pb de conec avec ED 2k3 (moi aussi !)

taltos · 2005-04-13 14:20:34

Re bonjour !

j'achoppe moi aussi sur l'intégration avec active directory de windows 2003...

mon serveur se nomme "dc2k3" il est ds le domaine "societe.fr", mes users sont tous dans l'OU "services"

Hote LDAP    ldap://dc2k3.societe.fr
Basedn       dc=dc2k3,dc=societe,dc=fr
rootdn (pour les connexions non anonymes)    cn=ricoh,ou=users,dc=societe, dc=fr
Pass (pour les connexions non anonymes)    *****
Filtre de connexion (&(objectClass=user)(objectCategory=person))
Liaisons GLPI/LDAP
name cn
email mail
location department
phone telephonenumber
realname displayname

a chaque fois que je me connecte avec un compte de mon ad j'ai:
Bad username or password.

merci de votre aide !

Last edited by taltos (2005-04-13 14:21:45)

MoYo · 2005-04-13 14:45:38

Déjà pour tester mieux vaut supprimer le filtre de connexion. Si cela fonctionne sans vous pourrez ensuite restreindre vos connexions.

taltos · 2005-04-13 16:33:51

Hum hum.. ca ne change rien malheureusement....

scorpio · 2005-04-13 16:38:30

idem pour moi

tout pareil bien comme il faut et pas message error password

par contre comment doit ton rentrer le login

car nous avons un login de type pxxxx

et dans le cn= on met nom prenom

MoYo · 2005-04-13 17:21:46

Le basedn utilisé me semble bizarre...

est-ce que : dc=societe,dc=fr ne serait pas plus correct ?

taltos · 2005-04-14 08:49:16

Hum, j'ai essayé aussi avec

Basedn dc=societe,dc=fr

meme erreur.....

satané windows

thoms · 2005-04-14 09:44:37

J'ai remarqué qu'il y avait un problème avec les filtre LDAP et mon AD. Pour fonctionner, le filtre doit etre unique (genre "(objectClass=user)"). Dès que j'ajoute d'autres critères dans le filtre, cela ne fonctionne plus. Peux-tu essayer en supprimant ton filtre et/ou utilisant un seul élement.
Autre point, dans le cas d'active directory il est préférable d'utiliser pour le champ "name" la valeur "samaccountname" qui correspond au login windows.

MoYo · 2005-04-14 13:51:42

Vous pouvez récupérer le tarball de demain j'ai modifié un peu l'affichage des messages d'erreur et vous aurez plus d'infos normalement.

scorpio · 2005-04-15 10:40:15

bonjour

super avec le nouveau tarball on voit se qui se passe mais on ne sait pas pourquoi

j'ai donc ce message moi

Invalid credentials

Invalid credentials
Bad username or password
.

voila

flogoss · 2005-04-15 18:32:45

Hello,

Essaye avec cette config (testée avec A.D. sous Win 2003) :

Basedn dc=societe,dc=fr
rootdn (pour les connexions non anonymes) cn=ricoh,cn=users,dc=societe,dc=fr
Filtre de connexion (objectClass=user)

Flo

scorpio · 2005-04-15 23:35:14

par contre je repose la question

quel login doit on mettre

car dans AD j'ai : prenom nom
mais nos logins sont de type : px123456

alors je ne sais plus

et pour l'exemple a quoi correspond ricoh

tarlak · 2005-04-18 09:09:09

Bonjour à tous,

Désolé de réactiver se post, mais j'ai le meme genre de problème. Je me suis permis de fouiller le code php de GLPI et je me suis rendu compte que la connection au serveur ldap se faisait bien c'est la fonction ldap_bind qui foire d'ou mas question, sur nos serveur nos mots de passe sont encodé d'une certaine facon md5, ssha ou autre, ne faudrait t'il pas que le mot de pass passé en parametre a la fonction ldap_bind le soit aussi afin que l'identification fonctionne correctement ?

Désolé de vous reveillez si brutalement en ce debut de semaine

J'espère que ma question pourra aider à faire progresser GLPI.

Personnellement je vais faire quelque test afin de voir si l'encodage du mot de passe y est pour quelque chose.

Bonne journée à vous

MoYo · 2005-04-18 09:11:55

Normalement il n'y a pas de raison. AD ne va pas demander a ses utilsiateur de rentrer leurs mots de passe en MD5 quand même

je sais que Microsoft est vicieux mais a ce poitn j'endoute quand même

Si le bind ne fonctionne pas c'est que vous devez avoir un problème dans le basedn et/ou le rootdn+passwd

tarlak · 2005-04-18 09:54:49

Au debut c'est ce que je pensais aussi pourtant quand je regarde votre fonction ldap_get_dn qui recherche le dn a partir du basedn fournit dans les parametres vous recuperer dans une certaine variable toutes les infos de la personne qui se connecte, j'en deduisais que le Basedn etait correcte ce qui ma donc fait penser à l'encryptage du password.

En meme temps je vien de trouver la signification de l'erreur 49 ->Invalid CREDENTIALS :

* The client passed either an incorrect DN or password.
* The password is incorrect because it has expired, intruder detection has locked the account, or some other similar reason.

