You are not logged in.
Bonjour à tous,
Nous avons implémenté avec succès le SSO sur notre serveur GLPI. Les clients faisant partie de notre domaine et ayant un ticket Kerberos valide sont automatiquement authentifiés.
Nous avons cependant quelques postes qui ne sont pas dans notre domaine (et qui ne peuvent pas y être intégrés). Existe-t-il un moyen d'afficher la page d'authentification si un client n'est pas en mesure de fournir un ticket Kerberos valide ?
Voici la configuration du serveur apache :
<Directory /var/www/html/glpi>
AllowOverride All
Options -Indexes +FollowSymLinks
<If "%{HTTP_USER_AGENT} == 'GLPI-Agent_v1.4'">
Require all granted
</If>
<Else>
AuthType GSSAPI
AuthName "SSO GLPI"
GssapiSSLonly On
GssapiCredStore keytab:/etc/apache2/cle.keytab
Require valid-user
</Else>
</Directory>
Lorsqu'un client ne possède pas de ticket valide, il y a une fenêtre demandant des identifiants. Lorsqu'on clique sur "Annuler" une erreur 401 Unauthorized apparaît.
Existe-il un moyen d'afficher la page d'authentification en cas d'erreur 401 ?
Nous avons essayé plusieurs solutions mais sans succès :
Rediriger vers l'URL /front/login.php avec ErrorDocument 401.
Ajouter une condition en fonction de l'URL demandée par l'utilisateur pour autoriser l'accès.
Ajouter une méthode d'authentification basique supplémentaire au niveau de la conf apache
Malheureusement nous ne pouvons pas faire de filtre au niveau des IP des clients.
Est-ce qu'un tel fonctionnement est possible ?
Nous utilisons Debian 11 et GLPI 10.0.7
Bonne journée.
Last edited by glpi-anonymous (2023-04-27 12:09:09)
Offline
Petit up du sujet si cela peut aiguiller quelqu'un.
Pour nos autres applications nous sommes passés sur une solution de SSO avec Keycloak. J'ai vu que GLPI possède un plugin Oauth SSO compatible.
Malheureusement, nous ne sommes pas client GLPI Network donc nous ne pouvons pas le tester . Mais il semble que ce soit la solution pour notre problématique.
Offline
il me semble avoir vu quelqu'un poser une solution dans un ancien topic, a chercher.
edit : c'etait dans ce sujet
https://forum.glpi-project.org/viewtopic.php?id=170231
2 solutions sont proposées.
de mon coté j'ai celle avec le Satisfy Any, et ca fonctionne, avec un compte local, hors domaine, j'arrive bien sur la page d'authentification standard de glpi
Last edited by Chico008 (2023-06-09 14:50:09)
Offline