ldap: prevent crash when recording a timeout failure (#73342) #9
No reviewers
Labels
No Label
No Milestone
No Assignees
2 Participants
Notifications
Due Date
No due date set.
Dependencies
No dependencies set.
Reference: entrouvert/authentic#9
Loading…
Reference in New Issue
No description provided.
Delete Branch "wip/73342-ldap-erreur-log-erreur-TypeError"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
J'ai fait le minimum pour cacher l'erreur mais je ne suis pas convaincu par le code lui même, on devrait dans tous les cas enregistrer quelque chose dans le journal.
Tu veux dire logguer le fait qu’on tente un lookup sur des attributs inexistants ?
Non pas du tout. Ici on est sur un échec d'authentification, à défaut d'avoir pu résoudre authentifier l'utilisateur on essaie de retrouver un minimum qui c'est mais comme c'est un timeout et pas juste un mauvais mot de passe, on ne peut pas interroger le LDAP pour trouver l'utilisateur et donc on ne log rien dans ce cas précis d'échec d'authentification.
Je ne suis pas convaincu par le code parce que je pense que c'est problèmes disparaîtrait si au lieu de faire l'authentification sur le LDAP avant la recherche du compte en base on faisait l'inverse, i.e. on cherche toujours d'abord username/email localement, si on trouve un compte relié au LDAP on l'authentifie. Déjà ça améliorerait les performances et les blocages, i.e. plus jamais d'appel au LDAP dans le cas général et on saurait toujours quel compte n'a pas pu s'authentifier.
Merci pour la remise en contexte, c’est plus clair pour moi.
Pour ce qui est de faire passer la recherche locale avant l’authn distante, je vais regarder et faire un ticket. En attendant, ack ici.
Ok.
(#75705)