Коллеги, добрый день!

Помогите пожалуйста с настройкой LDAP авторизации в J-ИРБИС 2.0 кто настраивал. Развернула Ирбис и J-Ирбис в тестовой среде - сам Ирбис и сайт J-Ирбис - работают, подключила и настроила плагин "Аутентификация - LDAP ", но когда пытаюсь авторизоваться на сайте, введя логин и пароль пользователя из AD, то открывается пустая страница - "http://IP:8087/jirbis2/index.php". В логах \jirbis2_server\apache\logs - никаких ошибок нет. Не подскажите что может быть и какие необходимо сделать изменения в php.ini и настройках Apache для LDAP авторизации? Спасибо.



Редактировано 2 раз. Последний раз 05.05.2017 19:08 пользователем Кирилл Соколинский (СЗТУ).

LDAP авторизация может быть реализована штатными средствами Joomla, но при этом она никак не будет влиять на авторизацию в поисковой системе. Чтобы решить вопрос сквозной авторизации в Joomla, поисковой системе и LDAP, требуется существенно переработать плагин авторизации. Такая переработка плагина авторизации планируется, но не в приоритетном порядке (пока задача интересует меньше чем 1.5% пользователей)

Настройка LDAP авторизации требует как минимум уровня подготовки "системный администратор" (как и настройка Active Directory). Пока это не штатная функция пакета J-ИРБИС 2.0

1.Включить расширение php_ldap.dll в php.ini

2.Отключите плагин авторизации Joomla (на скриншоте, который Вы мне присылали, он включён)

3. Если это не даст результат, требуется включить логирование ошибок на уровне PHP и проанализировать протокол.



Редактировано 2 раз. Последний раз 06.05.2017 09:11 пользователем Кирилл Соколинский (СЗТУ).

Кирилл, добрый день!

Спасибо огромное за помощь! Расширение php_ldap.dll в php.ini подключила, сам плагин - настроила. Авторизация теперь работает)

Кирилл Евгеньевич, извините, как появились 1,5 % пользователей? Официальных опросов на этот счет не припоминаю, а обратная связь (судя по таблице обновлений) поступает далеко не от всех пользователей.

Для того, чтобы картина была объективной предлагаю организовать голосование на форуме по данному вопросу.

По меньшей мере представителями 9-12 организаций, находящихся у нас на сопровождении данный вопрос поднимался (у пользователей не только J-ИРБИС, но и ИРБИС128 и Web-ИРБИС).

Полагаю, любой вуз использующий ЭБС и имеющий ЭОС (электронную образовательную среду) д.б. крайне заинтересован в технологиях единой системы авторизации/аутентификации пользователей и формировании единой точки доступа к ЭОР, входящим в ЭОС т.к. это требование предъявляемое (в большинстве случаев) к ЭОС вуза.
ЭБС тоже идут по пути объединения систем аутентификации (проекты ФЕДУРУС, АППОЭР).

Для крупных публичных (продвинутых в вопросах информатизации) библиотек или библиотек организаций данный вопрос также достаточно актуален. Подтверждение этому получил недавно от коллег из общедоступных библиотек и библиотек вузов Калининградской области, а также трех ведомственных библиотек в Петербурге.

Разработки коллег по цеху также свидетельствуют об актуальности вопроса:

На вебинаре для Администраторов ИРБИС (прошедшем в апреле) А.И. Бродовский по сути анонсировал готовящуюся реализацию системы авторизации по LDAP, которая ожидается в следующей версии Системы ИРБИС64 (2017.1).

В ИРБИС128 режим аутентификации пользователей по Active Directory уже реализован. В апреле появился функционал авторизации по протоколу RADIUS.


Очень хотелось бы, чтобы и J-ИРБИС от них не отставал.

А. Роман написал(а):
-------------------------------------------------------
> Подтверждение этому получил недавно от
> коллег из общедоступных библиотек и библиотек
> вузов Калининградской области, а также трех
> ведомственных библиотек в Петербурге.

Приведите, пожалуйста, названия конкретных библиотек, от имени которых Вы в данном случае выступаете.

Если технология действительно актуальна для многих пользователей J-ИРБИС 2.0, то её поддержка будет реализована в приоритетном порядке.


> На вебинаре для Администраторов ИРБИС (прошедшем в
> апреле) А.И. Бродовский по сути анонсировал
> готовящуюся реализацию системы авторизации по
> LDAP, которая ожидается в следующей версии Системы
> ИРБИС64 (2017.1).

Спасибо, что уделяете время моему просвещению. Но я обычно располагаю информацией о том, что и почему делают мои коллеги...

