Problème connexion LDAP

totof74 · 2006-05-16 11:08:20

Bonjour,

J'ai essayé de configurer la connexion ldap. Et j'ai le message d'erreur "Invalid Credentials"

Ma config :
poste glpi : W2KSP4 - xampp 2.1 - glpi 0.65 - OCS NG

Pour me connecter à ldap, j'ai créé un compte spécifique dans l'ad, ce compte se trouve dans :
cn=users, dc=mondomaine, dc=suffixe

Ce compte à les droits de délégation en lecture seule pour la lecture des informations utilisateurs sur l'OU ou se trouve mes utilisateurs, à savoir :
ou=ACCOUNTS, ou=SITE, ou=INDUSTRIE, dc=mondomaine, dc=suffixe

Je ne sais pas quoi mettre au niveau de rootdn et basedn.

Quelqu'un peut-il m'aider ?

Merci d'avance,

totof74 · 2006-05-16 15:14:29

Bien, en fait, je viens de me rendre compte que le mot de passe n'est pas crypté lorsqu'il est envoyé à GLPI. Donc je ne peux pas me permettre d'utiliser cette fonctionnalité. Donc je n'ai plus de problème.

jm.cierniewski · 2006-05-16 15:34:19

bonjour, pour utiliser cette fonctionnalité, il suffit d'un simple compte sans droit aucun. Vous ne risquez donc pas grand chose à avoir un mots de passe "inutile" qui transite en clair
cordialement

totof74 · 2006-05-17 20:22:30

Bonjour et merci de m'avoir répondu.
Encouragé par votre réponse, j'ai cherché de manière plus approfondie, et j'ai fini par réussir à établir la connexion. Comme pour d'autres, il m'a fallu mettre seulement le nom de l'utilisateur pour rootdn.

Suite à cela, j'ai lancer ethereal, et là : c'est le drame !
1 - le mot de passe est envoyé en clair au serveur GLPI
2 - le mot de passe de l'utilisateur est envoyé en clair au controleur de domaine ! (et pas uniquement celui de l'utilisateur spécial pour la connexion ldap : les 2).

J'avoue être très impressionné par tout ce qu'on fait les développeurs sur cette appli, donc cela n'enlève rien aux grandes qualités de GLPI. Mais pour moi, ldap n'est pas du tout utilisable.

Il suffit que mon boss se connecte sur glpi pour faire des stats ou que le directeur de la boite créé un ticket helpdesk pour que je récupère leurs mots de passes ..! Déjà, rien que ça c'est problématique, alors que penser d'un petit malin d'un société de service qui trouve le moyen de faire un scan ethereal ......

Donc à part avoir installer un cryptage permanent sur son réseau (bonjour les problèmes), ldap n'est pas raisonnablement utilisable pour une boite qui a besoin d'un minimum de sécurité...

Si j'ai raté qqchose, n'hésitez pas à me contredire.

Reunionboy · 2006-05-18 10:43:45

Je veut pas mettre le feu au poudre mais est ce normal quand on créer un utilisateur a la main dans glpi qu'on voit son mot de passe sur le réseau en cliar??? Je viens juste de faire des test et que ca soit l'utilisateur qui est enregistrer dans glpi ou dans l'AD c la même chose le mot de passe est en clair sur le réseau. Quelqu'un peut nous éclairez?

Reunionboy · 2006-05-18 16:38:04

pas de réponse c bizarre ca ?? a mon avis si tu veux faire de la sécurité utilise le https avec les certificats

totof74 · 2006-05-18 18:47:02

Quand on créé un utilisateur GLPI à la main, le mot de passe transite en clair sur le réseau.
Oui évidemment c'est ce que je disais plus haut et alors ?
Cela ne me gène pas que le mot de passe de l'utilisateur GLPI se balade en clair, ce n'est pas ça qui me pose problème.

Le problème c'est que lorsqu'on couple AD et GLPI, le mot de passe GLPI qui passe en clair, implicitement c'est aussi le mot de passe AD ! Là c'est beaucoup plus grave. Parce qu'avoir le mot de passe GLPI de mon directeur, je m'en moque, mais si j'ai son mot de passe AD, je peux faire tout et n'importe quoi sous son compte "windows"....