Donc je penses faire sous peut la danse de l'intuition pour trouver la solution

Edit
En effet ce n'est pas l'encryptage du mot de passe qui pose probleme donc reste plus que le baseDN

Bon ben faut que je vois l'admin pour en savoir plus je vous tiendrais au courant, on ne sais jamais ca pourrais aider quelqu'un

Last edited by tarlak (2005-04-18 10:19:27)

thoms · 2005-04-18 10:42:42

Pour trouver les base DN de ton AD, tu peux utiliser un brouteur LDAP. c'est bien utile pour voir ce qui se trame dans les annuaire LDAP et notament dans le cas de m$...
J'utilise celui là qui est gratos et en java : http://www-unix.mcs.anl.gov/~gawor/ldap/

tarlak · 2005-04-18 12:17:50

Ca y eeeessssttttttt (oups désolé mais ma joie est grande lol)

J'ai trouvé la solution.... en modifiant le code de deux fonction de GLPI je vous explique lesquels :

la fonction ldap_get_dn jsute avant le return implode(",",$thedn); il y a la ligne : unset($thedn[0]);
je l'ai mise en commentaire.

ensuite j'ai modifier la function connection_ldap en modifiant la ligne $dn = "uid=" . $login . "," . $basedn;
pour la transformer en : $dn =$basedn;

et la miracle messieur ca marche et même tres bien, j'ai meme test ensuite en entrant mon login classique avec un mot de passe erroné et ca ne me connecte pas donc la fonction ldap_bind fonctionne trs bien

Voila en esperant que cela aidera quelqu'un.

Last edited by tarlak (2005-04-18 12:22:41)

Belu · 2005-05-10 18:39:04

Moi aussi j'ai un problème entre mon 2K3 et GLPI. La connexion a l'aire de se faire mais quand je logue un utilisateur j'ai le message

Connection failed to 0.0.0.0,143: Connection refused
Operations error

User not found or several users found.
Bad username or password

et quand je log un administrateur j'ai ce message:

Connection failed to 0.0.0.0,143: Connection refused
Operations error

Bad username or password
.

Mes paramètres de config sont les même que ceux que j'utilise dans phpldapadmin qui fonctionne très bien.

Merci de votre aide

PS : j'ai tester la modif de connection_ldap...

Last edited by Belu (2005-05-10 18:39:45)

scorpio · 2005-05-11 13:14:48

tarlak wrote:

Ca y eeeessssttttttt (oups désolé mais ma joie est grande lol)
J'ai trouvé la solution.... en modifiant le code de deux fonction de GLPI je vous explique lesquels :
la fonction ldap_get_dn jsute avant le return implode(",",$thedn); il y a la ligne : unset($thedn[0]);
je l'ai mise en commentaire.
ensuite j'ai modifier la function connection_ldap en modifiant la ligne $dn = "uid=" . $login . "," . $basedn;
pour la transformer en : $dn =$basedn;

et la miracle messieur ca marche et même tres bien, j'ai meme test ensuite en entrant mon login classique avec un mot de passe erroné et ca ne me connecte pas donc la fonction ldap_bind fonctionne trs bien
Voila en esperant que cela aidera quelqu'un.

on pourrait savoir quel fichier il faut modifier pour faire cela ?

Satyan · 2005-05-11 13:41:56

Bonjour,

Peux tu me dire ou se trouvent ces fonctions svp.

Merci

Belu · 2005-05-11 13:51:26

Tu les trouves dans : /glpi/glpi/common/classes.php

Mais chez moi j'ai toujours le problème meme apres modification.

tarlak · 2005-05-16 16:41:08

Pour information ayant developper un petit truc pour ma boite qui fonctionne sous Active Directory j'ai remarqué 2 chose

La premiere sous active directory pas moyen de faire une connexion anonyme, ensuite pour pouvoir se connecte il faut (dans le code) avant de faire un ldap_bind(..) faire un

ldap_set_option($idconnexion, LDAP_OPT_REFERRALS, 0);

Sinon pas moyen de pouvoir faire une simple recherche.

Voila j'espère que ca aidera

Forum GLPI-Project

Announcement

#1 2005-04-13 14:20:34

pb de conec avec ED 2k3 (moi aussi !)

#2 2005-04-13 14:45:38

Re: pb de conec avec ED 2k3 (moi aussi !)

#3 2005-04-13 16:33:51

Re: pb de conec avec ED 2k3 (moi aussi !)

#4 2005-04-13 16:38:30

Re: pb de conec avec ED 2k3 (moi aussi !)

#5 2005-04-13 17:21:46

Re: pb de conec avec ED 2k3 (moi aussi !)

#6 2005-04-14 08:49:16

Re: pb de conec avec ED 2k3 (moi aussi !)

#7 2005-04-14 09:44:37

Re: pb de conec avec ED 2k3 (moi aussi !)

#8 2005-04-14 13:51:42

Re: pb de conec avec ED 2k3 (moi aussi !)

#9 2005-04-15 10:40:15

Re: pb de conec avec ED 2k3 (moi aussi !)

#10 2005-04-15 18:32:45

Re: pb de conec avec ED 2k3 (moi aussi !)

#11 2005-04-15 23:35:14

Re: pb de conec avec ED 2k3 (moi aussi !)

#12 2005-04-18 09:09:09

Re: pb de conec avec ED 2k3 (moi aussi !)

#13 2005-04-18 09:11:55

Re: pb de conec avec ED 2k3 (moi aussi !)

#14 2005-04-18 09:54:49

Re: pb de conec avec ED 2k3 (moi aussi !)

#15 2005-04-18 10:42:42

Re: pb de conec avec ED 2k3 (moi aussi !)

#16 2005-04-18 12:17:50

Re: pb de conec avec ED 2k3 (moi aussi !)

#17 2005-05-10 18:39:04

Re: pb de conec avec ED 2k3 (moi aussi !)

#18 2005-05-11 13:14:48

Re: pb de conec avec ED 2k3 (moi aussi !)

#19 2005-05-11 13:41:56

Re: pb de conec avec ED 2k3 (moi aussi !)

#20 2005-05-11 13:51:26

Re: pb de conec avec ED 2k3 (moi aussi !)

#21 2005-05-16 16:41:08

Re: pb de conec avec ED 2k3 (moi aussi !)

Board footer