You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

#1 2018-03-17 14:56:33

Bedoui
Guest
Registered: 2017-08-10
Posts: 56

Intégration GLPI avec SSO (kerberos ) sous Centos

j'ai configuré GLPI 9.1.2 avec EyesOfNetwork sous centos .

Tout d’abord  la synchronisation des users avec l'AD fonctionne parfaitement , donc on a pensé SSO avec apache en face de l'AD.

j'ai bien créé   un utilisateur spécifique dans l'AD par la suite j'ai générer un fichier keytab à exporter sous /etc.

j'ai ajouté FQDN dans la liste des sites de l'intranet local de li'IE

j'ai bien configuré krb5.conf
[libdefaults]
default_realm = GCT.COM.TN
[realms]
GCT.COM.TN = {
kdc = srv-adgctgab.gct.com.tn
admin_server = srv-adgctgab.gct.com.tn
}
[domain_realm]
srv-adgctgab.gct.com.tn = GCT.COM.TN
.srv-adgctgab.gct.com.tn = GCT.COM.TN

je me suis assuré de la synchronisation des dates entre le serveur d'active directory à travers ntpdate srv-adgctgab.gct.com.tn

finalement j'ai modifié glpi.conf en ajoutant
<Directory /srv/eyesofnetwork/glpi>
AuthType kerberos
AuthName "kerberos authenticated"
KrbAuthRealms GCT.COM.TN
KrbServiceName HTTP/eonHelpdesk.gct.com.tn@GCT.COM.TN
Krb5KeyTab /etc/eonHelpdesk.keytab
KrbMethodNegotiate ON
KrbMethodK5Passwd ON
require valid-user
Options None
AllowOverride Limit Options FileInfo
Require all granted
</Directory>

Reste à noter que les entrées KrbAuthRealms ,KrbServiceName ,Krb5KeyTab ,KrbMethodNegotiate ,KrbMethodK5Passwd  sont incolrés comme étant apache ne reconnu pas ces entrées : un module est manquant exactement .
Merci de m'aider dans l'indication des fichiers de log

Offline

#2 2018-03-21 11:33:49

Bedoui
Guest
Registered: 2017-08-10
Posts: 56

Re: Intégration GLPI avec SSO (kerberos ) sous Centos

Up up

Offline

#3 2018-03-28 17:42:24

Bedoui
Guest
Registered: 2017-08-10
Posts: 56

Re: Intégration GLPI avec SSO (kerberos ) sous Centos

Encore je suis penché sur l'intégration sso avec glpi sous centos 7

j'ai crée le fichier keytab avec eonhelpdesk comme hostname , le FQDN , l'utilisateur d'authentifcation dans l'AD

C:\Users\administrateur.GCT>ktpass -princ HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN
-mapuser gct\eonhelpdesk -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -pass eon
helpdesk -out C:\temp\eonhelpdesk.keytab
Targeting domain controller: SRV-ADGCTGAB.GCT.COM.TN
Successfully mapped HTTP/eonhelpdesk.gct.com.tn to eonhelpdesk.
Password succesfully set!
Key created.
Output keytab to C:\temp\eonhelpdesk.keytab:
Keytab version: 0x502
keysize 73 HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN ptype 1 (KRB5_NT_PRINCIPAL) vn
o 3 etype 0x17 (RC4-HMAC) keylength 16 (0xf10523bec71de004153ee7ffde36c96a)

et je la placer sous /etc/httpd/keytab/
Ensuite j'ai bien intier et valider la communication en tapant

[root@eonhelpdesk ~]# kinit -k -t /etc/httpd/keytab/eonhelpdesk.keytab HTTP/eonhelpdesk.gct.com.tn
[root@eonhelpdesk ~]# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN

Valid starting Expires Service principal
28/03/2018 16:54:48 29/03/2018 02:54:48 krbtgt/GCT.COM.TN@GCT.COM.TN
renew until 04/04/2018 16:54:48
[root@eonhelpdesk ~]# kvno HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN: kvno = 3

ca passe tres bien , j'ai ajouté FQDN dans la zone d'intranet locale de IE

passons maintenant à la configuration d'apache là je deoute d'une mauvaise configuration
pour le fichier  /etc/httpd/conf.d/glpi.conf j'ecris

Alias /glpi "/srv/eyesofnetwork/glpi"

<Directory /srv/eyesofnetwork/glpi>
AuthType kerberos
AuthName "kerberos authenticated"
KrbAuthRealms GCT.COM.TN
KrbServiceName HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN
KrbVerifyKDC on
Krb5KeyTab /etc/httpd/keytab/eonhelpdesk.keytab
KrbMethodNegotiate ON
KrbMethodK5Passwd ON
require valid-user
Options None
AllowOverride Limit Options FileInfo
Require all granted
</Directory>
j'ai pas vraiment compris si j'ai oublié une configuration d'un fichier  , je serais reconnaissant si vous maîtrisez apache la config du GLPI

https://forum.eyesofnetwork.com/viewtop … 134#p13134

Offline

#4 2018-03-28 18:44:02

kasnoa
Guest
Registered: 2018-03-28
Posts: 1

Re: Intégration GLPI avec SSO (kerberos ) sous Centos

Quelle version d'apache ?
et utilise tu mod_auth_kerb ?

je te mets ma section glpi en référence, sachant que j'ai configuré le tout pour fonctionner avec https et non pas http.
(et que j'ai modifié le nom de domaine)

