LDAP & authentification: refonte de l'interface des deux méthodes...

    $essai_login,

    $id_auteur,

    $ignore_auth_http,

    $ldap_present,

    $logout,

    $logout_public,

    $next_session_password_md5,

// Tentative de login

unset ($cookie_session);

$redirect = ($url ? $url : _DIR_RESTREINT_ABS);

if ($essai_login == "oui") {

	// Recuperer le login en champ hidden

	if ($session_login_hidden AND !$session_login)

		$session_login = $session_login_hidden;

	$login = $session_login;

	$row_auteur = array();

	spip_connect();

	// Essayer differentes methodes d'authentification

	$auths = array('spip');

	spip_connect(); // pour savoir si ldap est present 

	if ($ldap_present) $auths[] = 'ldap';

	$ok = false;

	foreach ($auths as $nom_auth) {

		include_spip('inc/auth_'.$nom_auth);

		$classe_auth = "Auth_".$nom_auth;

		$auth = new $classe_auth;

		if ($auth->init()) {

			// Essayer les mots de passe md5

			$ok = $auth->verifier_challenge_md5($login, $session_password_md5, $next_session_password_md5);

			// Sinon essayer avec le mot de passe en clair

			if (!$ok && $session_password) $ok = $auth->verifier($login, $session_password);

			if ($ok)  { $auth->lire(); break; }

		}

	// Essayer l'authentification par MySQL

	$f = charger_fonction('auth_spip', 'inc', true);

	if ($f) $row_auteur = $f($session_login, $session_password);		

	// Marche pas: essayer l'authentification par LDAP si present

	if (!$row_auteur AND $GLOBALS['ldap_present']) {

		$f = charger_fonction('auth_ldap', 'inc', true);

		if ($f) $row_auteur = $f($session_login, $session_password);

	}

	// Si la connexion a reussi

	if ($ok) {

		// Nouveau redacteur ou visiteur inscrit par mail :

		// 'nouveau' -> '1comite' ou  '6forum'

		// Si LDAP : importer l'utilisateur vers la base SPIP

		$auth->activer();

		if ($auth->login AND $auth->statut == '0minirezo') // force le cookie pour les admins

			$cookie_admin = "@".$auth->login;

		// On est connecte : recuperer les donnees auteurs

		// poser le cookie session, puis le cas echeant

		// verifier que le statut correspond au minimum requis,

		$result = spip_query("SELECT * FROM spip_auteurs WHERE login=" . spip_abstract_quote($auth->login));

		if ($row_auteur = spip_fetch_array($result)) {

			$cookie_session = creer_cookie_session($row_auteur);

		} else

			$ok = false;

		// Si on se connecte dans l'espace prive, ajouter "bonjour" (inutilise)

		if ($ok AND ereg(_DIR_RESTREINT_ABS, $redirect)) {

			$redirect .= ((false !== strpos($redirect, "?")) ? "&" : "?")

			. 'bonjour=oui';

		}

	}

	if (!$ok) {

	// Marche pas, renvoyer le formulaire avec message d'erreur si 2e fois

	if (!$row_auteur) {

		if (ereg(_DIR_RESTREINT_ABS, $redirect))

			$redirect = generer_url_public('login',

				"var_login=$login", true);

				"var_login=$session_login", true);

		if ($session_password || $session_password_md5)

			$redirect = parametre_url($redirect, 'var_erreur', 'pass', '&');

		$redirect .= '&url=' . rawurlencode($url);

		spip_log("echec login: $login");

		spip_log("echec login: $session_login");

	} else {

		spip_log("login de $session_login vers $redirect");

		// Si on se connecte dans l'espace prive, 

		// ajouter "bonjour" (inutilise)

		if (ereg(_DIR_RESTREINT_ABS, $redirect)) {

			$redirect .= ((false !== strpos($redirect, "?")) ? "&" : "?")

