Outils pour utilisateurs
authentification_sso
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
authentification_sso [2015/10/19 10:55] fabrice [Configuration côté Client] |
authentification_sso [2025/03/20 10:12] (Version actuelle) florian [mod_authn_ntlm] |
||
|---|---|---|---|
| Ligne 3: | Ligne 3: | ||
| **IMPORTANT** Cette méthode d'authentification, ne peut fonctionner qu'en intranet, ou en VPN. | **IMPORTANT** Cette méthode d'authentification, ne peut fonctionner qu'en intranet, ou en VPN. | ||
| Le principe est de ne pas avoir à saisir de mot de passe pour rentrer dans l'application GED, mais de se baser sur l'utilisateur connecté à la session Windows. | Le principe est de ne pas avoir à saisir de mot de passe pour rentrer dans l'application GED, mais de se baser sur l'utilisateur connecté à la session Windows. | ||
| + | Disponible à partir de la révision 7280 | ||
| ====== Configuration côté Serveur ====== | ====== Configuration côté Serveur ====== | ||
| + | |||
| + | ===== Apache 2.2 ===== | ||
| 1. Installation du module Apache mod_auth_sspi | 1. Installation du module Apache mod_auth_sspi | ||
| Ligne 23: | Ligne 26: | ||
| AuthType SSPI | AuthType SSPI | ||
| SSPIAuth On | SSPIAuth On | ||
| + | SSPIDomain 192.168.1.3 | ||
| SSPIAuthoritative On | SSPIAuthoritative On | ||
| - | SSPIOfferBasic On | + | SSPIOfferBasic Off |
| + | SSPIPerRequestAuth On | ||
| require valid-user | require valid-user | ||
| Ligne 32: | Ligne 37: | ||
| <Directory "C:/nchp/usr/local/nchp/ezged/www"> | <Directory "C:/nchp/usr/local/nchp/ezged/www"> | ||
| Options Indexes FollowSymLinks Includes | Options Indexes FollowSymLinks Includes | ||
| - | AllowOverride All | ||
| - | Allow from all | ||
| AuthType SSPI | AuthType SSPI | ||
| SSPIAuth On | SSPIAuth On | ||
| + | SSPIDomain 192.168.1.3 | ||
| SSPIAuthoritative On | SSPIAuthoritative On | ||
| - | SSPIOfferBasic On | + | SSPIOfferBasic Off |
| + | SSPIPerRequestAuth On | ||
| require valid-user | require valid-user | ||
| + | AllowOverride All | ||
| + | Allow from all | ||
| </Directory> | </Directory> | ||
| Ligne 45: | Ligne 52: | ||
| <Directory "C:/nchp/usr/local/nchp/ezged/www3/"> | <Directory "C:/nchp/usr/local/nchp/ezged/www3/"> | ||
| Options Indexes FollowSymLinks Includes | Options Indexes FollowSymLinks Includes | ||
| - | AllowOverride All | ||
| - | Allow from all | ||
| AuthType SSPI | AuthType SSPI | ||
| SSPIAuth On | SSPIAuth On | ||
| + | SSPIDomain 192.168.1.3 | ||
| SSPIAuthoritative On | SSPIAuthoritative On | ||
| - | SSPIOfferBasic On | + | SSPIOfferBasic Off |
| + | SSPIPerRequestAuth On | ||
| require valid-user | require valid-user | ||
| + | AllowOverride All | ||
| + | Allow from all | ||
| </Directory> | </Directory> | ||
| Redémarrer le service Apache2.2 | Redémarrer le service Apache2.2 | ||
| - | 2. Modification du fichier config_local.php dans c:\nchp\usr\local\nchp\ezged\www | + | ===== Apache 2.4 ===== |
| + | |||
| + | ==== mod_authn_ntlm ==== | ||
| + | |||
| + | Pour apache 2.4 c'est le module mod_authn_ntlm qui semble fonctionner le mieux. | ||
| + | |||
| + | Le github du projet: https://github.com/TQsoft-GmbH/mod_authn_ntlm | ||
| + | |||
| + | Le binaire du module: | ||
| + | * Pour un apache 32 bits : http://updates.nchp.net/apache24/mod_authn_ntlm-1.0.8-x86-vc15.zip | ||
| + | * Pour un apache 64 bits : http://updates.nchp.net/apache24/mod_authn_ntlm-1.0.8-x64-vc15.zip | ||
| + | |||
| + | Les binaires ci-dessus ainsi que d'autres versions (VC16) sont téléchargeables aussi sur https://www.apachehaus.com/cgi-bin/download.plx | ||
| + | |||
