Se connecter à GLPI avec un utilisateur de l'AD

foccacine · 2009-06-10 11:43:50

Bonjour,
J'ai installé glpi sur un serveur win2003 avec php5.0 ça à l'air de bien marcher.
j'ai importé tous les utilisateurs de l'AD mais voici le message que j'ai quand j'essaie de me connecter avec un utilisateur de l'AD

PHP ERROR: ldap_bind() [function.ldap-bind]: Unable to bind to server: Invalid credentials in C:\Inetpub\wwwroot\glpi\inc\auth.class.php at line 162
PHP ERROR: ldap_bind() [function.ldap-bind]: Unable to bind to server: Invalid credentials in C:\Inetpub\wwwroot\glpi\inc\auth.class.php at line 162
Identifiant ou mot de passe erroné

Pourtant l'identifiant et le mot de passe sont correctes.
J'ai testé user@domaine.loc comme c'était conseillé dans une discussion mais ça n'a pas marché.
J'ai eu un peu des pistes vers openssl mais on utilise pas de ssl donc je ne vois pas pourquoi je l'installerais.
Pouvez-vous m'aider svp!?

wawa · 2009-06-10 11:47:20

1- vous avez utilisé le modèle de préconfiguration AD ?
2- vous arrivez à vous connecter avec le compte que vous avez renseigné dans la conf LDAP GLPi via un browser LDAP ?
3 - postez votre conf ldap ici

foccacine · 2009-06-10 14:35:36

1. oui j'ai utilisé le modèle de préconfig.
2. en essayant avec un browser ldap j'ai réussi à me connecter sans problème.
voici ma config
rootdn = user@domaine.loc
pass=pwd du user
basedn=ou=Unit_org,dc=domaine,dc=loc

wawa · 2009-06-10 14:49:37

postez la config complète, ce ne sont pas ces champs qui m'intéressent

foccacine · 2009-06-10 15:03:30

Nom serveur
Serveur 10.102.109.XXX LDAP Port (default=389)
Basedn OU=Unit_org,DC=domaine,DC=loc
rootdn (pour les connexions non anonymes) user@domaine.loc
Pass (pour les connexions non anonymes)
Champ de login = samaccountname
Filtre de connexion =(ObjectClass=user)
Utiliser TLS Non
Fuseau horaire GMT
Traitement des alias LDAP Jamais déréférencés (défaut)

Type de recherche Utilisateurs & groupes
Attribut utilisateur indiquant ses groupes
Filtre pour la recherche dans les groupes
Attribut des groupes contenant les utilisateurs
Utiliser le DN pour la recherche Oui
Nom de famille cn
Prénom givenname
Commentaires
E-Mail mail
Téléphone telephonenumber
Téléphone 2
Portable

je crois que j'ai tout mis, si vous avez besoin d'autres infos faites moi savoir

wawa · 2009-06-10 15:14:47

le rootdn est mauvais, il faut qu'il soit écrit en syntaxe ldap

foccacine · 2009-06-10 15:23:34

Quand j'écris rootdn=CN=user,OU=unit_org,DC=domaine,DC=loc
la connexion échoue et j'ai le même message d'erreur que pour la connexion à glpi !

wawa · 2009-06-10 15:43:04

vous n'avez pas testé avec un vrai browser ldap la connexion (genre adsiedit, ldapbrowser ou autre) ?

foccacine · 2009-06-10 15:47:18

j'ai testé avec Softerra LDAP Browser 2.6 et ça marche

wawa · 2009-06-10 15:56:01

quel est le message exact ?
en mode debug vous avez une erreur particulière ?

foccacine · 2009-06-10 15:58:58

foccacine wrote:

Quand j'écris rootdn=CN=user,OU=unit_org,DC=domaine,DC=loc
la connexion échoue et j'ai le même message d'erreur que pour la connexion à glpi !

