You are not logged in.
Bonjour à toutes et tous,
Nous avons un serveur GLPI (10.0.6) sous linux à jour avec un SSO parfaitement fonctionnel pour nos utilisateurs AD dans le domaine.
Nous rencontrons un problème avec nos 3 devs utilisant des pc sous linux et hors domaine, mais sur le même réseau.
Ils utilisent un compte AD pour GLPI qui fonctionne, mais ils sont en permanence spam par le prompt d'authentification (comme un htaccess).
J'ai essayé plusieurs solutions indiquées par-ci par là sans jamais réussir à résoudre ce problème.
Voici la config vhost mise en place par mon prédécesseur il y a 3 ans.
<VirtualHost *:80>
ServerAdmin webmaster@localhost
ServerName monurl.fr
DocumentRoot "/var/www/html/glpi"
<Directory "/var/www/html/glpi">
Options -Indexes +FollowSymLinks +MultiViews
# AllowOverride All
# Order allow,deny
# allow from all
AuthType Kerberos
AuthName "SSO"
KrbAuthRealms DOMAINE.LOCAL
KrbServiceName HTTP/monurl.fr
Krb5Keytab /etc/apache2/keytab/support.keytab
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbSaveCredentials On
require valid-user
</Directory>
RewriteEngine on
RewriteCond %{SERVER_NAME} =monurl.fr
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>
<VirtualHost *:443>
ServerAdmin webmaster@localhost
ServerName monurl.fr
DocumentRoot "/var/www/html/glpi"
<Directory "/var/www/html/glpi">
Options -Indexes +FollowSymLinks +MultiViews
# AllowOverride All
# Order allow,deny
# allow from all
AuthType Kerberos
AuthName "SSO"
KrbAuthRealms DOMAINE.LOCAL
KrbServiceName HTTP/monurl.fr
Krb5Keytab /etc/apache2/keytab/support.keytab
KrbMethodNegotiate On
KrbMethodK5Passwd On
KrbSaveCredentials On
require valid-user
</Directory>
Merci à tous pour vos retours.
Offline
Je relance au cas où
Last edited by ITfrdr (2024-04-04 10:21:11)
Offline
>Nous rencontrons un problème avec nos 3 devs utilisant des pc sous linux et hors domaine, mais sur le même réseau.
>Ils utilisent un compte AD pour GLPI qui fonctionne, mais ils sont en permanence spam par le prompt d'authentification (comme un htaccess).
Le 'SPAM' signifie l'absence d'historisation du ticket kerberos utilisé lors de la premiere ouverture de session , d'ou les demandes intempestives.
Pour que l'utilisateur conserve son ticket de session, il faudrait qu'il dispose d'un keytab perso à jour, donc qu'il soit inscrit dans le domaine.
Je pense que l'inscription dans le domaine des linux soit un prérequis.
A part si tu arrives à générer un keytab pour chaque pc
Offline
Bonjour J2C99
Nous avions fait un test avec la configuration krb5.conf + création d'un keytab, mais nous avions toujours le même problème.
Je vais voir pour refaire une config sur un 2ᵉ postes.
Offline