Login Automatique et IE8

lveirman · 2009-08-24 15:40:32

Bonjour à tous,

Je suis un peu coincé pour analyser mon problème correctement, un peu d'aide sera la bienvenue.

1 - Environnement :
* GLPI sur Ubuntu 8 + Apache + MySQL + module PerlNTLM.

2 - Problème :
* Le login automatique est configuré. Cela fonctionne très bien avec IE7, mais pas avec IE8.

Comme j'envisage de migrer le parc sous Win7 d'ici quelques mois, il le faut absolument définir une politique d'accès à GLPI qui ne changera pas. D'expérience, le mode autologin est parfait. toutefois, comme expliqué ci-dessus, impossible avec IE8.

3 - Code d'erreur retourné :
* Erreur 500

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, informatique@xxx and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

--------------------------------------------------------------------------------

Apache/2.2.9 (Ubuntu) PHP/5.2.6-2ubuntu4.2 with Suhosin-Patch mod_perl/2.0.4 Perl/v5.10.0 Server at glpi Port 80

Si qq1 pouvait me donner un embryon de piste pour l'analyse... Merci d'avance

Last edited by lveirman (2009-08-24 15:41:26)

ddurieux · 2009-08-24 15:41:57

Dans les logs d'apache, tu as quoi qui correspond à cette erreur?

lveirman · 2009-08-24 15:44:23

Voici le journal de error.log (assez interressant) :

[23474] AuthenNTLM: Authorization Header NTLM TlRMTVNTUAADAAAAGAAYAJQAAAA4ADgArAAAABQAFABYAAAAEgASAGwAAAAWABYAfgAAAAAAAADkAAAABYIAAgYBvBsAAAAP1H/bI7NapmYKVyKtEgEgnEYAVQBKAEkATgBPAE4ALQBGAFIAbAAuAHYAZQBpAHIAbQBhAG4ATQBUAEcATAA0AEcAMwA2AEoAMwBKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAN3hXnrHxtOxhNNcF4t0KqkBAQAAAAAAAMDWtWLAJMoBpEwy7/OSMGYAAAAAAgAAAAAAAAAAAAAA
[23474] AuthenNTLM: Got: 78 84 76 77 83 83 80 0 3 0 0 0 24 0 24 0 148 0 0 0 56 0 56 0 172 0 0 0 20 0 20 0 88 0 0 0 18 0 18 0 108 0 0 0 22 0 22 0 126 0 0 0 0 0 0 0 228 0 0 0 5 130 0 2 6 1 188 27 0 0 0 15 212 127 219 35 179 90 166 102 10 87 34 173 18 1 32 156 70 0 85 0 74 0 73 0 78 0 79 0 78 0 45 0 70 0 82 0 108 0 46 0 118 0 101 0 105 0 114 0 109 0 97 0 110 0 77 0 84 0 71 0 76 0 52 0 71 0 51 0 54 0 74 0 51 0 74 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 221 225 94 122 199 198 211 177 132 211 92 23 139 116 42 169 1 1 0 0 0 0 0 0 192 214 181 98 192 36 202 1 164 76 50 239 243 146 48 102 0 0 0 0 2 0 0 0 0 0 0 0 0 0 0 0
[23474] AuthenNTLM: protocol=NTLMSSP, type=3, user=l.veirman, host=MTGL4G36J3J, domain=FUJINON-FR, msg_len=0
[23474] handler type == 3
[23474] AuthenNTLM: verify handle = 3 smbhandle == -1193237984
[23474] AuthenNTLM: Verify user l.veirman via smb server
[23474] AuthenNTLM: leave lock
[Mon Aug 24 15:40:09 2009] [error] Wrong password/user (rc=3/1/327681): FUJINON-FR\\l.veirman for /glpi
[23474] AuthenNTLM: rc = 3  ntlmhash = Ýá^zÇÆÓ±
                                               Ó\t*©ÀÖµbÀ$Ê¤L2ïó0f
[Mon Aug 24 15:40:09 2009] [crit] [client 192.168.1.60] configuration error:  couldn't check user.  No user file?: /glpi
e000001@APAMTG01:/var/log/apache2$ tail error.log
[23485] AuthenNTLM: Start NTLM Authen handler pid = 23485, connection = -1197036760 conn_http_hdr = Keep-Alive  main =  cuser =  remote_ip = 192.168.1.27 remote_port = 12601 remote_host = <> version = 0.02 smbhandle =
[23485] AuthenNTLM: Object exists user = FUJINON-FR\r.walpole
[23485] AuthenNTLM: Authorization Header <not given>
[23485] AuthenNTLM: Same connection pid = 23485, connection = -1197036760 cuser = r.walpole ip = 192.168.1.27 method = GET Content-Length =  type =
[23485] AuthenNTLM: OK because same connection
[23475] AuthenNTLM: Start NTLM Authen handler pid = 23475, connection = -1197036760 conn_http_hdr = Keep-Alive  main =  cuser =  remote_ip = 192.168.1.27 remote_port = 12601 remote_host = <> version = 0.02 smbhandle =
[23475] AuthenNTLM: Object exists user = FUJINON-FR\r.walpole
[23475] AuthenNTLM: Authorization Header <not given>
[23475] AuthenNTLM: Same connection pid = 23475, connection = -1197036760 cuser = r.walpole ip = 192.168.1.27 method = GET Content-Length =  type =
[23475] AuthenNTLM: OK because same connection

