Forum GLPI-Project

Dliryc

Member

Registered: 2016-01-13

Posts: 36

Re: Single sign on avec Kerberos

Bonjour,

J'ai appliqué ce super tuto à la lettre mais ça ne fonctionne pas (conf Debian Apache2 et Windows 7 en test IE/Firefox, W8 2008R2, 1 seul domaine).

Tout s'est bien passé, aucune erreur lors du paramétrage mais pour autant le navigateur demande toujours une authentification lorsque j'ouvre GLPI.

- La création du ticket fonctionne bien avec kinit
- L'authentification "classique" sur GLPI fonctionne toujours très bien
- J'ai dû créer le fichier glpi dans le dossier /etc/apache2/sites-enabled/ car il n'existait pas
- le module auth_kerb est bien activé lorsque je le vérifie

Une chose me chiffone, c'est lors de la création du keytab, on saisit HTTP/GLPIHOSTNAME@NOTREDOMAINE, or mon serveur GLPI n'est pas sur le domaine. Y-a-t-il un lien ?

Où est-ce que je peux trouver les logs les + pertinents ou quels tests puis-je faire pour comprendre là où ça pèche ? J'imagine que les infos données sont minces pour espérer un dépannage.

Merci d'avance !

anthonygirault

Member

Registered: 2014-11-18

Posts: 89

Re: Single sign on avec Kerberos

Bonjour à vous,

petite précision sur cette commande:

[libdefaults]
default_realm = DOM1.GRP

[domain_realm]
    .DOM1.grp = DOM1.GRP
    .DOM2.grp = DOM2.GRP
[realms]
     DOM1.GRP = {
                      admin_server = DOM1DC.DOM1.grp
                      kdc          = DOM1DC.DOM1.grp
                    }
     DOM2.GRP = {
                      admin_server = DOM2DC.DOM2.grp
                      kdc          = DOM2DC.DOM2.grp
                    #
                    # If using Windows2003 write
                    #
                    #    kdc = tcp/DOM2DC.DOM2.grp
                    #
                    # instead.
                    }

J'ai remplacé "DOM1.GRP" par mon nom de domaine. Par contre, qu'entendez vous par "DOM1DC" ? S'agit il du nom su serveur de mon controleur de domaine? De mon compte admin?

Pour le coup, mon fichier krb5.conf ressemble à cela:

[libdefaults]
default_realm = SOCIETE.AD

[domain_realm]
    .SOCIETE.ad = SOCIETE.AD

[realms]
     SOCIETE.AD = {
                      admin_server = serverDC.SOCIETE.ad
                      kdc          = serverDC.SOCIETE.ad
                    }

Suite à cette modification, quand je renseigne cette commande:

kinit mon_compte@SOCIETE.AD

Il me demande mon mot de passe et quand je lui renseigne, j'ai cette réponse:

kinit: Password incorrect

Avez une idée d’où pourrait venir le problème?

Ma config:
Glpi 9.1.4
Ubuntu Server 16.04
Info supp:
je en gère pas le contrôleur de domaine et je ne suis donc pas admin de mon domaine.

anthonygirault

Member

Registered: 2014-11-18

Posts: 89

Re: Single sign on avec Kerberos

up ?

anthonygirault

Member

Registered: 2014-11-18

Posts: 89

Re: Single sign on avec Kerberos

Toujours personne??