Intégration GLPI avec SSO (kerberos )

Répondre
Bedoui
Messages : 35
Enregistré le : 04 août 2017, 13:19

Intégration GLPI avec SSO (kerberos )

Message par Bedoui » 17 mars 2018, 22:58

Intégration GLPI avec SSO (kerberos )

Bonjour ,

je voulais savoir la possibilité de configurer SSO (kerberos ) avec seulement glpi .

j'ai bien créer un utilisateur spécifique dans l'AD par la suite j'ai générer un fichier keytab à exporter sous /etc.

j'ai ajouté FQDN dans la liste des sites de l'intranet local

[root@eonHelpdesk etc]# hostname
eonHelpdesk


j'ai bien configuré krb5.conf
[libdefaults]
default_realm = GCT.COM.TN
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
# default_realm = EXAMPLE.COM
default_ccache_name = KEYRING:persistent:%{uid}

[realms]
GCT.COM.TN = {
kdc = srv-adgctgab.gct.com.tn
admin_server = srv-adgctgab.gct.com.tn
}

[domain_realm]
srv-adgctgab.gct.com.tn = GCT.COM.TN

.srv-adgctgab.gct.com.tn = GCT.COM.TN


je me suis assuré de la synchronisation des dates entre le serveur d'active directory à travers ntpdate srv-adgctgab.gct.com.tn

finalement j'ai modifié glpi.conf en ajoutons
<Directory /srv/eyesofnetwork/glpi>
AuthType kerberos
AuthName "kerberos authenticated"
KrbAuthRealms GCT.COM.TN
KrbServiceName HTTP/eonHelpdesk.gct.com.tn@GCT.COM.TN
Krb5KeyTab /etc/eonHelpdesk.keytab
KrbMethodNegotiate ON
KrbMethodK5Passwd ON
require valid-user
Options None
AllowOverride Limit Options FileInfo
Require all granted
</Directory>

là je voulais savoir si réellement glpi.conf où je devrais effectué la modification
Remarque KrbAuthRealms ,KrbServiceName ,Krb5KeyTab ,KrbMethodNegotiate ,KrbMethodK5Passwd ne sont pas coloriés soit disant que apache ne reconnu pas ces entrées ?

Merci pour votre temps et support

Mat0u25
Messages : 1
Enregistré le : 20 mars 2018, 15:48

Re: Intégration GLPI avec SSO (kerberos )

Message par Mat0u25 » 22 mars 2018, 16:53

salut,

J'ai mis en place le sso pour glpi sur eon et ca fonctionne bien.

voila comment j'ai procédé :

install pbis-open:
sudo wget -O /etc/yum.repos.d/pbiso.repo http://repo.pbis.beyondtrust.com/yum/pbiso.repo
sudo yum clean all
sudo yum install pbis-open

Domain Join:
sudo domainjoin-cli join domain.lo login

Install krb5-user:
yum install krb5-workstation krb5-libs krb5-auth-dialog

create keytab:
ktpass -princ HTTP/webserver.domain.lo@DOMAIN.LO -mapuser webserver@domain.lo -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -pass passw0rd -out C:\temp\webserver.keytab
copier webserver.keytab dans /etc/httpd/keytab/

Verification:
sudo kinit -k -t /etc/httpd/keytab/webserver.keytab HTTP/glpi.domain.lo
klist
kvno HTTP/glpi.domain.lo@DOMAIN.LO

si erreur verifier les spn en double sur le DC: setspn -X

Installation du module kerberos pour apache:
yum -y install mod_auth_kerb

Ajout du certificat pour https:
copier domain.cer et domain.key dans /etc/httpd/cert/

Modification glpi.conf:

<directory "/usr/share/glpi">
AuthType Kerberos
AuthName "Login"
KrbServiceName HTTP/glpi.domain.lo@DOMAIN.LO
KrbVerifyKDC on
KrbMethodNegotiate on
KrbMethodK5Passwd on
KrbAuthRealms domain.lo
Krb5KeyTab /etc/httpd/keytab/webserver.keytab
require valid-user
</directory>

Modification de ssl.conf

SSLCertificateFile /etc/httpd/cert/domain.cer
SSLCertificateKeyFile /etc/httpd/cert/domain.key

lien direct vers GLPI ajout a la fin de ssl.conf:
<VirtualHost *:443>
DocumentRoot /srv/eyesofnetwork/glpi
ServerName glpi.domain.lo
SSLEngine on
SSLCertificateFile /etc/httpd/cert/domain.cer
SSLCertificateKeyFile /etc/httpd/cert/domain.key
</VirtualHost>

suite a cela l'acces direct fonctionne mais le liens depuis eon est mort et les plugins glpi sont inaccessible:
Modif du liens vers glpi dans EON :

dans le fichier /srv/eyesofnetwork/eonweb/include/languages/menus.json

modifier le lien "menu.link.park_management" :

menusubtab":[
{
"name":"menu.subtab.configuration",
"link":[
{
"name":"menu.link.park_management",
"url":"https://glpi.domain.lo/front/central.php",
"target":"_blank"
},
{
"name":"menu.link.inventory",
"url":"/module/index.php?module=ocsinventory-reports&link=/ocsreports",
"target":"_blank"
}

il faut Modifier la conf ocs serveur /plugins ( evite l'interdiction de l'acces au pugins glpi)


voila, il y a peut être des améliorations a faire, je suis preneur car je ne connais pas bien linux

en espérant que ca puisse t'aider

Bedoui
Messages : 35
Enregistré le : 04 août 2017, 13:19

Re: Intégration GLPI avec SSO (kerberos )

Message par Bedoui » 28 mars 2018, 17:10

Bonjour

Je vous remercie pour ta réponse .

