je suppose que les balise <dirctory> que tu mentionnes dans ton exemple sont à inclure dans les ficheirs d econf apache ?! mais lequel ? le default ou le ssl.conf ?
merci pour tes precisions
]]>As-tu résolu ton problème ?
]]># Enable/Disable SSL for this virtual host.
SSLEngine off
mais sans avoir des autres résultats
]]>Alias /glpi "/usr/share/glpi"
<Directory /usr/share/glpi >
j'aurais comme erreur 403 :: authentification a été acceptée mais que les droits d'accès ne me permettent pas d'accéder à la ressource sachant que encore le répertoire /usr/share/glpi est inexistant
]]> Alias /glpitest "/srv/eyesofnetwork/glpi"
et çà était pris en charge par apache http://eonhelpdesk.gct.com.tn/glpitest/ donc on est sous le bon fichier,quelle démarche pour comprendre le blocage . ?
mais c'est fichiers sont inexistants ce qui prouve que même l’opération d'authentification kerberos n'a pas été lancé pour décrire l’échec ou le succès de l'opération donc encore une fois je vous prie de me décrire le path complet de fichiers de config soit glpi.conf ou autre ainsi que m'expliquer <Directory /usr/share/glpi> car j'ai pas déjà cette arborescence .
]]>yum -y install mod_auth_kerb
Le paquet mod_auth_kerb-5.4-28.el7.x86_64 est déjà installé dans sa dernière version
Donc je voulais bien s'investiguer avec vous et les lecteurs sur la cause probable de l'erreur
Dernier point je voulais confirmer avec vous et avec les lecteurs si les entrées KrbAuthRealms ,KrbServiceName ,Krb5KeyTab ,KrbMethodNegotiate ,KrbMethodK5Passwd sont incolrés c'est à dire apache ne reconnu pas ces entrées : un module est manquant exactement .??
Merci pour temps de lecture et de support
je te mets ma section glpi en référence, sachant que j'ai configuré le tout pour fonctionner avec https et non pas http.
(et que j'ai modifié le nom de domaine)
<Directory /usr/share/glpi>
Options SymlinksIfOwnerMatch
AllowOverride Limit Options FileInfo
Require valid-user
SSLRequireSSL
AuthType Kerberos
AuthName "Authentification sur le Domaine"
KrbAuthRealms MONDOMAINE.FR
Krb5Keytab /etc/krb5.keytab
KrbMethodNegotiate On
KrbSaveCredentials Off
KrbMethodK5Passwd On
KrbVerifyKDC Off
KrbServiceName HTTPS
</Directory>
et le /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
default_realm = MONDOMAINE.FR
default_keytab_name = FILE:/etc/krb5.keytab
[realms]
MONDOMAINE.FR = {
kdc = pdc.mondomaine.fr
admin_server = pdc.mondomaine.fr
}
[domain_realm]
.mondomaine.fr = MONDOMAINE.FR
mondomaine.fr = MONDOMAINE.FR
j'ai crée le fichier keytab avec eonhelpdesk comme hostname , le FQDN , l'utilisateur d'authentifcation dans l'AD
C:\Users\administrateur.GCT>ktpass -princ HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN
-mapuser gct\eonhelpdesk -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -pass eon
helpdesk -out C:\temp\eonhelpdesk.keytab
Targeting domain controller: SRV-ADGCTGAB.GCT.COM.TN
Successfully mapped HTTP/eonhelpdesk.gct.com.tn to eonhelpdesk.
Password succesfully set!
Key created.
Output keytab to C:\temp\eonhelpdesk.keytab:
Keytab version: 0x502
keysize 73 HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN ptype 1 (KRB5_NT_PRINCIPAL) vn
o 3 etype 0x17 (RC4-HMAC) keylength 16 (0xf10523bec71de004153ee7ffde36c96a)
et je la placer sous /etc/httpd/keytab/
Ensuite j'ai bien intier et valider la communication en tapant
[root@eonhelpdesk ~]# kinit -k -t /etc/httpd/keytab/eonhelpdesk.keytab HTTP/eonhelpdesk.gct.com.tn
[root@eonhelpdesk ~]# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN
Valid starting Expires Service principal
28/03/2018 16:54:48 29/03/2018 02:54:48 krbtgt/GCT.COM.TN@GCT.COM.TN
renew until 04/04/2018 16:54:48
[root@eonhelpdesk ~]# kvno HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN: kvno = 3
ca passe tres bien , j'ai ajouté FQDN dans la zone d'intranet locale de IE
passons maintenant à la configuration d'apache là je deoute d'une mauvaise configuration
pour le fichier /etc/httpd/conf.d/glpi.conf j'ecris
Alias /glpi "/srv/eyesofnetwork/glpi"
<Directory /srv/eyesofnetwork/glpi>
AuthType kerberos
AuthName "kerberos authenticated"
KrbAuthRealms GCT.COM.TN
KrbServiceName HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN
KrbVerifyKDC on
Krb5KeyTab /etc/httpd/keytab/eonhelpdesk.keytab
KrbMethodNegotiate ON
KrbMethodK5Passwd ON
require valid-user
Options None
AllowOverride Limit Options FileInfo
Require all granted
</Directory>
j'ai pas vraiment compris si j'ai oublié une configuration d'un fichier , je serais reconnaissant si vous maîtrisez apache la config du GLPI
Tout d’abord la synchronisation des users avec l'AD fonctionne parfaitement , donc on a pensé SSO avec apache en face de l'AD.
j'ai bien créé un utilisateur spécifique dans l'AD par la suite j'ai générer un fichier keytab à exporter sous /etc.
j'ai ajouté FQDN dans la liste des sites de l'intranet local de li'IE
j'ai bien configuré krb5.conf
[libdefaults]
default_realm = GCT.COM.TN
[realms]
GCT.COM.TN = {
kdc = srv-adgctgab.gct.com.tn
admin_server = srv-adgctgab.gct.com.tn
}
[domain_realm]
srv-adgctgab.gct.com.tn = GCT.COM.TN
.srv-adgctgab.gct.com.tn = GCT.COM.TN
je me suis assuré de la synchronisation des dates entre le serveur d'active directory à travers ntpdate srv-adgctgab.gct.com.tn
finalement j'ai modifié glpi.conf en ajoutant
<Directory /srv/eyesofnetwork/glpi>
AuthType kerberos
AuthName "kerberos authenticated"
KrbAuthRealms GCT.COM.TN
KrbServiceName HTTP/eonHelpdesk.gct.com.tn@GCT.COM.TN
Krb5KeyTab /etc/eonHelpdesk.keytab
KrbMethodNegotiate ON
KrbMethodK5Passwd ON
require valid-user
Options None
AllowOverride Limit Options FileInfo
Require all granted
</Directory>
Reste à noter que les entrées KrbAuthRealms ,KrbServiceName ,Krb5KeyTab ,KrbMethodNegotiate ,KrbMethodK5Passwd sont incolrés comme étant apache ne reconnu pas ces entrées : un module est manquant exactement .
Merci de m'aider dans l'indication des fichiers de log