Тема авторизации по LDAP вновь вышла на первый план, т.к. новый учебный год совсем не за горами и пользователи активно интересуются вопросом о появлении возможности включения J-ИРБИС в состав ЭИОС с единой системой аутентификации и обеспечения авторизованного доступа к ресурсам.

В ИРБИС128 данный функционал давно разработан, в Web-ИРБИС он тоже уже предоставляется для тестирования.

Проясните пожалуйста каковы перспективы появления функционала авторизации по LDAP протоколу в J-ИРБИС? К новому учебному году его случайно не планируется?

А. Роман написал(а):
-------------------------------------------------------
> Тема авторизации по LDAP вновь вышла на первый
> план, т.к. новый учебный год совсем не за горами и
> пользователи активно интересуются вопросом о
> появлении возможности включения J-ИРБИС в состав
> ЭИОС с единой системой аутентификации и
> обеспечения авторизованного доступа к ресурсам.

Цитата:

Цитата сообщения от 13.05.2017
Приведите, пожалуйста, названия конкретных библиотек, от имени которых Вы в данном случае выступаете.
Если технология действительно актуальна для многих пользователей J-ИРБИС 2.0, то её поддержка будет реализована в приоритетном порядке.

По меньшей мере библиотеки следующих вузов, являющиеся клиентами ИРБИС-Консультант и использующих J-ИРБИС, выражали заинтересованность в применении LDAP-авторизации: Калининградский государственный технический университет, Санкт-Петербургский государственный институт культуры, Санкт-Петербургская государственная художественно-промышленная академия им. Штиглица, Российский государственный гидрометеорологический университет, Санкт-Петербургский университет управления и экономики, Санкт-Петербургский университет МВД, Санкт-Петербургский университет ГПС МЧС, ООО Газпромнефть НТЦ, Школа 707, ИТШ № 777.

У остальных либо ИРБИС128 либо Web-ИРБИС, где возможность авторизации по LDAP уже присутствует. В ИРБИС128 штатно с 2017 года, в Web-ИРБИС - в тестовой версии, которую в июле предоставил Колосов Кирилл.



Редактировано 1 раз. Последний раз 08.08.2020 17:09 пользователем А. Роман.

А. Роман написал(а):
-------------------------------------------------------
> По меньшей мере библиотеки следующих вузов,
> являющиеся клиентами ИРБИС-Консультант и
> использующих J-ИРБИС, выражали заинтересованность
> в применении LDAP-авторизации: Калининградский
> государственный технический университет,
> Санкт-Петербургский государственный институт
> культуры, Санкт-Петербургская государственная
> художественно-промышленная академия им. Штиглица,
> Российский государственный гидрометеорологический
> университет, Санкт-Петербургский университет
> управления и экономики, Санкт-Петербургский
> университет МВД, Санкт-Петербургский университет
> ГПС МЧС, ООО Газпромнефть НТЦ, Школа 707, ИТШ №
> 777.

Принял во внимание. Когда сроки официальной поддержки LDAP будут определены, об этом будет сообщено.

Казахский агротехнический университет им С.Сейфуллина тоже интересуются технологии единой авторизации LDAP

Не появилось ли в ближайших планах (до мая-июня 2021 года) у разработчика J-ИРБИС функционала описанного выше? В Web-ИРБИС такой функционал уже в стадии тестирования. Пользователи J-ИРБИС тоже интересуются состоянием данного вопроса.

Когда сроки официальной поддержки LDAP будут определены, об этом будет сообщено.

Здравствуйте. Может, это преждевременный вопрос...

Кирилл Евгеньевич, для всех клиентов отключаются другие способы авторизации? Или можно развести, кто LDAP-Ирбис, кто обычная авторизация Ирбис?
Или нужны действия на стороне клиента для смены протокола?

Не у каждого пользователя персональный компьютер, но среди сотрудников и читателей окажутся желающие автоматической авторизации.



Редактировано 7 раз. Последний раз 11.03.2021 09:59 пользователем Novinka.

Авторизация в J-Ирбис ни как не привязана к конкретному компьютеру.
Зная логин и пароль, можно авторизовываться под любым пользователем.
Другое дело, что есть 2 разных авторизации:
1. Авторизация в J-Ирбис под учетной записью пользователя ИРБИС.
Тогда можно зайти в личный кабинет пользователя ИРБИС.
2. Авторизация в J-Ирбис под учетной записью Joomla, в том числе и через LDAP, если подключен и настроен плагин авторизации LDAP.
В этом случае доступа в личный кабинет пользователя ИРБИС не будет, т.к. в штатной эксплуатации интеграции LDAP и J-Ирбис (ИРБИС) еще нет.