| + | Le fichier mod_authn_ntlm est à placer dans le répertoire des modules d'apache (e.g: C:\nchp\apache) \\ | ||
| + | Il convient ensuite d'activer le module en ajoutant la ligne suivante dans le fichier httpd.conf: | ||
| + | LoadModule auth_ntlm_module modules/mod_authn_ntlm.so | ||
| + | |||
| + | Il faut également activer le module headers: | ||
| + | LoadModule headers_module modules/mod_headers.so | ||
| + | |||
| + | Avant d'aller plus loin redémarrez Apache afin de vous assurer qu'aucune erreur ne survient. Si c'est le cas c'est sans doute que la version du module n'est pas compatible avec la version d'apache. L'architecture cible et la version de visual studio utilisée pour la compilation doit être la même pour apache et le module. | ||
| + | |||
| + | Configuration du directory: | ||
| + | <code> | ||
| + | RequestHeader unset X_ISRW_PROXY_AUTH_USER | ||
| + | Alias "/ezged" "C:\nchp/usr/local/nchp/ezged/www" | ||
| + | <Directory "C:\nchp/usr/local/nchp/ezged/www"> | ||
| + | Options Indexes FollowSymLinks Includes | ||
| + | AllowOverride All | ||
| + | AuthType SSPI | ||
| + | NTLMAuth On | ||
| + | NTLMAuthoritative On | ||
| + | NTLMDomain 192.168.1.30 | ||
| + | <RequireAll> | ||
| + | <RequireAny> | ||
| + | Require valid-user | ||
| + | </RequireAny> | ||
| + | </RequireAll> | ||
| + | RequestHeader set X_ISRW_PROXY_AUTH_USER expr=%{REMOTE_USER} | ||
| + | </Directory> | ||
| + | </code> | ||
| + | |||
| + | <WRAP center round important 100%> | ||
| + | RequestHeader unset X_ISRW_PROXY_AUTH_USER est à placer avant tout les alias et directory qui sont définis dans la section Ezged de la config Apache. Sinon il ne sera pas fait pour les alias/directory évalués avant | ||
| + | </WRAP> | ||
| + | |||
| + | ====== Configuration côté Client ====== | ||
| + | |||
| + | - Firefox | ||
| + | |||
| + | Tapez about:config | ||
| + | Changez les variables suivantes : | ||
| + | network.automatic-ntlm-auth.trusted-uris http://urldebasedemonserveurged | ||
| + | network.auth.use-sspi true | ||
| + | |||
| + | - Internet explorer | ||
| + | |||
| + | Dans options onglet Avancé d'Internet Explorer , dans sécurité, cocher *Activer l'authentification Windows intégrée. | ||
| + | Dans options onglet Sécurité dans la zone intranet local ajouter le site http://urldebasedemonserveurged | ||
| + | |||
| + | |||
| + | ====== Configuration EzGED ====== | ||
| + | |||
| + | Modification du fichier config_local.php dans c:\nchp\usr\local\nchp\ezged\www | ||
| Ajouter les lignes suivantes : | Ajouter les lignes suivantes : | ||
| Ligne 70: | Ligne 143: | ||
| le $usercreationgroup =2 , indique l'id du groupe vers lequel seront créés les utilisateurs inconnus dans EzGED, si vous ne souhaitez pas créer automatiquement les utilisateurs, mettez 0 | le $usercreationgroup =2 , indique l'id du groupe vers lequel seront créés les utilisateurs inconnus dans EzGED, si vous ne souhaitez pas créer automatiquement les utilisateurs, mettez 0 | ||
| - | ====== Configuration côté Client ====== | ||
| - | - Firefox | ||
| - | Tapez about:config | + | ====== Comptes users ====== |
| - | Changez les variables suivantes : | + | |
| - | network.automatic-ntlm-auth.trusted-uris http://urldebasedemonserveurged | + | |
| - | network.auth.use-sspi true | + | |
| - | + | ||
| - | - Internet explorer | + | |
| + | Chaque compte est automatiquement créé dans la GED lorsque l'user se connecte la première fois. | ||
| + | |||
authentification_sso.1445252101.txt.gz · Dernière modification: 2023/03/17 09:56 (modification externe)
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
