Bonjour,
nous sommes très intéressés par GestSup et avons fait quelques tests dans notre environnement de travail qui est plus que très orienté Apple et Mac OS…
Corollaire de ceci, nous avons un LDAP à la sauce Apple qui répond au doux nom d'Open Directory. Pour l'instant, mais normalement plus pour très longtemps, cet Open Directory tourne sur un serveur Mac OS X 10.8.5.
Dans cette configuration, nous avons pu faire un bind de GestSup avec OD en anonyme moyennant la petite modif que l'on trouve sur les forums et cela fonctionne bien.
En revanche, en menant des tests avec un OD sous la dernière version du système (10.11.2), le bind se passe apparemment bien puisque nous pouvons importer les comptes utilisateurs en revanche l'authentification dans GestSup ne fonctionne pas : le mot de passe est systématiquement rejeté.
Quelqu'un a-t-il une idée ? Du côté du serveur OD, nous n'avons pas vu d'option type SSL, chiffrement obligatoire, etc… qui semble expliquer ce comportement.
Merci par avance pour des pistes de solutions.
Connexion à un LDAP Open Directory
Bonjour,
Nous ne disponsons d'environnement de test avec ce systeme d'exploitation. Nous n'allons par conséquent pouvoir adapter le connecteur pour open directory.
Désolé
Cdt
Nous ne disponsons d'environnement de test avec ce systeme d'exploitation. Nous n'allons par conséquent pouvoir adapter le connecteur pour open directory.
Désolé
Cdt
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.59 | MariaDB: 11.5.2 | PHP: 8.3.12 | https://doc.gestsup.fr/
Mes investigations ont montré que les nouveaux OpenDirectory Apple (depuis au moins 10.10) ne supportent plus le MD5 pour l'échange des mots de passe…
La raison profonde n'est pas explicitée, peut-être un problème de sécurité sous-jacent ?
GLPI fonctionne car il utilise le protocole TLS qui lui est toujours supporté et semble devenir la "norme".
Si le code de GestSup venait à être modifié dans le support de LDAP, il semblerait utile d'implémenter :
1° le support de bind anonyme…
2° le support de TLS
J'ai vu qu'il semble exister pas mal de choses sur l'implémentation de ce TLS en PHP
Je reste dispo pour tester du code le cas échéant sur des connexion à Open Directory…
La raison profonde n'est pas explicitée, peut-être un problème de sécurité sous-jacent ?
GLPI fonctionne car il utilise le protocole TLS qui lui est toujours supporté et semble devenir la "norme".
Si le code de GestSup venait à être modifié dans le support de LDAP, il semblerait utile d'implémenter :
1° le support de bind anonyme…
2° le support de TLS
J'ai vu qu'il semble exister pas mal de choses sur l'implémentation de ce TLS en PHP
Je reste dispo pour tester du code le cas échéant sur des connexion à Open Directory…
Bonjour,
d'après une première investigation il s'agirai de paramétrage serveur avez vous essayer de tester:
http://php.net/manual/fr/function.ldap-start-tls.php
Cdt
d'après une première investigation il s'agirai de paramétrage serveur avez vous essayer de tester:
http://php.net/manual/fr/function.ldap-start-tls.php
Cdt
GestSup: 3.2.47 | Debian: 12 | Apache: 2.4.59 | MariaDB: 11.5.2 | PHP: 8.3.12 | https://doc.gestsup.fr/
Bonjour,
comme évoqué, sur le serveur GLPI nous n'avons rien fait et cela fonctionne. Comme il est fait intensivement mention de TLS, ce protocole est probablement utilisé, mais nous sommes des billes en php et pas du tout développeurs en fait, du coup ce n'est pas trivial de savoir ce qui est exactement fait, malheureusement… Notre serveur LDAP est assez laconique dans ses logs en gros il dit si l'authentification fonctionne ou pas…
GLPI semble utiliser partiellement des bibliothèques parfois avec des bouts de code développés ailleurs… De mon point de vue, les fichiers authldap.class.php et auth.class.php sont les plus intéressants et probablement les pivots de l'authentification passe-partout de GLPI.
comme évoqué, sur le serveur GLPI nous n'avons rien fait et cela fonctionne. Comme il est fait intensivement mention de TLS, ce protocole est probablement utilisé, mais nous sommes des billes en php et pas du tout développeurs en fait, du coup ce n'est pas trivial de savoir ce qui est exactement fait, malheureusement… Notre serveur LDAP est assez laconique dans ses logs en gros il dit si l'authentification fonctionne ou pas…
GLPI semble utiliser partiellement des bibliothèques parfois avec des bouts de code développés ailleurs… De mon point de vue, les fichiers authldap.class.php et auth.class.php sont les plus intéressants et probablement les pivots de l'authentification passe-partout de GLPI.
- Fichiers joints
-
- auth.class.php.zip
- (10.21 Kio) Téléchargé 280 fois
-
- authldap.class.php.zip
- (23.39 Kio) Téléchargé 279 fois