Novinka написал(а):
-------------------------------------------------------
> Здравствуйте. Может, это преждевременный
> вопрос...

Да, пока технология LDAP авторизации официально не анонсирована, обсуждать её нет смысла. Я пока не могу сказать, как она будет реализована.

Проблема LDAP авторизации -- отсутствие в типичных LDAP серверах достаточного количества данных для того, чтобы создать полноценную запись в БД читателей.

Существующие возможности авторизации с использованием LDAP описал выше Сергей Витальевич.

Во время школы ИРБИС, проводившейся разработчиками в Судаке состоялось обсуждение вопроса авторизации и регистрации пользователей по протоколу LDAP.

Проблема недостаточности информации содержащейся в всоставе БД ActiveDirectory, необходимой для полноценной работы сотрудников библиотеки с читателями также была обозначена.

Возможно пояснение данное мной по этой части не было воспринято в полной мере, поэтому повторю его на форуме, так как задача остается актуальной.
По сути недостаток информации в БД AD компенсируется импортом информации из ЭИОС вуза (тот же Тандем, 1C-Университет или Moodle) в SCV формате.
Если в составе CSV есть адрес электронной почты, то не сложно организовать рассылку информации о порядке доступа к ресурсам библиотеки.
При этом для того, чтобюы технология работала совместно с LDAP авторизацией достаточно иметь в составе csv значение логина пользователя. Как правило им выступает адрес корпоративной электронной почны, предоставляющийся на период обучения.

Получение CSV файлов и их обработка (импорт) могут осуществляться автоматически, при настройке и включении сценариев такой обработки в планировщик задач на сервере.



Редактировано 1 раз. Последний раз 16.06.2021 13:08 пользователем А. Роман.

А. Роман написал(а):
-------------------------------------------------------
> По сути недостаток информации в БД AD
> компенсируется импортом информации из ЭИОС вуза
> (тот же Тандем, 1C-Университет или Moodle) в SCV
> формате.

Поясните, пожалуйста, в чём смысл LDAP авторизации при условии, что библиотека импортирует более полный набор данных о читателях из других источников?

Кирилл Соколинский (СЗТУ) написал(а):
-------------------------------------------------------
> А. Роман написал(а):
> --------------------------------------------------
> -----
> Поясните, пожалуйста, в чём смысл LDAP авторизации
> при условии, что библиотека импортирует более
> полный набор данных о читателях из других
> источников?

Библиотеки в подавляющем большинстве случаев не могут импортировать и применять логины и пароли так как пароли по нормам безопасности хранятся в зашифрованном виде и штатно воспроизвести ту же схему шифрования в ИРБИС нет возможности (получить значение зашифрованного пароля на этапе его ввода пользователем в форме авторизации).

Смысл LDAP в том, чтобы предоставить пользователю возможность БЕЗОПАСНО применять и на портале библиотеки логин и пароль, выданные для работы в ЭИОС вуза (в moodle или любой другой системе, применяющей LDAP протокол авторизации) и при этом обеспечить безопасность работы с личным кабинетом (хотя бы с т.з. препятствия несанкционированному доступу третьих лиц в ЛК и к информации пользователя, а также для недопущения нежелательных действий (удаления/искажения информации).

Сейчас в дефолтном варианте библиотекам приходится применять схемы аутентификации пользователей по фамилии и еще чему-то (номер ЧБ, номер студ.билета и т.п.) сообщая пользователям, о том, что на сайте библиотеки они должны авторизоваться не по логину и паролю, которые им выданы в вузе, а по другим данным, часто не являющимся конфиденциальными и не обеспечивающим доступ третьих лиц к информации личного кабинета (история заказов, выдачи книг, обращений и т.п.).

Так как обеспечить единообразие работы при разнородости информационных систем использующихся у пользователей практически невозможно, то приходится применять комбинирование действий: включать импорт информации необходимой библиотеке через CSV конвертер и применять единую систему авторизации, которая применяется в вузах. AD и LDAP есть если не у всех, то у многих.

LDAP авторизация, к слову, применяется как альтернатива во многих системах (Битрикс, moodle, почтовые серверы и т.д.) и организовать такой вариант для обеспечения доступа ко всем системам (в т.ч. и к модулям библиотеки) по одной паре логин-пароль вполне могло бы стать альтернативой настройке какой-то индивидуальной системы/схемы авторизации.

Правильно ли я Вас понимаю, что смысл LDAP лишь в том, чтобы обеспечить читателям библиотеки возможность авторизации по той же паре логин/пароль, которая используется другими подсистемами организации (вуза)?

