tomcat et passer par Apache pour accéder à \nori-oai-workflow (avec AJP par exemple donc).\n=> Les attributs shibboleth visibles dans ori-oai-workflow sont tous \nceux que le mod_shib laissent passer (cela doit donc correspondre \ncertainement par défaut à ceux visibles dans \n<a href=\"http://xxxx/Shibboleth.sso/Session\" title=\"http://xxxx/Shibboleth.sso/Session\">http://xxxx/Shibboleth.sso/Session</a> ... ).\nVincent.\nledrezen wrote: \n<div class=\"emailFilter_Toggle\">\n<blockquote class=\"emailFilter_Author_0\">> Bonjour, \n> \n> \n> Merci pour les informations de la page : \n> <a href=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\" title=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\">http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...</a> \n> \n> \n> J\'imagine qu\'il faut activer l\'utilisation de l\'authentification \n> shibboleth. \n> J\'ai essayé de rajouter à main-config.properties : \n> \"authentication.shibAuthenticationEnabled=true\" en passant cas et \n> ldap à false sans succès. J\'ai une page simple avec le message \"Merci \n> de vous authentifier\". \n> \n> \n> D\'autre part les attributs shibboleth (par exp \n> Shib-InetOrgPerson-mail utilisé par \n> shibAttrsMap.get(\"Shib-InetOrgPerson-mail\")) sont-il bien ceux \n> visibles dans <a href=\"http://xxxx/Shibboleth.sso/Session\" title=\"http://xxxx/Shibboleth.sso/Session\">http://xxxx/Shibboleth.sso/Session</a> ou existe-t-il une \n> table de translation ? \n> \n> Merci d\'avance pour tout élément de réponse. \n> \n> \n> Alain Le Drezen \n> BU UPV-Metz \n></div>\n</blockquote>\n</div>\n', created = 1507748725, expire = 1507835125, headers = '', serialized = 0 WHERE cid = '4:f1e86305cb8eb883451953ad27e3e547' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 112.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '4:ec3e2b6307f55fd261b2e211b94c8df4' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 27.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: UPDATE cache_filter SET data = '<div class=\"emailFilter\">Bonjour,\nMerci pour la réponse. \nJe suis déjà en apache/mod_shib et AJP. Le module workflow fonctionne \ncorrectement avec AJP avec authentification CAS ou LDAP. \nJe récupère bien les attribut shib au niveau d\'apache (variables \nd\'environnement).\nAu niveau de la conf du workflow, ne faut-il pas activer \nl\'authentification shibboleth (pour le moment dans le commons-properties \nc\'est CAS ou LDAP) ? \nFaut-il un conf particulière d\'ajp dans server.xml ?\nAlain\nVincent Bonamy a écrit : \n<div class=\"emailFilter_Toggle\">\n<blockquote class=\"emailFilter_Author_0\">> Bonjour, \n> \n> Cf la documentation citée (la page sur ori-oai.org), sachez que le \n> gros du mécanisme Shibboleth n\'est pas fait par l\'application \n> ori-oai-workflow elle-même mais par une couche supérieure (on \n> préconise d\'utiliser le mod_shib d\'Apache). \n> En utilisant le mod_shib, et via le bout de conf suivant : \n> \n> <Location /ori-oai-workflow-spring> \n> AuthType shibboleth \n> ShibRequireSession On \n> ShibUseHeaders On \n> require valid-user \n> </Location> \n> \n> Vous forcez les utilisateurs à s\'authentifier en shib pour accéder à \n> tout /ori-oai-workflow-spring \n> \n> => Il faut ici pour activer shibboleth véritablement proscrire l\'accès \n> direct en HTTP sur Tomcat et passer par Apache pour accéder à \n> ori-oai-workflow (avec AJP par exemple donc). \n> \n> => Les attributs shibboleth visibles dans ori-oai-workflow sont tous \n> ceux que le mod_shib laissent passer (cela doit donc correspondre \n> certainement par défaut à ceux visibles dans \n> <a href=\"http://xxxx/Shibboleth.sso/Session\" title=\"http://xxxx/Shibboleth.sso/Session\">http://xxxx/Shibboleth.sso/Session</a> ... ). \n> \n> Vincent. \n> \n> \n> \n> \n> ledrezen wrote:</blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Bonjour, \n>> \n>> \n>> Merci pour les informations de la page : \n>> <a href=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\" title=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\">http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...</a> \n>> \n>> \n>> J\'imagine qu\'il faut activer l\'utilisation de l\'authentification \n>> shibboleth. \n>> J\'ai essayé de rajouter à main-config.properties : \n>> \"authentication.shibAuthenticationEnabled=true\" en passant cas et \n>> ldap à false sans succès. J\'ai une page simple avec le message \n>> \"Merci de vous authentifier\". \n>> \n>> \n>> D\'autre part les attributs shibboleth (par exp \n>> Shib-InetOrgPerson-mail utilisé par \n>> shibAttrsMap.get(\"Shib-InetOrgPerson-mail\")) sont-il bien ceux \n>> visibles dans <a href=\"http://xxxx/Shibboleth.sso/Session\" title=\"http://xxxx/Shibboleth.sso/Session\">http://xxxx/Shibboleth.sso/Session</a> ou existe-t-il une \n>> table de translation ? \n>> \n>> Merci d\'avance pour tout élément de réponse. \n>> \n>> \n>> Alain Le Drezen \n>> BU UPV-Metz \n>></blockquote>\n<blockquote class=\"emailFilter_Author_0\">> \n></div>\n</blockquote>\n</div>\n', created = 1507748725, expire = 1507835125, headers = '', serialized = 0 WHERE cid = '4:ec3e2b6307f55fd261b2e211b94c8df4' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 112.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '4:e17fa939062daffe9c0e3186f1e99b80' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 27.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: UPDATE cache_filter SET data = '<div class=\"emailFilter\">Rebonjour,\nSi la conf mod_shib fonctionne (cf le Location avec le require \nvalid-user) vous ne pouvez pas atteindre /ori-oai-workflow-spring \n(peut-être est-ce /ori-oai-workflow d\'ailleurs dans votre cas : par \ndéfaut via le quick-install c\'est ori-oai-workflow en fait ...) sans \nvous être authentifié au préalable par shibboleth.\nA ce stade c\'est complètement indépendant de ce qui se cache derrière \nl\'url /ori-oai-workflow-spring et donc de l\'application \nori-oai-workflow-spring.\nVincent.\nledrezen wrote: \n<div class=\"emailFilter_Toggle\">\n<blockquote class=\"emailFilter_Author_0\">> Bonjour, \n> \n> Merci pour la réponse. \n> Je suis déjà en apache/mod_shib et AJP. Le module workflow fonctionne \n> correctement avec AJP avec authentification CAS ou LDAP. \n> Je récupère bien les attribut shib au niveau d\'apache (variables \n> d\'environnement). \n> \n> \n> Au niveau de la conf du workflow, ne faut-il pas activer \n> l\'authentification shibboleth (pour le moment dans le \n> commons-properties c\'est CAS ou LDAP) ? \n> Faut-il un conf particulière d\'ajp dans server.xml ? \n> \n> \n> Alain \n> \n> \n> Vincent Bonamy a écrit :</blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Bonjour, \n>> \n>> Cf la documentation citée (la page sur ori-oai.org), sachez que le \n>> gros du mécanisme Shibboleth n\'est pas fait par l\'application \n>> ori-oai-workflow elle-même mais par une couche supérieure (on \n>> préconise d\'utiliser le mod_shib d\'Apache). \n>> En utilisant le mod_shib, et via le bout de conf suivant : \n>> \n>> <Location /ori-oai-workflow-spring> \n>> AuthType shibboleth \n>> ShibRequireSession On \n>> ShibUseHeaders On \n>> require valid-user \n>> </Location> \n>> \n>> Vous forcez les utilisateurs à s\'authentifier en shib pour accéder à \n>> tout /ori-oai-workflow-spring \n>> \n>> => Il faut ici pour activer shibboleth véritablement proscrire \n>> l\'accès direct en HTTP sur Tomcat et passer par Apache pour accéder à \n>> ori-oai-workflow (avec AJP par exemple donc). \n>> \n>> => Les attributs shibboleth visibles dans ori-oai-workflow sont tous \n>> ceux que le mod_shib laissent passer (cela doit donc correspondre \n>> certainement par défaut à ceux visibles dans \n>> <a href=\"http://xxxx/Shibboleth.sso/Session\" title=\"http://xxxx/Shibboleth.sso/Session\">http://xxxx/Shibboleth.sso/Session</a> ... ). \n>> \n>> Vincent. \n>> \n>> \n>> \n>> \n>> ledrezen wrote:</blockquote>\n<blockquote class=\"emailFilter_Author_2\">>>> Bonjour, \n>>> \n>>> \n>>> Merci pour les informations de la page : \n>>> <a href=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\" title=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\">http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...</a> \n>>> \n>>> \n>>> J\'imagine qu\'il faut activer l\'utilisation de l\'authentification \n>>> shibboleth. \n>>> J\'ai essayé de rajouter à main-config.properties : \n>>> \"authentication.shibAuthenticationEnabled=true\" en passant cas et \n>>> ldap à false sans succès. J\'ai une page simple avec le message \n>>> \"Merci de vous authentifier\". \n>>> \n>>> \n>>> D\'autre part les attributs shibboleth (par exp \n>>> Shib-InetOrgPerson-mail utilisé par \n>>> shibAttrsMap.get(\"Shib-InetOrgPerson-mail\")) sont-il bien ceux \n>>> visibles dans <a href=\"http://xxxx/Shibboleth.sso/Session\" title=\"http://xxxx/Shibboleth.sso/Session\">http://xxxx/Shibboleth.sso/Session</a> ou existe-t-il une \n>>> table de translation ? \n>>> \n>>> Merci d\'avance pour tout élément de réponse. \n>>> \n>>> \n>>> Alain Le Drezen \n>>> BU UPV-Metz \n>>></blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> \n>></blockquote>\n<blockquote class=\"emailFilter_Author_0\">></div>\n</blockquote>\n</div>\n', created = 1507748725, expire = 1507835125, headers = '', serialized = 0 WHERE cid = '4:e17fa939062daffe9c0e3186f1e99b80' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 112.