				. 'bonjour=oui';

		}

		if ($row_auteur['statut'] == '0minirezo')

			$cookie_admin = "@".$session_login;

		$cookie_session = creer_cookie_session($row_auteur);

	}

	else

		spip_log("login: $login");

}

// cookie d'admin ?

	if (!$row = spip_fetch_array($result)) {

		auth_areconnecter($auth_login);

		exit;

	}

	elseif ($row['statut']=='6forum') 

		return auth_arefaire();

	else {

	} else {

		$connect_id_auteur = $row['id_auteur'];

		$connect_login = $row['login'];

		$connect_pass = $row['pass'];

		$connect_statut = acces_statut($connect_id_auteur, $row['statut'], $row['bio']);

		if ($row['statut']=='6forum') return auth_arefaire();

		// Special : si dans la fiche auteur on modifie les valeurs

		// de messagerie, utiliser ces valeurs plutot que celle de la base.

if (!defined("_ECRIRE_INC_VERSION")) return;

class Auth_ldap {

	var $user_dn;

	var $nom, $login, $email, $pass, $statut, $bio;

	function init() {

		// Verifier la presence de LDAP

		if (!$GLOBALS['ldap_present']) return false;

		return spip_connect_ldap();

	}

// Authentifie via LDAP et retourne la ligne SQL decrivant l'utilisateur si ok

function inc_auth_ldap_dist ($login, $pass) {

	// Securite contre un serveur LDAP laxiste

	if (!$login || !$pass) return array();

	// Serveur joignable ?

	if (!@spip_connect_ldap()) return array();

	// Utilisateur connu ?

	if (!($dn = auth_ldap_search($login, $pass))) return array();

	// Si l'utilisateur figure deja dans la base, y recuperer les infos

	$result = spip_query("SELECT * FROM spip_auteurs WHERE login=" . spip_abstract_quote($login) . " AND source='ldap'");

	function verifier_challenge_md5($login, $mdpass_actuel, $mdpass_futur) {

		return false;

	// sinon importer les infos depuis LDAP, 

	// avec le statut par defaut a l'install

	if (!spip_num_rows($result))

		$result = auth_ldap_inserer($dn, $GLOBALS['meta']["ldap_statut_import"]);

	return $result ? spip_fetch_array($result) : array(); 

}

	function verifier($login, $pass) {

function auth_ldap_search($login, $pass)

{

	global $ldap_link, $ldap_base;

		// Securite, au cas ou le serveur LDAP est tres laxiste

		if (!$login || !$pass) return false;

	// Attributs testes pour egalite avec le login

	$atts = array('sAMAccountName', 'uid', 'login', 'userid', 'cn', 'sn');

	$login_search = ereg_replace("[^-@._[:space:][:alnum:]]", "", $login); // securite

	// Tenter une recherche pour essayer de retrouver le DN

	reset($atts);

	while (list(, $att) = each($atts)) {

			$filter = "$att=$login_search";

			$result = @ldap_search($ldap_link, $ldap_base, $filter, array("dn"));

		$result = @ldap_search($ldap_link, $ldap_base, "$att=$login_search", array("dn"));

		$info = @ldap_get_entries($ldap_link, $result);

			// Ne pas accepter les resultats si plus d'une entree

			// (on veut un attribut unique)

		if (is_array($info) AND $info['count'] == 1) {

			$dn = $info[0]['dn'];

				if (@ldap_bind($ldap_link, $dn, $pass)) {

					$this->user_dn = $dn;

					$this->login = $login;

					return true;

				}

			if (@ldap_bind($ldap_link, $dn, $pass)) return $dn;

		}

	}

	if (!isset($dn)) {

		// Si echec, essayer de deviner le DN

		reset($atts);

		while (list(, $att) = each($atts)) {

			$dn = "$att=$login_search, $ldap_base";

			if (@ldap_bind($ldap_link, $dn, $pass)) {

				$this->user_dn = $dn;

				$this->login = $login;

				return true;

			if (@ldap_bind($ldap_link, $dn, $pass))

				return "$att=$login_search, $ldap_base";

		}

	}

		return false;

	return '';