Смысл LDAP авторизации состоит в том, что через эту авторизацию можно организовать единую точку доступа сотрудника предприятия и дать возможность сотруднику получить доступ ко всем сервисам сети предприятия, в том числе и к электронной библиотеке.
Сейчас, например, мы сделали электронные киоски, приложив пропуск к которым, работник получает доступ к личной информации (начисление зарплаты, график отпуска, время прохода проходной, дни рождения своих коллег и т.д.).
Киоски сделаны для работников, которые не имеют личных компьютеров.
У остальных доступ в личный кабинет через логин и пароль, которыми он авторизуется при включении своего ПК.

ksv написал(а):
-------------------------------------------------------
> Смысл LDAP авторизации состоит в том, что через
> эту авторизацию можно организовать единую точку
> доступа сотрудника предприятия и дать возможность
> сотруднику получить доступ ко всем сервисам сети
> предприятия, в том числе и к электронной
> библиотеке.

Вы совершенно правы, LDAP -- отличное решение для аутентифиации. Но, как отмечалось выше, его недостаточно для формирования полноценной записи читателя.

Если LDAP используется лишь потому, что пароль читателя не должен быть публично доступным, то единую точку доступа можно организовать в т.ч. через авторизационные ссылки с родительского сайта (любого корпоративного портала).

Впрочем, ещё раз подчеркну, что авторизация по LDAP планируется и будет реализована.

Спасибо за надежду!

Мы ведь (адепты ИРБИС, как нас называют) продвигаем библиотеки, а не внешние ресурсы и надо чтобы приходя в библиотеку пользователь имел возможность перехода на прочие ресурсы, а не только ходил в ЛК ЭИОС чтобы потом получить доступ к ресурсам библиотеки.

Полноценность записи читателя в каждом случае будет своя. Кому-то достаточно тех сведений, что есть в LDAP (библиотеки НИИ и предприятий), кому-то надо больше данных (вузы). Недостаток информации в LDAP легко может компенсироваться импортом данных в CSV формате из других систем, главное - наличие информации, которая позволяет отождествить данные.

На данный момент ни одна организация не выразила заинтересованность в внедрении LDAP авторизации. Я не получил ни одного письма в связи с объявлением [irbis.elnit.org]

- Ты видишь суслика?
- Нет...
- А он есть!

Подождите с выводами, если не было сообщений это еще не значит, что вопрос ни для кого не актуален. Форум по личному опыту опроса пользователей посещается не более чем 15-20% из них.
Вы напрвыляли информацию по данному запросу по электронной почте напрямую пользователям J-ИРБИС?
Только у нас не менее 4 пользователей работающих на Web-ИРБИС64+PHP и планирующих переход на J-ИРБИС работают с LDAP авторизацией. Мы направим сегодня запрос о данном функционале в адрес 60 библиотек-пользователей J-ИРБИС с которыми работаем. До конца недели предоставим информацию по обратной связи.

К сожалению, заинтересованных в внедрении LDAP библиотек так и не нашлось.

ИЗвините за задержку с ответом. Из-за высокой загруженности одни не успевают отвечать на письма, а другие поувольняли сотрудников (в СПб за сентябрь-октябрь в четырех вузах не стало администраторов ИРБИС)...

Вот список библиотек, которые ответили по электронной почте и по телефону о заинтересованности в данном функционале:

1. СПб ГПС МЧС
2. Академия гражданской защиты
3. БГТУ ВОЕНМЕХ им. Д.Ф. Устинова
4. СПбГИПСР
5. РГГУ
6. ГосНИИАС
7. АНО ВО СЮА
8. Газпромнефть НТЦ
9. СПбГМТУ
10. КРУ МВД
11. СПб университет МВД
12. КГТУ
13. БФУ им. И.Канта
14. СПбГАСУ (работают в Web-ИРБИС с LDAP-авторизацией но планируют переход на J-ИРБИС)
15. Консерватория им.Н.Римского-Корсакова
16. СПбГУП

Возможно нужно, но пока не уверены:
15. СПГХПА
16. СПбГИК

Общедоступные библиотеки пока в массе своей данным функционалом не интересуются по понятным причинам, хотя есть варианты и у них организовывать такие сервисы (на уровне крупных библиотек у которых есть соответствующие IT-подразделения и сотрудники).

Я предложил безвозмездно выполнить гарантированное внедрение LDAP авторизации. Отклика нет. Значит едва ли можно говорить о реальной заинтересованности со стороны организаций (по крайней мере тех, которые имеют возможность организовать удалённый доступ).



Редактировано 1 раз. Последний раз 07.11.2022 01:45 пользователем Кирилл Соколинский (СЗТУ).