Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

totama · 2012-01-10 12:29:02

Et il peut s'authentifier automatiquement dés son premier accès à GLPI ?

tsmr · 2012-01-10 12:38:28

Nota : pour être vraiment fonctionnel, on doit ajouter le site glpi dans l'intranet local au niveau de IE

totama · 2012-01-10 12:40:41

Ok tsmr merci ,

Met@lnono · 2012-01-10 14:00:54

tsmr wrote:

Nota : pour être vraiment fonctionnel, on doit ajouter le site glpi dans l'intranet local au niveau de IE

En effet, il faut tout de même effectuer les modifications côté navigateurs (IE, Firefox, Chrome...) :
http://www.glpi-project.org/wiki/doku.p … les_a_0.71

Last edited by Met@lnono (2012-01-10 14:01:16)

kilgad · 2012-01-10 18:00:30

Peut être un bug sous IE9 (pas test sous IE8)

manip : Faire un suivi à un ticket, on tappe le texte, on attend 30seconde puis validation : s'affiche "LOST" et on perd la saisie.

image : http://hpics.li/66d3441

Quelqu'un peut tester chez lui sous IE9 ?
(j'ai bien ajouté au site de confiance)

Met@lnono · 2012-01-11 10:47:27

Bon, il y a bien un bug avec IE8 aussi.
Je ne peux plus afficher les zones chargées en Ajax, alors qu'avec Firefox ou Chrome, c'est nickel.
Vraiment marre d'Internet Explorer !

Met@lnono · 2012-01-12 17:00:16

Je viens de continuer mes tests, et cela devient de plus en plus bizarre.
Avec IE8, en https, il n'y a aucun problème !
En http , je n'arrive pas à avoir les menus chargées en JavaScript ..
Peut être un problème de config d'Apache.
Est ce que vous avez vous aussi le problème ?

Met@lnono · 2012-01-13 16:05:10

Me revoilà une nouvelle fois pour vous dire que j'ai trouvé la cause du problème avec IE et l'https.
Le 1er post a été mis à jour.

Merci de remonter d'éventuelles nouveaux problèmes.

PS: il n'y a plus qu'un seul fichier à modifier au lieu de 2.

kilgad · 2012-01-13 16:43:53

Je viens de faire un petit test rapide : le bug du suivi "LOST" ne semble pas se reproduire. (Sans la modif de la conf apache)

je passe en prod cette modification. A suivre.

Met@lnono · 2012-01-13 17:32:31

J'ai en effet pu constater qu'en http, il n'y avait pas de problème, par contre, sans la modification de config d'Apache, l'https ne semble pas fonctionner.

kilgad, as-tu la possibilité de tester en https ?

PS: j'ai oublier de préciser que pour ceux qui avait fait les anciennes modifications, il faut les annuler afin de reprendre les instructions du 1er post

tsmr · 2012-01-13 17:53:15

Moi sous https / IE9 / modif apache : page blanche avec juste :
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=utf-8" http-equiv=Content-Type></HEAD>
<BODY></BODY></HTML>

Sous FF pas de souci.

Last edited by tsmr (2012-01-13 17:54:55)

Met@lnono · 2012-01-13 21:27:18

tsmr wrote:

Moi sous https / IE9 / modif apache : page blanche avec juste :
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=utf-8" http-equiv=Content-Type></HEAD>
<BODY></BODY></HTML>
Sous FF pas de souci.

As-tu bien pensé à redémarrer Apache ?
Je n'ai pas d'IE9, je ne peux donc pas tester.

LiTiL_DiViL · 2012-01-16 13:53:15

Bonjour,
Je trouve cette fonction très intéressante et simplifiera grandement l'authentification. Est-ce que son intégration dans le code de GLPI est envisagée ?

Met@lnono · 2012-01-18 17:29:43

Là, je ne sais pas, il faut attendre la réponse d'un développeur de GLPI.

Met@lnono · 2012-01-25 12:17:06

Au passage, je viens de tester la modification sur le v0.72.4 sur Linux, et ça a l'air de fonctionner

EmpereurZorg · 2012-01-27 12:12:46

Bonjour,
Pour info, je viens de tester cette méthode extrêmement simple à mettre en œuvre (bravo ) et tout semblait parfait... jusqu'à une tentative de remontée d'inventaire de l'agent FusionInventory vers le plug'in glpi du même nom. L'agent nécessite en effet de communiquer avec une page spécifique du plug'in, et la mise en place du "include" provoque une erreur :

[error] Cannot establish communication with `http://server.dom.local/glpi/plugins/fusioninventory/front/plugin_fusioninventor
y.communication.php: 401 Unauthorized`

En dehors de ce point tout fonctionne très bien

Un point de détail inhérent à glpi je pense est que l'authentification perd les informations contenues dans les liens et renvoi vers la page d'accueil : si glpi n'est pas ouvert et que l'on clique sur un lien "http: //server.dom.local/glpi/front/ticket.form.php?id=5811", c'est la page d'accueil qui s'ouvre sur "http: //server.dom.local/glpi/front/central.php" une fois l'authentification réalisée (automatiquement ou pas)

Je ne sais pas si ce comportement peut être modifié par des règles .htaccess par exemple ou si c'est faisable uniquement dans le code glpi ?

Last edited by EmpereurZorg (2012-01-27 12:16:20)

Met@lnono · 2012-01-27 12:33:22

Je ne connais pas le fonctionnement du plugin FusionInventory mais visiblement il a besoin de se connecter a un fichier de GLPI.
Sauf que l'agent n’envoie pas de données NTLM.