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '4:8e450e83fd34f258b8c0c9de8abcb9f3' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 27.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: UPDATE cache_filter SET data = '<div class=\"emailFilter\">ReBonjour Vincent,\nL\'authentification shibboleth se passe bien. \nLe problème vient de la conf du module workflow ou du passage de \nvariables d\'environnement en utilisant AJP ! Pourquoi seulement CAS et \nLDAP dans commons-properties?\nVincent Bonamy a écrit : \n<div class=\"emailFilter_Toggle\">\n<blockquote class=\"emailFilter_Author_0\">> Rebonjour, \n> \n> Si la conf mod_shib fonctionne (cf le Location avec le require \n> valid-user) vous ne pouvez pas atteindre /ori-oai-workflow-spring \n> (peut-être est-ce /ori-oai-workflow d\'ailleurs dans votre cas : par \n> défaut via le quick-install c\'est ori-oai-workflow en fait ...) sans \n> vous être authentifié au préalable par shibboleth. \n> \n> A ce stade c\'est complètement indépendant de ce qui se cache derrière \n> l\'url /ori-oai-workflow-spring et donc de l\'application \n> ori-oai-workflow-spring. \n> \n> Vincent. \n> \n> \n> \n> ledrezen wrote:</blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Bonjour, \n>> \n>> Merci pour la réponse. \n>> Je suis déjà en apache/mod_shib et AJP. Le module workflow \n>> fonctionne correctement avec AJP avec authentification CAS ou LDAP. \n>> Je récupère bien les attribut shib au niveau d\'apache (variables \n>> d\'environnement). \n>> \n>> \n>> Au niveau de la conf du workflow, ne faut-il pas activer \n>> l\'authentification shibboleth (pour le moment dans le \n>> commons-properties c\'est CAS ou LDAP) ? \n>> Faut-il un conf particulière d\'ajp dans server.xml ? \n>> \n>> \n>> Alain \n>> \n>> \n>> Vincent Bonamy a écrit :</blockquote>\n<blockquote class=\"emailFilter_Author_2\">>>> Bonjour, \n>>> \n>>> Cf la documentation citée (la page sur ori-oai.org), sachez que le \n>>> gros du mécanisme Shibboleth n\'est pas fait par l\'application \n>>> ori-oai-workflow elle-même mais par une couche supérieure (on \n>>> préconise d\'utiliser le mod_shib d\'Apache). \n>>> En utilisant le mod_shib, et via le bout de conf suivant : \n>>> \n>>> <Location /ori-oai-workflow-spring> \n>>> AuthType shibboleth \n>>> ShibRequireSession On \n>>> ShibUseHeaders On \n>>> require valid-user \n>>> </Location> \n>>> \n>>> Vous forcez les utilisateurs à s\'authentifier en shib pour accéder à \n>>> tout /ori-oai-workflow-spring \n>>> \n>>> => Il faut ici pour activer shibboleth véritablement proscrire \n>>> l\'accès direct en HTTP sur Tomcat et passer par Apache pour accéder \n>>> à ori-oai-workflow (avec AJP par exemple donc). \n>>> \n>>> => Les attributs shibboleth visibles dans ori-oai-workflow sont tous \n>>> ceux que le mod_shib laissent passer (cela doit donc correspondre \n>>> certainement par défaut à ceux visibles dans \n>>> <a href=\"http://xxxx/Shibboleth.sso/Session\" title=\"http://xxxx/Shibboleth.sso/Session\">http://xxxx/Shibboleth.sso/Session</a> ... ). \n>>> \n>>> Vincent. \n>>> \n>>> \n>>> \n>>> \n>>> ledrezen wrote:</blockquote>\n<blockquote class=\"emailFilter_Author_3\">>>>> Bonjour, \n>>>> \n>>>> \n>>>> Merci pour les informations de la page : \n>>>> <a href=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\" title=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\">http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...</a> \n>>>> \n>>>> \n>>>> J\'imagine qu\'il faut activer l\'utilisation de l\'authentification \n>>>> shibboleth. \n>>>> J\'ai essayé de rajouter à main-config.properties : \n>>>> \"authentication.shibAuthenticationEnabled=true\" en passant cas \n>>>> et ldap à false sans succès. J\'ai une page simple avec le message \n>>>> \"Merci de vous authentifier\". \n>>>> \n>>>> \n>>>> D\'autre part les attributs shibboleth (par exp \n>>>> Shib-InetOrgPerson-mail utilisé par \n>>>> shibAttrsMap.get(\"Shib-InetOrgPerson-mail\")) sont-il bien ceux \n>>>> visibles dans <a href=\"http://xxxx/Shibboleth.sso/Session\" title=\"http://xxxx/Shibboleth.sso/Session\">http://xxxx/Shibboleth.sso/Session</a> ou existe-t-il une \n>>>> table de translation ? \n>>>> \n>>>> Merci d\'avance pour tout élément de réponse. \n>>>> \n>>>> \n>>>> Alain Le Drezen \n>>>> BU UPV-Metz \n>>>></blockquote>\n<blockquote class=\"emailFilter_Author_2\">>>> \n>>></blockquote>\n<blockquote class=\"emailFilter_Author_1\">>></blockquote>\n<blockquote class=\"emailFilter_Author_0\">> \n></div>\n</blockquote>\n</div>\n', created = 1507748725, expire = 1507835125, headers = '', serialized = 0 WHERE cid = '4:8e450e83fd34f258b8c0c9de8abcb9f3' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 112.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '4:16a8fdabb770cd5a5c22cc365bf553fe' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 27.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: UPDATE cache_filter SET data = '<div class=\"emailFilter\">Bonjour,\nQuel est le problème exactement ? \nLe profil ne correspond à ce que vous attendez dans l\'IHM (pas de \ngroupes alors qu\'il en faudrait) c\'est bien cela ? \nEst-ce que les logs donnent des choses intéressantes ? \nLes logs du mod_shib notamment ? \nQuel est votre config côté \nconf/properties/spring/acegi/acegi-authentication-shib.xml ? \nEn fait, le mod shib est actif par défaut dans ori-oai-workflow. Il n\'y \na rien à modifier dans commons-parameters (mais il faut modifier le \nfichier conf/properties/spring/acegi/acegi-authentication-shib.xml).\nVincent.\nledrezen wrote: \n<div class=\"emailFilter_Toggle\">\n<blockquote class=\"emailFilter_Author_0\">> ReBonjour Vincent, \n> \n> L\'authentification shibboleth se passe bien. \n> Le problème vient de la conf du module workflow ou du passage de \n> variables d\'environnement en utilisant AJP ! Pourquoi seulement CAS et \n> LDAP dans commons-properties? \n> \n> \n> \n> Vincent Bonamy a écrit :</blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Rebonjour, \n>> \n>> Si la conf mod_shib fonctionne (cf le Location avec le require \n>> valid-user) vous ne pouvez pas atteindre /ori-oai-workflow-spring \n>> (peut-être est-ce /ori-oai-workflow d\'ailleurs dans votre cas : par \n>> défaut via le quick-install c\'est ori-oai-workflow en fait ...) sans \n>> vous être authentifié au préalable par shibboleth. \n>> \n>> A ce stade c\'est complètement indépendant de ce qui se cache derrière \n>> l\'url /ori-oai-workflow-spring et donc de l\'application \n>> ori-oai-workflow-spring. \n>> \n>> Vincent. \n>> \n>> \n>> \n>> ledrezen wrote:</blockquote>\n<blockquote class=\"emailFilter_Author_2\">>>> Bonjour, \n>>> \n>>> Merci pour la réponse. \n>>> Je suis déjà en apache/mod_shib et AJP. Le module workflow \n>>> fonctionne correctement avec AJP avec authentification CAS ou LDAP. \n>>> Je récupère bien les attribut shib au niveau d\'apache (variables \n>>> d\'environnement). \n>>> \n>>> \n>>> Au niveau de la conf du workflow, ne faut-il pas activer \n>>> l\'authentification shibboleth (pour le moment dans le \n>>> commons-properties c\'est CAS ou LDAP) ? \n>>> Faut-il un conf particulière d\'ajp dans server.xml ? \n>>> \n>>> \n>>> Alain \n>>> \n>>> \n>>> Vincent Bonamy a écrit :</blockquote>\n<blockquote class=\"emailFilter_Author_3\">>>>> Bonjour, \n>>>> \n>>>> Cf la documentation citée (la page sur ori-oai.org), sachez que le \n>>>> gros du mécanisme Shibboleth n\'est pas fait par l\'application \n>>>> ori-oai-workflow elle-même mais par une couche supérieure (on \n>>>> préconise d\'utiliser le mod_shib d\'Apache). \n>>>> En utilisant le mod_shib, et via le bout de conf suivant : \n>>>> \n>>>> <Location /ori-oai-workflow-spring> \n>>>> AuthType shibboleth \n>>>> ShibRequireSession On \n>>>> ShibUseHeaders On \n>>>> require valid-user \n>>>> </Location> \n>>>> \n>>>> Vous forcez les utilisateurs à s\'authentifier en shib pour accéder \n>>>> à tout /ori-oai-workflow-spring \n>>>> \n>>>> => Il faut ici pour activer shibboleth véritablement proscrire \n>>>> l\'accès direct en HTTP sur Tomcat et passer par Apache pour accéder \n>>>> à ori-oai-workflow (avec AJP par exemple donc). \n>>>> \n>>>> => Les attributs shibboleth visibles dans ori-oai-workflow sont \n>>>> tous ceux que le mod_shib laissent passer (cela doit donc \n>>>> correspondre certainement par défaut à ceux visibles dans \n>>>> <a href=\"http://xxxx/Shibboleth.sso/Session\" title=\"http://xxxx/Shibboleth.sso/Session\">http://xxxx/Shibboleth.sso/Session</a> ... ). \n>>>> \n>>>> Vincent. \n>>>> \n>>>> \n>>>> \n>>>> \n>>>> ledrezen wrote:</blockquote>\n<blockquote class=\"emailFilter_Author_4\">>>>>> Bonjour, \n>>>>> \n>>>>> \n>>>>> Merci pour les informations de la page : \n>>>>> <a href=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\" title=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\">http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...