Forum GLPI-Project

Philoman

Member

Registered: 2023-03-17

Posts: 4

Utilisation de LDAPS sur GLPI 10.0.6, en LDAP c'est ok.

Bonjour,

Je me permets d'écrire ici car j'ai un souci avec LDAPS sur GLPI 10.0.6
LDAP fonctionne bien en 389 mais impossible de le faire fonctionner en LDAPS 636
Le test retourne toujours une erreur.

Le login utilise bien le rootdn, validé en LDAP = OK

Mon GLPI tourne sur WAMP64 avec Apache 2.4.54.2, PHP 8.1.13 et MariaDB 10.10.2
Mon Domain Controller cible est en Windows Server 2022, j'ai aussi mis en place une CA Entreprise.
le CA Root est configuré dans :
httpd.conf
LDAPTrustedGlobalCert CA_BASE64 "D:\wamp64\bin\apache\apache2.4.54.2\conf\ssl\DOMAIN-CA.crt"

Dans httpd-ssl.conf
SSLCACertificateFile D:\wamp64\bin\apache\apache2.4.54.2\conf\ssl\DOMAIN-CA.crt

Comme le service démarre correctement, je suppose que mes certificats sont lisibles.

Je tourne en rond depuis plusieurs jours, si quelqu'un à une idée je suis preneur.

Merci d'avance.

Chico008

Member

Registered: 2022-12-14

Posts: 429

Re: Utilisation de LDAPS sur GLPI 10.0.6, en LDAP c'est ok.

c'est pas parce que le serveur demarre que le certificat est OK
il faut aller voir dans tes logs de ton serveur, quand tu fait des requetes ldaps, voir ce qu'elles racontent, tu en aura le coeur net.

Philoman

Member

Registered: 2023-03-17

Posts: 4

Re: Utilisation de LDAPS sur GLPI 10.0.6, en LDAP c'est ok.

J'ai mis un certificat CA Root avec la mauvaise encryption et mon service Apache ne démarrait plus. Une fois passé en crt dans le bon format le service a démarré, c'est pour ça que j'ai parlé de ça.

En voyant les logs, ceux de PHP_error affiche ceci :
glpiphplog.WARNING:   *** PHP User Warning (512): Échec de connexion. Si vous utilisez un proxy, merci de le configurer. (SSL certificate problem: unable to get local issuer certificate) in D:\wamp64\www\glpi\src\Toolbox.php at line 1514

J'imagine que mes modif. s'appliquent bien pour Apache mais il manque quelque chose pour PHP.

J'ai cherché partout mais je trouve pas ou ajouter mon certificat Root du domaine. Si quelqu'un à quelque chose je suis preneur. De mon côté je continue à chercher

merci

Chico008

Member

Registered: 2022-12-14

Posts: 429

Re: Utilisation de LDAPS sur GLPI 10.0.6, en LDAP c'est ok.

en cherchant je suis tombé sur un ancien sujet sur ce forum
https://forum.glpi-project.org/viewtopic.php?id=164149

si ca peut t'aider.

edit : peut etre une autre piste aussi en liens avec PHP
https://stackoverflow.com/questions/417 … sts-certif

Last edited by Chico008 (2023-03-20 12:41:56)

Philoman

Member

Registered: 2023-03-17

Posts: 4

Re: Utilisation de LDAPS sur GLPI 10.0.6, en LDAP c'est ok.

Merci pour ta réponse.
Je suis aussi tombé sur ces deux articles.

En plus des autres modif. déjà réalisées, j'ai ajouté les deux entrées ci-dessous dans php.ini

[curl]
curl.cainfo = "D:/wamp64/bin/apache/apache2.4.54.2/conf/ssl/DOMAIN-CA.crt"

[openssl]
openssl.cafile = "D:/wamp64/bin/apache/apache2.4.54.2/conf/ss/\DOMAIN-CA.crt"

J'ai aussi vérifié que les deux modules "ldap" et "authnz_ldap" soient activées.

Au point ou j'en suis, plus d'erreurs dans PHP_Error.log et rien d'intéressant dans les autres logs.
J'imagine que mes certificats sont bien reconnus à présent.

Complément d'info, j'ai configuré LDAPS sur mon Firewall et tout est ok. ça confirme que mon serveur LDAP est bien accessible.

PS: j'ai aussi corrigé mes chemins avec les "/" ou lieu de "\" mais ça ne change rien.

Last edited by Philoman (2023-03-20 17:06:11)

Philoman

Member

Registered: 2023-03-17

Posts: 4

Re: Utilisation de LDAPS sur GLPI 10.0.6, en LDAP c'est ok.

Je n'ai toujours pas trouvé de solutions, par contre j'ai trouvé quelque chose de très intéressant.
Plusieurs internautes signalent des soucis identiques avec d'autres logiciels basés sur PHP.
Tout semble indiquer que le problème arrive depuis PHP8.1. avec les version 7.4 ou 8.0 c'était ok.

PHP 8.1 utilise une classe objet "LDAP\Connection" au lieu de "ressource"

Je doute que j'y arrive tout seul, pas moyen de faire un labo pour le moment.

Possible de remonter ça aux dev ?

Chico008

Member

Registered: 2022-12-14

Posts: 429

Re: Utilisation de LDAPS sur GLPI 10.0.6, en LDAP c'est ok.

Tu peut aller sur leur page projet Github, et leur signaler le soucis directement, ce sera plus simple, et tu pourra comme ca suivre en plus l'evolution de ton signalement.

yoyohand

Member

Registered: 2015-10-26

Posts: 74

Re: Utilisation de LDAPS sur GLPI 10.0.6, en LDAP c'est ok.

Bonjour Philoman,

Est-ce que tu as réussi à débloquer ta connexion LDAPS sous Windows avec une version de PHP 8.x?

Je me casse les dents sur cette connexion LDAPS depuis des années, ma chaine de certification n'est pas reconnue, le message que j'ai dans les logs de mon AD :
2148074277 La chaîne de certificats a été fournie par une autorité qui n’est pas approuvée.

Avec la même chaine de certification je ne rencontre pas de problème avec d'autres serveurs pour réaliser la connexion LDAPS
Comme toi j'ai déjà essayé une multitude de configuration différente trouvées sur internet...

Je te remercie par avance pour ta réponse si tu as du nouveau/une avancée sur ce sujet depuis ton dernier message.

---

GLPI 10.0.16; WAMP 3.3.5 64bits; MySQL 8.1.0; PHP 8.2.20; Apache 2.4.57.3

GLPI Agent 1.7.3