Peux tu essayer en commentant les lignes suivantes dans le fichier ntlm.functions.php :

    // if (!isset($headers['Authorization'])){
        // header('HTTP/1.1 401 Unauthorized');
        // header('WWW-Authenticate: NTLM');
        // exit;
    // }

Last edited by Met@lnono (2012-01-27 12:34:05)

babast · 2012-02-28 13:08:53

Bonjour,

Je viens de tester avec succès votre modification.

J'ai une question: Peut-on envisager que si l'authentification ne se fait pas (car par sur la session), ça nous renvoi sur l'écran de login classique?

Car là, en testant, soit ça renvoi une fenêtre nous invitant à nous identifier mais sur des OS blackberry et androïd ça me renvoi un erreur 401 voir rien du tout.

En tout cas, merci, c'est bien pratique

MaxDevil · 2012-03-01 12:22:42

Bonjour,
J'ai testé votre solution avec fusion-inventory 0.80_1.1, GLPI 0.80.7 et une debian 6.0.4 .

Malheureusement lorsque je commente les lignes sur le fichier ntlm.fonctions.php l'authentification automatique ne s'effectue plus.

Merci pour cette solution simple à mettre place.

babast · 2012-03-05 11:04:40

J'ai résolu mon problème en ajoutant une condition avant les lignes:

include (GLPI_ROOT . "/inc/ntlm.function.php");
$ntlm = getInfosFromNTLM();

Pour ton plugin, ça me faisait la même erreur avec des navigateurs de mobile, essaies en y ajoutant une condition sur le domaine de connexion par exemple

Last edited by babast (2012-03-05 11:05:22)

dodane.f · 2012-03-06 16:01:38

Bonjour,
Je rencontre également des soucis pour l'execution des cron quand j'active le SSO avec cette méthode.
Quelle condition ajoutes-tu, je suis débutant en PHP!

Merci d'avance pour votre aide

Last edited by dodane.f (2012-03-06 16:13:06)

babast · 2012-03-08 16:04:21

J'utilise une condition sur le navigateur.
En gros, si le navigateur n'est pas IE ou firefox, il ne lance pas l'authentification ntlm.
Je me suis servi de cette page pour faire ça:
http://www.t-web.fr/2010/04/php-detecte … sa-version

farfadet · 2012-04-25 09:50:36

Bonjour,

Pour commencer, un grand merci pour cette solution efficace et rapide à mettre en place.
Le SSO fonctionne parfaitement avec les navigateurs Google Chrome et Firefox avec et sans le ssl, mais je n'arrive pas à le faire fonctionner sur IE6, IE8 et IE9. Une page blanche (IE9) ou impossible d'afficher la page (IE6 et IE8) s'affiche. Pourtant en ssl, la demande de certificat est bien affichée.
Les lignes concernées, situées dans le fichier ssl.conf, sont bien commentées comme indiqué dans le premier post.
L'ajout du site a bien été effectué dans Intranet local situé dans les options IE et la case Activer l'authentification intégrée de Windows est bien cochée.
Ai-je oublié de configurer un paramètre comme un débutant ?
Avez-vous effectué d'autre manipulation pour corriger l'erreur sur IE ?
Je n'ai plus d'idée pour résoudre mon incident.

Les tests ont été effectués avec ou sans le ssl sur la 0.78 et la 0.83 sous CentOS 5.

Pour information j'utilise aussi l'agent FusionInventory et l'activation du SSO pose effectivement un problème de communication entre l'agent et le serveur.
La solution est de rajouter DOMAINE\login:pass@ dans l'URL de l'agent
Par exemple :
server=http://DOMAINEAD\login:motdepasse@serveur_glpi/glpi/plugins/fusioninventory/

Met@lnono · 2012-05-18 14:44:20

Bonjour,
je trouve enfin un peu de temps pour répondre au sujet.
Concernant les erreurs avec IE, je ne vois pas se qui peut se passer ???
L'erreur apparaît avec ET sans le ssl ?
Je vais poster une nouvelle version avec un test de navigateur comme indiqué par 'babast' qui permettra de corriger notamment le problème avec FusionInventory.

babast · 2012-05-22 16:37:38

Bonjour,
Petite parenthèse, cette méthode m'a posé un problème avec le cron de glpi, en gros toutes les actions en mode CLI ne s'éxécutaient plus. N'ayant pas trouvé de solution, j'ai simplement fait une copie du include.php de base renommé en include2.php. Après il suffit de modifier front/cron.php et de faire appel à ce fichier include2.php à la place de include.php.
Ce n'est pas nikel mais tout refonctionne.

@+

Forum GLPI-Project

Announcement

#26 2012-01-10 12:29:02

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#27 2012-01-10 12:38:28

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#28 2012-01-10 12:40:41

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#29 2012-01-10 14:00:54

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#30 2012-01-10 18:00:30

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#31 2012-01-11 10:47:27

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#32 2012-01-12 17:00:16

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#33 2012-01-13 16:05:10

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#34 2012-01-13 16:43:53

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#35 2012-01-13 17:32:31

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#36 2012-01-13 17:53:15

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#37 2012-01-13 21:27:18

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#38 2012-01-16 13:53:15

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#39 2012-01-18 17:29:43

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#40 2012-01-25 12:17:06

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#41 2012-01-27 12:12:46

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#42 2012-01-27 12:33:22

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#43 2012-02-28 13:08:53

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#44 2012-03-01 12:22:42

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#45 2012-03-05 11:04:40

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#46 2012-03-06 16:01:38

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#47 2012-03-08 16:04:21

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#48 2012-04-25 09:50:36

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#49 2012-05-18 14:44:20

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

#50 2012-05-22 16:37:38

Re: Identification automatique sans mod_ntlm pour GLPI 0.80.xx à 0.83.xx

Board footer