</a> \n>>>>> \n>>>>> \n>>>>> J\'imagine qu\'il faut activer l\'utilisation de l\'authentification \n>>>>> shibboleth. \n>>>>> J\'ai essayé de rajouter à main-config.properties : \n>>>>> \"authentication.shibAuthenticationEnabled=true\" en passant cas \n>>>>> et ldap à false sans succès. J\'ai une page simple avec le message \n>>>>> \"Merci de vous authentifier\". \n>>>>> \n>>>>> \n>>>>> D\'autre part les attributs shibboleth (par exp \n>>>>> Shib-InetOrgPerson-mail utilisé par \n>>>>> shibAttrsMap.get(\"Shib-InetOrgPerson-mail\")) sont-il bien ceux \n>>>>> visibles dans <a href=\"http://xxxx/Shibboleth.sso/Session\" title=\"http://xxxx/Shibboleth.sso/Session\">http://xxxx/Shibboleth.sso/Session</a> ou existe-t-il \n>>>>> une table de translation ? \n>>>>> \n>>>>> Merci d\'avance pour tout élément de réponse. \n>>>>> \n>>>>> \n>>>>> Alain Le Drezen \n>>>>> BU UPV-Metz \n>>>>></blockquote>\n<blockquote class=\"emailFilter_Author_3\">>>>> \n>>>></blockquote>\n<blockquote class=\"emailFilter_Author_2\">>>></blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> \n>></blockquote>\n<blockquote class=\"emailFilter_Author_0\">></div>\n</blockquote>\n</div>\n', created = 1507748725, expire = 1507835125, headers = '', serialized = 0 WHERE cid = '4:16a8fdabb770cd5a5c22cc365bf553fe' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 112.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '4:2b5bd215c0db6cda3f641ad314d68496' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 27.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: UPDATE cache_filter SET data = '<div class=\"emailFilter\">Bonjour,\nJe comprends bien maintenant le pb.\nIl faudrait mettre les logs en info pour org.orioai.workflow (cf \nlog4j.properties).\nDans le fichier \nconf/properties/spring/acegi/acegi-authentication-shib.xml il faut \npréciser quel attribut shib va être utilisé pour faire office d\'uid dans \nl\'application ori-oai-workflow : \npar défaut on a :\n<property name=\"remoteUserShibAttr\" value=\"Shib-InetOrgPerson-mail\"/>\nEt au vu de vos attributs ca ne peut pas fonctionner effectivement \n(Shib-InetOrgPerson-mail ne fait pas partie de votre liste d\'attributs \nshib à disposition).\nChangez par (suggestion) :\n<property name=\"remoteUserShibAttr\" value=\"eppn\"/>\nVincent.\nAlain Le Drezen wrote: \n<div class=\"emailFilter_Toggle\">\n<blockquote class=\"emailFilter_Author_0\">> \n> \n> </blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Bonjour, \n>> \n>> Quel est le problème exactement ? \n>> </blockquote>\n<blockquote class=\"emailFilter_Author_0\">> Après l\'authentification shib j\'ai le message \"Merci de vous authentifier ...\" sur la page d\'accueil du workflow \n> \n> </blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Le profil ne correspond à ce que vous attendez dans l\'IHM (pas de \n>> groupes alors qu\'il en faudrait) c\'est bien cela ? \n>> </blockquote>\n<blockquote class=\"emailFilter_Author_0\">> Je n\'ai rien dans l\'IHM \n> \n> </blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Est-ce que les logs donnent des choses intéressantes ? \n>> </blockquote>\n<blockquote class=\"emailFilter_Author_0\">> Il y a bien une erreur dans le catalina.out , ci-joint \n> \n> </blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Les logs du mod_shib notamment ? \n>> </blockquote>\n<blockquote class=\"emailFilter_Author_0\">> Rien de particulier \n> \n> </blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Quel est votre config côté \n>> conf/properties/spring/acegi/acegi-authentication-shib.xml ? \n>> </blockquote>\n<blockquote class=\"emailFilter_Author_0\">> <map> \n> <entry key=\"all\"> \n> <value>true</value> \n> </entry> \n> <entry key=\"moderators\"> \n> <value> shibAttrsMap.get(\"primary-affiliation\").equals(\"faculty\") </value> \n> </entry> \n> <entry key=\"admins\"> \n> <value> shibAttrsMap.get(\"eppn\").equals(\"\n <script type=\"text/javascript\" >  </script>\") </value> \n> </entry> \n> </map> \n> \n> \n> Les attributs shib recupérés ( <a href=\"https://xxxxxx/Shibboleth.sso/Session\" title=\"https://xxxxxx/Shibboleth.sso/Session\">https://xxxxxx/Shibboleth.sso/Session</a>) : \n> Attributes \n> cn: DEVPERS Test \n> displayName: Test DEVPERS \n> eppn: <a href=\"mailto:devpers1@univ-nancy2.fr\">devpers1@univ-nancy2.fr</a> \n> givenName: Test \n> primary-affiliation: affiliate \n> supannEtablissement: {EES}0541508W \n> \n> \n> \n> \n> \n> </blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> En fait, le mod shib est actif par défaut dans ori-oai-workflow. Il n\'y \n>> a rien à modifier dans commons-parameters (mais il faut modifier le \n>> fichier conf/properties/spring/acegi/acegi-authentication-shib.xml). \n>> </blockquote>\n<blockquote class=\"emailFilter_Author_0\">> Ok \n> \n> </blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Vincent. \n>> \n>> \n>> ledrezen wrote: \n>> </blockquote>\n<blockquote class=\"emailFilter_Author_2\">>>> ReBonjour Vincent, \n>>> \n>>> L\'authentification shibboleth se passe bien. \n>>> Le problème vient de la conf du module workflow ou du passage de \n>>> variables d\'environnement en utilisant AJP ! Pourquoi seulement CAS et \n>>> LDAP dans commons-properties? \n>>> \n>>> \n>>> \n>>> Vincent Bonamy a écrit : \n>>> </blockquote>\n<blockquote class=\"emailFilter_Author_3\">>>>> Rebonjour, \n>>>> \n>>>> Si la conf mod_shib fonctionne (cf le Location avec le require \n>>>> valid-user) vous ne pouvez pas atteindre /ori-oai-workflow-spring \n>>>> (peut-être est-ce /ori-oai-workflow d\'ailleurs dans votre cas : par \n>>>> défaut via le quick-install c\'est ori-oai-workflow en fait ...) sans \n>>>> vous être authentifié au préalable par shibboleth. \n>>>> \n>>>> A ce stade c\'est complètement indépendant de ce qui se cache derrière \n>>>> l\'url /ori-oai-workflow-spring et donc de l\'application \n>>>> ori-oai-workflow-spring. \n>>>> \n>>>> Vincent. \n>>>> \n>>>> \n>>>> \n>>>> ledrezen wrote: \n>>>> </blockquote>\n<blockquote class=\"emailFilter_Author_4\">>>>>> Bonjour, \n>>>>> \n>>>>> Merci pour la réponse. \n>>>>> Je suis déjà en apache/mod_shib et AJP. Le module workflow \n>>>>> fonctionne correctement avec AJP avec authentification CAS ou LDAP. \n>>>>> Je récupère bien les attribut shib au niveau d\'apache (variables \n>>>>> d\'environnement). \n>>>>> \n>>>>> \n>>>>> Au niveau de la conf du workflow, ne faut-il pas activer \n>>>>> l\'authentification shibboleth (pour le moment dans le \n>>>>> commons-properties c\'est CAS ou LDAP) ? \n>>>>> Faut-il un conf particulière d\'ajp dans server.xml ? \n>>>>> \n>>>>> \n>>>>> Alain \n>>>>> \n>>>>> \n>>>>> Vincent Bonamy a écrit : \n>>>>> </blockquote>\n<blockquote class=\"emailFilter_Author_5\">>>>>>> Bonjour, \n>>>>>> \n>>>>>> Cf la documentation citée (la page sur ori-oai.org), sachez que le \n>>>>>> gros du mécanisme Shibboleth n\'est pas fait par l\'application \n>>>>>> ori-oai-workflow elle-même mais par une couche supérieure (on \n>>>>>> préconise d\'utiliser le mod_shib d\'Apache). \n>>>>>> En utilisant le mod_shib, et via le bout de conf suivant : \n>>>>>> \n>>>>>> <Location /ori-oai-workflow-spring> \n>>>>>> AuthType shibboleth \n>>>>>> ShibRequireSession On \n>>>>>> ShibUseHeaders On \n>>>>>> require valid-user \n>>>>>> </Location> \n>>>>>> \n>>>>>> Vous forcez les utilisateurs à s\'authentifier en shib pour accéder \n>>>>>> à tout /ori-oai-workflow-spring \n>>>>>> \n>>>>>> => Il faut ici pour activer shibboleth véritablement proscrire \n>>>>>> l\'accès direct en HTTP sur Tomcat et passer par Apache pour accéder \n>>>>>> à ori-oai-workflow (avec AJP par exemple donc). \n>>>>>> \n>>>>>> => Les attributs shibboleth visibles dans ori-oai-workflow sont \n>>>>>> tous ceux que le mod_shib laissent passer (cela doit donc \n>>>>>> correspondre certainement par défaut à ceux visibles dans \n>>>>>> <a href=\"http://xxxx/Shibboleth.sso/Session\" title=\"http://xxxx/Shibboleth.sso/Session\">http://xxxx/Shibboleth.sso/Session</a> ... ). \n>>>>>> \n>>>>>> Vincent. \n>>>>>> \n>>>>>> \n>>>>>> \n>>>>>> \n>>>>>> ledrezen wrote: \n>>>>>> </blockquote>\n<blockquote class=\"emailFilter_Author_6\">>>>>>>> Bonjour, \n>>>>>>> \n>>>>>>> \n>>>>>>> Merci pour les informations de la page : \n>>>>>>> <a href=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\" title=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\">http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...</a> \n>>>>>>> \n>>>>>>> \n>>>>>>> J\'imagine qu\'il faut activer l\'utilisation de l\'authentification \n>>>>>>> shibboleth. \n>>>>>>> J\'ai essayé de rajouter à main-config.properties : \n>>>>>>> \"authentication.shibAuthenticationEnabled=true\" en passant cas \n>>>>>>> et ldap à false sans succès. J\'ai une page simple avec le message \n>>>>>>> \"Merci de vous authentifier\". \n>>>>>>> \n>>>>>>> \n>>>>>>> D\'autre part les attributs shibboleth (par exp \n>>>>>>> Shib-InetOrgPerson-mail utilisé par \n>>>>>>> shibAttrsMap.get(\"Shib-InetOrgPerson-mail\")) sont-il bien ceux \n>>>>>>> visibles dans <a href=\"http://xxxx/Shibboleth.sso/Session\" title=\"http://xxxx/Shibboleth.sso/Session\">http://xxxx/Shibboleth.sso/Session</a> ou existe-t-il \n>>>>>>> une table de translation ? \n>>>>>>> \n>>>>>>> Merci d\'avance pour tout élément de réponse. \n>>>>>>> \n>>>>>>> \n>>>>>>> Alain Le Drezen \n>>>>>>> BU UPV-Metz \n>>>>>>> \n>>>>>>> </blockquote>\n<blockquote class=\"emailFilter_Author_5\">>>>>>> </blockquote>\n<blockquote class=\"emailFilter_Author_3\">>>>> </blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> </div>\n</blockquote>\n</div>\n', created = 1507748725, expire = 1507835125, headers = '', serialized = 0 WHERE cid = '4:2b5bd215c0db6cda3f641ad314d68496' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 112.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: SELECT data, created, headers, expire, serialized FROM cache_filter WHERE cid = '4:4b0e10b82e01727c443ac53cc1816df4' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 27.
