Probleme authentification LDAP sur un AD

Demes · 2012-06-11 17:18:49

Bonjour,

J'ai un soucis dans mon lab au niveau de l'authentification via la liaison LDAP sur mon GLPI.

J'ai configuré ma liaison LDAP (qui fonctionne), j'ai importer mes utilisateurs depuis l'AD. Mais j'ai un soucis d'autorisation sur mon serveur Active Directory qui fait que la connexion ne se fait pas.

En effet l'authentification ne fonctionne pas si l'utilisateur n'a pas le droit de se connecter sur le serveur AD (station de travail accessible).

Du coup je devrai mettre à tous mes utilisateurs le droit de connexion sur mon serveur Active Directory .... Et ça c'est pas possible !

Y a t'il une autre solution pour palier à ce problème (s'authentifier grâce à un AD sans distribuer le droit de connexion sur le serveur) ?

Je cherche de mon coté, et si vous avez besoins de précisions n'hésitez pas !

Et encore merci d'avance pour vos réponses

Demes · 2012-06-12 10:37:49

Plus de précision :

C'est vraiment l'absence du droit d'ouvrir une session sur le serveur qui héberge l'AD qui m’empêche de m'authentifier sur GLPI.

J'ai mis le contrôle total sur l'AD à mon compte test_glpi, du coup il peut supprimer l'AD en entier si il veut (et qu'il a les tools d'installer), mais je lui ai pas mis le droit d'ouvrir une session sur le serveur qui heberge le rôle d'AD : L'authentification marche toujours pas.
Et si je lui met des droits normaux mais la possibilité d'ouvrir une session sur le serveur AD, l'authentification marche ...

tomolimo · 2012-06-25 12:04:33

Bonjour,
Chez nous cela marche, tous les users sont en "lecture seule" sur l'AD...
Pouvez-vous donner plus de détails sur la conf (AD, GLPI) ?
merci,
Tomolimo

Demes · 2012-06-26 08:35:37

Bonjour et merci pour votre réponse

Les utilisateurs sont en lectures seule sur l'AD, c'est à dire qu'ils n'ont pas les droits de modification etc .. ? Moi aussi normalement ! Est que du coup tes utilisateurs ont le droit d'ouvrir une session sur ton serveur AD ( voir screenshot au dessus ) ?

La conf de mon GLPI est celle que l'on a lorsqu'on choisit "Préconfiguration : Active Directory" avec le BaseDN à la racine de mon AD et le rootDN sur mon utilisateur admin.

Mon AD conf des plus basiques, on gère les utilisateurs avec des UO par service et ils ne peuvent travailler que sur les stations sur lesquels ont choisis.

Je veux bien un peu plus de précisions sur tes users en lecture seule sur l'AD, et savoir si tes users ont le droit d'ouvrir une session sur l'AD.

Encore merci pour ta réponse

Demes · 2012-07-03 16:38:11

Je reviens à la charge car je vais surement deployer ça dans la semaine à venir (ou la prochaine) et je n'ai toujours pas trouver de seconde solution.

Du coup quand j'ai expliqué la situation à mon chef (si on veut garder les logins + mdp de l'AD, il faut autoriser la connexion au DC pour tous les utilisateurs) il a refusé que je synchro mon glpi à l'AD de mon entreprise, du coup 100 utilisateurs à rentrer à la main ... C'est bof bof !

Merci d'avance pour vos réponses !

tomolimo · 2012-07-03 16:49:13

Désolé, j'avais oublié de m'abonner à ce topic....
La relance était indispensable
Bien pour revenir à nos moutons, nos users n'ont pas le droit d'ouvrir de session sur le serveur de l'AD.
Par contre pour vous aider, j'ai besoin de + de détails sur les conf serveur web, GLPI, AD.
merci,
cordialement,
Tomolimo

Demes · 2012-07-04 11:55:29

Alors le serveur qui heberge ma solution ocs+glpi est un windows server 2008 R2.

Dessus j'ai installé le xampp fournit avec le dernier OCS, cad xampp 1.7.7. Mon site est sur le port 8082 et tout semble fonctionner !

