You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

#76 2018-01-11 18:21:43

Fleausad
Guest
Registered: 2017-07-06
Posts: 11

Re: SSO glpi 0.85.2 sur debian 7

Ph1 wrote:

ouch !
Visiblement, j'avais perdu l'abonnement sur ce topic.
Passez par Messages privés, je transmets toujours.
La procédure fonctionne également en 0.90.3, nous avons élevé notre version l'année dernière.
+

Bonjour,

Possible d'avoir votre procédure s'il vous plaît.
Merci d'avance

Offline

#77 2018-01-11 18:33:26

Ph1
Guest
From: Maine et loire
Registered: 2008-08-05
Posts: 150

Re: SSO glpi 0.85.2 sur debian 7

http://phi.eg.free.fr/glpi/01-Proc%E9du … Linux.docx
et
http://phi.eg.free.fr/glpi/02-Proc%E9du … _GLPI.docx

Je ne comprends pas pourquoi les abonnements ne fonctionnent plus...
Désolé donc pour ce retard dans les réponses.
Bonne fin de journée.


Ph1 // Admin Systèmes & Réseaux
OS : Ubuntu 14.04
Authentification Kerberos // SSO Multi domaines AD
GLPI 9.2.3 // Fusion Inventory 9.2+2.0-RC1 (agent 2.4)

Offline

#78 2018-01-11 22:08:29

kurasul
Guest
Registered: 2017-12-20
Posts: 159

Re: SSO glpi 0.85.2 sur debian 7

hello Ph1
juste un gros merci pour ce tuto qui sont bien fait je dormir plus intelligent ce soir sur le sujet que je partagerai avec mon collegue et d autre personne intéresser .
et encore bravo pour le taff.
Si jamais tu es dispo pour nous aide sur d autre sujet je suis preneur car en cours d install de glpi et de plugins et j'ai quelque bug ^^
cordialement


Kurasul // IT Manager  ============  https://discord.gg/qgDXNwS
OS + plugins: Ubuntu 16.04 // GLPI 9.2.1 // Php 7.0 // Sql + phpmyadmin // LDAP //
Fusion Inventory 9.2+1.0 //Cartographie 4.4.0 // Dashboard 1.4.0 // Gestion de baies 1.8.0 // Comptes 2.3.0 // Impression PDF
Imports fabricants 2.0.0 // Liste des taches 1.2.0 // Plus de rapports 1.4.0 // Arrêté du parc 2.4.0

Offline

#79 2018-01-12 10:46:15

Ph1
Guest
From: Maine et loire
Registered: 2008-08-05
Posts: 150

Re: SSO glpi 0.85.2 sur debian 7

Pas de soucis. Visiblement, les abonnements refonctionnent ! (bref)
J'ai laissé les documents modifiables, je les avais envoyés à la liste de diffusion du staff glpi à une époque, mais je n'avais pas eu de réponse.
N'hésitez pas à les modifier et peut être noter avec quelles versions elles sont applicables.
Pour filer des coups de main, j'avoue que le temps m'est compté, c'est donc compliqué, mais j'essaierai de participer aux échanges.

Très bonne journée.
Phi


Ph1 // Admin Systèmes & Réseaux
OS : Ubuntu 14.04
Authentification Kerberos // SSO Multi domaines AD
GLPI 9.2.3 // Fusion Inventory 9.2+2.0-RC1 (agent 2.4)

Offline

#80 2018-01-15 11:56:02

cyberdam
Guest
Registered: 2008-01-16
Posts: 46

Re: SSO glpi 0.85.2 sur debian 7

Bonjour PH1

Je veux bien ta procédure aussi, car ca fait plusieurs jours que j'éssaye de mettre en place le SSO sur un GLPI sous Centos 7 sans succès.

Merci

Offline

#81 2018-01-15 12:15:45

Ph1
Guest
From: Maine et loire
Registered: 2008-08-05
Posts: 150

Re: SSO glpi 0.85.2 sur debian 7

--> cf mon message ci-dessus posté le 11-01-2018 à 17:33:26.

Merci par avance pour les retours d'expérience smile
Phi


Ph1 // Admin Systèmes & Réseaux
OS : Ubuntu 14.04
Authentification Kerberos // SSO Multi domaines AD
GLPI 9.2.3 // Fusion Inventory 9.2+2.0-RC1 (agent 2.4)

Offline

#82 2018-01-15 12:25:07

anthonygirault
Guest
Registered: 2014-11-18
Posts: 73

Re: SSO glpi 0.85.2 sur debian 7

Salut Ph1,

merci pour ton retour et surtout pour tes procédures. Je suis actuellement en train de les suivre et une petite question.

suite à l'installation d'Ubuntu, il faut modifier des fichiers: smb.conf, nsswitch.conf, krb5.conf etc...
Il faut effacer tout son contenu et le remplacer par ce que tu as renseigné? en remplaçant bien sur notre nom de domaine par le tiens.

