Forum GLPI-Project

Intt

Member

Registered: 2011-04-28

Posts: 4

SSO sur serveur WinXP SP3 + XAMPP

Bonjour,

Je suis entrain d'essayer de mettre en place le SSO sur GLPI v0.78.2 avec un XAMPP (Apache 2.2.14, PHP 5.3.1 et MySQL 5.1.41).

J'ai bien entendu essayé de suivre le topic présent sur cette page : http://www.glpi-project.org/wiki/doku.p … les_a_0.71 mais je n'arrive pas à faire fonctionner le SSO.

Les modifications que j'ai faite sont les suivantes :
- Ajout du fichier mod_auth_sspi.so en v.1.0.4-2.2.2 dans le dossier "modules" d'apache

- Activation du module mod_auth_sspi.so dans le fichier httpd.conf (en rajoutant la ligne LoadModule sspi_auth_module modules/mod_auth_sspi.so à la fin de la liste des différents modules)

- Ajout de la configuration du répertoire à la fin du fichier de conf d'apache (j'ai vérifié que le chemin du répertoire glpi est bien le bon)

#glpi configuration
<Directory "C:\xampp\htdocs\glpi>
  Options None
  Order allow,deny
  Allow from all
  AuthName "Accès restreint"
  AuthType SSPI
  SSPIAuth On
  SSPIAuthoritative On
  SSPIOfferBasic On
  SSPIPerRequestAuth On
  require valid-user
</Directory>

- Dans IE, l'option "Activer l'authentification Windows intégrée" est bien activée et le site fait bien partie de la zone "Intranet Local"

- Dans GLPI, Authentification => Autres, j'ai modifié le champ de stockage de l'identifiant dans la variable _SERVER en REMOTE_USER et j'ai fait un test pour connaitre la valeur retournée (format : Domaine\nom_utilisateur). J'ai modifié aussi l'option "Supprimer le domaine des identifiants de la forme identifiants@domaine" en mettant à Oui. Le choix de l'annuaire LDAP pointe sur le serveur AD.

La connexion via une authentification LDAP fonctionne sans problème lorsque l'on saisi le login dans le formulaire d'authentification GLPI sous la forme nom_utilisateur@domaine.local mais pas en Domaine\nom_utilisateur. Comme la valeur renvoyée par la variable $_SERVER['REMOTE_USER'] n'est pas sous la même forme, est ce que cela pourrait empêcher le SSO de fonctionner correctement ?
Si le problème ne vient pas de là, avez vous d'autres idées ?

Merci d'avance pour vos réponses.

---

GLPI 0.78.2 (Apache 2.2.14, PHP 5.3.1 et MySQL 5.1.41)
Authentification : AD (Windows 2003 Server - niveau fonctionnel 2000)

TheHinou

Member

Registered: 2008-07-03

Posts: 434

Re: SSO sur serveur WinXP SP3 + XAMPP

Verifier que votre sspi fonctionne en créant une page php contenant ce code :

<html>
<head>
  <title>whoami at <?php $_SERVER['SERVER_NAME']; ?> </title>
</head>
<body style='font-family:Verdana;font-size:-1'>
<?php

$cred = explode('\\',$_SERVER['REMOTE_USER']);
echo $_SERVER['REMOTE_USER'];
if (count($cred) == 1) array_unshift($cred, "(no domain info - perhaps SSPIOmitDomain is On)");
list($domain, $user) = $cred;

echo "You appear to be user <B>$user</B><BR/>";
echo "logged into the Windows NT domain <B>$domain</B>";

?>
</body>
</html>

faite charger la page par votre client web via votre serveur http

si aucune information de domain remonte c'est que vous avez un problème de sspi

Last edited by TheHinou (2011-04-29 14:12:55)

---

Server : Windows 2003 - Apache 2.2.23 - Php 5.4.11  - Mysql 5.5.30 - Glpi 0.83.7

Intt

Member

Registered: 2011-04-28

Posts: 4

Re: SSO sur serveur WinXP SP3 + XAMPP

Tout d'abord, merci de prendre du temps pour me répondre.

Voici le retour fait par le code que vous m'avez donné :

Domaine\usernameYou appear to be user username
logged into the Windows NT domain Domaine

La partie Domaine et username corresponde bien au nom du domaine AD et à mon nom d'utilisateur.