user warning: Table './drupal_www_ori_oai_org/cache_filter' is marked as crashed and last (automatic?) repair failed query: UPDATE cache_filter SET data = '<div class=\"emailFilter\">Merci !! \nLa solution était bien :\n<property name=\"remoteUserShibAttr\" value=\"eppn\"/>\nVincent Bonamy a écrit : \n<div class=\"emailFilter_Toggle\">\n<blockquote class=\"emailFilter_Author_0\">> Bonjour, \n> \n> Je comprends bien maintenant le pb. \n> \n> Il faudrait mettre les logs en info pour org.orioai.workflow (cf \n> log4j.properties). \n> \n> Dans le fichier \n> conf/properties/spring/acegi/acegi-authentication-shib.xml il faut \n> préciser quel attribut shib va être utilisé pour faire office d\'uid \n> dans l\'application ori-oai-workflow : \n> par défaut on a : \n> \n<property name=\"remoteUserShibAttr\" value=\"Shib-InetOrgPerson-mail\"/>\n> \n> Et au vu de vos attributs ca ne peut pas fonctionner effectivement \n> (Shib-InetOrgPerson-mail ne fait pas partie de votre liste d\'attributs \n> shib à disposition). \n> \n> Changez par (suggestion) : \n> \n<property name=\"remoteUserShibAttr\" value=\"eppn\"/>\n> \n> Vincent. \n> \n> \n> Alain Le Drezen wrote:</blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> \n>> \n>> </blockquote>\n<blockquote class=\"emailFilter_Author_2\">>>> Bonjour, \n>>> \n>>> Quel est le problème exactement ? </blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Après l\'authentification shib j\'ai le message \"Merci de vous \n>> authentifier ...\" sur la page d\'accueil du workflow \n>> \n>> </blockquote>\n<blockquote class=\"emailFilter_Author_2\">>>> Le profil ne correspond à ce que vous attendez dans l\'IHM (pas de \n>>> groupes alors qu\'il en faudrait) c\'est bien cela ? \n>>> </blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Je n\'ai rien dans l\'IHM \n>> </blockquote>\n<blockquote class=\"emailFilter_Author_2\">>>> Est-ce que les logs donnent des choses intéressantes ? </blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Il y a bien une erreur dans le catalina.out , ci-joint \n>> </blockquote>\n<blockquote class=\"emailFilter_Author_2\">>>> Les logs du mod_shib notamment ? \n>>> </blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Rien de particulier \n>> \n>> </blockquote>\n<blockquote class=\"emailFilter_Author_2\">>>> Quel est votre config côté \n>>> conf/properties/spring/acegi/acegi-authentication-shib.xml ? \n>>> </blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> <map> \n>> <entry key=\"all\"> \n>> <value>true</value> \n>> </entry> \n>> <entry key=\"moderators\"> \n>> <value> \n>> shibAttrsMap.get(\"primary-affiliation\").equals(\"faculty\") </value> \n>> </entry> \n>> <entry key=\"admins\"> \n>> <value> \n>> shibAttrsMap.get(\"eppn\").equals(\"\n <script type=\"text/javascript\" >  </script>\") </value> \n>> </entry> \n>> </map> \n>> \n>> \n>> Les attributs shib recupérés ( <a href=\"https://xxxxxx/Shibboleth.sso/Session\" title=\"https://xxxxxx/Shibboleth.sso/Session\">https://xxxxxx/Shibboleth.sso/Session</a>) : \n>> Attributes \n>> cn: DEVPERS Test \n>> displayName: Test DEVPERS \n>> eppn: <a href=\"mailto:devpers1@univ-nancy2.fr\">devpers1@univ-nancy2.fr</a> \n>> givenName: Test \n>> primary-affiliation: affiliate \n>> supannEtablissement: {EES}0541508W \n>> \n>> \n>> \n>> \n>> \n>> </blockquote>\n<blockquote class=\"emailFilter_Author_2\">>>> En fait, le mod shib est actif par défaut dans ori-oai-workflow. Il \n>>> n\'y a rien à modifier dans commons-parameters (mais il faut modifier \n>>> le fichier \n>>> conf/properties/spring/acegi/acegi-authentication-shib.xml). </blockquote>\n<blockquote class=\"emailFilter_Author_1\">>> Ok \n>> \n>> </blockquote>\n<blockquote class=\"emailFilter_Author_2\">>>> Vincent. \n>>> \n>>> \n>>> ledrezen wrote: \n>>> </blockquote>\n<blockquote class=\"emailFilter_Author_3\">>>>> ReBonjour Vincent, \n>>>> \n>>>> L\'authentification shibboleth se passe bien. \n>>>> Le problème vient de la conf du module workflow ou du passage de \n>>>> variables d\'environnement en utilisant AJP ! Pourquoi seulement CAS \n>>>> et LDAP dans commons-properties? \n>>>> \n>>>> \n>>>> \n>>>> Vincent Bonamy a écrit : \n>>>> </blockquote>\n<blockquote class=\"emailFilter_Author_4\">>>>>> Rebonjour, \n>>>>> \n>>>>> Si la conf mod_shib fonctionne (cf le Location avec le require \n>>>>> valid-user) vous ne pouvez pas atteindre /ori-oai-workflow-spring \n>>>>> (peut-être est-ce /ori-oai-workflow d\'ailleurs dans votre cas : \n>>>>> par défaut via le quick-install c\'est ori-oai-workflow en fait \n>>>>> ...) sans vous être authentifié au préalable par shibboleth. \n>>>>> \n>>>>> A ce stade c\'est complètement indépendant de ce qui se cache \n>>>>> derrière l\'url /ori-oai-workflow-spring et donc de l\'application \n>>>>> ori-oai-workflow-spring. \n>>>>> \n>>>>> Vincent. \n>>>>> \n>>>>> \n>>>>> \n>>>>> ledrezen wrote: \n>>>>> </blockquote>\n<blockquote class=\"emailFilter_Author_5\">>>>>>> Bonjour, \n>>>>>> \n>>>>>> Merci pour la réponse. \n>>>>>> Je suis déjà en apache/mod_shib et AJP. Le module workflow \n>>>>>> fonctionne correctement avec AJP avec authentification CAS ou LDAP. \n>>>>>> Je récupère bien les attribut shib au niveau d\'apache (variables \n>>>>>> d\'environnement). \n>>>>>> \n>>>>>> \n>>>>>> Au niveau de la conf du workflow, ne faut-il pas activer \n>>>>>> l\'authentification shibboleth (pour le moment dans le \n>>>>>> commons-properties c\'est CAS ou LDAP) ? \n>>>>>> Faut-il un conf particulière d\'ajp dans server.xml ? \n>>>>>> \n>>>>>> \n>>>>>> Alain \n>>>>>> \n>>>>>> \n>>>>>> Vincent Bonamy a écrit : \n>>>>>> </blockquote>\n<blockquote class=\"emailFilter_Author_6\">>>>>>>> Bonjour, \n>>>>>>> \n>>>>>>> Cf la documentation citée (la page sur ori-oai.org), sachez que \n>>>>>>> le gros du mécanisme Shibboleth n\'est pas fait par l\'application \n>>>>>>> ori-oai-workflow elle-même mais par une couche supérieure (on \n>>>>>>> préconise d\'utiliser le mod_shib d\'Apache). \n>>>>>>> En utilisant le mod_shib, et via le bout de conf suivant : \n>>>>>>> \n>>>>>>> <Location /ori-oai-workflow-spring> \n>>>>>>> AuthType shibboleth \n>>>>>>> ShibRequireSession On \n>>>>>>> ShibUseHeaders On \n>>>>>>> require valid-user \n>>>>>>> </Location> \n>>>>>>> \n>>>>>>> Vous forcez les utilisateurs à s\'authentifier en shib pour \n>>>>>>> accéder à tout /ori-oai-workflow-spring \n>>>>>>> \n>>>>>>> => Il faut ici pour activer shibboleth véritablement proscrire \n>>>>>>> l\'accès direct en HTTP sur Tomcat et passer par Apache pour \n>>>>>>> accéder à ori-oai-workflow (avec AJP par exemple donc). \n>>>>>>> \n>>>>>>> => Les attributs shibboleth visibles dans ori-oai-workflow sont \n>>>>>>> tous ceux que le mod_shib laissent passer (cela doit donc \n>>>>>>> correspondre certainement par défaut à ceux visibles dans \n>>>>>>> <a href=\"http://xxxx/Shibboleth.sso/Session\" title=\"http://xxxx/Shibboleth.sso/Session\">http://xxxx/Shibboleth.sso/Session</a> ... ). \n>>>>>>> \n>>>>>>> Vincent. \n>>>>>>> \n>>>>>>> \n>>>>>>> \n>>>>>>> \n>>>>>>> ledrezen wrote: \n>>>>>>> </blockquote>\n<blockquote class=\"emailFilter_Author_7\">>>>>>>>> Bonjour, \n>>>>>>>> \n>>>>>>>> \n>>>>>>>> Merci pour les informations de la page : \n>>>>>>>> <a href=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\" title=\"http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%A0configurer-Authentification%2FAutorisationavecShibbolethNouveaudepuis1.4.0\">http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...</a> \n>>>>>>>> \n>>>>>>>> \n>>>>>>>> J\'imagine qu\'il faut activer l\'utilisation de \n>>>>>>>> l\'authentification shibboleth. \n>>>>>>>> J\'ai essayé de rajouter à main-config.properties : \n>>>>>>>> \"authentication.shibAuthenticationEnabled=true\" en passant \n>>>>>>>> cas et ldap à false sans succès. J\'ai une page simple avec le \n>>>>>>>> message \"Merci de vous authentifier\". \n>>>>>>>> \n>>>>>>>> \n>>>>>>>> D\'autre part les attributs shibboleth (par exp \n>>>>>>>> Shib-InetOrgPerson-mail utilisé par \n>>>>>>>> shibAttrsMap.get(\"Shib-InetOrgPerson-mail\")) sont-il bien ceux \n>>>>>>>> visibles dans <a href=\"http://xxxx/Shibboleth.sso/Session\" title=\"http://xxxx/Shibboleth.sso/Session\">http://xxxx/Shibboleth.sso/Session</a> ou existe-t-il \n>>>>>>>> une table de translation ? \n>>>>>>>> \n>>>>>>>> Merci d\'avance pour tout élément de réponse. \n>>>>>>>> \n>>>>>>>> \n>>>>>>>> Alain Le Drezen \n>>>>>>>> BU UPV-Metz \n>>>>>>>> \n>>>>>>>> </blockquote>\n<blockquote class=\"emailFilter_Author_6\">>>>>>>> </blockquote>\n<blockquote class=\"emailFilter_Author_4\">>>>>> </blockquote>\n<blockquote class=\"emailFilter_Author_2\">>>> </blockquote>\n<blockquote class=\"emailFilter_Author_0\">> \n></div>\n</blockquote>\n</div>\n', created = 1507748725, expire = 1507835125, headers = '', serialized = 0 WHERE cid = '4:4b0e10b82e01727c443ac53cc1816df4' in /home/ori-oai/drupal/drupal-6.34/includes/cache.inc on line 112.