lveirman · 2009-08-24 15:45:23

Le premier login est celui avec IE8, le deuxième avec IE7.

ddurieux · 2009-08-24 15:48:49

oui mais le login n'est pas le même,tu peux tester avec le même login /mot de passe?

lveirman · 2009-08-24 15:54:06

Bon réflexe. Effectivement, je bosse sur Win7 et je m'aperçois que le problème est plus lié au système qu'au navigateur (quoique que...)

[23817] AuthenNTLM: Authorization Header NTLM TlRMTVNTUAADAAAAGAAYAJQAAAA4ADgArAAAABQAFABYAAAAEgASAGwAAAAWABYAfgAAAAAAAADkAAAABYIAAgYBvBsAAAAPY9XLD1EibVFYUQ/sKQBRbUYAVQBKAEkATgBPAE4ALQBGAFIAcgAuAHcAYQBsAHAAbwBsAGUATQBUAEcATAA0AEcAMwA2AEoAMwBKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABmv2tSnAFjRQi1fh+jGg4BAQAAAAAAAEo/Vr3BJMoBqDUY9tqZqxgAAAAAAgAAAAAAAAAAAAAA
[23817] AuthenNTLM: Got: 78 84 76 77 83 83 80 0 3 0 0 0 24 0 24 0 148 0 0 0 56 0 56 0 172 0 0 0 20 0 20 0 88 0 0 0 18 0 18 0 108 0 0 0 22 0 22 0 126 0 0 0 0 0 0 0 228 0 0 0 5 130 0 2 6 1 188 27 0 0 0 15 99 213 203 15 81 34 109 81 88 81 15 236 41 0 81 109 70 0 85 0 74 0 73 0 78 0 79 0 78 0 45 0 70 0 82 0 114 0 46 0 119 0 97 0 108 0 112 0 111 0 108 0 101 0 77 0 84 0 71 0 76 0 52 0 71 0 51 0 54 0 74 0 51 0 74 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 102 191 107 82 156 1 99 69 8 181 126 31 163 26 14 1 1 0 0 0 0 0 0 74 63 86 189 193 36 202 1 168 53 24 246 218 153 171 24 0 0 0 0 2 0 0 0 0 0 0 0 0 0 0 0
[23817] AuthenNTLM: protocol=NTLMSSP, type=3, user=r.walpole, host=MTGL4G36J3J, domain=FUJINON-FR, msg_len=0
[23817] handler type == 3
[23817] AuthenNTLM: verify handle = 3 smbhandle == -1196981048
[23817] AuthenNTLM: Verify user r.walpole via smb server
[23817] AuthenNTLM: leave lock
[Mon Aug 24 15:49:51 2009] [error] Wrong password/user (rc=3/1/327681): FUJINON-FR\\r.walpole for /glpi
[23817] AuthenNTLM: rc = 3 ntlmhash = f¿kRcµ~£J?V½Á$Ê¨5öÚ«
[Mon Aug 24 15:49:51 2009] [crit] [client 192.168.1.60] configuration error: couldn't check user. No user file?: /glpi

lveirman · 2009-08-24 15:59:26

Quelques recherches semblent indiquer que l'erreur est similaire à celle rencontré par firefox. Je vais faire un test de ce coté là.

ddurieux · 2009-08-24 15:59:59

Ca doit utiliser un encodage différent, voir peut être directement avec AuthenNTLM

lveirman · 2009-08-24 16:09:25

Après check sur Firefox, la même erreur apparait. Je pense effectivement qu'il s'agit d'une modification dans le fonctionnement NTLM avec windows 7.

