LDAP et GLPI/OCS

Venez discuter sur Border Manager, DirXML, LDAP ou les services iPortal ainsi que toute solution de sécurité pour Novell (antivirus, surveillance, filtrage, etc).

LDAP et GLPI/OCS

Messagepar boz37 » 12 Oct 2009, 16:02

Salut,

J'essaye d'utiliser GLPI pour la gestion de mon parc informatique en l'accouplant à OCS Inventory mais j'ai un problème pour l'authentification de mes users Novell via LDAP.
Je ne sais pas si je pourrais trouver de l'aide ici plutôt que sur le forum de GLPI mais tout ce que je trouve sur leur forum ne fonctionne pas chez moi donc j'imagine que je ne dois rentrer les bonnes infos LDAP dans GLPI.
Actuellement j'arrive à importer mes users LDAP dans GLPI mais ces users ne peuvent pas se connecter à GLPI.

Les champs LDAP à compléter sont les suivants:

ONGLET LDAP:
Nom = ce qu'on veut je pense (c'est le nom de la conexion LDAP qui apparaitra dans GLPI)
Identifiant interne du serveur (ID) = 1 (ça s'est mis tout seul)
Serveur LDAP = L'IP de mon serveur
Port (default=389) = 939
Basedn = o=moncontexte (c'est ce que j'ai mis mais avec ou sans je peux importer mes users)
rootdn (pour les connexions non anonymes) = Là je ne sais pas quoi mettre, certains disent de mettre "cn=admin,cn=rootdn_edirectory" mais je ne sais pas ce qu'est la rootdn de l'edirectory.
Pass (pour les connexions non anonymes) = le mot de passe du user mis dans rootdn
Champ de l'identifiant = uid (certains disent de mettre "cn" mais avec cette méthode je ne peux importer que le user admin alors qu'en uid je l'ai vois tous)
Filtre de connexion = vide (je ne sais pas quoi mettre là dedans)
Utiliser TLS (Non ou Oui) = NON (si je met Oui plus rien ne fonctionne)
Fuseau horaire = GMT +1 heure(s)
Traitement des alias LDAP = Jamais déréférencés (défaut) (il y a aussi ces possibilités: "Toujours déréférencés", "Déréférencés pendant la recherche", "Déréférencés pendant la localisation")

ONGLET Appartenance à des groupes:
Type de recherche : Dans les utilisateurs (il y a aussi ces possibilités: "Dans les groupes", "Utilisateurs & groupes")
Attribut utilisateur indiquant ses groupes = vide (je ne sais pas quoi mettre là dedans)
Filtre pour la recherche dans les groupes = vide (je ne sais pas quoi mettre là dedans)
Attribut des groupes contenant les utilisateurs = vide (je ne sais pas quoi mettre là dedans)
Utiliser le DN pour la recherche (Non ou Oui) = Oui

ONGLET Liaisons GLPI/LDAP:
Nom de famille = sn
Prénom = givenname
Commentaires = vide (je ne sais pas quoi mettre là dedans)
E-Mail = mail
Téléphone = vide (je ne sais pas quoi mettre là dedans du coup ça n'importe pas les numéros de tel)
Téléphone 2 = vide
Portable = vide
Titre = vide
Catégorie = vide
Langue = vide

T'cho
S1: NW6.5 SP7: Data, DNS-DHCP, Iprint, ARCserve 11.1 SP3.
S2: NW6.5 SP7, GW7.0 SP2, DNS-DHCP, GW, ARCserve 11.1 SP3.
S3: NW6.5 SP7, NetStorage, WebAccess SP3
Client NW 4.91 SP4 sous XpProSp3.
Client GW 7.0 SP3 sous XpProSp3.
Avatar de l’utilisateur
boz37
Expert maniaque
Expert maniaque
 
Message(s) : 222
Inscription : 25 Sep 2005, 22:11
Localisation : 95

Re: LDAP et GLPI/OCS

Messagepar boz37 » 13 Oct 2009, 13:13

Salut,

Sur le fofo de GLPI, j'ai trouvé un vieux post d'un certain "Bidouille", serait le même qu'ici :roll:
http://www.glpi-project.org/forum/viewtopic.php?pid=25838
En tous cas le coup de "basebn" et "rootdn" semble bien plus compliqué que je ne le pensais.