Ps: quelqu'un aurait une manip pour effacer tout le contenu d'un fichier d'un coup? Je reste appuyer sur la touche "Suppr" jusqu'à temps qu'il se vide...

Offline

#83 2018-01-15 12:44:30

Ph1
Guest
From: Maine et loire
Registered: 2008-08-05
Posts: 150

Re: SSO glpi 0.85.2 sur debian 7

En fait, si tu suis bien les étapes, j'indique que je sauvegarde préalablement le fichier d'origine :
Pour smb.conf :
c)    Sauvegarder le fichier smb.conf :
cp /etc/samba/smb.conf /etc/samba/smb.conf.ori

(en gros ça le renomme)
Ensuite, je fais ceci :
Puis l’éditer comme ci-dessous :
vi /etc/samba/smb.conf

ça, ça le recrée et tu colles le contenu de la conf que je fournis.

Cela reste la même méthode pour les autres fichiers de conf.


Ph1 // Admin Systèmes & Réseaux
OS : Ubuntu 14.04
Authentification Kerberos // SSO Multi domaines AD
GLPI 9.2.3 // Fusion Inventory 9.2+2.0-RC1 (agent 2.4)

Offline

#84 2018-01-15 18:24:14

cyberdam
Guest
Registered: 2008-01-16
Posts: 46

Re: SSO glpi 0.85.2 sur debian 7

Ha oui j'avais pas vu sad

bon j'avais presque réussi entre 2, mon erreur était d'avoir mis le même nom d'utilisateur que mon nom d'hote linux.
Du coup, maintenant ca marche presque
sous firefox => pas de soucis
sous IE => il me demande mon login et password (même avec l'option dans IE pour l'authentification automatique et l'ajout de mon site en site local)

Je suis sous Windows 7 et GLPI 9.1

Une idée ?

Offline

#85 2018-01-16 10:13:09

Ph1
Guest
From: Maine et loire
Registered: 2008-08-05
Posts: 150

Re: SSO glpi 0.85.2 sur debian 7


Ph1 // Admin Systèmes & Réseaux
OS : Ubuntu 14.04
Authentification Kerberos // SSO Multi domaines AD
GLPI 9.2.3 // Fusion Inventory 9.2+2.0-RC1 (agent 2.4)

Offline

#86 2018-01-16 11:01:51

cyberdam
Guest
Registered: 2008-01-16
Posts: 46

Re: SSO glpi 0.85.2 sur debian 7

j'avais déjà ses paramètres, du coup marche pas mieux.

:'(

Offline

#87 2018-01-16 11:10:15

Ph1
Guest
From: Maine et loire
Registered: 2008-08-05
Posts: 150

Re: SSO glpi 0.85.2 sur debian 7

https://www.itpro.fr/la-protection-de-l … litylevel/

Passe la valeur à 1 de lmcompatibilitylevel.


Ph1 // Admin Systèmes & Réseaux
OS : Ubuntu 14.04
Authentification Kerberos // SSO Multi domaines AD
GLPI 9.2.3 // Fusion Inventory 9.2+2.0-RC1 (agent 2.4)

Offline

#88 2018-01-16 11:25:29

cyberdam
Guest
Registered: 2008-01-16
Posts: 46

Re: SSO glpi 0.85.2 sur debian 7

j'avais déjà vu ce paramètre, mais ça ne fonctionne pas mieux
petite question, est ce ça serait pas du au fait que le site n'est pas en HTTPS ?

Offline

#89 2018-01-16 11:43:59

Ph1
Guest
From: Maine et loire
Registered: 2008-08-05
Posts: 150

Re: SSO glpi 0.85.2 sur debian 7

non rien à voir. Du coup, je ne vois pas. Recheck ta conf IE.


Ph1 // Admin Systèmes & Réseaux
OS : Ubuntu 14.04
Authentification Kerberos // SSO Multi domaines AD
GLPI 9.2.3 // Fusion Inventory 9.2+2.0-RC1 (agent 2.4)

Offline

#90 2018-01-16 18:30:36

Ryl
Guest
Registered: 2017-06-22
Posts: 18

Re: SSO glpi 0.85.2 sur debian 7

Hello Ph1,

Tout d'abord, je tenais à te remercier pour toutes les informations que tu as posté sur ce forum.
Personnellement, j'y vois un peu plus clair sur le sso.

Mais, j'ai quelques questions supplémentaires.
J'ai réussi a mettre en place le sso avec un module nginx-auth-ldap sur serveur debian avec nginx, ça fonctionne plutôt bien avec de authentification basic mais mon but est de supprimer toutes interactions avec l'utilisateur que ca soit formulaire de login ou pop-in avec de auth-ldap

Comme je n'avais pas le résultat voulu, j'ai également commencer à implémenter Kerberos sous apache mais je me suis retrouver bloquer car je n'ai pas accès au contrôleur de domaine.

