Authentification LDAP GLPI

philippe.chauvier · 2008-03-17 18:32:54

Bonjour,

J'ai mis en place un serveur Ubuntu 7.10 Hardy sur lequel sont Hébergés GLPI et OCS Inventory.

L'ensemble fonctionne parfaitement.

Je souhaites compléter le tout par une authentification LDAP.

J'ai mis en place la passerelle LDAP (connexion sur un LDAP Annuaire eDirectory de Novell en mode non sécurisé).

Je synchonise correctement l'ensemble des utilisateurs.

Le point de blocage est le suivant :

L'ensemble des utilisateurs importés ne dispose pas de mot de passe (seules les information NOM (sn) PRENOM (givenname) MAIL (mail) et login (uid) sont répliquées).

Deux questions se posent :
1) Comment effectuer une connexion authentifiée à GLPI sans mot de passe (procédure pré requise ?) sachant que le profil d'import par défaut est le profil "helpdesk" ?
2) Comment attribuer un mot de passe à un utilisateur importé depuis un annuaire LDAP ?

En résumé, je souhaiterais :
1) Importer les utilisateurs depuis mon annuaire LDAP
2) Lors de la première connexion, proposer à l'utilisateur ne disposant pas de mot de passe qu'il en saisisse un et accède à son interface Heldesk.

En espérant être assez clair, merci d'avance pour votre aide.

Philippe.

wawa · 2008-03-17 18:45:01

bonjour
1 on ne peut pas le faire pour l'instant. avec la 0.71 on pourra faire une authentification X509 ou login automatique sur compte windows c'est tout
2 les mots de passe ne sont pas stockés dans GLPI puisque le mode d'authentification est LDAP. La partie auth est donc déléguée à l'annuaire (donc aucun besoin que glpi connaisse le pass du user)

philippe.chauvier · 2008-03-17 19:07:49

Merci pour la réponse mais j'ai besoin de quelques précsisions.

1) C'est quoi l'authentification X509 (protocole particulier).

2) Si c'est l'annuaire LDAP qui porte l'authentification, cela signifie qu'il faut que le mot de passe soit accessible par l'application.
Dans ce cas, comment procéder (je mappe actuellement mon annuaire avec un compte anonyme et ça m'étonnerait que le mot de passe soit visible ...

Sinon, peut-on envisager cette solution :
Importer les users à partir de l'annuaire LDAP et conserver une authentification GLPI me permettant la gestion des mots de passe ?
J'ai au moins, dans ce cas, l'avantage d'importer mon annuaire d'un coup !

Ton avis ?

wawa · 2008-03-17 19:21:03

1 c'est l'authentification par certificats
2 le user se logge sur glpi. il tape login et pass qui sont envoyés à l'annuaire. L'annuaire répond ok ou pas

quel choix vous a ammené à utiliser un compte anomyme ?
avez vous des contraintes pour ne pas utiliser l'auth LDAP ? ça me paraît quand même plus simple à gérer, puisque vos mots de passe ne sont stockés qu'à un seul endroit : dans l'annuaire.

effectivement vous pouvez importer tous vos users depuis LDAP dans GLPI. si vous voulez qu'ils aient une authentification GLPI, il faudra faire une requête sur la DB afin de modifier leur méthode d'auth (qui est à LDAP à partir du moment où le user est importé de l'annuaire).

philippe.chauvier · 2008-03-17 19:28:27

Le choix du login anonyme est lié, pour le moment, aux contraintes suivantes :

L'accès complet au LDAP (Annuaire Novell eDirectory 6.5) se fait de façon sécurisée.

Mon serveur Novell dispose d'un certificat me permettant d'effectuer cette connexion, mon propre compte pourrait être utilisé, mais je n'ai, pour le moement, pas réussi à mettre en oeuvre la connexion à un annuaire sécurisé sous GLPI !

J'ai navigué assez longuement sur le forum sans trouver mon bonheur.

Pouvez-vous m'indiquer une procédure explicite sur ce sujet ?

EmpereurZorg · 2008-03-17 21:56:13

Il me semble avoir vu une solution consistant à installer une "passerelle d'authentification" sur le serveur où se trouve glpi (un logiciel, ou je ne sais pas quel protocole...). Ainsi c'est cette passerelle qui dialogue de façon sécurisée avec le ldap, il faut juste configurer glpi pour s'authentifier sur un "faux-ldap" en local.