---

GLPI 0.78.2 (Apache 2.2.14, PHP 5.3.1 et MySQL 5.1.41)
Authentification : AD (Windows 2003 Server - niveau fonctionnel 2000)

TheHinou

Member

Registered: 2008-07-03

Posts: 434

Re: SSO sur serveur WinXP SP3 + XAMPP

Bon déjà le sspi fonctionne.

le probleme dois venir de la modif de glpi

---

Server : Windows 2003 - Apache 2.2.23 - Php 5.4.11  - Mysql 5.5.30 - Glpi 0.83.7

Intt

Member

Registered: 2011-04-28

Posts: 4

Re: SSO sur serveur WinXP SP3 + XAMPP

La modif glpi ? Est il possible d'être plus précis ?

J'ai quand même vérifié en créant une page php faisant un "echo $_SERVER['REMOTE_USER'];" pour connaitre la valeur de la variable et il me renvoie bien Domaine\username.

Lorsque l'on se connecte via le formulaire glpi, on est obligé de saisir l'identifiant sous la forme username@domaine. J'ai essayé en saisissant l'identifiant sous la forme Domaine\username et ça ne fonctionne pas.
Est ce normal ?

---

GLPI 0.78.2 (Apache 2.2.14, PHP 5.3.1 et MySQL 5.1.41)
Authentification : AD (Windows 2003 Server - niveau fonctionnel 2000)

tomolimo

Member

From: Grenoble, France

Registered: 2009-05-12

Posts: 517

Re: SSO sur serveur WinXP SP3 + XAMPP

Bonjour,
Tout d'abord pour vous rassurer : chez nous, nous sommes bien en SSO!
Ensuite pour vous informer: le tout dernier module SSPI ne marche pas bien, j'ai été obligé d'utiliser la version 1.01 au lieu de la 1.04!
Je ne sais pas pourquoi, mais cela marche bien maintenant.
Voici ma config SSO pour apache:

#SSPI configuration for SSO
 <Directory "H:/xampp/htdocs/glpi>
  Options None
  Order allow,deny
  Allow from all
  AuthName "SSO Authentication"
  AuthType SSPI
  SSPIAuth On
  SSPIAuthoritative On
  #SSPIOfferBasic On
  #SSPIBasicPreferred
  require valid-user
  </Directory>

Autre chose, l'option "Supprimer le domaine des identifiants de la forme identifiants@domaine"  est à "Non" chez moi...peut-être une piste.
Autre piste : Est-ce que le test de connection sur le LDAP fonctionne ?

Last edited by tomolimo (2011-05-09 11:23:57)

---

GLPI 9.5.5 - PHP 7.4 / ProcessMaker 3.3.0-community - PHP 7.1 / Windows 2016 / IIS  / MySQL 5.7
Worldwide: >17k Computers, >17k Users (16 languages, >11 timezones), >610k tickets, >6700 entities, >7600 Groups, >20700 process cases
Raynet is ARaymond (https://www.araymond.com) IT service management

Intt

Member

Registered: 2011-04-28

Posts: 4

Re: SSO sur serveur WinXP SP3 + XAMPP

Bonjour,

J'ai remis l'option "Supprimer le domaine des identifiants de la forme identifiants@domaine" à non.
Mon fichier de conf apache est quasiment le même mis à part les deux lignes commentées (SSPIOfferBasic On et SSPIBasicPreferred).
J'ai modifié le mod_auth_sspi.so présent dans les modules d'apache par une version 1.03 plus ancienne.

Le problème est que le serveur apache ne démarre pas avec cette version du module.

Est il possible de m'envoyer par mail la version 1.01 que vous avez pour que je fasse le test ?

Last edited by Intt (2011-05-09 16:56:09)

---

GLPI 0.78.2 (Apache 2.2.14, PHP 5.3.1 et MySQL 5.1.41)
Authentification : AD (Windows 2003 Server - niveau fonctionnel 2000)

pikashu

Member

Registered: 2011-04-27

Posts: 16

Re: SSO sur serveur WinXP SP3 + XAMPP

Nous avons eu aussi des soucis sur le SSO.

Il s'agit d'un bug d'IE sur les posts et en Ajax.

La solution la plus simple est de créer une GPO pour déployer la clef de registre suivante :

DWORD HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\DisableNTLMPreAuth  = 1

Et voila plus de soucis.

ddurieux

Plugins Dev

From: Propières, France

Registered: 2005-06-17

Posts: 7,521

Re: SSO sur serveur WinXP SP3 + XAMPP

Ouais mais tu modifie le comportement d'authentification des ordinateurs... je ne pense pas que ça soit à conseiller

pikashu

Member

Registered: 2011-04-27

Posts: 16

Re: SSO sur serveur WinXP SP3 + XAMPP

Pas vraiment il s'agit surtout de combler un problème lié a IE qui est corrigé dans la V9.

En gros les données du post ne sont pas renvoyée une 2ième fois suite à a une authentification.

Cette modification est connu et supportée : CF : http://support.microsoft.com/kb/251404