Ecran blanc lors d'un login en ldap

Theconan995 · 2020-08-25 14:38:27

Bonjour à tous,

Suite à une mise à jour de GLPI de 9.1.1 vers la 9.5, mes comptes connectés en LDAP ne peuvent plus se connecter. A la place j'ai un écran blanc sans message d'erreur d'affiché. Cependant, j'ai toujours accès au compte glpi (qui passe par la base de donnée GLPI ).

Dans php-errors.log j'ai le plugin Soduim qui me renvoie l'erreur :
---------------------
[2020-08-25 13:47:37] glpiphplog.ERROR: Auth::connection_ldap() in D:\xampp\htdocs\glpi\inc\auth.class.php line 251
Something went wrong searching in LDAP directory {"user":"@GLPI"}
[2020-08-25 13:59:02] glpiphplog.CRITICAL: *** Uncaught Exception RuntimeException: Unable to decrypt content in D:\xampp\htdocs\glpi\inc\toolbox.class.php at line 296
Backtrace :
inc\authldap.class.php:3448 Toolbox::sodiumDecrypt()
front\ldap.import.php:66 AuthLDAP::searchUser()
---------------------

De ce que je comprend il n'arrive pas a déchiffrer les mots de passe mais je ne vois pas comment faire pour régler cela vu qu'il n'arrive pas à faire le lien avec le contrôleur de domaine pour mettre à jour :
---------------------
[2020-08-25 09:20:58] glpiphplog.CRITICAL: *** Uncaught Exception SodiumException: public nonce size should be SODIUM_CRYPTO_AEAD_XCHACHA20POLY1305_IETF_NPUBBYTES bytes in D:\xampp\htdocs\glpi\inc\toolbox.class.php at line 293
Backtrace :
inc\toolbox.class.php:293 sodium_crypto_aead_xchacha20poly1305_ietf_decrypt()
inc\authldap.class.php:2677 Toolbox::sodiumDecrypt()
inc\auth.class.php:225 AuthLDAP::tryToConnectToServer()
inc\authldap.class.php:2797 Auth->connection_ldap()
inc\authldap.class.php:2865 AuthLDAP::ldapAuth()
inc\auth.class.php:843 AuthLDAP::tryLdapAuth()
front\login.php:84 Auth->login()

Ma conf :
Apache 2.4 / PHP 7.2 / MySQL 5.6 / phpMyAdmin

Si quelqu'un a une idée de la façon de régler ce problème,
Merci,

Kiro S. Terashii · 2020-08-27 11:21:19

Bonjour !

J'ai un problème similaire survenu ce matin en arrivant au travail. Bref topo de la config :

GLPI 9.5.1 / Apache 2.4 / PHP 7.3 / MariaDB 10.4 / PHPMyAdmin 5.0.2, le tout sous Debian 10. Toute cette configuration est issue de mon projet de stage qui consistait à mettre à jour et viabiliser GLPI pour la boîte dans laquelle je suis, en améliorant le HelpDesk au passage grâce à des formulaires. A savoir que tout ça a donc été mis à jour à la main, depuis un GLPI 9.2.1 sous Debian 8.

Premier symptôme : impossible de se connecter via l'authentification LDAP qui donne vers une page blanche directement. Obligé de passer par la base interne à GLPI.
Second symptôme : lorsque je tente de tester la connexion à l'annuaire LDAP, page blanche également. Le Mode DEBUG me permet d'avoir le message d'erreur suivant :
Uncaught Exception SodiumException: public nonce size should be SODIUM_CRYPTO_AEAD_XCHACHA20POLY1305_IETF_NPUBBYTES bytes in /var/www/glpi/inc/toolbox.class.php at line 293

Je suis allé jeter un coup d’œil au fichier toolbox.class.php, la ligne 293 pointe vers un "$key". Je suis un gros profane en la matière, mais ça me paraît quand même curieux.

Après quelques recherches en écumant ce forum et les résultats du web, j'ai cru comprendre que Sodium qui sert à l'encryption pour la communication entre GLPI et le LDAP fout la grouille. J'ai tenté, via les scripts fournis, de régénérer une clé de sécurité (donc avec bin/console glpi:security:change_key), qui trouve 2 champs et 3 entrées de configurations demandant une migration. Et lors que fais "Yes", je me retrouve avec exactement le même message d'erreur que ci-dessus.

Je nage dans le brouillard en plus d'être sur un terrain qui ne m'est absolument pas familier. Si quelqu'un a des idées, je suis preneur !

