You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

#1 2006-05-16 11:08:20

totof74
Member
Registered: 2005-08-26
Posts: 12

Problème connexion LDAP

Bonjour,

J'ai essayé de configurer la connexion ldap. Et j'ai le message d'erreur "Invalid Credentials"

Ma config :
poste glpi : W2KSP4 - xampp 2.1 - glpi 0.65 - OCS NG

Pour me connecter à ldap, j'ai créé un compte spécifique dans l'ad, ce compte se trouve dans :
cn=users, dc=mondomaine, dc=suffixe

Ce compte à les droits de délégation en lecture seule pour la lecture des informations utilisateurs sur l'OU ou se trouve mes utilisateurs, à savoir :
ou=ACCOUNTS, ou=SITE, ou=INDUSTRIE, dc=mondomaine, dc=suffixe

Je ne sais pas quoi mettre au niveau de rootdn et basedn.

Quelqu'un peut-il m'aider ?

Merci d'avance,


GLPI 10.0.6 / version avec FusionInventory intégrée (par D. Durieux)
Tourne sur Synology : RS1221RP+ / OS : DSM 7.0.1-42218 Update 3
Moteur WEB : nginx / PHP : 8.0.23

Offline

#2 2006-05-16 15:14:29

totof74
Member
Registered: 2005-08-26
Posts: 12

Re: Problème connexion LDAP

Bien, en fait, je viens de me rendre compte que le mot de passe n'est pas crypté lorsqu'il est envoyé à GLPI. Donc je ne peux pas me permettre d'utiliser cette fonctionnalité. Donc je n'ai plus de problème.


GLPI 10.0.6 / version avec FusionInventory intégrée (par D. Durieux)
Tourne sur Synology : RS1221RP+ / OS : DSM 7.0.1-42218 Update 3
Moteur WEB : nginx / PHP : 8.0.23

Offline

#3 2006-05-16 15:34:19

jm.cierniewski
Member
From: Nanterre 92
Registered: 2005-11-02
Posts: 1,655

Re: Problème connexion LDAP

bonjour, pour utiliser cette fonctionnalité, il suffit d'un simple compte sans droit aucun. Vous ne risquez donc pas grand chose à avoir un mots de passe "inutile"  qui transite en clair
cordialement


Plateforme :
OS : Windows 2003 Sp1 / logiciel de décompactage : Winzip / Navigateurs : Internet Explorer 6sp1 / firefox 1.5
Installation : Package Ocs NG RC3  - XAMPP version 1.5.1
Serveur  : Apache 2.0.55 / Base : 5.0.18-nt / Langage : PHP 5.1.1 / PhpMyAdmin 2.7.0-pl1

Offline

#4 2006-05-17 20:22:30

totof74
Member
Registered: 2005-08-26
Posts: 12

Re: Problème connexion LDAP

Bonjour et merci de m'avoir répondu.
Encouragé par votre réponse, j'ai cherché de manière plus approfondie, et j'ai fini par réussir à établir la connexion. Comme pour d'autres, il m'a fallu mettre seulement le nom de l'utilisateur pour rootdn.

Suite à cela, j'ai lancer ethereal, et là : c'est le drame !
1 - le mot de passe est envoyé en clair au serveur GLPI
2 - le mot de passe de l'utilisateur est envoyé en clair au controleur de domaine ! (et pas uniquement celui de l'utilisateur spécial pour la connexion ldap : les 2).

J'avoue être très impressionné par tout ce qu'on fait les développeurs sur cette appli, donc cela n'enlève rien aux grandes qualités de GLPI. Mais pour moi, ldap n'est pas du tout utilisable.

Il suffit que mon boss se connecte sur glpi pour faire des stats ou que le directeur de la boite créé un ticket helpdesk pour que je récupère leurs mots de passes ..! Déjà, rien que ça c'est problématique, alors que penser d'un petit malin d'un société de service qui trouve le moyen de faire un scan ethereal ......

Donc à part avoir installer un cryptage permanent sur son réseau (bonjour les problèmes), ldap n'est pas raisonnablement utilisable pour une boite qui a besoin d'un minimum de sécurité...

Si j'ai raté qqchose, n'hésitez pas à me contredire.


GLPI 10.0.6 / version avec FusionInventory intégrée (par D. Durieux)
Tourne sur Synology : RS1221RP+ / OS : DSM 7.0.1-42218 Update 3
Moteur WEB : nginx / PHP : 8.0.23

Offline

#5 2006-05-18 10:43:45

Reunionboy
Member
From: La Ciotat
Registered: 2006-04-25
Posts: 38
Website

Re: Problème connexion LDAP

Je veut pas mettre le feu au poudre mais est ce normal quand on créer un utilisateur a la main dans glpi qu'on voit son mot de passe sur le réseau en cliar??? Je viens juste de faire des test et que ca soit l'utilisateur qui est enregistrer dans glpi ou dans l'AD c la même chose le mot de passe est en clair sur le réseau. Quelqu'un peut nous éclairez?


