sécurisé glpi "utilisation du https"

damag · 2008-11-11 10:35:44

salut,
je suis un nouvel utilisateur de GLPI, je viens de l'installer dans notre entreprise ou on utilise de l'active directory. le fait de se loguer sur GLPI on utilisant le nom et mot de passe de l'annuaire c'est risqué, par ce que le "mot de passe" circule en claire sur le réseaux et n'importe qui peut le snifer et ça mettra notre sécurité en danger.

la question est que on peut pas accéder a GLPI en "https" au lieu de "http"

wawa · 2008-11-11 10:44:07

oui si votre serveur HTTP permet de se connecter en HTTPS !
encore une fois j'insiste sur le fait que c'est bien de mettre du https, mais les infos circuleront en clair entre glpi et l'AD... donc pour faire un truc vraiment sécurisé il faut passer par du ldaps aussi !

damag · 2008-11-11 11:16:47

Nous on gere pas l'AD, donc c'est pas évidant de le configurer c'est pour ça on aimerai bien que la sécurisation soit du coté du GLPI

remi · 2008-11-11 11:27:47

Ce que viens d'écrire wawax, c'est que ça sert à rien de crypter le mot de passe entre le navigateur et GLPI si il circule en clair entre GLPI et AD.

D'autant que quelqu'un capable de sniffer les communications aura encore plus de facilités à capter coté AD (beaucoup moins de traffic)

Et après il faut aussi passer les communications GLPI/MySQL en SSL.

++

P.S. la sécurité est un vaste domaine, et c'est pas une communication https qui te garantie le niveau maximum.

damag · 2008-11-11 11:37:35

oui je suis entièrement d'accord avec toi, sur "la sécurité est un vaste domaine, et c'est pas une communication https qui te garantie le niveau maximum".

il pourra resté aussi vaste, si on commence pas à réfléchir sécurité .

ajdw · 2009-09-10 10:44:40

Bonjour.
Je suis également sur le coup. Je recherche activement la solution. J'ai déjà une piste, je vais l'approfondir ce matin même. Dès que j'ai trouvé la solution, je la posterai ici (entre autres...).

Quant au lien entre GLPI et l'AD, il me sembles sans vouloir dire de bêtises que les authentifications se font en crypté MD5 (si AD sur Server 2003). Donc, je pense pas que ce soit un souci.

Par contre, j'avoue que je ne sais pas trop pour les authentifications entre GLPI et la base de donnée. Je vais aussi plancher la dessus (et ferai des test en sniffant ma machine hôte).

A suivre...

Last edited by ajdw (2009-09-14 11:59:27)

ddurieux · 2009-09-10 10:49:36

Pour l'authentification entre GLPI et MySQL, soit tu passe le serveur MySQL en SSL mais je ne sais pas si ça ne requiert pas de modifier le code de GLPI, soit alors tu fais un tunnel crypté entre tes 2 machines (ça évite de toucher le code si c'est le cas)

ajdw · 2009-09-25 11:35:40

Bonjour à tous,

Après moultes essais, j'ai réussi à obtenir un résultat très satisfaisant.
Pour crypter les données entre le serveur LDAP et le serveur GLPI, soit utilisez stunnel (solution que je n'ai pas adopté), soit se servir des options de votre serveur LDAP pour l'authentification via Kerberos.
--> Marche nickel

Pour crypter entre le navigateur client et le serveur GLPI (version 0.72.1), vérifiez la version de votre apache. S'il s'agit de la version 2.0, reportez-vous aux articles suivants :
--> http://httpd.apache.org/docs/2.3/fr/mod … write.html
--> http://httpd.apache.org/docs/2.3/fr/ssl/

Si vous avez la version 2.2, Apache gère nativement le https, il vous suffit donc de générer une paire de clés grâce à openssl (xampp\apache\bin\openssl.exe) puis soit passer par une autorité de certification soit créer sa propre autorité de certification.
--> http://apache.developpez.com/cours/apac … l-windows/
Sous xampp\apache\conf\extra\httpd-ssl.conf, faîtes bien référence à votre paire de clés (SSLCertificateFile et SSLCertificateKeyFile). Il ne reste plus qu'à faire une redirection de l'URL de l'index de GLPI.
Ouvrez pour modifer xampp\htdocs\glpi\index.php
Puis rajoutez la ligne juste après le "<?php" au déébut du fichier :
if($_SERVER['SERVER_PORT'] != 443) die(header('Location: https://'.$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI']));
Pour revenir en http classique après la connexion, ajouter dans /front/central.php

if($_SERVER['SERVER_PORT'] != 80) die(header('Location: http://'.$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI']));

Tel que décrit dans le post : http://www.glpi-project.org/forum/viewtopic.php?id=3817

Enfin, si votre GLPI et sur le même serveur que OCS alors, pas de soucis, les paquets adressés à localhost ne passent pas par le réseau.

Une fois tout ça fait, un bon sniffer placer au cul du serveur GLPI m'a permis de constater que tout fonctionne parfaitement sans que mes mots de passe passent en clair. Seuls mes loggins sont visibles.

Bonne journée à tous. )

Last edited by ajdw (2009-09-25 11:39:43)

ddurieux · 2009-09-25 11:38:03

Merci pour ce retour

Forum GLPI-Project

Announcement

#1 2008-11-11 10:35:44

sécurisé glpi "utilisation du https"

#2 2008-11-11 10:44:07

Re: sécurisé glpi "utilisation du https"

#3 2008-11-11 11:16:47

Re: sécurisé glpi "utilisation du https"

#4 2008-11-11 11:27:47

Re: sécurisé glpi "utilisation du https"

#5 2008-11-11 11:37:35

Re: sécurisé glpi "utilisation du https"

#6 2009-09-10 10:44:40

Re: sécurisé glpi "utilisation du https"

#7 2009-09-10 10:49:36

Re: sécurisé glpi "utilisation du https"

#8 2009-09-25 11:35:40

Re: sécurisé glpi "utilisation du https"

#9 2009-09-25 11:38:03

Re: sécurisé glpi "utilisation du https"

Board footer