Si je laisse ces 2 champs vide, je peux synchro mes users mais rien d'autre.
Si dans "basedn" je met "o=moncontexte", ça ne change rien, je peux synchro les users mais toujours pas me connecter avec une user ldap.
Si dans "basedn" je met "o=monarbre", ça ne change rien, je peux synchro les users mais toujours pas me connecter avec une user ldap. mais par contre j'ai message différent lors d'un essai de login à glpi: "Échec de l'authentification LDAP". D'ahbitude, je n'ai jamais aucun message d'erreur mensionnant ldap.

J'ai essayé aussi de rajouter un user dans "rootdn" et du coup ça donnait ça: cn=admin,o=monarbre (ou mon contexte ald mon arbre) mais là le test d'accès à ldap échoue donc plus rien ne fonctionne.

T'cho
S1: NW6.5 SP7: Data, DNS-DHCP, Iprint, ARCserve 11.1 SP3.
S2: NW6.5 SP7, GW7.0 SP2, DNS-DHCP, GW, ARCserve 11.1 SP3.
S3: NW6.5 SP7, NetStorage, WebAccess SP3
Client NW 4.91 SP4 sous XpProSp3.
Client GW 7.0 SP3 sous XpProSp3.
Avatar de l’utilisateur
boz37
Expert maniaque
Expert maniaque
 
Message(s) : 222
Inscription : 25 Sep 2005, 22:11
Localisation : 95

Re: LDAP et GLPI/OCS

Messagepar GeneaWeb » 14 Oct 2009, 14:57

un user dans "rootdn" et du coup ça donnait ça: cn=admin,o=monarbre (ou mon contexte ald mon arbre) mais là le test d'accès à ldap échoue donc plus rien ne fonctionne

Pour revenir sur cet ligne "" Attention la syntaxe doit elle etre ldap ou eDir ?
---------------------------------------
L'information doit être partagé
Avatar de l’utilisateur
GeneaWeb
Administrateur
Administrateur
 
Message(s) : 121
Inscription : 19 Jan 2006, 09:31
Localisation : IdF Asnieres/Seine

Re: LDAP et GLPI/OCS

Messagepar boz37 » 14 Oct 2009, 15:42

Salut,

La syntaxe doit être exactement comme je l'ai écrit d'après ce que j'ai compris mais de là à dire ce si c'esrt l'un ou l'autre :?
De que j'ai trouvé, il y en a qui vont dans des trucs de ce genre mais bien sûr ça dépend de leur architecture :" cn=user,ou=ou1,o=o1 ...."

T'cho
S1: NW6.5 SP7: Data, DNS-DHCP, Iprint, ARCserve 11.1 SP3.
S2: NW6.5 SP7, GW7.0 SP2, DNS-DHCP, GW, ARCserve 11.1 SP3.
S3: NW6.5 SP7, NetStorage, WebAccess SP3
Client NW 4.91 SP4 sous XpProSp3.
Client GW 7.0 SP3 sous XpProSp3.
Avatar de l’utilisateur
boz37
Expert maniaque
Expert maniaque
 
Message(s) : 222
Inscription : 25 Sep 2005, 22:11
Localisation : 95

Re: LDAP et GLPI/OCS

Messagepar boz37 » 15 Oct 2009, 20:56

Salut,

Bon je n'arrive pas à trouver si la syntaxe doit elle etre ldap ou eDir :?

Concernant le lien que j'avais trouvé (avec l'auteur du post Bidouille), on voit qu'il met des "DC" et des "OU".
Pour être sûr que je ne test pas avec des mauvaises données est ce que àa serait bon dans cette config:
J'ai 1 arbre puis en dessous 1 contexte contenant mes users
Donc est ce que l'arbre serait un "DC" et le contexte un "OU" ?