sorry j'ai retapé mon rootdn et ça marche de cette manière-ci mais toujours pas possible de me connecter à GLPI avec ce user

wawa · 2009-06-10 16:26:29

foccacine wrote:

sorry j'ai retapé mon rootdn et ça marche de cette manière-ci mais toujours pas possible de me connecter à GLPI avec ce user

ça marche, c'est à dire quoi ?
le test de connexion est réussi ?

foccacine · 2009-06-10 16:41:35

Oui, le test de connexion via configuration/authentification réussi mais l'ouverture de glpi avec un compte de l'AD ça ne marche pas.

ddurieux · 2009-06-10 16:50:55

ça peut réussir et ne pas fonctionner, j'ai eu ce pb.

Un conseil : faire un gpresult -v > gpresult.log sur un poste connecté en admin, vous aurez alors le rootdn exact et tout ce qu'il faut.

foccacine · 2009-06-10 16:58:56

je viens de faire cette commande et j'ai les même infos que celles que moi je mettais dans le rootdn==> je vois pas d'où viens le problème ( je désespère!...

BMO · 2009-06-10 17:00:51

Bonjour à tous,
Pour le rootdn, il peut très bien être de la forme prenom.nom@domaine.fr mais dans ce cas, il ne faut pas utiliser samaccount pour le champ de login mais userprincipalname.
C'est déjà ce que j'ai précisé dans la documentation du wiki.

Bonne journée.
Cordialement.
BMO

foccacine · 2009-06-11 10:18:19

Bonjour, j'ai remplacé samaccount par userprincipalname, même chose!... le test de la connexion fonctionne bien mais je sais pas me connecter à l'application avec mon user.
En plus je voudrais préciser que j'ai des user dont le rootdn est "nom prénom" et d'autres simplement "nom"

wawa · 2009-06-11 10:25:18

rootdn = compte qui est utilisé par GLPI pour se connecter à l'annuaire
un user a un DN. GLPi se fiche de la forme qui est utilisée, lui il ira, par défaut prendre l'identifiant qu'il trouvera dans samaccountname

foccacine · 2009-06-11 10:38:36

Petites précisions
Si je prend mon user "nom prenom" de l'unité organisationnelle 1 et que je configure l'authentification sous la forme :
rootdn=CN=nom prenom,OU=UO1,DC=domaine,DC=location
et champ login=userprincipalname
je peux me connecter à l'application en mettant sur l'écran de connexion comme identifiant : nom@domaine.loc (c'est déjà ça!.....)

Mais, j'ai 2 questions :
1) Qu'est-ce que je fais quand j'ai un utilisateur dont le rootdn=CN=nom,OU=UO1,DC=domaine,DC=location ? (je dois pas changer la config sinon l'autre user sait plus rentrer!...)
2)Qu'est-ce que je fais quand j'ai un utilisateur de l'unité orghanisationnelle 2???
je peux pas non plus changer la config!...

wawa · 2009-06-11 10:42:11

1/ GLPI ira chercher le login du user dans 1 et 1 seul champs : donc soit userprincipal, soit samaccountname
donc vous ne pouvez pas avoir des users qui se connectent avec les 2 formes : il faudra faire un choix !
2/ bah ça doit pas poser de soucis, si votre basedn était correct : DC=domaine,DC=loc par ex

foccacine · 2009-06-11 10:46:14

wawa wrote:

2/ bah ça doit pas poser de soucis, si votre basedn était correct : DC=domaine,DC=loc par ex

mon basedn est sous la forme OU=UO1,DC=domaine,DC=loc

wawa · 2009-06-11 10:56:54

c'est bien ce que je dis,
si votre user n'est plus dans OU=UO01, glpi ne le trouvera pas
en passant sur le baseDN DC=domaine,DC=loc, il ira chercher dans toutes les OU !

foccacine · 2009-06-11 11:02:11

désolé de vous embêter mais si j'enlève le ou du rootdn et du basedn, glpi ne trouve rien! même le test de connexion échoue.

