Bonjour à tous,

Des propriétaires de questionnaires Limesurvey souhaitent ouvrir des droits à d'autres utilisateurs sur leurs questionnaires.
Mais si l'utilisateur n'est pas encore créé dans Limesurvey, impossible de lui donner ces droits.
Nous utilisons à 99% des comptes Windows AD pour Limesurvey (via plugin LDAP).
Le plus simple c'est que le propriétaire demande à l'utilisateur AD de se connecter une première fois à Limesurvey pour qu'il soit enregistré et donc éligible aux droits. 
Cependant existe-t-il une possibliité à l'administrateur Limesurvey de synchroniser des comptes AD (sens AD vers limesurvey) via un shell script par exemple ou par import d'une liste d'utilisateurs AD depuis in fichier .csv ? Quelque chose un peu comme avec les sites Moodle ? 

Merci d'avance !

Cordialement

Denis    

Non,

Cela doit être faisable voir avec un plugin, mais personne ne l'a encore développé ou financé.

Denis

Bonjour Denis,

Merci pour la réponse. Je m'en doutais un peu. 

Je dispose d'un script Moodle de synchronisation de comptes AD via une page php, je vais voir, à l'occasion, si j'arrive à faire un script adaptable à Limesurvey, peut-être même voir comment la création de comptes AD à partir de l'import à partir d'un fichier csv fonctionne dans Moodle. 
Pour l'instant je bute sur les notions de classes php   
Pour un éventuel financement, je ne sais pas du tout comment cela fonctionne.
Après, la solution actuelle fonctionne déjà très bien, il suffit juste que les personnes communiquent entre elles (expliquer que l'utilisateur souhaitant les accès à un ou plusieurs questionnaires, se connecte déjà une fois à Limesurvey pour que son compte AD soit créé et visible, de façon à lui ouvrir ensuite les droits).

cordialement

Denis




 

J'ai le même soucis quelquefois, mais avec un autre plugin.

Je sais que le compte est celui du mail.

Cela m'arrive de créer le compte avec l'adresse mail en ligin et un aux mail en mot de passe.

Puis, ensuite de désactiver le droit de se connecter via AuthDB et ajouter le droit LDAP …

J'ai regardé : l' API n'a pas de système de gestion d'utilisateur … dommage.

Tu n'es pas obligé d'utiliser les classes de LimeSurvey, tu peux aussi attaquer la base de données en direct.

Sur la base de données :
- lime_user : création du compte.
- lime_permission : ajout d'un droit à se connecter via LDAP, et droit de ccréer un questionnaire (regarde su un nouvel utilisateur, par id d'utilisateur).

Ca peut être plus rapide.

 

Merci Denis.

Concernant l"accès direct à la base, j'ai testé cela il y a quelques jours. Sur tes conseils, je viens à l'instant de refaire les tests.
- 1/ j'ai créé un utilisateur bidon dans AD avec son mot-de-passe. Depuis mon PC j'ai pu ouvrir une session windows avec cet utilisateur/mot-de-passe.
- 2/ J'ai ajouté manuellement cet utilisateur AD (champ samaccountName de AD, chez nous, en fait, prénom.nom) dans la base Limesurvey (en incrémant le dernier connu UID de 1  + en reprenant des champs qui existaient déjà pour d'autres utilisateurs. Pour le mot-de-passe comme il est crypté dans la base et comme je suis supposé ne pas connaitre le mot-de-passe AD, j'ai recopier la valeur du champ password qui existe pour mon compte dans celui du nouvel utilisateur.
- 3/ A partir du compte administrateur Limesurvey, j'ai pu voir le nouvel utilisateur et lui donner les droits sur un questionnaire
- 4/ par contre ensuite je ne peux pas me connecter avec le nouvel utilisateur à Limesurvey car le mot-de-passe (ou autre) ne fonctionne pas. Que j'indique mon mot-de-passe (normalement le champ password de la base donc en fait le mien) ou le vrai d'AD, j'ai le message 'Identifiant et/ou mot-de-passe incorrect'. Du coup je ne sais pas si le plugin LDAP cherche directement le mot-de-passe dans AD et s'il prend celui de la base. A mon avis directement dans AD serait plus logique au cas où l'utilisateur change son mot-de-passe dans AD. Ou alors est-ce Limesurvey synchronise de temps en temps les comptes AD avec ceux de la base ? Je n'en sais pas plus.

cordialement

Denis

Je pense avoir compris. En fait tu indiquais la table lime_permissions mais je pensais que cela ne concernait que les droits que je voulais donner à l'utilisateur pour un questionnaire pas qu'elle était aussi utilisée pour ldap.
Et donc effecitvement, j'ai constaté que pour chaque utilisateur AD, on retrouve un enregistrement avec :
permission : auth_ldap
entity : global
read_p à 1
le reste à 0
uid : l'identifiant de l'utilisateur concerné.
En créant ce enregistrement pour mon utilisateur test.imesurvey : çà marche ! Je parviens à me connecter à Limesurvey avec ! 
Donc merci, je vais partir là-dessus pour faire un script ou une page php. C'est top !

Cordialement

Denis

 

Pour le mot de passe : tu peux le mettre à vide, je pense.

C'est malheureusement pas possible via LimeSurvey : mais si tu attaque la BDD : cela ne devrait pas poser de problème.

Je ne sais pas si l'utilisateur pourra en changer (mais à la base : c'est pas grave).

Denis

Pour le mot-de-passe LDAP, il est bien contrôlé directement dans AD, car je viens de changer le mot-de-passe de mon utilisateur dans AD et quelques secondes après, pour Limesurvey, j'ai du me connecter avec ce nouveau mot-de-passe.
J'ai ensuite mis à blanc le mot-de-passe de la base et j'ai aussi pu me reconnecter sans problème avec mon utilisateur AD + son mot-de-passe AD. Le champ password est resté depuis à blanc.
Donc finalement pour mon binz, tout est OK, je n'ai pas besoin de connaitre le mot-de-passe de l'utilisateur AD, c'est lui qui le connait et il le change par CTRL+ALT+SUPPR puis "Changer mon mot-de-passe" au niveau de windows.
Une chose que j'ai aussi constatée, le nom d'utilisateur est "case sensitive", car si dans AD on a test.limesurvey mais qu'on indique Test.Limesurvey pour Limesurvey, on ne peut pas se connecter. 
Encore merci pour tes éclaircissements ! 

Denis