Je voulais donc te demander s'il y avait pas un moyen avec nginx-auth-ldap de récupérer le REMOTE_USER sans authent basic ? Car le process se rapproche beaucoup de ce que je recherche.

Une autre solution m'est offerte pour mettre en place le sso, c'est d'utiliser une connexion sso office365.
La partie enregistrement sur le portail azure active directory ne devrait pas poser de problème pour récupérer les app_id et app_secret mais c'est la communication entre glpi et office365.

Je me pose donc plusieurs questions :
Comment glpi et office365 communiquent une fois authentifier ?
Est-ce que le callback office contient une variable autorisant l'utilisateur à accéder à glpi en renseignant un "Champs de stockage de l'identifiant dans la requête HTTP" ?
Ou je me trompe complètement de route  ?

Je te remercie par avance de ton aide smile

[MAJ]
Comme j'ai essayé pas mal de chose, je me suis emmêlé les pinceaux entre NTLM et auth-ldap
Avec nginx j'ai testé le module nginx-auth-ldap qui se rapproche de ce que je veux.
Avec NTLM sous apache, le sso ne fonctionnait pas.

Last edited by Ryl (2018-01-17 11:42:23)

Offline

#91 2018-01-19 12:09:49

Ph1
Guest
From: Maine et loire
Registered: 2008-08-05
Posts: 150

Re: SSO glpi 0.85.2 sur debian 7

Je recommande apache2 et authentification Kerberos.
Si tu n'as pas accès aux DC pour générer le keytab, tu peux demander à un admin Active Directory de te le générer.

Pour office 365, ca dépend de ta configuration, tu as quelle archi ? authentification cloud uniquement ? synchro ad connect ? mode fédéré ? ou ad connect pass-through ?
Comme ça c'est un peu compliqué de te répondre.

+


Ph1 // Admin Systèmes & Réseaux
OS : Ubuntu 14.04
Authentification Kerberos // SSO Multi domaines AD
GLPI 9.2.3 // Fusion Inventory 9.2+2.0-RC1 (agent 2.4)

Offline

#92 2018-01-21 18:13:31

Ph1
Guest
From: Maine et loire
Registered: 2008-08-05
Posts: 150

Re: SSO glpi 0.85.2 sur debian 7

Pour info, je suis connecté sur le chat discord (info dans le café des membres sur le forum).
Nous sommes plusieurs pour échanger conseiller et peut être résoudre vos problèmes.
+


Ph1 // Admin Systèmes & Réseaux
OS : Ubuntu 14.04
Authentification Kerberos // SSO Multi domaines AD
GLPI 9.2.3 // Fusion Inventory 9.2+2.0-RC1 (agent 2.4)

Offline

#93 2018-02-12 13:21:34

serviceit
Guest
Registered: 2018-02-12
Posts: 6

Re: SSO glpi 0.85.2 sur debian 7

Bonjour,
Je suis également en train de mettre en place le sso pour glpi et j'ai qq souci pour terminer.
Le serveur GLPI est sous ubuntu 16.04 avec apache 2.4 et GLPI en version 9.2.

Avant de tomber sur les tuto de Ph1, j'avais joint au domaine le serveur GLPI et tenter une identification par Kerberos.
en suivant ce tuto : https://pixxlisation.net/2015/09/tuto-m … -sso-glpi/
Tous les tests sur kerberos son OK.

Voici la conf du vhost GLPI :

AuthType                 Kerberos
        AuthName                "Login"
        KrbServiceName        HTTPS/srv-glpi.wlarnay.com@WLARNAY.COM
        KrbVerifyKDC             on
        KrbMethodNegotiate   on
        KrbMethodK5Passwd  on
        KrbAuthRealms           WLARNAY.COM
        Krb5KeyTab              /etc/apache2/keytab/glpi2.keytab
        KrbLocalUserMapping On
        require                 valid-user

Qd je accède à GLPI, j'ai la fenêtre qui demande user/mdp et si je les saisi cela fonctionne par contre dès que je passe KrbMethodK5Passwd à Off j'ai une erreur 401.
ci-dessous log apache