La liaison LDAP avec comme filtre de connexion :

(&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

BaseDN : DC=lantest,DC=local (La racine de mon AD)
DN du compte : CN=Administrateur,OU=Utilisateurs,OU=Informatique,DC=lantest,DC=local
MDP : Le mdp

La liaison fonctionne, mes utilisateurs sont importés etc ..

Mon AD est le DC principale d'une foret unique, le compte administrateur est admin du domaine et peut se connecter partout.
Les autres sessions ne peuvent se connecter que sur leurs pcs.

J'espere avoir donné les infos que tu voulais ..

Et encore merci pour ta réponse ici et par email

tomolimo · 2012-07-04 13:19:02

ok, alors j'ai regardé dans l'outil "Active Directory Users and Computers" et j'ai listé les droits pour les "Authenticated Users":
ils ont les droits suivants (vu en utilisant le click droit sur le domaine et en regardant dans 'properties' et ensuite dans 'security' et ensuite dans 'effective permissions' puis en selectionnant 'authenticated users': et dans la liste obtenue, ils ont tous les droits qui correspondent à de la lecture...
cordialement,
Tomolimo

Demes · 2012-07-04 15:03:05

J'ai pourtant la même chose, si je fais clic droit "propriété" => "sécurité" à la racine de mon AD, mes utilisateurs identifiés sont aussi en lecture !

Y a pas mal d'autres droits, chez toi y en a t'il d'autre de coché ? Moi j'ai par exemple "Lire Mot de passe de domaine et strategies de verouillage", "Lire les parametres d'un autre domaine" en autorisé aussi !

tomolimo · 2012-07-04 16:11:21

oui, tout ce qui peut être en lecture est en lecture,
Tomolimo

Demes · 2012-07-04 16:49:29

J'ai mis mes utilisateurs authentifiés en controle total sur tout mon AD et ça ne fonctionne toujours pas .. Par contre si je rajoute la connexion à mon DC : ça marche !

Etes vous sur de ne pas avoir mis à vos utilisateurs le droit de se connecter sur tous les ordinateurs ?

Ou sinon ça doit être une autre option ... le DN du compte authentifié doit bien être administrateur ? Une option à mettre dans le filtre de connexion ?

Demes · 2012-07-06 11:09:27

Pour le coup pas de nouvelle pas de bonne nouvelle pour moi

(ceci est un up)

tomolimo · 2012-07-06 11:17:14

c'est exact, nos utilisateurs ne sont pas restreints à un seul PC, ils peuvent se connecter sur n'importe quel PC, mais pas sur les serveurs.
Cordialement,
Tomolimo

Demes · 2012-07-09 10:24:07

Pour vous cela ne semble t'il donc pas être une faille de sécurité ?

tomolimo · 2012-07-09 10:42:36

non car c'est voulut, les profils sont sur un serveur, et ils sont chargés au login et sauvegardés à la déconnexion.
Cela permet aux utilisateurs de changer de PC sans problème. Les profils sont de toute façon protogés par les mots de passes des utilisateurs.
Précision: les utilisaeurs peuvent se connecter à des ressources sur les serveurs, mais ils ne peuvent pas se connecter en interactif. Si les utilisateurs sont interdits de connexions aux serveurs, cela veut dire qu'ils ne peuvent pas se connecter sur des serveurs Intranet en mode WinNT, or nous avons chez nous pléthore de'application Intranet en SSO (Single Sign On = utilisation du login windows pour s'authentifier sur applications réseau).
Cordialement,
Tomolimo

Demes · 2012-07-09 16:25:16

Je comprends parfaitement, je suis juste à la recherche d'arguments pour convaincre mon supérieur

Il refuse qu'on autorise le droit de session sur le DC, malgré le fait que le RDP soit desactivé sur ce dernier. Du coup si il ne change pas d'avis, et vu que l'ouverture d'une session sur GLPI via l'AD nécessite ce droit, je vais devoir mettre à tous les utilisateurs un mot de pass bidon à la main ...

Last edited by Demes (2012-07-09 16:28:09)

tomolimo · 2012-07-09 16:34:01

A mon avis si ce droit n'est pas donné, il n'y a aucune appli sur le réseau qui peut fonctionner en authentification NTLM...