Donc moi ma solution, c'est de faire une extraction AD de tous les comptes de rajouter une colonne dans un fichier excel avec un mot de passe bidon pour tout le monde. Et de faire une petite requête SQL qui va bien pour importer tout ça dans GLPI.
Après il faut faire un script qui lorsqu'on ajoute un utilisateur dans AD créé automatiquement un utilisateur dans GLPI. De façon à ne pas avoir à faire un suivi individuel... Après ça dépend du nombre de personnes sur les sites.

Edit : Je viens de voir qu'effectivement certains utilisent https, je vais me renseigner là dessus. Ca pourrait bien résoudre le problème.

Last edited by totof74 (2006-05-18 18:57:06)

tsmr · 2006-05-18 21:21:38

en même temps GLPI n'est qu'un site.. C'est ton apache que tu dois sécuriser donc mettre du https pour pas que ca transite en clair..

totof74 · 2006-05-19 01:12:35

Oui tsmr, c'est ce que je laissais entendre dans ma dernière remarque. D'ailleurs, j'ai testé, ça fonctionne très bien en https. Il faut maintenant que je trouve le moyen de faire une redirection http vers https afin de rendre incontournable la connexion sécurisée. D'ailleurs si certains ont des idées, je suis preneur (cf ma config).

Cela règle le problème de la connexion au client, mais pas celui des échanges entre GLPI et AD, du moins je pense, je verifierais ça demain (enfin tout à l'heure). Ce qui globalement ne change rien à mon problème de base. Mais cela n'est pas crucial pour moi, tant pis si je ne peux pas utiliser l'authentification AD.

Mais si quelqu'un a une solution cryptée de bout en bout, je suis intéressé !

Bonne nuit à vous, allez hop au dodo !

Last edited by totof74 (2006-05-19 01:14:40)

dwarf · 2007-05-18 16:15:12

J'ai testé https et le cryptage entre le navigateur et le serveur web glpi fonctionnent. Par contre lors de la communication entre le serveur web et le contrôleur active directory le mot de passe est en clair (pas seulement celui du compte qui est déclaré pour la connexion à l'annuaire mais également celui de l'utilisateur). GLPI ne se contente donc pas de vérifier l'existence de l'utilisateur dans la base mais tente une réelle authentification en clair.

Il est donc préférable d'éviter les connexions à l'active directory depuis GLPI. A voir si une prochaine version sera capable de contacter l'active directory avec kerberos.

Last edited by dwarf (2007-05-18 16:20:40)

JMD · 2007-05-18 17:08:03

Posté à deux endroits différents pour dire la même chose, c'est pas forcément trés utile.

Par ailleurs, je vous ai répondu sur l'autre fil.

http://glpi-project.org/forum/viewtopic … 175#p34175

Votre raisonnement n'est pas correct. GLPI n'est absolument pas en cause...

Il incombe à l'administrateur de décider des modes de communications sécurisés ou non entre ses machines et rien ne l'empèche de le faire en SSL.

Forum GLPI-Project

Announcement

#1 2006-05-16 11:08:20

Problème connexion LDAP

#2 2006-05-16 15:14:29

Re: Problème connexion LDAP

#3 2006-05-16 15:34:19

Re: Problème connexion LDAP

#4 2006-05-17 20:22:30

Re: Problème connexion LDAP

#5 2006-05-18 10:43:45

Re: Problème connexion LDAP

#6 2006-05-18 16:38:04

Re: Problème connexion LDAP

#7 2006-05-18 18:47:02

Re: Problème connexion LDAP

#8 2006-05-18 21:21:38

Re: Problème connexion LDAP

#9 2006-05-19 01:12:35

Re: Problème connexion LDAP

#10 2007-05-18 16:15:12

Re: Problème connexion LDAP

#11 2007-05-18 17:08:03

Re: Problème connexion LDAP

Board footer