You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

#1 2022-11-25 12:10:32

Albator84
Member
Registered: 2022-11-25
Posts: 5

"Vrai" SSO transparent sans authentification Debian 11 + Apache 2.4.54

Bonjour à toutes/tous,

je sais que mon topic rejoint de très nombreux déjà existants sur ce forum mais pas exactement identiques ou trop ancien par rapport aux version de Debian/Apache.

Cela fait 2 semaines que je suis sur cette problématique, mais je n'arrive pas à faire ce que je veux.. d'ailleurs, je ne sais pas si au final c'est tout simplement possible.
Il y a de très (très très) nombreux fils et articles sur le net, j'en ai parcouru des pages et des pages, mais ça ne fait pas exactement ce que je voudrais.

J'ai installé GLPI 10.0.5 sur une Debian 11, sur un serveur "tout neuf" et un GLPI "tout neuf" également (pas un update).
Version d'Apache 2.4.54. Avec cette version, pas possible d'utiliser les lib Kerberos et les commandes Apache style "Krb5Keytab","KrbMethodNegotiate" etc.

J'ai réussi à faire fonctionne le SSO avec cette config d'Apache :

<IfModule authnz_sspi_module>
      AuthName "SSPI Protected Place"
      AuthType SSPI
      SSPIAuth On
      SSPIAuthoritative On
      SSPIOfferBasic On
      # Should you need to force the login prompt, uncomment the next line
      # SSPIBasicPreferred On
      SSPIOfferSSPI On
      SSPIOmitDomain On
      <RequireAll>
        <RequireAny>
          Require valid-sspi-user
#         Require valid-user
        </RequireAny>
        <RequireNone>
          Require user "ANONYMOUS LOGON"
        </RequireNone>
      </RequireAll>

Mais ce n'est pas ce que je veux car cela me demande une authentification avant d'afficher la page, comme un .htaccess finalement. Certes cela fonctionne mais ce n'est pas un "vrai" SSO comme je l'entends.
A noter que ma synchro LDAP (AD) dans GLPI fonctionne très bien, donc les utilisateurs pourront s'authentifier avec leur credentials Windows sur la page de login de GLPI.

Ce que j'aimerais, c'est me passer de cette page d'authent et faire fonctionner le SSO en transparent.
Franchement j'ai cherché mais je n'ai trouvé aucun article/topic traitant de ce sujet, ou plutôt si mais pas avec la bonne solution. Beaucoup de page déjà parlent de la conf avec Apache 2.2 et les directives "krb5" ce qui ne fonctionnent déjà pas avec Apache 2.4.

Est-ce que quelqu'un saurait m'indiquer d'une part si c'est possible avec un GLPI sous Linux et un AD ? (Windows Server 2016)
Si oui, quelqu'un aurait-il des pistes à m'indiquer ?

Merci d'avance !

Offline

#2 2022-11-25 12:36:26

nladet
Member
Registered: 2019-05-06
Posts: 30

Re: "Vrai" SSO transparent sans authentification Debian 11 + Apache 2.4.54

Bonjour,

J'y suis arrivé avec ce tuto avec un SSO entre un Ubuntu Serveur 22.04 et un AD en 2016.

forum.glpi-project.org/viewtopic.php?id=284046

Il y a juste le fait que quand le SSO ne marche pas, j'aimerai faire arriver la mire d'authentification GLPI. J'y suis arrivé sur une plate forme de test mais pas sur ma prod.

Offline

#3 2022-11-25 13:14:36

Albator84
Member
Registered: 2022-11-25
Posts: 5

Re: "Vrai" SSO transparent sans authentification Debian 11 + Apache 2.4.54

Purée mais c'est un des premiers tutos que j'ai trouvé et suivi ce post en plus !
Je vais tout refaire pour voir... je vous tiens au courant. Merci pour le lien !

Offline

#4 2022-11-25 16:14:20

Albator84
Member
Registered: 2022-11-25
Posts: 5

Re: "Vrai" SSO transparent sans authentification Debian 11 + Apache 2.4.54

Bon... ben j'ai suivi les infos, sur le principe ça marche mais en fait ça ne fait rien... j'arrive sur la page de mire de login GLPI classique.
Je vois dans les log que ça a reconnu mon username car je le vois dans les logs.. mais je ne passe pas la mire de login GLPI.

Ce que je voudrais, c'est que ça reconnaisse mon user windows, ça a priori c'est ok, mais que ca enlève le login GLPI si le user est reconnu.

C'est censé faire cela l'exemple donné ?

Merci !

Offline

#5 2022-11-28 18:25:48

Albator84
Member
Registered: 2022-11-25
Posts: 5

Re: "Vrai" SSO transparent sans authentification Debian 11 + Apache 2.4.54

Hello, quelqu'un peut me dire si au moins ce que je veux faire est possible : SSO Kerberos/AD et "tomber" sur la page de GLPI avec le user bien logué, et non la mire de login ?

Offline

#6 2022-11-29 09:43:17

Albator84
Member
Registered: 2022-11-25
Posts: 5

Re: "Vrai" SSO transparent sans authentification Debian 11 + Apache 2.4.54

Hello,

pour ceux qui veulent la solution, ça y est j'ai réussi, j'étais pas loin, il me manquait ça côté GLPI :
rdr-it.com/glpi-sso-avec-iis-authentification-unique/3/

Et voici le code Apache :

<Location />
   AuthType GSSAPI
   AuthName "SSO AD"
   GssapiCredStore keytab:/etc/apache2/krb.keytab
   require valid-user
</Location>

Plus qu'à affiner ma conf Apache pour rebasculer vers la mire d'authent GLPI si pas reconnu, mais ça il y a des articles/topic sur le sujet genre : forum.glpi-project.org/viewtopic.php?id=284046

Offline

#7 2022-12-06 12:37:45

gohy
Member
Registered: 2022-11-10
Posts: 7

Re: "Vrai" SSO transparent sans authentification Debian 11 + Apache 2.4.54

Bonjour,

J'ai un soucis avec mon Azure AD après avoir utilisé la commande ktpass /princ HTTP/monsite@DOMAIN.LOCAL /mapuser mon_user_sso /crypto AES256-SHA1 /ptype KRB5_NT_PRINCIPAL /pass mon_pass_du_user_sso

Dans mon Ad dans la partie User Logon Name j'ai HTTP/monsite@DOMAIN.LOCAL qui s'est créé

Dans mon User Logon name (pre-Win 200) : j'ai DOMAIN mon_user_sso

Dans la synchro Azure j'ai une erreur dans l'attribut userPrincipalName qui reconnait pas  HTTP/monsite@DOMAIN.LOCAL  ce qui est normal.

Est-ce que c'est normal ?

Offline

Board footer

Powered by FluxBB