You are not logged in.
j'ai configuré GLPI 9.1.2 avec EyesOfNetwork sous centos .
Tout d’abord la synchronisation des users avec l'AD fonctionne parfaitement , donc on a pensé SSO avec apache en face de l'AD.
j'ai bien créé un utilisateur spécifique dans l'AD par la suite j'ai générer un fichier keytab à exporter sous /etc.
j'ai ajouté FQDN dans la liste des sites de l'intranet local de li'IE
j'ai bien configuré krb5.conf
[libdefaults]
default_realm = GCT.COM.TN
[realms]
GCT.COM.TN = {
kdc = srv-adgctgab.gct.com.tn
admin_server = srv-adgctgab.gct.com.tn
}
[domain_realm]
srv-adgctgab.gct.com.tn = GCT.COM.TN
.srv-adgctgab.gct.com.tn = GCT.COM.TN
je me suis assuré de la synchronisation des dates entre le serveur d'active directory à travers ntpdate srv-adgctgab.gct.com.tn
finalement j'ai modifié glpi.conf en ajoutant
<Directory /srv/eyesofnetwork/glpi>
AuthType kerberos
AuthName "kerberos authenticated"
KrbAuthRealms GCT.COM.TN
KrbServiceName HTTP/eonHelpdesk.gct.com.tn@GCT.COM.TN
Krb5KeyTab /etc/eonHelpdesk.keytab
KrbMethodNegotiate ON
KrbMethodK5Passwd ON
require valid-user
Options None
AllowOverride Limit Options FileInfo
Require all granted
</Directory>
Reste à noter que les entrées KrbAuthRealms ,KrbServiceName ,Krb5KeyTab ,KrbMethodNegotiate ,KrbMethodK5Passwd sont incolrés comme étant apache ne reconnu pas ces entrées : un module est manquant exactement .
Merci de m'aider dans l'indication des fichiers de log
Offline
Up up
Offline
Encore je suis penché sur l'intégration sso avec glpi sous centos 7
j'ai crée le fichier keytab avec eonhelpdesk comme hostname , le FQDN , l'utilisateur d'authentifcation dans l'AD
C:\Users\administrateur.GCT>ktpass -princ HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN
-mapuser gct\eonhelpdesk -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -pass eon
helpdesk -out C:\temp\eonhelpdesk.keytab
Targeting domain controller: SRV-ADGCTGAB.GCT.COM.TN
Successfully mapped HTTP/eonhelpdesk.gct.com.tn to eonhelpdesk.
Password succesfully set!
Key created.
Output keytab to C:\temp\eonhelpdesk.keytab:
Keytab version: 0x502
keysize 73 HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN ptype 1 (KRB5_NT_PRINCIPAL) vn
o 3 etype 0x17 (RC4-HMAC) keylength 16 (0xf10523bec71de004153ee7ffde36c96a)
et je la placer sous /etc/httpd/keytab/
Ensuite j'ai bien intier et valider la communication en tapant
[root@eonhelpdesk ~]# kinit -k -t /etc/httpd/keytab/eonhelpdesk.keytab HTTP/eonhelpdesk.gct.com.tn
[root@eonhelpdesk ~]# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN
Valid starting Expires Service principal
28/03/2018 16:54:48 29/03/2018 02:54:48 krbtgt/GCT.COM.TN@GCT.COM.TN
renew until 04/04/2018 16:54:48
[root@eonhelpdesk ~]# kvno HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN: kvno = 3
ca passe tres bien , j'ai ajouté FQDN dans la zone d'intranet locale de IE
passons maintenant à la configuration d'apache là je deoute d'une mauvaise configuration
pour le fichier /etc/httpd/conf.d/glpi.conf j'ecris
Alias /glpi "/srv/eyesofnetwork/glpi"
<Directory /srv/eyesofnetwork/glpi>
AuthType kerberos
AuthName "kerberos authenticated"
KrbAuthRealms GCT.COM.TN
KrbServiceName HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN
KrbVerifyKDC on
Krb5KeyTab /etc/httpd/keytab/eonhelpdesk.keytab
KrbMethodNegotiate ON
KrbMethodK5Passwd ON
require valid-user
Options None
AllowOverride Limit Options FileInfo
Require all granted
</Directory>
j'ai pas vraiment compris si j'ai oublié une configuration d'un fichier , je serais reconnaissant si vous maîtrisez apache la config du GLPI
Offline
Quelle version d'apache ?
et utilise tu mod_auth_kerb ?
je te mets ma section glpi en référence, sachant que j'ai configuré le tout pour fonctionner avec https et non pas http.