<Directory /usr/share/glpi>
    Options SymlinksIfOwnerMatch
    AllowOverride Limit Options FileInfo
    Require valid-user
    SSLRequireSSL
    AuthType Kerberos
    AuthName "Authentification sur le  Domaine"
    KrbAuthRealms MONDOMAINE.FR
    Krb5Keytab /etc/krb5.keytab
    KrbMethodNegotiate On
    KrbSaveCredentials Off
    KrbMethodK5Passwd On
    KrbVerifyKDC Off
    KrbServiceName HTTPS
</Directory>

et le /etc/krb5.conf

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 default_realm = MONDOMAINE.FR
 default_keytab_name = FILE:/etc/krb5.keytab

[realms]
MONDOMAINE.FR = {
  kdc = pdc.mondomaine.fr
  admin_server = pdc.mondomaine.fr
}
[domain_realm]
.mondomaine.fr = MONDOMAINE.FR
mondomaine.fr = MONDOMAINE.FR

Offline

#5 2018-03-28 22:18:27

Bedoui
Guest
Registered: 2017-08-10
Posts: 56

Re: Intégration GLPI avec SSO (kerberos ) sous Centos

pour les deux premiers questions je vous garantie demain matin au boulot ca sera la réponse , mais je voulais comprendre dans quelle fichier (chemin complet ) tu as ecris  ces balises
<Directory /usr/share/glpi>  sachant que l'emplacement /usr/share/glpi est inexistant dans notre  serveur donc que je dois faire ? ou merci de me donner le contenu d’arborescence de /usr/share/glpi .
Pour moi j’écris <Directory /srv/eyesofnetwork/glpi>  sous   /etc/httpd/conf.d/glpi.conf  est elle valide déja ?

Dernier point je voulais confirmer avec vous et avec les lecteurs si  les entrées KrbAuthRealms ,KrbServiceName ,Krb5KeyTab ,KrbMethodNegotiate ,KrbMethodK5Passwd  sont incolrés c'est à dire  apache ne reconnu pas ces entrées : un module est manquant exactement .??
Merci pour temps de lecture et de support

Offline

#6 2018-03-29 10:31:36

Bedoui
Guest
Registered: 2017-08-10
Posts: 56

Re: Intégration GLPI avec SSO (kerberos ) sous Centos

Pour la version d'apache :: Web Server : Apache/ 2.4.6   (CentOS) OpenSSL/1.0.2k-fips
Pour Database Server     :: mod_auth_gssapi/1.5.1 mod_auth_kerb /5.4 mod_fcgid/2.3.9

yum   -y install mod_auth_kerb

Le paquet   mod_auth_kerb-5.4-28.el7.x86_64   est déjà installé dans sa dernière version
Donc je voulais bien s'investiguer avec vous et les lecteurs sur la cause probable de l'erreur

Offline

#7 2018-03-29 11:54:21

Bedoui
Guest
Registered: 2017-08-10
Posts: 56

Re: Intégration GLPI avec SSO (kerberos ) sous Centos

C'est qui n'est pas logique ,dans le fichier krb5.conf on a définit les fichiers log comme suit :
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

mais c'est fichiers sont inexistants  ce qui prouve  que même l’opération d'authentification kerberos n'a pas été lancé pour décrire l’échec ou le succès de l'opération donc encore une fois je vous prie de me décrire le path complet de fichiers de config soit glpi.conf ou autre ainsi que m'expliquer <Directory /usr/share/glpi> car j'ai pas déjà cette arborescence .

Offline

#8 2018-03-29 13:38:56

Bedoui
Guest
Registered: 2017-08-10
Posts: 56

Re: Intégration GLPI avec SSO (kerberos ) sous Centos

je viens de changer le fichier /etc/httpd/conf.d/glpi.conf

Alias   /glpitest   "/srv/eyesofnetwork/glpi"
et çà était pris en charge par apache http://eonhelpdesk.gct.com.tn/glpitest/  donc on est sous le bon fichier,quelle démarche pour comprendre le blocage . ?

Last edited by Bedoui (2018-03-29 13:39:18)

Offline

#9 2018-03-29 14:00:59

Bedoui
Guest
Registered: 2017-08-10
Posts: 56

Re: Intégration GLPI avec SSO (kerberos ) sous Centos

puisque nous sommes certains du fichier glpi.conf lorsque je change  vers :

Alias /glpi  "/usr/share/glpi"

<Directory /usr/share/glpi >

j'aurais comme erreur 403  ::   authentification a été acceptée mais que les droits d'accès ne me  permettent pas  d'accéder à la ressource sachant que encore le répertoire /usr/share/glpi est inexistant

Offline

#10 2018-04-02 00:14:23

Bedoui
Guest
Registered: 2017-08-10
Posts: 56

Re: Intégration GLPI avec SSO (kerberos ) sous Centos

Comme je pourrais avancer dans ce sujet , y a il d'autres pistes

Offline

#11 2018-04-02 16:01:28

Bedoui
Guest
Registered: 2017-08-10
Posts: 56

Re: Intégration GLPI avec SSO (kerberos ) sous Centos

j'ai essayé de désactiver  le protocole ssl sous le fichier /etc/httpd/conf.d/ssl.conf

#   Enable/Disable SSL for this virtual host.
SSLEngine off

mais sans avoir des autres résultats

Offline

Board footer

Powered by FluxBB