}

	function lire() {

function auth_ldap_inserer($dn, $statut)

{

	global $ldap_link, $ldap_base;

		$this->nom = $this->email = $this->pass = $this->statut = '';

		if (!$this->login) return false;

		// Si l'auteur existe dans la base, y recuperer les infos

		$row = spip_fetch_array(spip_query("SELECT * FROM spip_auteurs WHERE login=" . spip_abstract_quote($this->login) . " AND source='ldap'"));

	// refuser d'importer n'importe qui 

	if (!$statut) return false;

	// Lire les infos sur l'utilisateur depuis LDAP

	$result = @ldap_read($ldap_link, $dn, "objectClass=*", array("uid", "cn", "mail", "description"));

		if ($row) {

			$this->nom = $row['nom'];

			$this->email = $row['email'];

			$this->statut = $row['statut'];

			$this->bio = $row['bio'];

			return true;

		}

	// Si l'utilisateur ne peut lire ses infos, 

	// se reconnecter avec le compte principal

	if (!$result AND spip_connect_ldap())

		$result = @ldap_read($ldap_link, $dn, "objectClass=*", array("uid", "cn", "mail", "description"));

		// Lire les infos sur l'auteur depuis LDAP

		$result = @ldap_read($ldap_link, $this->user_dn, "objectClass=*", array("uid", "cn", "mail", "description"));

		// Si l'utilisateur ne peut lire ses infos, se reconnecter avec le compte principal

		if (!$result) {

			if (spip_connect_ldap())

				$result = @ldap_read($ldap_link, $this->user_dn, "objectClass=*", array("uid", "cn", "mail", "description"));

			else

				return false;

		}

		if (!$result) return false;

	if (!$result) return array();

	    // Recuperer les donnees de l'auteur

	$info = @ldap_get_entries($ldap_link, $result);

		if (!is_array($info)) return false;

	if (!is_array($info)) return array();

	for ($i = 0; $i < $info["count"]; $i++) {

		$val = $info[$i];

		if (is_array($val)) {

				if (!$this->nom) $this->nom = $val['cn'][0];

				if (!$this->email) $this->email = $val['mail'][0];

				if (!$this->login) $this->login = $val['uid'][0];

				if (!$this->bio) $this->bio = $val['description'][0];

				if (!$nom) $nom = $val['cn'][0];

				if (!$email) $email = $val['mail'][0];

				if (!$login) $login = $val['uid'][0];

				if (!$bio) $bio = $val['description'][0];

		}

	}

	// Convertir depuis UTF-8 (jeu de caracteres par defaut)

	include_spip('inc/charsets');

		$this->nom = importer_charset($this->nom, 'utf-8');

		$this->email = importer_charset($this->email, 'utf-8');

		$this->login = importer_charset($this->login, 'utf-8');

		$this->bio = importer_charset($this->bio, 'utf-8');

		return true;

	}

	function activer() {

		$login = strtolower(($this->login));

		$statut = $GLOBALS['meta']["ldap_statut_import"];

	$nom = importer_charset($nom, 'utf-8');

	$email = importer_charset($email, 'utf-8');

	$bio = importer_charset($bio, 'utf-8');

	$login = strtolower(importer_charset($login, 'utf-8'));

		if (!$statut) return false;

		// Si l'auteur n'existe pas, l'inserer avec le statut par defaut (defini a l'install)

		$n = spip_num_rows(spip_query("SELECT id_auteur FROM spip_auteurs WHERE login=" . spip_abstract_quote($login)));

		if ($n) return false;

	include_spip('base/abstract_sql');

	$n = spip_abstract_insert('spip_auteurs', '(source, nom, login, email, bio, statut, pass)', "('ldap', " . spip_abstract_quote($nom) . ", " . spip_abstract_quote($login) . ", " . spip_abstract_quote($email) . ", " . spip_abstract_quote($bio) . ", " . spip_abstract_quote($statut) . ", '')");

