Quick links: Content - sections - sub sections
EN FR
Quick Search Advanced search
 
Page

  [Opened] to be secure_with_ip or not to be

Posted by Ghost on 01/08/2010 21:22

bonjour,

je souhaite protéger mon master_admin avec une liste d'iP restreinte. je pense qu'il faut configurer secure_with_ip dans le fichier aut.coor.ini.php dans la partie admin, si j'indique une ip qui n' est pas la mienne, je passe alors que je ne le devrais pas et si je dois mettre "1", ou dois je indiquer les ip obligatoires ??

merci par avance de vos renseignements, en précisant que les recherches sur l'option en question ne donnent rien dans le pdf ou sur le site internet de jelix.

Cordialement,

Ghost

  [Opened] Re: to be secure_with_ip or not to be

Reply #1 Posted by bballizlife on 01/09/2010 11:29

Bonjour,

Si j'ai bien compris, tu souhaite accepter les connexions sur l'admin uniquement à des IP restreintes.

Pour faire cela, je créerais un listener qui répondrait à l'évènement AuthCanLogin (lancé par jAuth). Dans ce listener tu pourras alors gérer la récupération des IP autorisées depuis la base de données ou depuis un fichier de config et ainsi définir si l'utilisateur a le droit de se logguer ou pas.

Sur ce coup tu tombe bien puisque l'exemple de listener dans la documentation correspond déjà presque à ce que tu as besoin.

Tu pourrais aussi envisager de créer un plugin coordinateur agissant sur beforeAction effectuant ce même type de vérification et renvoyant les personnes non autorisées ailleurs.

Concernant la variable de configuration secure_with_ip, comme indiqué dans les commentaires du fichier auth.coord.ini.php, cela provoque une vérification supplémentaire que la personne logguée a bien toujours la même IP.

En espérant que cela t'aide.


N'importe comment c'est dans la doc

  [Opened] Re: to be secure_with_ip or not to be

Reply #2 Posted by Ghost on 01/11/2010 09:22

bonjour,

merci de cette aide, j'ai pu en effet presque avoir ce que je voulais...presque ^^

En effet, j'ai basé mon application et mon dash_board sur le même système d'authentification...du coup, quand je vais sur le dash_board en modifiant l'url, si je suis connecté à mon application, je peux voir le menu. Bien sur si je n'ai pas les droits associés, je ne vois pas grand chose, mais je ne souhaite pas qu'il puisse y aller ni en connectant, ni s'ils sont connectés via une url écrite à la main (même si d'office l'URL peut ne pas être simple a trouver!)

Du coup, le contrôle d'IP au moment de la connexion ne résout pas entièrement mon problème..J'ai déclaré un listener qui fait le contrôle d'ip et qui redirige mais le souci, c'est que je dois implémenter l'appel du listener dans toute les fonctions du dash_board + mon module d'admin...ce qui fait beaucoup de répétition de code...

En fait, il faudrait que j'implémente une fonction au même endroit que pour les contrôles de jAuth ou jAcl2. je pense que c'est la meilleure solution pour mon besoin.

merci en tout cas de tes conseils

  [Opened] Re: to be secure_with_ip or not to be

Reply #3 Posted by Ghost on 01/11/2010 10:47

En effet, je vais donc me plancher sur comment developper un pluggin et tester tout ca.

merci beaucoup !

 
Page
  1. to be secure_with_ip or not to be