GRR Configuration fichier pour liaison avec AD

[Chaft52]

Bonjour, à tous

Je suis bloqué par un problème depuis plus de 24 heures.

Je n'arrive pas à liée mon AD à GRR (Site Web en Intranet pour réservation de ressources) pour que les utilisateurs puissent si connecter avec leur compte AD.

En effet je compte ouvrir une ressources en réservation libre, les utilisateurs devant géré eux même leur réservations.

Je serait là au cas où.

Le soucis est que quand je tente une connexion avec un compte AD, je tombe sur une page blanche.

Auriez vous des pistes ?

Merci d'avance.

[AHP_Nils]

Salut,

visiblement, GRR est une application en PHP, d'après la documentation. La page est blanche car la configuration de PHP interdit probablement l'affichage des erreurs. Est-ce que ta configuration de PHP renvoie les erreurs dans un fichier (directive error_log dans php.ini, qu'on peut surcharger dans la conf Apache si tel est ton serveur web) ?

Si je comprend bien, généralement l'authentification sur AD se fait via le protocole LDAP, donc à vu de nez je dirais qu'il manque le module PHP LDAP, ou un autre module PHP. Mais je peux me tromper, la vérité est dans les erreurs de PHP.

Par contre, comme tu n'as pas indiqué la distribution et les versions des logiciels utilisés (en particulier le serveur web et PHP), et encore moins comment ils sont installés, je ne saurais te dire exactement où regarder pour les erreurs et comment installer le module LDAP pour PHP, si c'est bien de cela qu'il s'agit.

[Chaft52]

j'ai nettoyer les logs dans le dossier ("var/log/apache2") et quand je tente une auth via ad, je n'ai pas de fichier error.log de crée.

Pourrait tu me dire (ou vous pour les autres) quel sont les commandes pour savoir les versions des pa

j'ai bien le module php5-ldap d'installé, GRR m'indique que l'authentification par LDAP est bien active (j'ai configurer le fichier manuellement)

[AHP_Nils]

D'après l'emplacement du répertoire de logs et du nom du paquet pour l'extension LDAP de PHP, je suppose que ton serveur est sous Debian ou Ubuntu (ou une dérivée). Pour vérifier cela, plusieurs possibilités :

lsb_release -a

ou alors :

cat /etc/issue

Je ne sais pas si les extensions PHP sont automatiquement ajoutées à la configuration dans le cas de ces distributions. Donc, pour vérifier que l'extension LDAP est bien activée, tu peux regarder la liste des extensions chargées via cette commande :

php -m

Si la liste s'avère un peu longue, tu peux facilement vérifier la présence de l'extention LDAP comme ceci :

php -m | grep -i ldap

Déjà, ça permettra de voir ce qu'il en est de LDAP. Mais on a aucun affichage d'erreur, semble-t'il. Résolvons cela. On va commencer par repérer le fichier de configuration de PHP. Généralement il s'agit d'un fichier nommé php.ini mais selon les systèmes il peut être ailleurs ou son nom peut varier (par exemple il peut s'appeler php5.ini). Pour vérifier quel est le fichier de configuration utilisé :

php -i | grep "Loaded Configuration File"

Cela devrait te renvoyer une ligne de ce genre :

Loaded Configuration File => /chemin/vers/fichier/php.ini

ensuite, tu peux éditer ce fichier avec l'éditeur de ton choix. Je ne vais pas t'imposer un éditeur, mais personnellement j'utilise vim. Si tu n'as pas l'habitude, il serait peut-être plus judicieux de commencer avec nano s'il est installé. Recherche une ligne contenant l'expression suivante :

error_log = 

il se peut qu'elle soit commentée (elle commence alors par un point-virgule), il faudra la décommenter (supprimer le point-virgule) et la modifier pour indiquer un nom de fichier. Tu peux par exemple mettre :

error_log = /var/log/php5.log

Une fois que ceci est fait, sauve le fichier et redémarre Apache pour la prise en compte. Sur ta machine, ça devrait être :

apache2ctl restart

Retourne dans l'interface de GRR, et navigue jusqu'à avoir une page blanche. Ensuite, tu pourras consulter /var/log/php5.log et poster ici le contenu de ce fichier.

[Chaft52]

Visiblement je n'ai pas d'erreur, le fichier de log ne se crée même pas !

[ragoutoutou]

Et sinon, tu pourrais pas simplement générer un keytab depuis AD et mettre en place un single sign-on kerberos? ça a l'avantage que tes utilisateurs AD ne doivent plus entrer leur mot de passe pour se connecter et sont authentifiés via leur ticket kerberos.

[Chaft52]

As-tu un lien à me conseiller sur la procédure, pour faire ça ? Merci d'avance

[ragoutoutou]

Voici un tuto de Microsoft sur le sujet.

http://support.microsoft.com/kb/555092/fr

Maintenant, selon la version de AD et ta distribution Linux, il peut y avoir de plus ou moins grosses différences.

[agauthier51]

Les 2 mods les plus courants côté Apache sont mod_auth_kerb et mod_auth_ntlm_winbind (1 seul est nécessaire). Ils ne sont pas installés par défaut.

Je suppose que c'est le premier point à regarder. La différence essentielle est que c'est du kerberos pur pour la première solution et du winbind/samba pour la seconde. A choisir en fonction des besoins. Kerberos est plus rapide à configurer: un /etc/krb5.conf et un /etc/krb5.keytab (lisible par l'utilisateur Apache pour ce dernier) et ça roule.