Theconan995 · 2020-08-27 11:30:53

Salut,

J'ai fini par trouvé mon la solution à mon problème, il m'as suffit d'aller dans GLPI avec le compte glpi et de modifier le mots de passe de connexion au LDAP ( remettre le même ) car je pense qu'après la mise a jour de la base, le chiffrement du mots de passe n'étant plus le même, il n'avais plus le bon mots de passe.

Si tu as toujours accès aux comptes de la base GLPI ( non LDAP ) modifie juste ton mots de passe.

Kiro S. Terashii · 2020-08-27 11:53:54

Salut Theconan995 !

Alors, de mon côté, j'ai tenté une MAJ de PHP vers la 7.4, avec tout les modules employés pour GLPI. R.A.S., ça n'a strictement rien changé.

A côté de ça, j'ai tenté de ressaisir un MDP pour l'authentification LDAP. Soucis étant que je n'ai pas le MDP nécessaire, et les membres de l'équipe dans laquelle j'officie étant soit en congé, soit en intervention, je n'ai pour l'instant pas accès au bon Mot de Passe. CEPENDANT, j'en ai tenté certains que j'avais en mémoire parce que sait-on jamais, et le résultat reste intéressant : au lieu de me faire une bonne grosse erreur des familles en rapport avec Sodium comme précédemment, GLPI se contente juste de me faire une erreur somme toute assez classique m'informant de l'echec du Test de liaison LDAP. Ca me laisse à penser que c'est juste le mot de passe qui est incorrect, et ça encourage ton hypothèse.

J'attend qu'une collègue rentre pour qu'on fasse des essais de mot de passe avec elle, mais si jamais c'est cette solution là qui s'avère juste, j't'en devrais une ! Ce qui m'échappe ceci dit, c'est pourquoi ça a sauté pendant la nuit ? La VM a tourné mais pas d'activité sur GLPI, et la seule mise à jour qu'il y a eu du côté de Debian concerne FireFox... x) Et ce que je m'explique encore moins, c'est d'avoir cette même erreur avec Sodium lorsque je tente le renouvellement d'une clé de sécurité... Ca me frustre de n'pas comprendre !

J'tiendrais le topic au courant pour la science !

Edit : On a progressé. Sur conseil d'une collègue, j'ai tenté l'authentification sans MDP. Et ça fonctionne correctement, c'te blague ! Les tests de connexions et de synchronisation à l'annuaire LDAP fonctionne, j'ai même relancé le script de changement de clé qui a fonctionné à son tour.

Nouveau soucis désormais : lorsque quelqu'un tente de se connecter par le biais du LDAP, GLPI répond qu'il n'arrive pas à joindre l'annuaire LDAP...

Last edited by Kiro S. Terashii (2020-08-27 13:52:12)

Kiro S. Terashii · 2020-08-28 10:54:40

UP :

Après des recherches et des tests, le sujet est résolu de mon côté. Au final, il s'avère qu'avec la mise à jour, l'authentification auprès du serveur AD-LDAP n'était plus valable. En résultait des faux negatifs remettant sodium en cause (ce qui n'est donc pas le cas finalement), et des faux positifs lors des tests de liaison au LDAP. Après une réinitialisation du mot de passe de l'utilisateur "glpi-ldap" sous ActiveDirectory et une ré-authentification avec ce nouveau mot de passe, tout est clairement fonctionnel !

LaDenrée · 2020-08-28 11:51:36

en 9.5 le mot de passe est crypté differemment en BDD mais la migration ne le met pas à jour, il faut simplement le saisir à nouveau.

Theodgd · 2020-12-10 12:51:32

Bonjour, j'ai un problème plus ou moins semblable à celui que vous avez rencontré.
Je suis en alternance BTS SIO option réseau en première année, on me demande de mettre en place un GLPI avec un annuaire LDAP pour permettre aux utilisateurs de faire des tickets (dans un premier temps).

Cependant, tout ce passe bien jusqu'à l'importation d'utilisateurs "Aucun utilisateur à importer".