A quoi correspondent les "o" et "cn" du coup ?
Est ça la différence de syntaxe entre ldap ou edir ?

Y a t il des choses spécifiques à faire dans les parametres ladp du serveur ?

T'cho
S1: NW6.5 SP7: Data, DNS-DHCP, Iprint, ARCserve 11.1 SP3.
S2: NW6.5 SP7, GW7.0 SP2, DNS-DHCP, GW, ARCserve 11.1 SP3.
S3: NW6.5 SP7, NetStorage, WebAccess SP3
Client NW 4.91 SP4 sous XpProSp3.
Client GW 7.0 SP3 sous XpProSp3.
Avatar de l’utilisateur
boz37
Expert maniaque
Expert maniaque
 
Message(s) : 222
Inscription : 25 Sep 2005, 22:11
Localisation : 95

Re: LDAP et GLPI/OCS

Messagepar boz37 » 16 Oct 2009, 12:02

Salut,

Je ne comprend pas, avec "ldap browser" j'arrive à voir tout mon arbre en indiquant seulement l'ip du serveur mais alors pourquoi je n'arrive pas à trouver comment paramettrer ldap dans glpi (ou même dans joomla d'ailleurs) pour qu'un user puisse se connecter.

Vous seriez m'explique la différence entre voir l'arbre et tous ses élément et arriver à se connecter à une "application" via un login ldap ?

T'cho
S1: NW6.5 SP7: Data, DNS-DHCP, Iprint, ARCserve 11.1 SP3.
S2: NW6.5 SP7, GW7.0 SP2, DNS-DHCP, GW, ARCserve 11.1 SP3.
S3: NW6.5 SP7, NetStorage, WebAccess SP3
Client NW 4.91 SP4 sous XpProSp3.
Client GW 7.0 SP3 sous XpProSp3.
Avatar de l’utilisateur
boz37
Expert maniaque
Expert maniaque
 
Message(s) : 222
Inscription : 25 Sep 2005, 22:11
Localisation : 95

Re: LDAP et GLPI/OCS

Messagepar boz37 » 16 Oct 2009, 12:23

Salut,

Bon ça y est j'ai trouvé, mais ce n'est pas possible tellement c'était bête :evil:

Voila ce que j'ai mis
Nom = ce qu'on veut je pense (c'est le nom de la conexion LDAP qui apparaitra dans GLPI)
Identifiant interne du serveur (ID) = 1 (ça s'est mis tout seul)
Serveur LDAP = L'IP de mon serveur
Port (default=389) = 939
Basedn = o=moncontexte (le contexte où se trouvent mes users)
rootdn (pour les connexions non anonymes) = cn=admin,o=moncontexte (le contexte où se trouvent mes users)
Pass (pour les connexions non anonymes) = le mot de passe du user mis dans rootdn
Champ de l'identifiant = uid
Filtre de connexion = vide
Utiliser TLS (Non ou Oui) = NON
Fuseau horaire = GMT +1 heure(s)
Traitement des alias LDAP = Jamais déréférencés (défaut)

Mais ce qui a tous débloqué était dans la partie ldap de mon serveur:
La case "Exiger TLS en cas de liaison simple avec mot de passe" était cochée.

Donc maintenant faut il mieux, que l'active dans la partie ldap de mon serveuret qu'ensuite je mette "Utiliser TLS (Non ou Oui) = OUI ?
Qu'est ce qui est préférable en LAN ?

