You are not logged in.
Salut à vous,
Je continu ma route, aujourd'hui c'est la connexion avec SSO qui m'intéresse.
Pour rappel, notre GLPI 0.83 tourne sur un Windows 2008R2 avec Wamp (Apache 2.4.4).
Tous nos utilisateurs sont sur Windows.
Le problème est que le Wiki GLPI décrit une méthode pour activer SSO sur Apache 2.2.
Méthode qui ne fonctionne pas sur la version 2.4.
http://www.glpi-project.org/wiki/doku.p … authautoad
Si vous avez des pistes, elles sont les bienvenues.
Offline
Petit up si quelqu'un peut m'aider pour activer le SSO
Offline
Salut,
As-tu trouvé la solution ? J'ai le même problème...
Miss Fe
Offline
C'est bon, j'ai trouvé.
Offline
Salut,
Non je n'ai pas trouvé de solution à ce jour.
Je veux bien que tu partages celle que tu as trouvé.
Mathieu,
Offline
Salut,
Désolée de ne pas avoir partagé... je suis encore à la recherche d'info pour mettre en production GLPI.
Pour le SSO, voici ce que j'ai fait :
Source initiale : http://www.glpi-project.org/wiki/doku.p … authautoad
Cependant :
Le module mod_auth_sspi.so n'est pas compatible avec Apache 2.4.
Il y a donc deux possibilités :
- utiliser le module mod_authnz_sspi.so (ce que j'ai fait)
http://www.apachelounge.com/viewtopic.p … sc&start=0
http://sourceforge.net/p/mod-auth-sspi/ … d/1d7f5dba
- utiliser le module mod_authn_ntlm.so
http://www.apachelounge.com/viewtopic.php?p=25073
1. Télécharger le module mod_authnz_sspi.so x84 :
https://www.apachehaus.net/modules/mod_authnz_sspi/
2. Extraire le module et le copier dans le dossier des modules Apache
3. Ajouter dans le fichier httpd.conf la ligne suivante :
LoadModule authnz_sspi_module modules/mod_authnz_sspi.so
4. Décommenter dans le fichier httpd.conf les lignes suivantes :
LoadModule authn_core_module modules/mod_authn_core.so
LoadModule authz_core_module modules/mod_authz_core.so
5. Dans httpd-vhosts.conf ou autre selon la configuration Apache mise en place, modifier le « directory » GLPI pour intégrer l'authentification SSPI :
<Directory "C:/Program Files (x86)/Apache Software Foundation/Apache24/htdocs/glpi">
Options MultiViews Indexes SymLinksIfOwnerMatch IncludesNoExec
AllowOverride FileInfo AuthConfig Limit
<IfModule authnz_sspi_module>
AuthName "Accès par SSO"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
SSPIOfferBasic On
# Should you need to force the login prompt, uncomment the next line
#SSPIBasicPreferred On
SSPIOfferSSPI On
SSPIOmitDomain On
require valid-sspi-user
require user "NT AUTHORITY\ANONYMOUS LOGON" denied
</IfModule>
</Directory>
6. Vérifier la configuration Apache et redémarrer le service :
httpd -t
7. Création d'un fichier WhoIAm.php pour vérifier que les identifiants sont bien récupérés :
<?php
$user = $_SERVER["REMOTE_USER"];
$ServerGLPI = $_SERVER["HTTP_HOST"];
echo "identifiant : $user";
echo "<BR>ServerGLPI : $ServerGLPI";
$cred = explode("\\",$_SERVER["REMOTE_USER"]);
if(count($cred)==1) array_unshift($cred, "(no domain info - perhaps SSPIOmitDomain is On)");
list ($domain,$user) = $cred;
echo "<BR><BR>You appear to be user : <B>$user</B> <BR>";
echo "logged into the Windows NT domain : <B>$domain</B>";
/*echo "login : ";
echo $_SERVER["REMOTE_USER"];*/
?>
8. Paramétrage du navigateur IE :
Il faut bien vérifier que “Activer l'authentification intégrée de Windows” dans les options avancées d' Internet Explorer soit bien coché.
Il faut penser à rajouter l'URL de GLPI dans la liste des sites de l'Intranet local sous l'onglet Sécurité dans les options d'Internet Explorer.
9. Paramétrage du navigateur Firefox :
http://sharepointandco.wordpress.com/20 … c-firefox/
Dans la barre d'adresse, saisir "about:config"
Modifier la valeur network.automatic-ntlm-auth.trusted-uris = http://serveurglpi.mondomaine
Redémarrer le navigateur
10. Test :
http://serveurglpi.mondomaine/whoiam.php
11. Paramétrage dans GLPI :
Authentification\Autres\Autre authentification transmise dans la requête HTTP
Champs de stockage de l'identifiant dans la requête HTTP : REMOTE_USER
Supprimer le domaine des identifiants de la forme identifiant@domaine : Oui
12. Test GLPI : l'identification doit être automatique lors de l'accès au site
Voilà, en espérant avoir été claire.
