You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

#1 2011-11-21 17:13:06

Bagghera
Member
From: Lyon
Registered: 2008-08-07
Posts: 70

authentification x509

Bonjour,
J'utilise actuellement l'authentification x509 pour GLPI qui est très pratique mais je pense un peu incomplète.

En effet il y aurait quelques paramètres qu'il faudrait remplir avant d'être connecté :

- gestion des CRL : chaque autorité de certification gère les liste de révocation grâce à des CRL. il faudrait pouvoir les interroger dans GLPI pour éviter qu'une personne qui n'a plus les droits puisse se connecter.

- filtres sur AC : à quelle autorité de certification on fait confiance

en fait ça correspond au champ OU, O et CN du certificat pour le client et l'autorité.
Je sais le faire dans apache mais je suis une quiche pour ce qui est de php. Je vous donne les exemple dans apache :

#  cat /etc/apache2/vhosts.d/00_default_ssl_vhost.conf

## Certificate Revocation Lists (CRL):
SSLCARevocationFile /etc/ssl/apache2/ca-bundle.crl

## filtres client
SSLRequire %{SSL_CLIENT_S_DN_OU} eq "TOTO"
## filtres autorité
SSLRequire %{SSL_CLIENT_I_DN_CN} in {"TITI","TUTU"}


Ça évitera de pouvoir se connecter à GLPI avec son certificat des impôts wink

Merci si quelqu'un arrive à faire ça...

Offline

#2 2011-11-22 23:36:15

JMD
GLPI - Lead
Registered: 2004-09-13
Posts: 9,180
Website

Re: authentification x509

Intéressant, j'ai créé un ticket sur ce sujet.

https://forge.indepnet.net/issues/3265


JMD / Jean-Mathieu Doléans - Glpi-project.org - Association Indepnet
Apportez votre pierre au  projet GLPI   : Soutenir

Offline

#3 2012-02-24 16:43:47

MoYo
GLPI - Lead
From: Poitiers
Registered: 2004-09-13
Posts: 14,513
Website

Re: authentification x509

Au niveau CRL je ne vois pas trop comment gérer directement dans GLPI.
Si vous avez une idée, je suis preneur.
Pour le reste une solution a été mise en place pour la 0.84. Si vous avez des remarques sur la mise en place n'hésitez pas.


MoYo - Julien Dombre - Association INDEPNET
Contribute to GLPI :    Support     Contribute     References     Freshmeat

Offline

#4 2012-03-13 18:35:38

MoYo
GLPI - Lead
From: Poitiers
Registered: 2004-09-13
Posts: 14,513
Website

Re: authentification x509

En plus au niveau CRL... Apache fait ca très bien donc pas besoin de le traiter dans GLPI me semble t'il ?


MoYo - Julien Dombre - Association INDEPNET
Contribute to GLPI :    Support     Contribute     References     Freshmeat

Offline

#5 2012-04-11 22:33:36

JMD
GLPI - Lead
Registered: 2004-09-13
Posts: 9,180
Website

Re: authentification x509

Actuellement PHP n'offre pas les fonctions nécessaires pour parser des fichiers CRL.
cf Patch en attente sur les version PHP.

Je crois donc que l'on doive se résigner à attendre.


JMD / Jean-Mathieu Doléans - Glpi-project.org - Association Indepnet
Apportez votre pierre au  projet GLPI   : Soutenir

Offline

Board footer

Powered by FluxBB