J'ai trouvé quelques pistes autour de AuthenNTLM. Je mettrai la suite par ici.

lveirman · 2009-08-24 16:10:34

Première piste confirmant la thès du Windows 7 :

I'm running Squid 2.7-stable4, Samba 3 and the Windows 7 RC with IE8.

I have NTLM authentication setup on my squid proxy server and it works fine for every combination of browser and Windows (including IE8 on XP and Firefox on Win7), but it doesn't work (keeps asking for authentication) for IE8 on Windows 7.

I can get it to work using the LmCompatibilityLevel registry hack, but I'd really prefer to get it working on the server.

Does anyone have any experience with this? Or know where to start looking? The samba logs don't reveal much.

lveirman · 2009-08-24 16:23:03

On trouve de tout, y compris des articles (en anglais) expliquant que depuis vista le protocole NTLMv2 est plus sécurisé, voir non-fonctionnel (depend de comment il est utilisé).

Recommendations
Although Windows Vista has not been released yet, it is worthwhile to point out some changes in this operating system related to these protocols. The most important change is that the LM protocol can no longer be used for inbound authentication—where Windows Vista is acting as the authentication server. Windows Vista will no longer store the LM hash by default. Acting as a client, Windows Vista also makes a change to outbound protocols by setting LMCompatibilityLevel to 3 by default. In other words, NTLMv2 will finally be the default protocol for non-domain authentication. In the next scheduled release of the Windows Server platform, code-named "Longhorn Server," a lot of work has been done to reduce the need for NTLM altogether. In Windows Server 2003, NTLM, and sometimes even LM, is used in many cases, such as in clusters. In the next version of the operating systems many of these protocols will finally be turned off by default.

Dans notre cas, il semble que l'implémentation NTLM utilisé par Apache2 ne soit pas compatible. Il reste une solution : modifier le niveau de sécurité sur le protocole NTLM. Il s'agit d'une décision importante que chacun doit réflechir. Voici la clé de registre à modifier (lire l'article de M$):

http://technet.microsoft.com/en-us/libr … 60646.aspx

et l'article expliquant les différences et le fonctionnement NTLM :

http://technet.microsoft.com/es-es/maga … n-us).aspx

Je fais l'essai pour le registre et je posterai le résultat.

lveirman · 2009-08-24 16:45:53

En passant la clé à 2 (créez-la si elle n'existe pas) GLPI fonctionne parfaitement !

ddurieux · 2009-08-24 16:55:45

Merci pour le retour

lallau000 · 2011-02-18 16:53:34

Bonjour,
J'ai mis en place la clé de registre sur des PC avec windows 7. Hors nous avons maintenant des soucis avec l'authentification de Outlook Anywhere .
Je n'ai pas de solution pour ne pas utiliser cette clé.
Peux-être que le mieux serait de mettre en place l'authentification automatique comme option dans les configurations de GLPI.

Forum GLPI-Project

Announcement

#1 2009-08-24 15:40:32

Login Automatique et IE8

#2 2009-08-24 15:41:57

Re: Login Automatique et IE8

#3 2009-08-24 15:44:23

Re: Login Automatique et IE8

#4 2009-08-24 15:45:23

Re: Login Automatique et IE8

#5 2009-08-24 15:48:49

Re: Login Automatique et IE8

#6 2009-08-24 15:54:06

Re: Login Automatique et IE8

#7 2009-08-24 15:59:26

Re: Login Automatique et IE8

#8 2009-08-24 15:59:59

Re: Login Automatique et IE8

#9 2009-08-24 16:09:25

Re: Login Automatique et IE8

#10 2009-08-24 16:10:34

Re: Login Automatique et IE8

#11 2009-08-24 16:23:03

Re: Login Automatique et IE8

#12 2009-08-24 16:45:53

Re: Login Automatique et IE8

#13 2009-08-24 16:55:45

Re: Login Automatique et IE8

#14 2011-02-18 16:53:34

Re: Login Automatique et IE8

Board footer