You are not logged in.
Bonjour,
J'utilise actuellement l'authentification x509 pour GLPI qui est très pratique mais je pense un peu incomplète.
En effet il y aurait quelques paramètres qu'il faudrait remplir avant d'être connecté :
- gestion des CRL : chaque autorité de certification gère les liste de révocation grâce à des CRL. il faudrait pouvoir les interroger dans GLPI pour éviter qu'une personne qui n'a plus les droits puisse se connecter.
- filtres sur AC : à quelle autorité de certification on fait confiance
en fait ça correspond au champ OU, O et CN du certificat pour le client et l'autorité.
Je sais le faire dans apache mais je suis une quiche pour ce qui est de php. Je vous donne les exemple dans apache :
# cat /etc/apache2/vhosts.d/00_default_ssl_vhost.conf
## Certificate Revocation Lists (CRL):
SSLCARevocationFile /etc/ssl/apache2/ca-bundle.crl
## filtres client
SSLRequire %{SSL_CLIENT_S_DN_OU} eq "TOTO"
## filtres autorité
SSLRequire %{SSL_CLIENT_I_DN_CN} in {"TITI","TUTU"}
Ça évitera de pouvoir se connecter à GLPI avec son certificat des impôts
Merci si quelqu'un arrive à faire ça...
Offline
Au niveau CRL je ne vois pas trop comment gérer directement dans GLPI.
Si vous avez une idée, je suis preneur.
Pour le reste une solution a été mise en place pour la 0.84. Si vous avez des remarques sur la mise en place n'hésitez pas.
MoYo - Julien Dombre - Association INDEPNET
Contribute to GLPI : Support Contribute References Freshmeat
Offline
En plus au niveau CRL... Apache fait ca très bien donc pas besoin de le traiter dans GLPI me semble t'il ?
MoYo - Julien Dombre - Association INDEPNET
Contribute to GLPI : Support Contribute References Freshmeat
Offline
Actuellement PHP n'offre pas les fonctions nécessaires pour parser des fichiers CRL.
cf Patch en attente sur les version PHP.
Je crois donc que l'on doive se résigner à attendre.
JMD / Jean-Mathieu Doléans - Glpi-project.org - Association Indepnet
Apportez votre pierre au projet GLPI : Soutenir
Offline