T'cho
S1: NW6.5 SP7: Data, DNS-DHCP, Iprint, ARCserve 11.1 SP3.
S2: NW6.5 SP7, GW7.0 SP2, DNS-DHCP, GW, ARCserve 11.1 SP3.
S3: NW6.5 SP7, NetStorage, WebAccess SP3
Client NW 4.91 SP4 sous XpProSp3.
Client GW 7.0 SP3 sous XpProSp3.
Avatar de l’utilisateur
boz37
Expert maniaque
Expert maniaque
 
Message(s) : 222
Inscription : 25 Sep 2005, 22:11
Localisation : 95

Re: LDAP et GLPI/OCS

Messagepar Raymond » 16 Oct 2009, 19:08

boz37 a écrit:
Bon ça y est j'ai trouvé, mais ce n'est pas possible tellement c'était bête :evil:

Port (default=389) = 939


C'est effectivement peut être bête, mais le port SSL est : 636 et pas 939.
Raymond

Apprends comme si tu devais vivre pour toujours
et vis comme si tu devais mourir ce soir!
Proverbe tibétain
Avatar de l’utilisateur
Raymond
Administrateur
Administrateur
 
Message(s) : 302
Inscription : 12 Déc 2005, 14:02
Localisation : Thonon - 74

Re: LDAP et GLPI/OCS

Messagepar boz37 » 16 Oct 2009, 19:19

Salut,

Ah tiens en fait je me rend compte que j'ai fait une erreur dans tous mes posts en écrivant 939 ald 389.
Enfin peu importe, vu que c'était le 636 qu'il aurait fallu mettre dans le cas ou je laissais activé le TLS.

Sinon TLS activé en LAN ? utile ou pas ?

Dans le cas ou je voudrais un jour faire un site web et non un intranet donc du coup visible en WAN, est ce que ce type d'authentification (LDAP) avec activation du TLS (donc avec le port ldap 636) serait suffisant comme sécurité ?

T'cho
S1: NW6.5 SP7: Data, DNS-DHCP, Iprint, ARCserve 11.1 SP3.
S2: NW6.5 SP7, GW7.0 SP2, DNS-DHCP, GW, ARCserve 11.1 SP3.
S3: NW6.5 SP7, NetStorage, WebAccess SP3
Client NW 4.91 SP4 sous XpProSp3.
Client GW 7.0 SP3 sous XpProSp3.
Avatar de l’utilisateur
boz37
Expert maniaque
Expert maniaque
 
Message(s) : 222
Inscription : 25 Sep 2005, 22:11
Localisation : 95

Re: LDAP et GLPI/OCS

Messagepar Raymond » 19 Oct 2009, 19:13

boz37 a écrit:Sinon TLS activé en LAN ? utile ou pas ?

En LAN, cela me paraît inutile. Sauf si tu as peur que quelqu'un te pirate par le LAN (mais là il y aurait certainement autre chose à faire avant).
De toute façon, je désactive le TLS systématique.
Raymond

Apprends comme si tu devais vivre pour toujours
et vis comme si tu devais mourir ce soir!
Proverbe tibétain
Avatar de l’utilisateur
Raymond
Administrateur
Administrateur
 
Message(s) : 302
Inscription : 12 Déc 2005, 14:02
Localisation : Thonon - 74

Re: LDAP et GLPI/OCS

Messagepar boz37 » 19 Oct 2009, 21:29

Salut,

Je voulais en être sûr merci :wink:

1- Dans le cas ou je voudrais un jour faire un site web et non un intranet donc du coup visible en WAN, est ce que ce type d'authentification (LDAP) avec activation du TLS (donc avec le port ldap 636) serait suffisant comme sécurité ?
2- Du coup seulement le port 80 aurait besoin d'être ouvert sur mon firewall pour accéder au site web et l'authentification ldap se ferait entre les 2 serveurs en LAN donc pas besoins d'ouvrir le port 636 sur le firewall. Est ce correct ?

T'cho
S1: NW6.5 SP7: Data, DNS-DHCP, Iprint, ARCserve 11.1 SP3.
S2: NW6.5 SP7, GW7.0 SP2, DNS-DHCP, GW, ARCserve 11.1 SP3.
S3: NW6.5 SP7, NetStorage, WebAccess SP3
Client NW 4.91 SP4 sous XpProSp3.
Client GW 7.0 SP3 sous XpProSp3.
Avatar de l’utilisateur
boz37
Expert maniaque
Expert maniaque
 
Message(s) : 222
Inscription : 25 Sep 2005, 22:11
Localisation : 95


Retour vers Sécurité et services web

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 1 invité

cron