You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

Pages: 1

#1 2023-04-27 10:44:53

glpi-anonymous
Member
Registered: 2023-04-27
Posts: 3

Authentification SSO Active Directory et clients hors domaine

Bonjour à tous,

Nous avons implémenté avec succès le SSO sur notre serveur GLPI. Les clients faisant partie de notre domaine et ayant un ticket Kerberos valide sont automatiquement authentifiés.

Nous avons cependant quelques postes qui ne sont pas dans notre domaine (et qui ne peuvent pas y être intégrés). Existe-t-il un moyen d'afficher la page d'authentification si un client n'est pas en mesure de fournir un ticket Kerberos valide ?

Voici la configuration du serveur apache :

<Directory /var/www/html/glpi>
AllowOverride All
Options -Indexes +FollowSymLinks

<If "%{HTTP_USER_AGENT} == 'GLPI-Agent_v1.4'">
	Require all granted
</If>
<Else>
	AuthType GSSAPI
	AuthName "SSO GLPI"
	GssapiSSLonly On
	GssapiCredStore keytab:/etc/apache2/cle.keytab
	Require valid-user
</Else>
</Directory>

Lorsqu'un client ne possède pas de ticket valide, il y a une fenêtre demandant des identifiants. Lorsqu'on clique sur "Annuler" une erreur 401 Unauthorized apparaît.

4183c27a-1926-4c29-baa6-0d83dca6e433

Existe-il un moyen d'afficher la page d'authentification en cas d'erreur 401 ?

Nous avons essayé plusieurs solutions mais sans succès :

  • Rediriger vers l'URL /front/login.php avec ErrorDocument 401.

  • Ajouter une condition en fonction de l'URL demandée par l'utilisateur pour autoriser l'accès.

  • Ajouter une méthode d'authentification basique supplémentaire au niveau de la conf apache

  • Malheureusement nous ne pouvons pas faire de filtre au niveau des IP des clients.

Est-ce qu'un tel fonctionnement est possible ?

Nous utilisons Debian 11 et GLPI 10.0.7

Bonne journée.

Last edited by glpi-anonymous (2023-04-27 12:09:09)

Offline

#2 2023-06-09 09:10:46

glpi-anonymous
Member
Registered: 2023-04-27
Posts: 3

Re: Authentification SSO Active Directory et clients hors domaine

Petit up du sujet si cela peut aiguiller quelqu'un.
Pour nos autres applications nous sommes passés sur une solution de SSO avec Keycloak. J'ai vu que GLPI possède un plugin Oauth SSO compatible.
Malheureusement, nous ne sommes pas client GLPI Network donc nous ne pouvons pas le tester sad . Mais il semble que ce soit la solution pour notre problématique.

Offline

#3 2023-06-09 14:17:43

Chico008
Member
Registered: 2022-12-14
Posts: 384

Re: Authentification SSO Active Directory et clients hors domaine

il me semble avoir vu quelqu'un poser une solution dans un ancien topic, a chercher.

edit : c'etait dans ce sujet
https://forum.glpi-project.org/viewtopic.php?id=170231
2 solutions sont proposées.

de mon coté j'ai celle avec le Satisfy Any, et ca fonctionne, avec un compte local, hors domaine, j'arrive bien sur la page d'authentification standard de glpi

Last edited by Chico008 (2023-06-09 14:50:09)

Offline

Pages: 1

Board footer

Powered by FluxBB