Forum GLPI-Project

Kafei2006

Member

Registered: 2009-02-20

Posts: 7

Connexion centralisée CAS et attributs LDAP

Bonjour à tous, je vous explique ma situation :

J'ai mis en place un serveur d'authentification centralisée (CAS) qui marche déjà très bien avec d'autres applications (Horde webmail et GRR entre autres), pour assurer le passage d'une application à l'autre en single sign-on.

J'aimerais maintenant configurer GLPI pour qu'il l'utilise aussi (ainsi mes users pourraient passer librement d'une application web à l'autre sans avoir à se relogger, ce qui se fait déjà entre Horde et GRR). Le serveur CAS établit les connexions sur base d'un serveur OpenLDAP (il va chercher dans le LDAP les comptes utilisateurs et contrôle les associations uid/pwd.

J'y parviens avec GLPI mais une fois mis en place, il n'y a plus QUE cette authentification là de fonctionnelle (plus d'accès aux comptes tech, glpi, etc... j'ai fait une installation vierge de glpi pour mon test), et GLPI n'attribue que des accès post-only aux users connectés via CAS, qu'ils soient root, ou quoi que ce soit d'autre dans le LDAP.

Ce que j'aimerais (si c'est possible, ce que vous pourrez peut-être me dire) ce serait que l'authentification se fasse sur le CAS (qui lui est lié au LDAP) mais que les comptes admin le soient dans GLPI aussi car pour l'instant dés que j'active l'authentification CAS, je n'ai plus du tout d'accès admin (et dans ce cas il ne reste plus d'autre solution que de recharger le dump de la base de données mysql d'avant l'activation de ce service vu qu'on ne peut plus rien configurer)

N'y a-t-il pas moyen de forcer GLPI, à l'authentification CAS, de charger les attributs LDAP pour ces users là ? J'ai tenté de faire une importation de users LDAP dans GLPI avant l'activation du service mais sans succès (aucun user ou groupes trouvés)

Si je réussissais cette importation des comptes du LDAP et que j'activais le CAS après, est-ce que les comptes root de mon LDAP seraient admin dans GLPI ???

Merci d'avance pour le soutien que, je l'espère, vous pourrez m'apporter car je sèche là dessus depuis hier.

Oh j'ai vu un autre post parlant de problèmes d'import de profils LDAP mais en suivant cette aide là je ne suis parvenu à rien, je vais donc prendre les devant et poster ma config LDAP dans GLPI

Nom : OpenLDAP
Serveur : ldapslave08.xxxx.be
Port : 389
BaseDN : ou=Users,ou=Citoyens,dc=xxxx,dc=be
rootdn : N/A
Pass : N/A
<!--
je ne dois pas placer de rootdn et pass car le ldap est configuré pour permettre les accès sans
-->
Filtre de connexion : (objectClass=user)
Utiliser TLS : Non
Traitement des alias : Jamais déréférencés (défaut)

Le test de connexion réussit. Mais impossible d'importer des profils ou groupes et impossible de se connecter avec des credentials stockés dans le ldap.

EDIT : J'ai bien sélectionné dans la configuration CAS (Configuration>Authentification>Autres) mon OpenLDAP dans la zone intitulée "Récupération d'informations complémentaires via annuaire LDAP"

Last edited by Kafei2006 (2010-02-02 12:43:30)

Kafei2006

Member

Registered: 2009-02-20

Posts: 7

Re: Connexion centralisée CAS et attributs LDAP

Je viens de trouver quelque chose d'intéressant en cherchant à faire de même pour GRR qui n'importait pas encore non plus les attributs LDAP. Apparemment il y aurait un bean à modifier dans le fichier deployerConfigContext.xml de la webapp CAS.

C'est expliqué dans la doc de GRR :

http://grr.mutualibre.org/documentation/index.php?id=62

Leur doc explique bien quelles valeurs mettre pour leur application mais quelles sont celles qui devraient être mises pour permettre à GLPI de faire de même, quelqu'un a une idée ?

En tout cas si je trouve je reviendrai poster mais un coup de pouce serait malgré tout bienvenu, je suis un newbie dans le domaine du SSO .

wawa

GLPI-DEV

From: Montpellier / France

Registered: 2006-07-03

Posts: 6,019

Website

Re: Connexion centralisée CAS et attributs LDAP

bonjour
plusieurs choses :
- vous devez jouer avec les règles d'affectation d'entités et de droits aux utilisateurs venant du ldap pour faire en sorte que vos admins dans openldap le soient dans GLPI (à déterminer le critère)
- vous avez très certainement un pb de config ldap dans glpi si les utilsateurs ne peuvent se connecter : pouvez vous poster les valeurs pour *tous* les champs de la config ?

ubunglpi

Member

Registered: 2010-07-20

Posts: 8

Re: Connexion centralisée CAS et attributs LDAP

Bonjour,
j'ai exactement le même problème que Kafei2006 en activant LDAP et CAS dans GLPI je n'arrive plus à accéder à mes comptes locaux de GLPI puisque CAS prend la main il n'y a plus l'interface de login de GLPI.
Du coup je n'ai plus d'accès en tant que super-admin local à GLPI.
Je ne compte pas importer mes comptes user depuis LDAP comme le voudrais Kafei2006, juste avoir le choix entre l'accès à la page de login de GLPI et celui par CAS pour pouvoir accéder soit à mes comptes locaux de GLPI soit aux comptes accessibles par LDAP et CAS.
Comment faire pour avoir le choix entre l'interface de login de GLPI  et celui de la page CAS?
Car j'ai uniquement l'interface CAS pour l'instant...
Merci d'avance.
Ma config:
Ubuntu 10.04 server LTS
GLPI 0.72.3
PHP5

---

Ma config:
Glpi version 0.72.3 installé en tant que paquet sur une Ubuntu  10.04 server LTS
apache2  version:2.2.14, mysql5  version:5.1.41, php5  version:5.3.2-1, aucun plugin GLPI n'est installé (pour l'instant).

ddurieux

Plugins Dev

From: Propières, France

Registered: 2005-06-17

Posts: 7,521

Re: Connexion centralisée CAS et attributs LDAP

glpi/index.php?noAUTO=1 pour accéder sans l'authentification CAS, SSO, etc...

ubunglpi

Member

Registered: 2010-07-20

Posts: 8

Re: Connexion centralisée CAS et attributs LDAP

Merci super!
J'y accède à nouveau.
Ou à tu trouvé l'info car j'ai cherché partout sans succès?

---

Ma config:
Glpi version 0.72.3 installé en tant que paquet sur une Ubuntu  10.04 server LTS
apache2  version:2.2.14, mysql5  version:5.1.41, php5  version:5.3.2-1, aucun plugin GLPI n'est installé (pour l'instant).