Désolé de ne pouvoir être plus précis, mais ça doit pouvoir se retrouver sur le forum...

Last edited by EmpereurZorg (2008-03-17 21:57:15)

wawa · 2008-03-18 10:22:45

je me demande si quelqu'un, l'année dernière n'avait justement pas posté un message à propos d'une auth sécurité avec eDirectory.
Comme ça je n'en sais pas beaucoup plus.

philippe.chauvier · 2008-03-18 14:47:11

J'ai trouvé quelque chose concernant OpenLdap qui semble être une piste sérieuse.

Je fais un test...

wawa · 2008-03-18 15:15:38

pour la partie GLPI : si vous passez en LDAPS il faut mettre ldap://<ip du serveur> comme nom d'hôte
ensuite je pense que ça se passe dans la conf du client LDAP installé sur la machine.

philippe.chauvier · 2008-03-19 19:17:43

Bonne Nouvelle, ça avance ..!

J'ai installé, ce jour, le client LDAP sur mon serveur Ubuntu (apt-get install libpam-ldap libnss-ldap).

J'ai utilisé l'interface de Webmin (installé en mode SSL sur mon serveur) pour configurer le client en lui renseignant les éléments suivants :
Mon serveur LDAP : ldaps://<ip_du_serveur>
Mon compte : cn=<login_edirectory_novell>,o=<base_dn_edirectory_novell>
Le mot de passe de mon compte Novell : ******
J'ai Activé le mode sécurisé

J'ai fait un test avec le browser LDAP Client sous Webmin et.... CA MARCHE ..!

La problématique que j'ai maintenant, c'est :
Comment paramétrer l'authentification LDAP de GLPI afin qu'elle s'appuie sur le client LDAP de mon serveur Ubuntu pour se connecter à mon LDAP eDirectory (j'espère être assez clair ???)

Merci d'avance pour l'aide que vous pourrez m'apporter...

Je continu à "creuser" de mon côté

philippe.chauvier · 2008-03-19 19:44:10

Je dois être en état de grace ..!

Connexion sécurisée au LDAP de eDirectory à partir de GLPI : CA MARCHE ..!

En m'appuyant sur la configuration du client LDAP précédemment installé, je paramètre la connexion LDAP comme suit :
NOM : Le nom de votre connexion (pour ma part, j'ai mis le nom de ma société)
Serveur : ldaps://<ip_de_mon_serveur_novell_edirectory>
LDAP Port : 636
Les champs basedn / rootdn / pass / filtre de connexion sont vides (renseignés dans le client LDAP)
Champ de login : uid
Utiliser TLS : Non
Fuseau horaire : GMT

Il me reste un problème à résoudre :
Sur 780 utilisateurs présents dans mon annuaire LDAP, je ne réussi qu'à en importer 130 (alors que je browse l'ensemble à partir du client LDAP).

Y-a t'il une option à modifier sous GLPI pour pallier à cette restriction ?

Merci pour votre aide.

wawa · 2008-03-19 19:50:30

y'a 2 possibilités :
- votre basedn est correct ?
- vous n'avez pas une limite maximum de votre client ldap pour les recherches (en général c'est 1000 entrées remontées max) ?

wawa · 2008-03-19 19:51:37

et quand tout sera ok, va falloir nous poser ça par écrit sur le wiki;)

philippe.chauvier · 2008-03-19 20:04:11

Je ne pense pas que la limite soit au niveau du client LDAP car le Browser sous Webmin me renvoit toutes les infos de la base...

J'en saurais plus après quelques tests complémentaires mais, pour ce soir, je met en pause.

A chaque jour suffit sa peine...

philippe.chauvier · 2008-03-19 20:13:57

Dur de décrocher quand on a un sujet qui trotte dans la tête...

Je pense avoir trouvé l'origine de mon problème de limite dans les comptes :
Je ne récupère que les utilisateurs situés au niveau le plus haut de mon arbre...

Il faut donc que je trouve une solution pour browser le contenu des OU qui se trouvent en dessous...

Maintenant que je connais la source du problème, je chercherais une solution demain...

La nuit porte conseil

philippe.chauvier · 2008-03-19 22:18:22

J'ai eu une galère en re démarrant mon serveur Ubuntu.

J'ai du zapper un paramètre sur le LDAP Client.

Au re démarrage, je ne pouvais plus me connecter avec le compte root du serveur !
Tentative systématique d'authentification sur l'annuaire LDAP : Galère ..