12 messages / 0 nouveaux

Sujet clos

Dernière contribution

6 octobre 2009 - 4:37pm

ledrezen

Shibboleth

Bonjour,

Les 3 universités Nancy et l'université de Metz envisagent une
installation commune d'ORI-OAI.

Ceci présuppose bien évidemment l'utilisation de Shibboleth.
Actuellement, je ne trouve qu'une configuration pour le module workflow.
Pourriez vous me dire si l'accès à plusieurs LDAP est prévu
(récupération des vcard ou autre).
Est-il prévu à terme une config shibboleth pour Esup-ecm notamment pour
la gestion des droits d'accès aux documents?

Plus globalement, je désire savoir si il est pertinent, aujourd'hui, de
vouloir partir sur une installation unique pour plusieurs établissements.

Merci d'avance pour vos renseignement.

Alain Le Drezen
BU UPV-M

7 octobre 2009 - 12:34pm

raymondbourges

Bonjour,

Pour les n LDAP je laisse mes collègues spécialistes du vocabulaire
répondre mais je pense que c'est jaouble. Un vocabulaire par LDAP et un
vocabulaire qui merge les n vocabulaires.

Pour ESUP-ECM ce n'est pas encore disponible. C'est dans les TODO. Je
dois me charger de la rédaction du cahier des charges très prochainement.

Cordialement.

ledrezen a écrit :

> Bonjour,
>
> Les 3 universités Nancy et l'université de Metz envisagent une
> installation commune d'ORI-OAI.
>
> Ceci présuppose bien évidemment l'utilisation de Shibboleth.
> Actuellement, je ne trouve qu'une configuration pour le module workflow.
> Pourriez vous me dire si l'accès à plusieurs LDAP est prévu
> (récupération des vcard ou autre).
> Est-il prévu à terme une config shibboleth pour Esup-ecm notamment
> pour la gestion des droits d'accès aux documents?
>
> Plus globalement, je désire savoir si il est pertinent, aujourd'hui,
> de vouloir partir sur une installation unique pour plusieurs
> établissements.
>
> Merci d'avance pour vos renseignement.
>
>
> Alain Le Drezen
> BU UPV-M
>
>
>

7 octobre 2009 - 2:31pm

(Répondre à #2) #3

jbrassar

Bonjour Raymond,

Je rebondis sur le sujet, car j'ai eu la question hier et aujourd'hui
de ses collègues, au cours de la formation fonctionnelle à Nancy.

Je pense qu'il y a deux aspects à regarder dans la question :

- la gestion par le module de vocabulaires de données provenant de
plusieurs LDAP : pour une utilisation dans les formulaires par exemple
(Recherche de VCard notamment)
(là, je pense comme toi que cela est faisable de fusionner ces infos,
via un vocabulaire dynamique ...
mais à confirmer/expliquer par le(s) spécialistes du vocabulary)

- la gestion de l'authentification par le module workflow :
ORI-OAI permet-il l'installation d'1 seule instance du workflow, pour
une utilisation par n établissements (authentification qui
s'appuierait sur n LDAP) ? ;
(la question d'Alain se situe plus à ce niveau je crois)

Il serait intéressant d'avoir des réponses, notamment pour
l'authentification, car la question émerge (elle m'a déjà été posée
lors des 2 dernières formations fonctionnelles).

Merci pour toute information à ce sujet.

A+,

Jacques

Raymond Bourges < > a écrit :

> Bonjour,
>
> Pour les n LDAP je laisse mes collègues spécialistes du vocabulaire
> répondre mais je pense que c'est jaouble. Un vocabulaire par LDAP et
> un vocabulaire qui merge les n vocabulaires.
>
> Pour ESUP-ECM ce n'est pas encore disponible. C'est dans les TODO.
> Je dois me charger de la rédaction du cahier des charges très
> prochainement.
>
> Cordialement.
>
> ledrezen a écrit :

>> Bonjour,
>>
>> Les 3 universités Nancy et l'université de Metz envisagent une
>> installation commune d'ORI-OAI.
>>
>> Ceci présuppose bien évidemment l'utilisation de Shibboleth.
>> Actuellement, je ne trouve qu'une configuration pour le module workflow.
>> Pourriez vous me dire si l'accès à plusieurs LDAP est prévu
>> (récupération des vcard ou autre).
>> Est-il prévu à terme une config shibboleth pour Esup-ecm notamment
>> pour la gestion des droits d'accès aux documents?
>>
>> Plus globalement, je désire savoir si il est pertinent,
>> aujourd'hui, de vouloir partir sur une installation unique pour
>> plusieurs établissements.
>>
>> Merci d'avance pour vos renseignement.
>>
>>
>> Alain Le Drezen
>> BU UPV-M
>>
>>
>>

>
>
>
>

----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.

8 octobre 2009 - 12:11pm

(Répondre à #3) #4

vincentbonamy761933

Bonjour,

* Pour les vocabulaires, je confirme que c'est normalement faisable même
si je ne pense pas que quelqu'un ait configuré le module de la sorte
actuellement.
Il faut en effet ajouter des nouveaux vocabulaires dans
conf/properties/domain/ldapVocabulary.xml qui vont s'appuyer non plus
sur un seul bean ldapServiceUsers ou ldapServiceGroups mais sur plusieurs.
Chaque ldapServiceUsers et ldapServiceGroups spécifiques à chaque ldap
s'appuiereont sur des ldapTemplate/contextSource différents (cf
conf/properties/ldap/ldap.xml, issu du frameworkf esup-commons).
Ces vocabulaires issus des différents ldap pourront ensuite être
fusionnés au besoin effectivement.

* Pour la gestion de l'authentification et de l'identification dans
ori-oai-wokflow :
- ori-oai-workflow ne permet pas l'utilisation conjointe de n LDAP
- par contre il est prévu pour fonctionner avec shibboleth, et il y a
une petite documentation à ce sujet qui se trouve ici :
http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...

Enfin pour la question sur la pertinence d'une telle installation
mutualisée entre n établissements.
Je pense que cela peut-être pertinent à la fois d'un point de vue
technique mais aussi d'un point de vue fonctionnel.
L'idée de mutualiser les tâches d'installation, puis de référencement,
d'indexation, de validation ; au moins dans un premier temps ; peut
permettre de décupler les forces, voire les résultats.

2 exemples :
* Dans les UNT type UNIT, on utilise un ORI-OAI inter-établissements
(même si pour des raisons pratiques on n'utilise pas shibboleth mais un
annuaire ldap interne).
* Au niveau de l'UNR Normandie "RUNN" dans laquelle je suis
personnellement et depuis peu responsable du projet "Faciliter l’usage
des ressources de formations à distance" (
http://www.unr-runn.fr/jsp/fiche_article.jsp?CODE=49466505&LANGUE=0&RH=1...
) on va propbablement utiliser un ORI-OAI UNR (commun aux établissements
partenaires donc) allié à shibboleth (tous les partenaires du RUNN ont
un idp shibboleth ... ou plutôt ce sera le cas d'ici quelques semaines)
au niveau du workflow pour démarrer de façon mutualisée le
référencement/indexation des ressources pédagogiques (rien n'est acté
cependant et on va maquetter pour commencer ... ).

N'oubliez pas de nous tenir au courant de vos actions la-dessus !

Bien cordialement,
Vincent.

Jacques Brassart wrote:

>
> Bonjour Raymond,
>
> Je rebondis sur le sujet, car j'ai eu la question hier et aujourd'hui
> de ses collègues, au cours de la formation fonctionnelle à Nancy.
>
> Je pense qu'il y a deux aspects à regarder dans la question :
>
> - la gestion par le module de vocabulaires de données provenant de
> plusieurs LDAP : pour une utilisation dans les formulaires par exemple
> (Recherche de VCard notamment)
> (là, je pense comme toi que cela est faisable de fusionner ces infos,
> via un vocabulaire dynamique ...
> mais à confirmer/expliquer par le(s) spécialistes du vocabulary)
>
> - la gestion de l'authentification par le module workflow :
> ORI-OAI permet-il l'installation d'1 seule instance du workflow, pour
> une utilisation par n établissements (authentification qui
> s'appuierait sur n LDAP) ? ;
> (la question d'Alain se situe plus à ce niveau je crois)
>
> Il serait intéressant d'avoir des réponses, notamment pour
> l'authentification, car la question émerge (elle m'a déjà été posée
> lors des 2 dernières formations fonctionnelles).
>
> Merci pour toute information à ce sujet.
>
> A+,
>
> Jacques
>
>
>
> Raymond Bourges < > a écrit :
>

>> Bonjour,
>>
>> Pour les n LDAP je laisse mes collègues spécialistes du vocabulaire
>> répondre mais je pense que c'est jaouble. Un vocabulaire par LDAP et
>> un vocabulaire qui merge les n vocabulaires.
>>
>> Pour ESUP-ECM ce n'est pas encore disponible. C'est dans les TODO. Je
>> dois me charger de la rédaction du cahier des charges très
>> prochainement.
>>
>> Cordialement.
>>
>> ledrezen a écrit :

>>> Bonjour,
>>>
>>> Les 3 universités Nancy et l'université de Metz envisagent une
>>> installation commune d'ORI-OAI.
>>>
>>> Ceci présuppose bien évidemment l'utilisation de Shibboleth.
>>> Actuellement, je ne trouve qu'une configuration pour le module
>>> workflow.
>>> Pourriez vous me dire si l'accès à plusieurs LDAP est prévu
>>> (récupération des vcard ou autre).
>>> Est-il prévu à terme une config shibboleth pour Esup-ecm notamment
>>> pour la gestion des droits d'accès aux documents?
>>>
>>> Plus globalement, je désire savoir si il est pertinent, aujourd'hui,
>>> de vouloir partir sur une installation unique pour plusieurs
>>> établissements.
>>>
>>> Merci d'avance pour vos renseignement.
>>>
>>>
>>> Alain Le Drezen
>>> BU UPV-M
>>>
>>>
>>>

>>
>>
>>
>>

>
>
>
> ----------------------------------------------------------------
> This message was sent using IMP, the Internet Messaging Program.
>
>
>

11 décembre 2009 - 11:30am

(Répondre à #4) #5

ledrezen

Bonjour,

Merci pour les informations de la page :
http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...

J'imagine qu'il faut activer l'utilisation de l'authentification
shibboleth.
J'ai essayé de rajouter à main-config.properties :
"authentication.shibAuthenticationEnabled=true" en passant cas et
ldap à false sans succès. J'ai une page simple avec le message "Merci
de vous authentifier".