		$n = spip_query("INSERT IGNORE INTO spip_auteurs (source, nom, login, email, bio, statut, pass) VALUES ('ldap', " . spip_abstract_quote($this->nom) . ", " . spip_abstract_quote($login) . ", " . spip_abstract_quote($this->email) . ", " . spip_abstract_quote($this->bio) . ", '$statut', '')");

		return $n;

	}

	return spip_query("SELECT * FROM spip_auteurs WHERE id_auteur=$n");

}

?>

if (!defined("_ECRIRE_INC_VERSION")) return;

class Auth_spip {

	var $id_auteur, $nom, $login, $email, $md5pass, $md5next, $alea_futur, $statut, $bio;

// Authentifie et retourne la ligne SQL decrivant l'utilisateur si ok

	function init() {

		return true;

	}

	// Verification du mot passe crypte (javascript)

	function verifier_challenge_md5($login, $mdpass_actuel, $mdpass_futur) {

		// Interdire mot de passe vide

		if ($mdpass_actuel == '') return false;

		$result = spip_query("SELECT * FROM spip_auteurs WHERE login=" . spip_abstract_quote($login) . " AND pass=" . spip_abstract_quote($mdpass_actuel) . " AND statut<>'5poubelle'");

		if ($row = spip_fetch_array($result)) {

			$this->id_auteur = $row['id_auteur'];

			$this->nom = $row['nom'];

			$this->login = $row['login'];

			$this->email = $row['email'];

			$this->statut = $row['statut'];

			$this->bio = $row['bio'];

			$this->md5pass = $mdpass_actuel;

			$this->md5next = $mdpass_futur;

			return true;

		}

		return false;

	}

function inc_auth_spip_dist ($login, $pass) {

	// Verification du mot passe en clair (sans javascript)

	function verifier($login, $pass) {

		// Interdire mot de passe vide

		if ($pass == '') return false;

  // recuperer le cryptage par JavaScript

	$md5pass = $_POST['session_password_md5']; 

	$md5next = $_POST['next_session_password_md5'];

	  // si envoi non crypte, crypter maintenant

	if (!$md5pass AND $pass) {

			$result = spip_query("SELECT alea_actuel, alea_futur FROM spip_auteurs WHERE login=" . spip_abstract_quote($login));

			if ($row = spip_fetch_array($result)) {

				$md5pass = md5($row['alea_actuel'] . $pass);

				$md5next = md5($row['alea_futur'] . $pass);

			return $this->verifier_challenge_md5($login, $md5pass, $md5next);

			}

		return false;

		}

	// login inexistant ou mot de passe vide

	if (!$md5pass) return array();

	function lire() {

		return true;

	}

	$result = spip_query("SELECT * FROM spip_auteurs WHERE login=" . spip_abstract_quote($login) . " AND pass=" . spip_abstract_quote($md5pass) . " AND statut<>'5poubelle'");

	$row = spip_fetch_array($result);

	// login/mot de passe incorrect

	if (!$row) return array(); 

	function activer() {

	if ($row['statut'] == 'nouveau') {

		include_spip('inc/auth');

		$this->statut = acces_statut($this->id_auteur, $this->statut, $this->bio);

		if ($this->md5next) {

			include_spip('inc/session');

		$row['statut'] = acces_statut($row['id_auteur'], $row['statut'], $row['bio']);

	}

	// fait tourner le codage du pass dans la base

			$nouvel_alea_futur = creer_uniqid();

			@spip_query("UPDATE spip_auteurs SET alea_actuel = alea_futur, pass = " . spip_abstract_quote($this->md5next) . ", alea_futur = '$nouvel_alea_futur' WHERE id_auteur=" . $this->id_auteur);

	if ($md5next) {

			include_spip('inc/session');

			@spip_query("UPDATE spip_auteurs SET alea_actuel = alea_futur, pass = " . spip_abstract_quote($md5next) . ", alea_futur = '" . creer_uniqid() ."' WHERE id_auteur=" . $row['id_auteur']);

	}

	}

	return $row;

}

?>