Pour moi , j'utilise EyesOfNetwork 5.1 .

j'ai suivi tes conseils :

je trouve des problèmes pour linstallation pbis-open


j'ai bien ajouté la machine serveur au domaine ainsi que avec l'AD ([root@eonhelpdesk ~]# realm join --user )

realm list
GCT.COM.TN
type: kerberos
realm-name: GCT.COM.TN
domain-name: gct.com.tn
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools
login-formats: %U@gct.com.tn
login-policy: allow-realm-logins


j'ai crée le fichier keytab avec eonhelpdesk comme hostname , le FQDN , l'utilisateur d'authentifcation dans l'AD

C:\Users\administrateur.GCT>ktpass -princ HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN
-mapuser gct\eonhelpdesk -crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -pass eon
helpdesk -out C:\temp\eonhelpdesk.keytab
Targeting domain controller: SRV-ADGCTGAB.GCT.COM.TN
Successfully mapped HTTP/eonhelpdesk.gct.com.tn to eonhelpdesk.
Password succesfully set!
Key created.
Output keytab to C:\temp\eonhelpdesk.keytab:
Keytab version: 0x502
keysize 73 HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN ptype 1 (KRB5_NT_PRINCIPAL) vn
o 3 etype 0x17 (RC4-HMAC) keylength 16 (0xf10523bec71de004153ee7ffde36c96a)

et je la placer sous /etc/httpd/keytab/
Ensuite j'ai bien intier et valider la communication en tapant

[root@eonhelpdesk ~]# kinit -k -t /etc/httpd/keytab/eonhelpdesk.keytab HTTP/eonhelpdesk.gct.com.tn
[root@eonhelpdesk ~]# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN

Valid starting Expires Service principal
28/03/2018 16:54:48 29/03/2018 02:54:48 krbtgt/GCT.COM.TN@GCT.COM.TN
renew until 04/04/2018 16:54:48
[root@eonhelpdesk ~]# kvno HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN: kvno = 3

puis j'ai pas vraiement compris l'interet des certifcats (*.cer && *.key).
si je tape locate glpi.conf j'aurais deux fichiers :


/etc/httpd/conf.d/glpi.conf
/srv/eyesofnetworkconf/glpi/glpi.conf

pour le prermier fichier j'ai que

Alias /glpi "/srv/eyesofnetwork/glpi"

<Directory /srv/eyesofnetwork/glpi>
AuthType kerberos
AuthName "kerberos authenticated"
KrbAuthRealms GCT.COM.TN
KrbServiceName HTTP/eonhelpdesk.gct.com.tn@GCT.COM.TN
KrbVerifyKDC on
Krb5KeyTab /etc/httpd/keytab/eonhelpdesk.keytab
KrbMethodNegotiate ON
KrbMethodK5Passwd ON
require valid-user
Options None
AllowOverride Limit Options FileInfo
Require all granted
</Directory>
et l'autre fichier les balises ne sont pas coloriées donc j'estime qu'elle n'est pas prise en charge
pour par contre vous ecrivez <directory "/usr/share/glpi"> , repertoire inexistant pour moi comment et pourquoi



si je tape [root@eonhelpdesk ~]# locate ssl.conf
/etc/httpd/conf.d/ssl.conf
/etc/httpd/conf.modules.d/00-ssl.conf
/etc/vmware-tools/guestproxy-ssl.conf

pour le fichier /etc/httpd/conf.d/ssl.conf j'ai essayé d'jouter ceci

<VirtualHost _default_:443>
DocumentRoot /srv/eyesofnetwork/glpi


ServerName eonhelpdesk.gct.com.tn

en ajoutant aussi le fqdn dans la zone d'intranet local sous internet explorer

jusqu'a ici ca ne fonctionne pas le sso , Merci de jeter un coup d'oeil

Bedoui
Messages : 35
Enregistré le : 04 août 2017, 13:19

Re: Intégration GLPI avec SSO (kerberos )

Message par Bedoui » 01 avril 2018, 23:47

Encore coincé malheureusement meme les fichiers logs sont vides

Bedoui
Messages : 35
Enregistré le : 04 août 2017, 13:19

Re: Intégration GLPI avec SSO (kerberos )

Message par Bedoui » 02 avril 2018, 16:05

j'ai désactivé le protocole ssl en modifiant sous /etc/httpd/conf.d/ssl.conf la valeur de SSLEngine on vers off . mais sans avoir un contournement

Bedoui
Messages : 35
Enregistré le : 04 août 2017, 13:19

Re: Intégration GLPI avec SSO (kerberos )

Message par Bedoui » 11 avril 2018, 16:45

Up up on n'avance pas

Avatar du membre
Seb
Messages : 3558
Enregistré le : 11 février 2009, 17:35
Localisation : Limoges
Contact :

Re: Intégration GLPI avec SSO (kerberos )

Message par Seb » 12 avril 2018, 11:38

De mémoire il n'y pas toujours le mod-rewrite de http vers https activé par hasard?
"Mieux vaut cent chevaux sous une selle que d'un âne assis dessus"
Joe dans son bar servant un de ses clients...JBT

Bedoui
Messages : 35
Enregistré le : 04 août 2017, 13:19

Re: Intégration GLPI avec SSO (kerberos )

Message par Bedoui » 12 avril 2018, 13:06

oui j'ai rétablis la config initiale après des changements , maintenant je veux savoir ce qui manque dans ma procédure déjà décrite pour mettre en place le sso dans un environnement windows en particulier pour glpi sous EON

Répondre