D'autre part les attributs shibboleth (par exp Shib-InetOrgPerson-mail
utilisé par shibAttrsMap.get("Shib-InetOrgPerson-mail")) sont-il bien
ceux visibles dans http://xxxx/Shibboleth.sso/Session ou existe-t-il une
table de translation ?

Merci d'avance pour tout élément de réponse.

Alain Le Drezen
BU UPV-Metz

15 décembre 2009 - 10:09am

(Répondre à #5) #6

vincentbonamy761933

Bonjour,

Cf la documentation citée (la page sur ori-oai.org), sachez que le gros
du mécanisme Shibboleth n'est pas fait par l'application
ori-oai-workflow elle-même mais par une couche supérieure (on préconise
d'utiliser le mod_shib d'Apache).
En utilisant le mod_shib, et via le bout de conf suivant :

AuthType shibboleth
ShibRequireSession On
ShibUseHeaders On
require valid-user

Vous forcez les utilisateurs à s'authentifier en shib pour accéder à
tout /ori-oai-workflow-spring

=> Il faut ici pour activer shibboleth véritablement proscrire l'accès
direct en HTTP sur Tomcat et passer par Apache pour accéder à
ori-oai-workflow (avec AJP par exemple donc).

=> Les attributs shibboleth visibles dans ori-oai-workflow sont tous
ceux que le mod_shib laissent passer (cela doit donc correspondre
certainement par défaut à ceux visibles dans
http://xxxx/Shibboleth.sso/Session ... ).

Vincent.

ledrezen wrote:

> Bonjour,
>
>
> Merci pour les informations de la page :
> http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...
>
>
> J'imagine qu'il faut activer l'utilisation de l'authentification
> shibboleth.
> J'ai essayé de rajouter à main-config.properties :
> "authentication.shibAuthenticationEnabled=true" en passant cas et
> ldap à false sans succès. J'ai une page simple avec le message "Merci
> de vous authentifier".
>
>
> D'autre part les attributs shibboleth (par exp
> Shib-InetOrgPerson-mail utilisé par
> shibAttrsMap.get("Shib-InetOrgPerson-mail")) sont-il bien ceux
> visibles dans http://xxxx/Shibboleth.sso/Session ou existe-t-il une
> table de translation ?
>
> Merci d'avance pour tout élément de réponse.
>
>
> Alain Le Drezen
> BU UPV-Metz
>

15 décembre 2009 - 11:00am

(Répondre à #6) #7

ledrezen

Bonjour,

Merci pour la réponse.
Je suis déjà en apache/mod_shib et AJP. Le module workflow fonctionne
correctement avec AJP avec authentification CAS ou LDAP.
Je récupère bien les attribut shib au niveau d'apache (variables
d'environnement).

Au niveau de la conf du workflow, ne faut-il pas activer
l'authentification shibboleth (pour le moment dans le commons-properties
c'est CAS ou LDAP) ?
Faut-il un conf particulière d'ajp dans server.xml ?

Alain

Vincent Bonamy a écrit :

> Bonjour,
>
> Cf la documentation citée (la page sur ori-oai.org), sachez que le
> gros du mécanisme Shibboleth n'est pas fait par l'application
> ori-oai-workflow elle-même mais par une couche supérieure (on
> préconise d'utiliser le mod_shib d'Apache).
> En utilisant le mod_shib, et via le bout de conf suivant :
>
>
> AuthType shibboleth
> ShibRequireSession On
> ShibUseHeaders On
> require valid-user
>
>
> Vous forcez les utilisateurs à s'authentifier en shib pour accéder à
> tout /ori-oai-workflow-spring
>
> => Il faut ici pour activer shibboleth véritablement proscrire l'accès
> direct en HTTP sur Tomcat et passer par Apache pour accéder à
> ori-oai-workflow (avec AJP par exemple donc).
>
> => Les attributs shibboleth visibles dans ori-oai-workflow sont tous
> ceux que le mod_shib laissent passer (cela doit donc correspondre
> certainement par défaut à ceux visibles dans
> http://xxxx/Shibboleth.sso/Session ... ).
>
> Vincent.
>
>
>
>
> ledrezen wrote:

>> Bonjour,
>>
>>
>> Merci pour les informations de la page :
>> http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...
>>
>>
>> J'imagine qu'il faut activer l'utilisation de l'authentification
>> shibboleth.
>> J'ai essayé de rajouter à main-config.properties :
>> "authentication.shibAuthenticationEnabled=true" en passant cas et
>> ldap à false sans succès. J'ai une page simple avec le message
>> "Merci de vous authentifier".
>>
>>
>> D'autre part les attributs shibboleth (par exp
>> Shib-InetOrgPerson-mail utilisé par
>> shibAttrsMap.get("Shib-InetOrgPerson-mail")) sont-il bien ceux
>> visibles dans http://xxxx/Shibboleth.sso/Session ou existe-t-il une
>> table de translation ?
>>
>> Merci d'avance pour tout élément de réponse.
>>
>>
>> Alain Le Drezen
>> BU UPV-Metz
>>

>
>

15 décembre 2009 - 11:44am

(Répondre à #7) #8

vincentbonamy761933

Rebonjour,

Si la conf mod_shib fonctionne (cf le Location avec le require
valid-user) vous ne pouvez pas atteindre /ori-oai-workflow-spring
(peut-être est-ce /ori-oai-workflow d'ailleurs dans votre cas : par
défaut via le quick-install c'est ori-oai-workflow en fait ...) sans
vous être authentifié au préalable par shibboleth.

A ce stade c'est complètement indépendant de ce qui se cache derrière
l'url /ori-oai-workflow-spring et donc de l'application
ori-oai-workflow-spring.

Vincent.

ledrezen wrote:

> Bonjour,
>
> Merci pour la réponse.
> Je suis déjà en apache/mod_shib et AJP. Le module workflow fonctionne
> correctement avec AJP avec authentification CAS ou LDAP.
> Je récupère bien les attribut shib au niveau d'apache (variables
> d'environnement).
>
>
> Au niveau de la conf du workflow, ne faut-il pas activer
> l'authentification shibboleth (pour le moment dans le
> commons-properties c'est CAS ou LDAP) ?
> Faut-il un conf particulière d'ajp dans server.xml ?
>
>
> Alain
>
>
> Vincent Bonamy a écrit :

>> Bonjour,
>>
>> Cf la documentation citée (la page sur ori-oai.org), sachez que le
>> gros du mécanisme Shibboleth n'est pas fait par l'application
>> ori-oai-workflow elle-même mais par une couche supérieure (on
>> préconise d'utiliser le mod_shib d'Apache).
>> En utilisant le mod_shib, et via le bout de conf suivant :
>>
>>
>> AuthType shibboleth
>> ShibRequireSession On
>> ShibUseHeaders On
>> require valid-user
>>
>>
>> Vous forcez les utilisateurs à s'authentifier en shib pour accéder à
>> tout /ori-oai-workflow-spring
>>
>> => Il faut ici pour activer shibboleth véritablement proscrire
>> l'accès direct en HTTP sur Tomcat et passer par Apache pour accéder à
>> ori-oai-workflow (avec AJP par exemple donc).
>>
>> => Les attributs shibboleth visibles dans ori-oai-workflow sont tous
>> ceux que le mod_shib laissent passer (cela doit donc correspondre
>> certainement par défaut à ceux visibles dans
>> http://xxxx/Shibboleth.sso/Session ... ).
>>
>> Vincent.
>>
>>
>>
>>
>> ledrezen wrote:

>>> Bonjour,
>>>
>>>
>>> Merci pour les informations de la page :
>>> http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...
>>>
>>>
>>> J'imagine qu'il faut activer l'utilisation de l'authentification
>>> shibboleth.
>>> J'ai essayé de rajouter à main-config.properties :
>>> "authentication.shibAuthenticationEnabled=true" en passant cas et
>>> ldap à false sans succès. J'ai une page simple avec le message
>>> "Merci de vous authentifier".
>>>
>>>
>>> D'autre part les attributs shibboleth (par exp
>>> Shib-InetOrgPerson-mail utilisé par
>>> shibAttrsMap.get("Shib-InetOrgPerson-mail")) sont-il bien ceux
>>> visibles dans http://xxxx/Shibboleth.sso/Session ou existe-t-il une
>>> table de translation ?
>>>
>>> Merci d'avance pour tout élément de réponse.
>>>
>>>
>>> Alain Le Drezen
>>> BU UPV-Metz
>>>

>>
>>

>

15 décembre 2009 - 12:56pm

(Répondre à #8) #9

ledrezen

ReBonjour Vincent,

L'authentification shibboleth se passe bien.
Le problème vient de la conf du module workflow ou du passage de
variables d'environnement en utilisant AJP ! Pourquoi seulement CAS et
LDAP dans commons-properties?

Vincent Bonamy a écrit :

> Rebonjour,
>
> Si la conf mod_shib fonctionne (cf le Location avec le require
> valid-user) vous ne pouvez pas atteindre /ori-oai-workflow-spring
> (peut-être est-ce /ori-oai-workflow d'ailleurs dans votre cas : par
> défaut via le quick-install c'est ori-oai-workflow en fait ...) sans
> vous être authentifié au préalable par shibboleth.
>
> A ce stade c'est complètement indépendant de ce qui se cache derrière
> l'url /ori-oai-workflow-spring et donc de l'application
> ori-oai-workflow-spring.
>
> Vincent.
>
>
>
> ledrezen wrote:

>> Bonjour,
>>
>> Merci pour la réponse.
>> Je suis déjà en apache/mod_shib et AJP. Le module workflow
>> fonctionne correctement avec AJP avec authentification CAS ou LDAP.
>> Je récupère bien les attribut shib au niveau d'apache (variables
>> d'environnement).
>>
>>
>> Au niveau de la conf du workflow, ne faut-il pas activer
>> l'authentification shibboleth (pour le moment dans le
>> commons-properties c'est CAS ou LDAP) ?
>> Faut-il un conf particulière d'ajp dans server.xml ?
>>
>>
>> Alain
>>
>>
>> Vincent Bonamy a écrit :

>>> Bonjour,
>>>
>>> Cf la documentation citée (la page sur ori-oai.org), sachez que le
>>> gros du mécanisme Shibboleth n'est pas fait par l'application
>>> ori-oai-workflow elle-même mais par une couche supérieure (on
>>> préconise d'utiliser le mod_shib d'Apache).
>>> En utilisant le mod_shib, et via le bout de conf suivant :
>>>
>>>
>>> AuthType shibboleth
>>> ShibRequireSession On
>>> ShibUseHeaders On
>>> require valid-user
>>>
>>>
>>> Vous forcez les utilisateurs à s'authentifier en shib pour accéder à
>>> tout /ori-oai-workflow-spring
>>>
>>> => Il faut ici pour activer shibboleth véritablement proscrire
>>> l'accès direct en HTTP sur Tomcat et passer par Apache pour accéder
>>> à ori-oai-workflow (avec AJP par exemple donc).
>>>
>>> => Les attributs shibboleth visibles dans ori-oai-workflow sont tous
>>> ceux que le mod_shib laissent passer (cela doit donc correspondre
>>> certainement par défaut à ceux visibles dans
>>> http://xxxx/Shibboleth.sso/Session ... ).
>>>
>>> Vincent.
>>>
>>>
>>>
>>>
>>> ledrezen wrote:

>>>> Bonjour,
>>>>
>>>>
>>>> Merci pour les informations de la page :
>>>> http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...
>>>>
>>>>
>>>> J'imagine qu'il faut activer l'utilisation de l'authentification
>>>> shibboleth.
>>>> J'ai essayé de rajouter à main-config.properties :
>>>> "authentication.shibAuthenticationEnabled=true" en passant cas
>>>> et ldap à false sans succès. J'ai une page simple avec le message
>>>> "Merci de vous authentifier".
>>>>
>>>>
>>>> D'autre part les attributs shibboleth (par exp
>>>> Shib-InetOrgPerson-mail utilisé par
>>>> shibAttrsMap.get("Shib-InetOrgPerson-mail")) sont-il bien ceux
>>>> visibles dans http://xxxx/Shibboleth.sso/Session ou existe-t-il une
>>>> table de translation ?
>>>>
>>>> Merci d'avance pour tout élément de réponse.
>>>>
>>>>
>>>> Alain Le Drezen
>>>> BU UPV-Metz
>>>>

>>>
>>>

>>

>
>

15 décembre 2009 - 2:37pm

(Répondre à #9) #10

vincentbonamy761933

Bonjour,

Quel est le problème exactement ?
Le profil ne correspond à ce que vous attendez dans l'IHM (pas de
groupes alors qu'il en faudrait) c'est bien cela ?
Est-ce que les logs donnent des choses intéressantes ?
Les logs du mod_shib notamment ?
Quel est votre config côté
conf/properties/spring/acegi/acegi-authentication-shib.xml ?
En fait, le mod shib est actif par défaut dans ori-oai-workflow. Il n'y
a rien à modifier dans commons-parameters (mais il faut modifier le
fichier conf/properties/spring/acegi/acegi-authentication-shib.xml).

Vincent.

ledrezen wrote:

> ReBonjour Vincent,
>
> L'authentification shibboleth se passe bien.
> Le problème vient de la conf du module workflow ou du passage de
> variables d'environnement en utilisant AJP ! Pourquoi seulement CAS et
> LDAP dans commons-properties?
>
>
>
> Vincent Bonamy a écrit :

>> Rebonjour,
>>
>> Si la conf mod_shib fonctionne (cf le Location avec le require
>> valid-user) vous ne pouvez pas atteindre /ori-oai-workflow-spring
>> (peut-être est-ce /ori-oai-workflow d'ailleurs dans votre cas : par
>> défaut via le quick-install c'est ori-oai-workflow en fait ...) sans
>> vous être authentifié au préalable par shibboleth.
>>
>> A ce stade c'est complètement indépendant de ce qui se cache derrière
>> l'url /ori-oai-workflow-spring et donc de l'application
>> ori-oai-workflow-spring.
>>
>> Vincent.
>>
>>
>>
>> ledrezen wrote:

>>> Bonjour,
>>>
>>> Merci pour la réponse.
>>> Je suis déjà en apache/mod_shib et AJP. Le module workflow
>>> fonctionne correctement avec AJP avec authentification CAS ou LDAP.
>>> Je récupère bien les attribut shib au niveau d'apache (variables
>>> d'environnement).
>>>
>>>
>>> Au niveau de la conf du workflow, ne faut-il pas activer
>>> l'authentification shibboleth (pour le moment dans le
>>> commons-properties c'est CAS ou LDAP) ?
>>> Faut-il un conf particulière d'ajp dans server.xml ?
>>>
>>>
>>> Alain
>>>
>>>
>>> Vincent Bonamy a écrit :

>>>> Bonjour,
>>>>
>>>> Cf la documentation citée (la page sur ori-oai.org), sachez que le
>>>> gros du mécanisme Shibboleth n'est pas fait par l'application
>>>> ori-oai-workflow elle-même mais par une couche supérieure (on
>>>> préconise d'utiliser le mod_shib d'Apache).
>>>> En utilisant le mod_shib, et via le bout de conf suivant :
>>>>
>>>>
>>>> AuthType shibboleth
>>>> ShibRequireSession On
>>>> ShibUseHeaders On
>>>> require valid-user
>>>>
>>>>
>>>> Vous forcez les utilisateurs à s'authentifier en shib pour accéder
>>>> à tout /ori-oai-workflow-spring
>>>>
>>>> => Il faut ici pour activer shibboleth véritablement proscrire
>>>> l'accès direct en HTTP sur Tomcat et passer par Apache pour accéder
>>>> à ori-oai-workflow (avec AJP par exemple donc).
>>>>
>>>> => Les attributs shibboleth visibles dans ori-oai-workflow sont
>>>> tous ceux que le mod_shib laissent passer (cela doit donc
>>>> correspondre certainement par défaut à ceux visibles dans
>>>> http://xxxx/Shibboleth.sso/Session ... ).
>>>>
>>>> Vincent.
>>>>
>>>>
>>>>
>>>>
>>>> ledrezen wrote:

>>>>> Bonjour,
>>>>>
>>>>>
>>>>> Merci pour les informations de la page :
>>>>> http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...
>>>>>
>>>>>
>>>>> J'imagine qu'il faut activer l'utilisation de l'authentification
>>>>> shibboleth.
>>>>> J'ai essayé de rajouter à main-config.properties :
>>>>> "authentication.shibAuthenticationEnabled=true" en passant cas
>>>>> et ldap à false sans succès. J'ai une page simple avec le message
>>>>> "Merci de vous authentifier".
>>>>>
>>>>>
>>>>> D'autre part les attributs shibboleth (par exp
>>>>> Shib-InetOrgPerson-mail utilisé par
>>>>> shibAttrsMap.get("Shib-InetOrgPerson-mail")) sont-il bien ceux
>>>>> visibles dans http://xxxx/Shibboleth.sso/Session ou existe-t-il
>>>>> une table de translation ?
>>>>>
>>>>> Merci d'avance pour tout élément de réponse.
>>>>>
>>>>>
>>>>> Alain Le Drezen
>>>>> BU UPV-Metz
>>>>>

>>>>
>>>>

>>>

>>
>>

>

15 décembre 2009 - 3:38pm

(Répondre à #8) #11

vincentbonamy761933

Bonjour,

Je comprends bien maintenant le pb.

Il faudrait mettre les logs en info pour org.orioai.workflow (cf
log4j.properties).

Dans le fichier
conf/properties/spring/acegi/acegi-authentication-shib.xml il faut
préciser quel attribut shib va être utilisé pour faire office d'uid dans
l'application ori-oai-workflow :
par défaut on a :

Et au vu de vos attributs ca ne peut pas fonctionner effectivement
(Shib-InetOrgPerson-mail ne fait pas partie de votre liste d'attributs
shib à disposition).

Changez par (suggestion) :

Vincent.

Alain Le Drezen wrote:

>
>
>

>> Bonjour,
>>
>> Quel est le problème exactement ?
>>

> Après l'authentification shib j'ai le message "Merci de vous authentifier ..." sur la page d'accueil du workflow
>
>

>> Le profil ne correspond à ce que vous attendez dans l'IHM (pas de
>> groupes alors qu'il en faudrait) c'est bien cela ?
>>

> Je n'ai rien dans l'IHM
>
>

>> Est-ce que les logs donnent des choses intéressantes ?
>>

> Il y a bien une erreur dans le catalina.out , ci-joint
>
>

>> Les logs du mod_shib notamment ?
>>

> Rien de particulier
>
>

>> Quel est votre config côté
>> conf/properties/spring/acegi/acegi-authentication-shib.xml ?
>>

>
>
> true
>
>
> shibAttrsMap.get("primary-affiliation").equals("faculty")
>
>
> shibAttrsMap.get("eppn").equals(" ")
>
>
>
>
> Les attributs shib recupérés ( https://xxxxxx/Shibboleth.sso/Session) :
> Attributes
> cn: DEVPERS Test
> displayName: Test DEVPERS
> eppn: devpers1@univ-nancy2.fr
> givenName: Test
> primary-affiliation: affiliate
> supannEtablissement: {EES}0541508W
>
>
>
>
>
>

>> En fait, le mod shib est actif par défaut dans ori-oai-workflow. Il n'y
>> a rien à modifier dans commons-parameters (mais il faut modifier le
>> fichier conf/properties/spring/acegi/acegi-authentication-shib.xml).
>>

> Ok
>
>

>> Vincent.
>>
>>
>> ledrezen wrote:
>>

>>> ReBonjour Vincent,
>>>
>>> L'authentification shibboleth se passe bien.
>>> Le problème vient de la conf du module workflow ou du passage de
>>> variables d'environnement en utilisant AJP ! Pourquoi seulement CAS et
>>> LDAP dans commons-properties?
>>>
>>>
>>>
>>> Vincent Bonamy a écrit :
>>>

>>>> Rebonjour,
>>>>
>>>> Si la conf mod_shib fonctionne (cf le Location avec le require
>>>> valid-user) vous ne pouvez pas atteindre /ori-oai-workflow-spring
>>>> (peut-être est-ce /ori-oai-workflow d'ailleurs dans votre cas : par
>>>> défaut via le quick-install c'est ori-oai-workflow en fait ...) sans
>>>> vous être authentifié au préalable par shibboleth.
>>>>
>>>> A ce stade c'est complètement indépendant de ce qui se cache derrière
>>>> l'url /ori-oai-workflow-spring et donc de l'application
>>>> ori-oai-workflow-spring.
>>>>
>>>> Vincent.
>>>>
>>>>
>>>>
>>>> ledrezen wrote:
>>>>

>>>>> Bonjour,
>>>>>
>>>>> Merci pour la réponse.
>>>>> Je suis déjà en apache/mod_shib et AJP. Le module workflow
>>>>> fonctionne correctement avec AJP avec authentification CAS ou LDAP.
>>>>> Je récupère bien les attribut shib au niveau d'apache (variables
>>>>> d'environnement).
>>>>>
>>>>>
>>>>> Au niveau de la conf du workflow, ne faut-il pas activer
>>>>> l'authentification shibboleth (pour le moment dans le
>>>>> commons-properties c'est CAS ou LDAP) ?
>>>>> Faut-il un conf particulière d'ajp dans server.xml ?
>>>>>
>>>>>
>>>>> Alain
>>>>>
>>>>>
>>>>> Vincent Bonamy a écrit :
>>>>>

