You are not logged in.
Il ne manque pas grand chose pour que cela fonctionne :
Les utilisateurs sont importés dans la base glpi. Ils peuvent d'identifier à partir de l'annuaire LDAP active directory.
J'ai voulu configurer l'authentification automatique mais ça bloque.
Les login sont du type : prenom.nom@dom.ige
REMOTE_USER me renvoie bien le login de l'utilisateur précédé de l'OU du domaine, soit IGE\prenom.nom
L'AD se présente sour la forme suivante : ou=IGE,dc=dom,dc=ige
Du coup, l'authentification automatique me renvoie un message disant que le compte est désactivé ou supprimé. Je dois cliquer sur le lien de reconnexion et taper le même login que pour Windows : prenom.nom@dom.ige.
Est-il possible de retrouver le domaine complet et pas seulement l'OU de l'AD ? Merci.
GLPI : 0.7.3
MySQL 5.1
LDAP Active Directory (Windows Server 2003)
IIS 6 (Windows Server 2003 différent du LDAP)
Offline
Il est étonnant que vous ayez a taper le @dom.ige
Avez vous essayer de jouer avec le "Supprimer le domaine des identifiants de la forme identifiants@domaine" ?
Offline
Oui, j'ai "joué" avec ce paramètre et le résultat est le même.
GLPI : 0.7.3
MySQL 5.1
LDAP Active Directory (Windows Server 2003)
IIS 6 (Windows Server 2003 différent du LDAP)
Offline
J'ai vérifié dans les journaux :
Que le paramètre "Supprimer le domaine des identifiants de la forme identifiants@domaine" soit à 'Oui' ou à 'Non', le message du log est le même :
erreur de connexion utilisateur prenom.nom()
A en croire le log, le paramètre n'est jamais pris en compte et le login se fait sans le nom du domaine.
Last edited by BugsDenis (2009-11-17 07:03:34)
GLPI : 0.7.3
MySQL 5.1
LDAP Active Directory (Windows Server 2003)
IIS 6 (Windows Server 2003 différent du LDAP)
Offline
J'ai découvert autre chose :
La connexion Windows peut se faire avec le domaine ou avec l'OU :
'prenom.nom@IGE' (OU) ou
'prenom.nom@dom.ige' (domaine).
Mais dans GLPI, l'authentification ne fonctionne qu'avec le domaine, pas avec l'OU, et dans tous les cas, il faut retaper login et mot de passe.
GLPI : 0.7.3
MySQL 5.1
LDAP Active Directory (Windows Server 2003)
IIS 6 (Windows Server 2003 différent du LDAP)
Offline
Dans la configuration du connecteur LDAP il y a deux méthodes : userprincipalname ou samaccountname
Dans votre cas, vous devez surement utiliser le userprincipalname, mais il est nécessaire d'utiliser le samaccountname pour l'authentification auto.
Voir http://www.glpi-project.org/wiki/doku.p … onfig:ldap pour la configuration du connecteur.
GLPI : 9.1.6 - OCS : 2.1.2
Plateforme : Windows Server 2008R2 Standard Edition Service Pack 1
Apache/2.2.31 (Win32) mod_ssl/2.2.31 OpenSSL/1.0.1p PHP/5.4.45 mod_perl/2.0.8 Perl/v5.16.3 ()
MySQL: 5.7.10-log
Offline
Merci Berserker.
En effet, dans la configuration de la connexion à l'annuaire LDAP Active Directory, j'utilise pour naviguer dans l'annuaire 'userprincipalname' car avec 'samaccountname', le test de connexion échoue.
Malgré cela, ce compte sert à naviguer dans l'annuaire LDAP et permet l'import de groupes et d'utilisateurs.
Pour l'authentification automatique (SSO), à mon sens, il n'utilise pas ce compte. D'ailleurs, le paramétrage se fait non pas sur 'LDAP' mais 'autre'.
Sur le lien que tu donnes, j'ai relu plusieurs fois, 'userprincipalname' ou 'samaccountname' sont deux solutions possibles. Je n'ai rien lu qui imposait 'samaccountname'.
J'essaierai tout de même de modifier ce paramètre demain. Je donnerai des nouvelles à l'issue.
Merci encore.
GLPI : 0.7.3
MySQL 5.1
LDAP Active Directory (Windows Server 2003)
IIS 6 (Windows Server 2003 différent du LDAP)
Offline
Chez le client chez qui je suis en train de mettre en place GLPI avec toutes ces fonctionnalités, j'ai justement fait le test avec les deux, et le samaccountname était nécessaire pour l'authentification auto.
Par contre sa configuration demande quelques points de config plus difficile.
Néanmoins, le userprincipalname (prenom.nom@dom.ige) ne me semble pas compatible avec ce qui est retourné par le REMOTE_USER, d'où votre problème authentification.
De plus, malgré qu'on utilise la section autre, il est nécessaire de choisir l'annuaire LDAP dans cette section !
Last edited by berserker (2009-11-17 23:38:30)
GLPI : 9.1.6 - OCS : 2.1.2
Plateforme : Windows Server 2008R2 Standard Edition Service Pack 1
Apache/2.2.31 (Win32) mod_ssl/2.2.31 OpenSSL/1.0.1p PHP/5.4.45 mod_perl/2.0.8 Perl/v5.16.3 ()
MySQL: 5.7.10-log
Offline
J'ai essayé de modifier l'accès à l'annuaire LDAP (active directory) avec 'samaccountname' au lieu de 'userprincipalname'. J'ai modifié le login de rootdn en ce sens soit au lieu de 'admin@dom.ige', j'ai inscrit 'cn=admin,dc=dom,dc=ige'.
Avec ces paramètres, le test de connexion à l'annuaire fonctionne correctement.
Malgré cela, je ne peux m'identifier sur GLPI ni en SSO (authentification automatique), ni via l'annuaire LDAP. J'ai essayé en supprimant et en laissant la partie domaine du login...
Pour l'instant, je suis revenu au paramétrage initial ('useraccountname' et rootdn : admin@dom.ige) et désactivé le mode SSO.
Les utilisateurs peuvent donc se connecter en retapant leur login et leur mot de passe d'ouverture de session Windows.
GLPI : 0.7.3
MySQL 5.1
LDAP Active Directory (Windows Server 2003)
IIS 6 (Windows Server 2003 différent du LDAP)
Offline