1 260
szerkesztés
Módosítások
létrehozás
== Elgondolás ==
A Drupal saját maga szereti kezelni a felhasználóit - adatbázisban -, de az azonosítás moduláris. A felhasználó beállításai a Drupal saját adatbázisában vannak, a Shibboleth modul csak a felhasználó azonosítóját adja meg.
=== Felhasználó létrehozása ===
Az [[Shibboleth IdP | IdP-nek]] azonosítania kell tudnia a felhasználót, tehát valamilyen [[Identity Management|központi adatbázisban]] léteznie kell.
Ha egy olyan felhasználó jelentkezik be a Drupalba, aki még korábban nem jelentkezett be (pontosabban ha a Shibboleth-en keresztül megkapott azonosító még nem létezik), akkor a modul létrehoz egy új Drupal felhasználót. A felhasználó jelszava '''üres''', azaz a jelszavas bejelentkezés tiltott. Néhány felhasználói beállítás kezdeti értéke származhat a Shibboleth-től kapott attribútumokból:
* teljes név
* email cím
A felhasználói attribútumok változtatása az IdP-ben nem terjed át a Drupalra (leszámítva természetesen a felhasználói azonosítót), az Drupalban található attribútumok megváltoztathatók, ha ezt az oldal konfigurációja megengedi.
Az újonnan létrejött felhasználó alap jogosultságokkal rendelkezik, ezután az adminisztrátor további jogokat biztosíthat számára.
=== Felhasználó törlése ===
A felhasználót a [[Identity Management|központi adatbázisból]] kell törölni, ezáltal megszűnik a hozzáférése a Drupalhoz. A Drupal azonosítója és beállításai azonban megmaradnak, ami az alábbi következményekkel jár:
* ha újra kiosztják a felhasználó azonosítóját, akkor a régi beállítások lesznek érvényesek
* a közvetlen jelszavas bejelentkezést, ill. a jelszóváltoztatás lehetőségét meg kell szüntetni, mert különben egy rosszindulatú felhasználó - ha még "aktív" korában megváltoztatta a drupalos jelszavát - a központi adatbázisból való törlése után is képes belépni közvetlenül, jelszóval (csak [[ShibSPLazy|
* lehetséges privát üzenetet küldeni a felhasználó email címére
* a törölt felhasználó mindaddig be tud lépni, amíg a Drupal által használt cookie érvényes, ezért célszerű memóriában tárolt cookie-kat használni
A fenti problémákat csak úgy lehet megoldani, ha egy alkalmazás a törölt felhasználók státuszát inaktiválja a Drupalban (és a hasonló elven felépülő rendszerekben is).
== Shibboleth konfiguráció ==
Be kell állítani a [[ShibSPConfig#RequestMap | RequestMap-et]] az adott virtuális szerver adott könyvtárára, majd az Apache-nak a megfelelelő <code>Directory</code> vagy <code>Location</code> blokkjában [[ShibSPProtection|be kell kapcsolni a Shibboleth azonosítást]].
{{INFO|[[ShibSPLazy|Lazy sessiont]] kell beállítani akkor, ha azt szeretnénk, hogy
* anonymous módon hozzáférhető legyen a Drupal (pl. csak olvasásra)
* az adminisztrátor be tudjon jelentkezni jelszóval.}}
Bővebben lásd: [[DrupalShibboleth#Required Session|Required Session]]
== Drupal Shibboleth modul ==
{{TODO}}
=== Telepítés ===
=== Konfiguráció ===
== Használat ==
{{TODO}}
=== Admin felhasználó bejelentkezése ===
=== Required session ===
[[Kategória: HOWTO]]
A Drupal saját maga szereti kezelni a felhasználóit - adatbázisban -, de az azonosítás moduláris. A felhasználó beállításai a Drupal saját adatbázisában vannak, a Shibboleth modul csak a felhasználó azonosítóját adja meg.
=== Felhasználó létrehozása ===
Az [[Shibboleth IdP | IdP-nek]] azonosítania kell tudnia a felhasználót, tehát valamilyen [[Identity Management|központi adatbázisban]] léteznie kell.
Ha egy olyan felhasználó jelentkezik be a Drupalba, aki még korábban nem jelentkezett be (pontosabban ha a Shibboleth-en keresztül megkapott azonosító még nem létezik), akkor a modul létrehoz egy új Drupal felhasználót. A felhasználó jelszava '''üres''', azaz a jelszavas bejelentkezés tiltott. Néhány felhasználói beállítás kezdeti értéke származhat a Shibboleth-től kapott attribútumokból:
* teljes név
* email cím
A felhasználói attribútumok változtatása az IdP-ben nem terjed át a Drupalra (leszámítva természetesen a felhasználói azonosítót), az Drupalban található attribútumok megváltoztathatók, ha ezt az oldal konfigurációja megengedi.
Az újonnan létrejött felhasználó alap jogosultságokkal rendelkezik, ezután az adminisztrátor további jogokat biztosíthat számára.
=== Felhasználó törlése ===
A felhasználót a [[Identity Management|központi adatbázisból]] kell törölni, ezáltal megszűnik a hozzáférése a Drupalhoz. A Drupal azonosítója és beállításai azonban megmaradnak, ami az alábbi következményekkel jár:
* ha újra kiosztják a felhasználó azonosítóját, akkor a régi beállítások lesznek érvényesek
* a közvetlen jelszavas bejelentkezést, ill. a jelszóváltoztatás lehetőségét meg kell szüntetni, mert különben egy rosszindulatú felhasználó - ha még "aktív" korában megváltoztatta a drupalos jelszavát - a központi adatbázisból való törlése után is képes belépni közvetlenül, jelszóval (csak [[ShibSPLazy|
* lehetséges privát üzenetet küldeni a felhasználó email címére
* a törölt felhasználó mindaddig be tud lépni, amíg a Drupal által használt cookie érvényes, ezért célszerű memóriában tárolt cookie-kat használni
A fenti problémákat csak úgy lehet megoldani, ha egy alkalmazás a törölt felhasználók státuszát inaktiválja a Drupalban (és a hasonló elven felépülő rendszerekben is).
== Shibboleth konfiguráció ==
Be kell állítani a [[ShibSPConfig#RequestMap | RequestMap-et]] az adott virtuális szerver adott könyvtárára, majd az Apache-nak a megfelelelő <code>Directory</code> vagy <code>Location</code> blokkjában [[ShibSPProtection|be kell kapcsolni a Shibboleth azonosítást]].
{{INFO|[[ShibSPLazy|Lazy sessiont]] kell beállítani akkor, ha azt szeretnénk, hogy
* anonymous módon hozzáférhető legyen a Drupal (pl. csak olvasásra)
* az adminisztrátor be tudjon jelentkezni jelszóval.}}
Bővebben lásd: [[DrupalShibboleth#Required Session|Required Session]]
== Drupal Shibboleth modul ==
{{TODO}}
=== Telepítés ===
=== Konfiguráció ===
== Használat ==
{{TODO}}
=== Admin felhasználó bejelentkezése ===
=== Required session ===
[[Kategória: HOWTO]]