Offline
un grand merci missfe pour ce tuto mais je rencontre un problème en suivant ton tuto lorsque je lance whoiam.php
Message d'erreur:
_______________________________________________________________________________
Notice: Undefined index: REMOTE_USER in D:\wamp\www\WhoIAm.php on line 3
identifiant :
ServerGLPI : 189.20.0.18
Notice: Undefined index: REMOTE_USER in D:\wamp\www\WhoIAm.php on line 8
Call Stack
You appear to be user :
logged into the Windows NT domain : (no domain info - perhaps SSPIOmitDomain is On)
_______________________________________________________________________________
Je suis sous wamp 2.4 et win 2k8 as tu une idée d'où peut provenir ce problème?
(j'ai googler pendant plusieurs heures mais finalement rien trouvé.)
Offline
Pour ceux qui ont le problème de REMOTE_USER undefined, j'ai trouvé la solution (en tout cas, chez nous) :
Il faut se baser sur le message/post de missfe cependant, il faut bien faire attention dans le fichier de conf de votre vhost de mettre :
<Directory "ici-le-dossier-glpi">
Options Indexes FollowSymLinks Includes ExecCGI
AllowOverride All
Order allow,deny
Allow from all
AuthName "Accès restreint"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
SSPIOfferBasic On
require valid-user
</Directory>
(il faut les guillemets " pour le dossier glpi)
La ligne
Require all granted
Pose problème et casse tout. Il ne faut absolument pas la mettre.
Last edited by g.raineri (2015-10-21 14:08:38)
Offline
effectivement je suis en apache 2.4.14 32bit avec ceci ça fonctionne ! merci merci merci
<Directory "D:/xampp/htdocs/glpi">
Options Indexes FollowSymLinks Includes ExecCGI
AllowOverride All
Order allow,deny
Allow from all
AuthName "Accès restreint"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
SSPIOfferBasic On
require valid-user
</Directory>
ça serait simpa de faire un tuto plus officiel
Last edited by skoizer (2015-12-17 12:59:18)
Offline
Bonjour,
je viens de migrer vers GLPI 0.90.1 ainsi que
Apache/2.4.17 (Win32) mod_authnz_sspi/0.1.0 OpenSSL/1.0.2d PHP/5.5.30
Je n'arrive pas à faire fonctionner le sso ailleurs que sur le serveur où est installé GLPI.
En effet, quand je suis en local, sur le serveur, cela fonctionne avec l'url http://localhost/glpi/
j'ai fait un fichier test.php
http://localhost/glpi/test.php me remonte bien en local les infos concernant l'utilisateur connecté
"You appear to be user :xxxxxx
logged into the Windows NT domain : xxxxxx "
par contre, idem depuis mon PC, j'ai le message :
"Erreur du serveur!
Le serveur a été victime d'une erreur interne et n'a pas été capable de faire aboutir votre requête. Soit le server est surchargé soit il s'agit d'une erreur dans le script CGI.
Si vous pensez qu'il s'agit d'une erreur du serveur, veuillez contacter le webmestre.
Error 500
glpi
Apache/2.4.17 (Win32) mod_authnz_sspi/0.1.0 OpenSSL/1.0.2d PHP/5.5.30 "
j'ai mis dans le httpd.conf la même configuration que skoizer.
mais ça fait pas pareil ... :-(
Merci d'avance pour votre aide.
Offline
les logs apaches (surement dans le gestionnaire d’événements) pourraient vous aider à trouver la source du problème.
Offline
dans les logs apache j'ai :
[Thu Feb 11 15:15:28.422140 2016] [authnz_sspi:error] [pid 2992:tid 1640] (OS 1789)The trust relationship between this workstation and the primary domain failed. : [client x.x.x:x 65145] access to /glpi/ failed, reason: cannot generate server context
Côté erreur Windows il ne semble rien y avoir se rapportant à ce pb.
Offline
Jamais vu cette erreur.
D'où provient votre module sspi ?
Quel version de windows pour votre machine cliente ?
Offline
C'est bon !
ça marche tel quel.
C'était un pb de paramétrage du navigateur Firefox
https://support.mozilla.org/en-US/kb/Fi … al%20sites
J'avais déclaré mon serveur glpi dans network.automatic-ntlm-auth.trusted-uris avec http://nom_du_serveur/glpi alors qu'il fallait seulement : nom_du_serveur/glpi
et maintenant je suis bien connecté
Merci pour votre aide.
Offline
Bonjour,
j'ai suivi la configuration mais le SSO ne marche pas chez moi, à la première connexion, j'ai une fenêtre de login qui s'affiche, je rentre mes identifiants et ça ouvre correctement sans passer par la page de login GLPI.
Ca peut venir de quel problème selon vous ?
j'utilise GLPI 9.2.3
wampserver 3.1.3
Apache 2.4.33
PHP5.7.21
Merci,
Offline
Bonjour,
est ce que certains on essayé avec le module mod_authn_ntlm.so ?
Le module mod_authnz_sspi.so ne fonctionne pas sur mon achitecture à savoir :
Configuration
Serveur Wamp 64bits : 3.2.0
Serveur : Windows Server 2016 Standard / Wamp Server 3.2.0
Serveur Web : Apache 2.4.41
Data base : MySQL 5.7.28 / Maria DB 10.4.10
Script : PHP 7.3.12
GLPI : Version 9.4.5
Fusion Inventory : 9.4+2.4
Si jamais certains sont passés par l'autre solution dont parle missfe à savoir le module mod_authn_ntlm.so je suis preneur merci ;-)
Bonne journée.
Offline