Plateforme :
OS : Windows 2003 Serveur R2 / Navigateurs : IE 6/ Mozilla 1.5.0.7
Installation : Package Ocs NG RC3-1  - XAMPP version 1.5.1 GLPI O.68 avec Plugins
Serveur  : Apache/2.2.0 (Win32) DAV/2 mod_ssl/2.2.0 OpenSSL/0.9.8a mod_autoindex_color PHP/5.1.1 mod_perl/2.0.2 Perl/v5.8.7

Offline

#6 2006-05-18 16:38:04

Reunionboy
Member
From: La Ciotat
Registered: 2006-04-25
Posts: 38
Website

Re: Problème connexion LDAP

pas de réponse c bizarre ca ?? a mon avis si tu veux faire de la sécurité utilise le https avec les certificats


Plateforme :
OS : Windows 2003 Serveur R2 / Navigateurs : IE 6/ Mozilla 1.5.0.7
Installation : Package Ocs NG RC3-1  - XAMPP version 1.5.1 GLPI O.68 avec Plugins
Serveur  : Apache/2.2.0 (Win32) DAV/2 mod_ssl/2.2.0 OpenSSL/0.9.8a mod_autoindex_color PHP/5.1.1 mod_perl/2.0.2 Perl/v5.8.7

Offline

#7 2006-05-18 18:47:02

totof74
Member
Registered: 2005-08-26
Posts: 12

Re: Problème connexion LDAP

Quand on créé un utilisateur GLPI à la main, le mot de passe transite en clair sur le réseau.
Oui évidemment c'est ce que je disais plus haut et alors ?
Cela ne me gène pas que le mot de passe de l'utilisateur GLPI se balade en clair, ce n'est pas ça qui me pose problème.

Le problème c'est que lorsqu'on couple AD et GLPI, le mot de passe GLPI qui passe en clair, implicitement c'est aussi le mot de passe AD ! Là c'est beaucoup plus grave. Parce qu'avoir le mot de passe GLPI de mon directeur, je m'en moque, mais si j'ai son mot de passe AD, je peux faire tout et n'importe quoi sous son compte "windows"....

Donc moi ma solution, c'est de faire une extraction AD de tous les comptes de rajouter une colonne dans un fichier excel avec un mot de passe bidon pour tout le monde. Et de faire une petite requête SQL qui va bien pour importer tout ça dans GLPI.
Après il faut faire un script qui lorsqu'on ajoute un utilisateur dans AD créé automatiquement un utilisateur dans GLPI. De façon à ne pas avoir à faire un suivi individuel... Après ça dépend du nombre de personnes sur les sites.

Edit : Je viens de voir qu'effectivement certains utilisent https, je vais me renseigner là dessus. Ca pourrait bien résoudre le problème.

Last edited by totof74 (2006-05-18 18:57:06)


GLPI 10.0.6 / version avec FusionInventory intégrée (par D. Durieux)
Tourne sur Synology : RS1221RP+ / OS : DSM 7.0.1-42218 Update 3
Moteur WEB : nginx / PHP : 8.0.23

Offline

#8 2006-05-18 21:21:38

tsmr
GLPI-DEV
From: Rennes
Registered: 2005-08-26
Posts: 11,632
Website

Re: Problème connexion LDAP

en même temps GLPI n'est qu'un site.. C'est ton apache que tu dois sécuriser donc mettre du https pour pas que ca transite en clair..


Xavier Caillaud
Blog GLPI Infotel

Offline

#9 2006-05-19 01:12:35

totof74
Member
Registered: 2005-08-26
Posts: 12

Re: Problème connexion LDAP

Oui tsmr, c'est ce que je laissais entendre dans ma dernière remarque. D'ailleurs, j'ai testé, ça fonctionne très bien en https. Il faut maintenant que je trouve le moyen de faire une redirection http vers https afin de rendre incontournable la connexion sécurisée. D'ailleurs si certains ont des idées, je suis preneur (cf ma config).

Cela règle le problème de la connexion au client, mais pas celui des échanges entre GLPI et AD, du moins je pense, je verifierais ça demain (enfin tout à l'heure). Ce qui globalement ne change rien à mon problème de base. Mais cela n'est pas crucial pour moi, tant pis si je ne peux pas utiliser l'authentification AD.

Mais si quelqu'un a une solution cryptée de bout en bout, je suis intéressé !

Bonne nuit à vous, allez hop au dodo !

Last edited by totof74 (2006-05-19 01:14:40)


GLPI 10.0.6 / version avec FusionInventory intégrée (par D. Durieux)
Tourne sur Synology : RS1221RP+ / OS : DSM 7.0.1-42218 Update 3
Moteur WEB : nginx / PHP : 8.0.23

Offline

#10 2007-05-18 16:15:12

dwarf
Member
Registered: 2007-05-18
Posts: 2

Re: Problème connexion LDAP

J'ai testé https et le cryptage entre le navigateur et le serveur web glpi fonctionnent. Par contre lors de la communication entre le serveur web et le contrôleur active directory le mot de passe est en clair (pas seulement celui du compte qui est déclaré pour la connexion à l'annuaire mais également celui de l'utilisateur). GLPI ne se contente donc pas de vérifier l'existence de l'utilisateur dans la base mais tente une réelle authentification en clair.

Il est donc préférable d'éviter les connexions à l'active directory depuis GLPI. A voir si une prochaine version sera capable de contacter l'active directory avec kerberos.

Last edited by dwarf (2007-05-18 16:20:40)

Offline

#11 2007-05-18 17:08:03

JMD
GLPI - Lead
Registered: 2004-09-13
Posts: 9,180
Website

Re: Problème connexion LDAP

Posté à deux endroits différents pour dire la même chose, c'est pas forcément trés utile.

Par ailleurs, je vous ai répondu sur l'autre fil.

http://glpi-project.org/forum/viewtopic … 175#p34175

Votre raisonnement n'est pas correct. GLPI n'est absolument pas en cause...

Il incombe à l'administrateur de décider des modes de communications sécurisés ou non entre ses machines et rien ne l'empèche de le faire en SSL.


JMD / Jean-Mathieu Doléans - Glpi-project.org - Association Indepnet
Apportez votre pierre au  projet GLPI   : Soutenir

Offline

Board footer

Powered by FluxBB