Demes · 2012-07-10 08:36:44

On a pas mal d'appli sur notre intranet qui fonctionne avec les authent' windows avec l'asp.net sur iis sans soucis pourtant ..

tomolimo · 2012-07-17 16:06:51

nous aussi...

Demes · 2012-07-18 08:53:03

En plus j'ai vu qu'on pouvait activé le SSO ! Je l'ai fais sur mon serveur en lab ça fonctionne super bien ..!

Faut vraiment que j'arrive à faire changer d'avis mon DSI

tomolimo · 2012-07-18 09:23:16

Pour le SSO: attention, cela apporte un certain ralentissement....
A+
Tomolimo

Demes · 2012-07-18 09:48:40

Un ralentissement ... Dans la navigation ? A la connexion ? Sur la machine cliente ? Sur le serveur ?

Demes · 2012-07-24 14:32:12

Encore une question pour la communauté GLPI, le fait de devoir mettre le droit d'ouvrir une session sur tous les serveurs ou le DC n'est pas une faille de securité ?

Mon DSI veut bien que j'autorise le droit sur un compte pourqu'il essaye de faire sauter le LDAP, y a moyen de limiter les droits des users des choses comme ça ? Pour qu'il vérifie juste si le login est bon ?

Mais utilisateurs authentifiés étant déjà en lecture sur mon AD

Last edited by Demes (2012-07-24 14:33:03)

Demes · 2012-10-11 15:02:08

J'en profite pour dire que j'ai reussi à contourner le probleme en utilisant le module SSO d'apache ! Celui-ci gère parfaitement l'authentification de mes utilisateurs (en SSO) en se synchronisant sur mon AD sans pour autant que mes utilisateurs puissent se connecter sur le serveur DC.

tomolimo · 2012-10-11 15:46:10

Merci du retour,
Cordialement,
Tomolimo

Forum GLPI-Project

Announcement

#1 2012-06-11 17:18:49

Probleme authentification LDAP sur un AD

#2 2012-06-12 10:37:49

Re: Probleme authentification LDAP sur un AD

#3 2012-06-25 12:04:33

Re: Probleme authentification LDAP sur un AD

#4 2012-06-26 08:35:37

Re: Probleme authentification LDAP sur un AD

#5 2012-07-03 16:38:11

Re: Probleme authentification LDAP sur un AD

#6 2012-07-03 16:49:13

Re: Probleme authentification LDAP sur un AD

#7 2012-07-04 11:55:29

Re: Probleme authentification LDAP sur un AD

#8 2012-07-04 13:19:02

Re: Probleme authentification LDAP sur un AD

#9 2012-07-04 15:03:05

Re: Probleme authentification LDAP sur un AD

#10 2012-07-04 16:11:21

Re: Probleme authentification LDAP sur un AD

#11 2012-07-04 16:49:29

Re: Probleme authentification LDAP sur un AD

#12 2012-07-06 11:09:27

Re: Probleme authentification LDAP sur un AD

#13 2012-07-06 11:17:14

Re: Probleme authentification LDAP sur un AD

#14 2012-07-09 10:24:07

Re: Probleme authentification LDAP sur un AD

#15 2012-07-09 10:42:36

Re: Probleme authentification LDAP sur un AD

#16 2012-07-09 16:25:16

Re: Probleme authentification LDAP sur un AD

#17 2012-07-09 16:34:01

Re: Probleme authentification LDAP sur un AD

#18 2012-07-10 08:36:44

Re: Probleme authentification LDAP sur un AD

#19 2012-07-17 16:06:51

Re: Probleme authentification LDAP sur un AD

#20 2012-07-18 08:53:03

Re: Probleme authentification LDAP sur un AD

#21 2012-07-18 09:23:16

Re: Probleme authentification LDAP sur un AD

#22 2012-07-18 09:48:40

Re: Probleme authentification LDAP sur un AD

#23 2012-07-24 14:32:12

Re: Probleme authentification LDAP sur un AD

#24 2012-10-11 15:02:08

Re: Probleme authentification LDAP sur un AD

#25 2012-10-11 15:46:10

Re: Probleme authentification LDAP sur un AD

Board footer