foccacine · 2009-06-11 11:17:53

En résumé:
si j'ai mon rootdn=CN=nom prenom,OU=UO1,DC=domaine,DC=location et
basedn=OU=UO1,DC=domaine,DC=loc ça marche mais si j'ai
rootdn=CN=nom prenom,DC=domaine,DC=location et
basedn=DC=domaine,DC=loc ça marche pas du tout.
Svp aidez moi!...

wawa · 2009-06-11 11:23:37

ola stop
vous mélangez plusieurs choses :
- le rootdn/rootpass c'est pour un compte de service pour GLPi dans votre annuaire ! (en général moi je fais un compte spécifique pour que GLPI puisse se connecter à l'AD)
- je vous ai expliqué que :
* si vous vouliez chercher dans plus qu'une OU, alors il fallait mettre un basedn plus générique (voir la valeur donnée précédement)
* il vous suffit de regarder dans votre annuaire à l'aide d'un browser LDAP les valeurs des champs samaccountname et userprincipal pour voir quels doivent-être les identifiants de connexions des users

je pense que là vous mélangez tout...

Forum GLPI-Project

Announcement

#1 2009-06-10 11:43:50

Se connecter à GLPI avec un utilisateur de l'AD

#2 2009-06-10 11:47:20

Re: Se connecter à GLPI avec un utilisateur de l'AD

#3 2009-06-10 14:35:36

Re: Se connecter à GLPI avec un utilisateur de l'AD

#4 2009-06-10 14:49:37

Re: Se connecter à GLPI avec un utilisateur de l'AD

#5 2009-06-10 15:03:30

Re: Se connecter à GLPI avec un utilisateur de l'AD

#6 2009-06-10 15:14:47

Re: Se connecter à GLPI avec un utilisateur de l'AD

#7 2009-06-10 15:23:34

Re: Se connecter à GLPI avec un utilisateur de l'AD

#8 2009-06-10 15:43:04

Re: Se connecter à GLPI avec un utilisateur de l'AD

#9 2009-06-10 15:47:18

Re: Se connecter à GLPI avec un utilisateur de l'AD

#10 2009-06-10 15:56:01

Re: Se connecter à GLPI avec un utilisateur de l'AD

#11 2009-06-10 15:58:58

Re: Se connecter à GLPI avec un utilisateur de l'AD

#12 2009-06-10 16:26:29

Re: Se connecter à GLPI avec un utilisateur de l'AD

#13 2009-06-10 16:41:35

Re: Se connecter à GLPI avec un utilisateur de l'AD

#14 2009-06-10 16:50:55

Re: Se connecter à GLPI avec un utilisateur de l'AD

#15 2009-06-10 16:58:56

Re: Se connecter à GLPI avec un utilisateur de l'AD

#16 2009-06-10 17:00:51

Re: Se connecter à GLPI avec un utilisateur de l'AD

#17 2009-06-11 10:18:19

Re: Se connecter à GLPI avec un utilisateur de l'AD

#18 2009-06-11 10:25:18

Re: Se connecter à GLPI avec un utilisateur de l'AD

#19 2009-06-11 10:38:36

Re: Se connecter à GLPI avec un utilisateur de l'AD

#20 2009-06-11 10:42:11

Re: Se connecter à GLPI avec un utilisateur de l'AD

#21 2009-06-11 10:46:14

Re: Se connecter à GLPI avec un utilisateur de l'AD

#22 2009-06-11 10:56:54

Re: Se connecter à GLPI avec un utilisateur de l'AD

#23 2009-06-11 11:02:11

Re: Se connecter à GLPI avec un utilisateur de l'AD

#24 2009-06-11 11:17:53

Re: Se connecter à GLPI avec un utilisateur de l'AD

#25 2009-06-11 11:23:37

Re: Se connecter à GLPI avec un utilisateur de l'AD

Board footer