Donc, re démarrage en mode debug, connexion en tant que root, désactivation des paramètres LDAP dans /etc/ldap.conf et re démarrage sans LDAP actif.

Je dois donc finaliser la config Client LDAP pour que :
Accès sur le serveur avec les comptes locaux en priorité
Accès en secondaire avec les comptes LDAP

A suivre...

philippe.chauvier · 2008-07-30 18:42:19

Bonsoir,

Après quelques temps de silence sur le sujet, j'ai réussi à aboutir.

Installation complète d'un nouveau serveur basé sur Ubuntu 8.04 LTS (cf. Wiki rédigé par mes soins http://glpi-project.org/wiki/doku.php?i … uhardyvm).

Côté iDirectory Novell, suppression du cryptage SSL et mise en place du LDAP avec authentification simple.

Correction de Bugs sur le LDAP Novell (lié aux évolutions antérieures de iDirectory dans le cadre des changements de versions) :
Les versions antérieures (avant 6.5) ne géraient pas l'uid requis.

Paramétrage du LDAP côté GLPI basé sur version 0.70.2.

Tou fonctionne désormais à merveille sans avoir besoin d'installer un client LDAP sur le serveur Linux (librairie LDAP php suffit).

Philippe.

jle · 2008-07-31 15:05:26

Bonjour,
Heureux de voir que tu as reussi, je suis dessus depuis plusieurs semaine (pas 24/24 heureusement !)
Mon GLPI et sur windows 2000
J'arrive a des choses interressantes "Test réussi (Serveur principal : NF001)" dans l'outils de connexion.
J'arrive à importer les utilisteurs (par le sn et non par le nom de login)
Mais à chaque fois que je test une connexion Glpi me dit "Identifiant ou mot de passe erroné"
En changeant des parametres j'ai "Échec de l'authentification LDAP"
Donc la connexion entre Glpi et Novell s'etablie mais pas forcement correctement
Aurez tu un idée, j'ai fouillé le net et le forum de long en large, ta configuration semble la plus proche de la mienne. Si tu as une idée je suis preneur
Je suis sur Novell NetWare 6 Server Version 5.60.04
Merci d'avance

philippe.chauvier · 2008-09-09 19:29:16

Désolé pour ma réponse tardive mais retour de congés semaine dernière et démarrage sur les chapeaux de roues...

Je te transmet une copie de ma conf GLPI demain afin que tu compare à la tienne.

Avant de mettre en cause GLPI ou ton serveur Web, vérifie le contenu de ton Annuaire LDAP et la connexion authentifié avec login / mot de passe avec un outil tiers.

Pour ma part, j'ai utilisé un freeware qui répond au besoin : "LDAPSoft Ldap browser 2.0".

Tu peux le télécharger ici : http://www.zdnet.fr/telecharger/windows … 05s,00.htm

L'outil te permet d'ientifier précisément les noms ldap des champs à mapper.

Philippe.

Forum GLPI-Project

Announcement

#1 2008-03-17 18:32:54

Authentification LDAP GLPI

#2 2008-03-17 18:45:01

Re: Authentification LDAP GLPI

#3 2008-03-17 19:07:49

Re: Authentification LDAP GLPI

#4 2008-03-17 19:21:03

Re: Authentification LDAP GLPI

#5 2008-03-17 19:28:27

Re: Authentification LDAP GLPI

#6 2008-03-17 21:56:13

Re: Authentification LDAP GLPI

#7 2008-03-18 10:22:45

Re: Authentification LDAP GLPI

#8 2008-03-18 14:47:11

Re: Authentification LDAP GLPI

#9 2008-03-18 15:15:38

Re: Authentification LDAP GLPI

#10 2008-03-19 19:17:43

Re: Authentification LDAP GLPI

#11 2008-03-19 19:44:10

Re: Authentification LDAP GLPI

#12 2008-03-19 19:50:30

Re: Authentification LDAP GLPI

#13 2008-03-19 19:51:37

Re: Authentification LDAP GLPI

#14 2008-03-19 20:04:11

Re: Authentification LDAP GLPI

#15 2008-03-19 20:13:57

Re: Authentification LDAP GLPI

#16 2008-03-19 22:18:22

Re: Authentification LDAP GLPI

#17 2008-07-30 18:42:19

Re: Authentification LDAP GLPI

#18 2008-07-31 15:05:26

Re: Authentification LDAP GLPI

#19 2008-09-09 19:29:16

Re: Authentification LDAP GLPI

Board footer