[Mon Feb 12 12:03:30.471106 2018] [authz_core:debug] [pid 4016] mod_authz_core.c(809): [client 192.168.0.74:65199] AH01626: authorization result of Require valid-user : denied (no authenticated user yet)
[Mon Feb 12 12:03:30.471117 2018] [authz_core:debug] [pid 4016] mod_authz_core.c(809): [client 192.168.0.74:65199] AH01626: authorization result of <RequireAny>: denied (no authenticated user yet)
[Mon Feb 12 12:03:30.471130 2018] [auth_kerb:debug] [pid 4016] src/mod_auth_kerb.c(1971): [client 192.168.0.74:65199] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
[Mon Feb 12 12:03:30.471151 2018] [auth_kerb:debug] [pid 4016] src/mod_auth_kerb.c(1299): [client 192.168.0.74:65199] Acquiring creds for HTTPS/srv-glpi.wlarnay.com@WLARNAY.COM
[Mon Feb 12 12:03:30.473639 2018] [auth_kerb:debug] [pid 4016] src/mod_auth_kerb.c(1722): [client 192.168.0.74:65199] Verifying client data using KRB5 GSS-API
[Mon Feb 12 12:03:30.473657 2018] [auth_kerb:debug] [pid 4016] src/mod_auth_kerb.c(1738): [client 192.168.0.74:65199] Client didn't delegate us their credential
[Mon Feb 12 12:03:30.473666 2018] [auth_kerb:debug] [pid 4016] src/mod_auth_kerb.c(1766): [client 192.168.0.74:65199] Warning: received token seems to be NTLM, which isn't supported by the Kerberos module. Check your IE configuration.
[Mon Feb 12 12:03:30.473676 2018] [auth_kerb:debug] [pid 4016] src/mod_auth_kerb.c(1159): [client 192.168.0.74:65199] GSS-API major_status:00010000, minor_status:00000000
[Mon Feb 12 12:03:30.473692 2018] [auth_kerb:error] [pid 4016] [client 192.168.0.74:65199] gss_accept_sec_context() failed: An unsupported mechanism was requested (, Unknown error)

Malgrés de nombreuse recherches je n'arrive pas comprendre les pb indiqués ds les log.

J'ai ensuite suivi le tuto de Ph1 (j'ai passé les parties ssh, pam et samba n'ayant pas besoin de m'authentifier au serveur avec mon compte de domaine) mais le pb reste le mm.
J'ai aussi essayé avec la config NTLM sans succès.

Si qq un a une idée ? merci

Last edited by serviceit (2018-02-12 13:23:16)

Offline

#94 2018-02-15 16:45:36

PhilippeA2018
Guest
Registered: 2018-02-15
Posts: 5

Re: SSO glpi 0.85.2 sur debian 7

Bonjour,

Je suis également en train de mettre en place le sso pour glpi.
Le serveur GLPI est sous SLES12 avec apache 2.4 et GLPI en version 9.2.

Est-ce que la dernière version des tutos sont disponibles sous :

http://phi.eg.free.fr/glpi/01-Proc%E9du … Linux.docx
et
http://phi.eg.free.fr/glpi/02-Proc%E9du … _GLPI.docx

D'avance merci

Offline

#95 2018-02-15 17:44:44

Ph1
Guest
From: Maine et loire
Registered: 2008-08-05
Posts: 150

Re: SSO glpi 0.85.2 sur debian 7

Je n'ai pas mis à jour les tutos depuis, mais j'ai mis à jour GLPI en version 9.2.1 en environnement de test et cela tourne très bien sans changement de conf.
A noter tout de même, le passage de php en version 5.6 minimum.
######################################
Upgrade php 5.5.9 to php 5.6.x

# Afficher version de php :
php -v

# Lancer upgrade
sudo apt-get -y update
sudo add-apt-repository ppa:ondrej/php
sudo apt-get -y update
sudo apt-get -y install php5.6 php5.6-mcrypt php5.6-mbstring php5.6-curl php5.6-cli php5.6-mysql php5.6-gd php5.6-intl php5.6-xsl php5.6-zip libapache2-mod-php5.6 php5.6-ldap php5.6-imap php5.6-xmlrpc php5.6-apcu php5.6-soap
update-alternatives --set php /usr/bin/php5.6
sudo a2dismod php5
sudo a2enmod php5.6
sudo service apache2 restart
######################################


Ph1 // Admin Systèmes & Réseaux
OS : Ubuntu 14.04
Authentification Kerberos // SSO Multi domaines AD
GLPI 9.2.3 // Fusion Inventory 9.2+2.0-RC1 (agent 2.4)

Offline

#96 2018-02-16 09:32:53

serviceit
Guest
Registered: 2018-02-12
Posts: 6

Re: SSO glpi 0.85.2 sur debian 7

Sur ubuntu 16.04 php est en version 7

Offline

#97 2018-02-16 16:08:38

PhilippeA2018
Guest
Registered: 2018-02-15
Posts: 5

Re: SSO glpi 0.85.2 sur debian 7

Merci Ph1,

J'ai php en V7.0.7 donc pas de problème, par contre sous SLES c'est un peu différent en particulier les configurations apache, kerberos...
Je vais suivre la documentation et installer sur mon environnement de test en m'adaptant pour SLES.

+

Offline

Board footer

Powered by FluxBB