(et que j'ai modifié le nom de domaine)
<Directory /usr/share/glpi>
Options SymlinksIfOwnerMatch
AllowOverride Limit Options FileInfo
Require valid-user
SSLRequireSSL
AuthType Kerberos
AuthName "Authentification sur le Domaine"
KrbAuthRealms MONDOMAINE.FR
Krb5Keytab /etc/krb5.keytab
KrbMethodNegotiate On
KrbSaveCredentials Off
KrbMethodK5Passwd On
KrbVerifyKDC Off
KrbServiceName HTTPS
</Directory>et le /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
default_realm = MONDOMAINE.FR
default_keytab_name = FILE:/etc/krb5.keytab
[realms]
MONDOMAINE.FR = {
kdc = pdc.mondomaine.fr
admin_server = pdc.mondomaine.fr
}
[domain_realm]
.mondomaine.fr = MONDOMAINE.FR
mondomaine.fr = MONDOMAINE.FROffline
pour les deux premiers questions je vous garantie demain matin au boulot ca sera la réponse , mais je voulais comprendre dans quelle fichier (chemin complet ) tu as ecris ces balises
<Directory /usr/share/glpi> sachant que l'emplacement /usr/share/glpi est inexistant dans notre serveur donc que je dois faire ? ou merci de me donner le contenu d’arborescence de /usr/share/glpi .
Pour moi j’écris <Directory /srv/eyesofnetwork/glpi> sous /etc/httpd/conf.d/glpi.conf est elle valide déja ?
Dernier point je voulais confirmer avec vous et avec les lecteurs si les entrées KrbAuthRealms ,KrbServiceName ,Krb5KeyTab ,KrbMethodNegotiate ,KrbMethodK5Passwd sont incolrés c'est à dire apache ne reconnu pas ces entrées : un module est manquant exactement .??
Merci pour temps de lecture et de support
Offline
Pour la version d'apache :: Web Server : Apache/ 2.4.6 (CentOS) OpenSSL/1.0.2k-fips
Pour Database Server :: mod_auth_gssapi/1.5.1 mod_auth_kerb /5.4 mod_fcgid/2.3.9
yum -y install mod_auth_kerb
Le paquet mod_auth_kerb-5.4-28.el7.x86_64 est déjà installé dans sa dernière version
Donc je voulais bien s'investiguer avec vous et les lecteurs sur la cause probable de l'erreur
Offline
C'est qui n'est pas logique ,dans le fichier krb5.conf on a définit les fichiers log comme suit :
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
mais c'est fichiers sont inexistants ce qui prouve que même l’opération d'authentification kerberos n'a pas été lancé pour décrire l’échec ou le succès de l'opération donc encore une fois je vous prie de me décrire le path complet de fichiers de config soit glpi.conf ou autre ainsi que m'expliquer <Directory /usr/share/glpi> car j'ai pas déjà cette arborescence .
Offline
je viens de changer le fichier /etc/httpd/conf.d/glpi.conf
Alias /glpitest "/srv/eyesofnetwork/glpi"
et çà était pris en charge par apache http://eonhelpdesk.gct.com.tn/glpitest/ donc on est sous le bon fichier,quelle démarche pour comprendre le blocage . ?
Last edited by Bedoui (2018-03-29 13:39:18)
Offline
puisque nous sommes certains du fichier glpi.conf lorsque je change vers :
Alias /glpi "/usr/share/glpi"
<Directory /usr/share/glpi >
j'aurais comme erreur 403 :: authentification a été acceptée mais que les droits d'accès ne me permettent pas d'accéder à la ressource sachant que encore le répertoire /usr/share/glpi est inexistant
Offline
Comme je pourrais avancer dans ce sujet , y a il d'autres pistes
Offline
j'ai essayé de désactiver le protocole ssl sous le fichier /etc/httpd/conf.d/ssl.conf
# Enable/Disable SSL for this virtual host.
SSLEngine off
mais sans avoir des autres résultats
Offline
Bonjour Bedoui,
As-tu résolu ton problème ?
Offline
Bonjour Kasnoa,
je viensd e basculer mon glpi sous linux et en https, reste le SSO a essayé de configurer.
je suppose que les balise <dirctory> que tu mentionnes dans ton exemple sont à inclure dans les ficheirs d econf apache ?! mais lequel ? le default ou le ssl.conf ?
merci pour tes precisions
Manger un castor, c'est sauver un arbre.
Quand on est mort, on ne sait pas qu'on est mort ; c'est pour les autres que c'est difficile. Quand on est con, c'est pareil !
Offline
Config SSO : https://forum.glpi-project.org/viewtopi … 90#p496190
Glpi 10.0.3
Offline