>>>>>> Bonjour,
>>>>>>
>>>>>> Cf la documentation citée (la page sur ori-oai.org), sachez que le
>>>>>> gros du mécanisme Shibboleth n'est pas fait par l'application
>>>>>> ori-oai-workflow elle-même mais par une couche supérieure (on
>>>>>> préconise d'utiliser le mod_shib d'Apache).
>>>>>> En utilisant le mod_shib, et via le bout de conf suivant :
>>>>>>
>>>>>>
>>>>>> AuthType shibboleth
>>>>>> ShibRequireSession On
>>>>>> ShibUseHeaders On
>>>>>> require valid-user
>>>>>>
>>>>>>
>>>>>> Vous forcez les utilisateurs à s'authentifier en shib pour accéder
>>>>>> à tout /ori-oai-workflow-spring
>>>>>>
>>>>>> => Il faut ici pour activer shibboleth véritablement proscrire
>>>>>> l'accès direct en HTTP sur Tomcat et passer par Apache pour accéder
>>>>>> à ori-oai-workflow (avec AJP par exemple donc).
>>>>>>
>>>>>> => Les attributs shibboleth visibles dans ori-oai-workflow sont
>>>>>> tous ceux que le mod_shib laissent passer (cela doit donc
>>>>>> correspondre certainement par défaut à ceux visibles dans
>>>>>> http://xxxx/Shibboleth.sso/Session ... ).
>>>>>>
>>>>>> Vincent.
>>>>>>
>>>>>>
>>>>>>
>>>>>>
>>>>>> ledrezen wrote:
>>>>>>

>>>>>>> Bonjour,
>>>>>>>
>>>>>>>
>>>>>>> Merci pour les informations de la page :
>>>>>>> http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...
>>>>>>>
>>>>>>>
>>>>>>> J'imagine qu'il faut activer l'utilisation de l'authentification
>>>>>>> shibboleth.
>>>>>>> J'ai essayé de rajouter à main-config.properties :
>>>>>>> "authentication.shibAuthenticationEnabled=true" en passant cas
>>>>>>> et ldap à false sans succès. J'ai une page simple avec le message
>>>>>>> "Merci de vous authentifier".
>>>>>>>
>>>>>>>
>>>>>>> D'autre part les attributs shibboleth (par exp
>>>>>>> Shib-InetOrgPerson-mail utilisé par
>>>>>>> shibAttrsMap.get("Shib-InetOrgPerson-mail")) sont-il bien ceux
>>>>>>> visibles dans http://xxxx/Shibboleth.sso/Session ou existe-t-il
>>>>>>> une table de translation ?
>>>>>>>
>>>>>>> Merci d'avance pour tout élément de réponse.
>>>>>>>
>>>>>>>
>>>>>>> Alain Le Drezen
>>>>>>> BU UPV-Metz
>>>>>>>
>>>>>>>

>>>>>>

>>>>

>>

15 décembre 2009 - 4:12pm

(Répondre à #11) #12

ledrezen

Merci !!
La solution était bien :

Vincent Bonamy a écrit :

> Bonjour,
>
> Je comprends bien maintenant le pb.
>
> Il faudrait mettre les logs en info pour org.orioai.workflow (cf
> log4j.properties).
>
> Dans le fichier
> conf/properties/spring/acegi/acegi-authentication-shib.xml il faut
> préciser quel attribut shib va être utilisé pour faire office d'uid
> dans l'application ori-oai-workflow :
> par défaut on a :
>
>
> Et au vu de vos attributs ca ne peut pas fonctionner effectivement
> (Shib-InetOrgPerson-mail ne fait pas partie de votre liste d'attributs
> shib à disposition).
>
> Changez par (suggestion) :
>
>
> Vincent.
>
>
> Alain Le Drezen wrote:

>>
>>
>>

>>> Bonjour,
>>>
>>> Quel est le problème exactement ?

>> Après l'authentification shib j'ai le message "Merci de vous
>> authentifier ..." sur la page d'accueil du workflow
>>
>>

>>> Le profil ne correspond à ce que vous attendez dans l'IHM (pas de
>>> groupes alors qu'il en faudrait) c'est bien cela ?
>>>

>> Je n'ai rien dans l'IHM
>>

>>> Est-ce que les logs donnent des choses intéressantes ?

>> Il y a bien une erreur dans le catalina.out , ci-joint
>>

>>> Les logs du mod_shib notamment ?
>>>

>> Rien de particulier
>>
>>

>>> Quel est votre config côté
>>> conf/properties/spring/acegi/acegi-authentication-shib.xml ?
>>>

>>
>>
>> true
>>
>>
>>
>> shibAttrsMap.get("primary-affiliation").equals("faculty")
>>
>>
>>
>> shibAttrsMap.get("eppn").equals(" ")
>>
>>
>>
>>
>> Les attributs shib recupérés ( https://xxxxxx/Shibboleth.sso/Session) :
>> Attributes
>> cn: DEVPERS Test
>> displayName: Test DEVPERS
>> eppn: devpers1@univ-nancy2.fr
>> givenName: Test
>> primary-affiliation: affiliate
>> supannEtablissement: {EES}0541508W
>>
>>
>>
>>
>>
>>

>>> En fait, le mod shib est actif par défaut dans ori-oai-workflow. Il
>>> n'y a rien à modifier dans commons-parameters (mais il faut modifier
>>> le fichier
>>> conf/properties/spring/acegi/acegi-authentication-shib.xml).

>> Ok
>>
>>

>>> Vincent.
>>>
>>>
>>> ledrezen wrote:
>>>

>>>> ReBonjour Vincent,
>>>>
>>>> L'authentification shibboleth se passe bien.
>>>> Le problème vient de la conf du module workflow ou du passage de
>>>> variables d'environnement en utilisant AJP ! Pourquoi seulement CAS
>>>> et LDAP dans commons-properties?
>>>>
>>>>
>>>>
>>>> Vincent Bonamy a écrit :
>>>>

>>>>> Rebonjour,
>>>>>
>>>>> Si la conf mod_shib fonctionne (cf le Location avec le require
>>>>> valid-user) vous ne pouvez pas atteindre /ori-oai-workflow-spring
>>>>> (peut-être est-ce /ori-oai-workflow d'ailleurs dans votre cas :
>>>>> par défaut via le quick-install c'est ori-oai-workflow en fait
>>>>> ...) sans vous être authentifié au préalable par shibboleth.
>>>>>
>>>>> A ce stade c'est complètement indépendant de ce qui se cache
>>>>> derrière l'url /ori-oai-workflow-spring et donc de l'application
>>>>> ori-oai-workflow-spring.
>>>>>
>>>>> Vincent.
>>>>>
>>>>>
>>>>>
>>>>> ledrezen wrote:
>>>>>

>>>>>> Bonjour,
>>>>>>
>>>>>> Merci pour la réponse.
>>>>>> Je suis déjà en apache/mod_shib et AJP. Le module workflow
>>>>>> fonctionne correctement avec AJP avec authentification CAS ou LDAP.
>>>>>> Je récupère bien les attribut shib au niveau d'apache (variables
>>>>>> d'environnement).
>>>>>>
>>>>>>
>>>>>> Au niveau de la conf du workflow, ne faut-il pas activer
>>>>>> l'authentification shibboleth (pour le moment dans le
>>>>>> commons-properties c'est CAS ou LDAP) ?
>>>>>> Faut-il un conf particulière d'ajp dans server.xml ?
>>>>>>
>>>>>>
>>>>>> Alain
>>>>>>
>>>>>>
>>>>>> Vincent Bonamy a écrit :
>>>>>>

>>>>>>> Bonjour,
>>>>>>>
>>>>>>> Cf la documentation citée (la page sur ori-oai.org), sachez que
>>>>>>> le gros du mécanisme Shibboleth n'est pas fait par l'application
>>>>>>> ori-oai-workflow elle-même mais par une couche supérieure (on
>>>>>>> préconise d'utiliser le mod_shib d'Apache).
>>>>>>> En utilisant le mod_shib, et via le bout de conf suivant :
>>>>>>>
>>>>>>>
>>>>>>> AuthType shibboleth
>>>>>>> ShibRequireSession On
>>>>>>> ShibUseHeaders On
>>>>>>> require valid-user
>>>>>>>
>>>>>>>
>>>>>>> Vous forcez les utilisateurs à s'authentifier en shib pour
>>>>>>> accéder à tout /ori-oai-workflow-spring
>>>>>>>
>>>>>>> => Il faut ici pour activer shibboleth véritablement proscrire
>>>>>>> l'accès direct en HTTP sur Tomcat et passer par Apache pour
>>>>>>> accéder à ori-oai-workflow (avec AJP par exemple donc).
>>>>>>>
>>>>>>> => Les attributs shibboleth visibles dans ori-oai-workflow sont
>>>>>>> tous ceux que le mod_shib laissent passer (cela doit donc
>>>>>>> correspondre certainement par défaut à ceux visibles dans
>>>>>>> http://xxxx/Shibboleth.sso/Session ... ).
>>>>>>>
>>>>>>> Vincent.
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>>> ledrezen wrote:
>>>>>>>

>>>>>>>> Bonjour,
>>>>>>>>
>>>>>>>>
>>>>>>>> Merci pour les informations de la page :
>>>>>>>> http://www.ori-oai.org/pages/viewpage.action?pageId=2752636#Fichiers%C3%...
>>>>>>>>
>>>>>>>>
>>>>>>>> J'imagine qu'il faut activer l'utilisation de
>>>>>>>> l'authentification shibboleth.
>>>>>>>> J'ai essayé de rajouter à main-config.properties :
>>>>>>>> "authentication.shibAuthenticationEnabled=true" en passant
>>>>>>>> cas et ldap à false sans succès. J'ai une page simple avec le
>>>>>>>> message "Merci de vous authentifier".
>>>>>>>>
>>>>>>>>
>>>>>>>> D'autre part les attributs shibboleth (par exp
>>>>>>>> Shib-InetOrgPerson-mail utilisé par
>>>>>>>> shibAttrsMap.get("Shib-InetOrgPerson-mail")) sont-il bien ceux
>>>>>>>> visibles dans http://xxxx/Shibboleth.sso/Session ou existe-t-il
>>>>>>>> une table de translation ?
>>>>>>>>
>>>>>>>> Merci d'avance pour tout élément de réponse.
>>>>>>>>
>>>>>>>>
>>>>>>>> Alain Le Drezen
>>>>>>>> BU UPV-Metz
>>>>>>>>
>>>>>>>>

>>>>>>>

>>>>>

>>>

>
>

Sujet clos

Valoriser le patrimoine numérique scientifique, pédagogique et documentaire des universités et le partager par un réseau de portails communicants en OAI

Traduction auto Google

Aide

Options d'affichage des commentaires