Ma configuration annuaire LDAP est:
Nom:AD01
Serveur par défaut : Oui Actif: Oui
Serveur: Ip du serveur Port : 389
Filtre de connexion : (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
BaseDn= DC=nomserveur,DC=lan
Dn du compte = CN=Administrateur,CN=Users,DC=nomserveur,DC=lan
Mot de passe du compte = (vide, j'explique pourquoi plus bas)
Champ de l'identifiant = cn
champ de synchronisation = objectguid

Je ne peux pas remplir la case mot de passe, sinon j'ai le droit à une page blanche. Mais en activant le mode débug j'ai le droit à un code erreur en lien avec Sodium (cela semble être une erreur comme l'a indiqué une personne plus haut).
Je pense que le problème vient du fait que le mot de passe crée une erreur et donc m'empêche d'importer mes utilisateurs. J'ai essayé de changer le mot de passe de "adminglpi" sur l'AD mais cela n'a rien changé. Dois-je avoir un compte similaire sur la base de donnée glpi? Merci

Theconan995 · 2020-12-10 13:05:07

Bonjour
As-tu essayé de te connecter en :
user = glpi
mdp = glpi
en passant par la base interne à GLPI ?

Si oui, essaye de changer le "Champ de l'identifiant" en "samaccountname"
Si non, essayé de refaire la modif de annuaire avec la validation de ton mots de passe

Theodgd · 2020-12-10 14:29:36

Je suis bien connecté en glpi / glpi via la base interne à glpi.
Même avec "samaccountname", j'ai le droit à une page blanche.. je tourne autour depuis deux jours déjà, avec une ancienne version de glpi le problème serait-il réglé ?

la page blanche a un url "Monip/glpi/front/authldap.form.php"

J'ai regardé dans le fichier mais je sais pas vraiment ce qui peut bloquer.. je n'y ai pas touché.

Last edited by Theodgd (2020-12-10 14:37:00)

raymondred · 2020-12-15 08:26:41

I just needed to go to GLPI with the glpi record and change the LDAP association passwords (reset the equivalent) since I feel that after the update of the information base, the secret key encryption not being the equivalent, he not, at this point had the correct passwords.

Last edited by raymondred (2020-12-15 08:26:51)

Mista_Couscous · 2021-01-02 05:21:30

Bonjour,

tout d'abord merci à tous, malheureusement je suis confronté au même problème que Theodgd, à savoir une impossibilité de renseigner le mot de passe d'un compte AD dédié (disposant des droits requis) dans l'authentification LDAP de GLPI.
renseigner un mot de passe me ramène immédiatement sur une page blanche.

j'ai suivi vos conseils, à savoir réinit' MDP du compte AD et tentative d'intégration de ce MDP dans GLPI.... page blanche.

du coup je suis totalement perdu et ne sait pas comment agir.

lorsque je tente de me connecter via un compte AD sur GLPI ====> "Warning: Undefined array key "id" in C:\xampp\htdocs\glpi\inc\auth.class.php on line 881"

si quelqu'un peut apporter du soutien ce serait vraiment géniale.

EDIT: pour infos GLPI m'indique que l'extension SODIUM n'est pas installé, peut-être est-ce un prérequis me suis-je dit, j'ai donc dé-commenté la ligne dans PHP.INI mais l'extension n'est toujours pas installé selon GLPI.

EDIT 2 : cool j'ai trouvé .. en effet l'authentification LDAP repose sur le plugin SODIUM, j'ai donc comme je le dit plus haut, commencé par décommenter l'extension SODIUM dans PHP.INI, cela n'a pas pour autant rendu l'extension presente dans GLPI car il faut aussi copier php/libsodium.dll dans le dossier apache/bin

et bingo ! extension présente dans GLPI et synchronisation LDAP ok après avoir entré le mot de passe.

Last edited by Mista_Couscous (2021-01-03 00:05:12)

Forum GLPI-Project

Announcement

#1 2020-08-25 14:38:27

Ecran blanc lors d'un login en ldap

#2 2020-08-27 11:21:19

Re: Ecran blanc lors d'un login en ldap

#3 2020-08-27 11:30:53

Re: Ecran blanc lors d'un login en ldap

#4 2020-08-27 11:53:54

Re: Ecran blanc lors d'un login en ldap

#5 2020-08-28 10:54:40

Re: Ecran blanc lors d'un login en ldap

#6 2020-08-28 11:51:36

Re: Ecran blanc lors d'un login en ldap

#7 2020-12-10 12:51:32

Re: Ecran blanc lors d'un login en ldap

#8 2020-12-10 13:05:07

Re: Ecran blanc lors d'un login en ldap

#9 2020-12-10 14:29:36

Re: Ecran blanc lors d'un login en ldap

#10 2020-12-15 08:26:41

Re: Ecran blanc lors d'un login en ldap

#11 2021-01-02 05:21:30

Re: Ecran blanc lors d'un login en ldap

Board footer