GLPI: le guide SSO

Jeremy

28 mars 2025 — 1 min read

Tu veux mettre en place de la SSO Kerberos sur GLPI avec GssAPI Apache 2? Bienvenue! 😊

Installation du client Kerberos et du module Apache gssapi. Configuration du client kerberos.

apt install libapache2-mod-auth-gssapi krb5-user
nano /etc/krb5.conf

[libdefaults]
default_realm = TONDOMAINE.COM
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
FRR.COM = {
        kdc = IP SERVER AD
        kdc = IP SERVER AD 2
        admin_server = IP SERVER AD
        admin_server = IP SERVER AD 2
}

[domain_realm]
.tondomaine.com = TONDOMAINE.COM
tondomaine.com = TONDOMAINE.COM

Création d’un compte de service GLPi dans AD utilisé pour mapper le service http Glpi et le présenter à Kerberos. Utiliser un mot de passe fixe sans expiration, cocher la prise en charge AES 256.

Sur le contrôleur de domaine, lancer l’invite de commande en tant qu’administrateur afin de créer le fichier keytab

ktpass -princ HTTP/[email protected] -mapuser [email protected] -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\tmp\glpi.keytab

Envoyer le fichier dans le répertoire apache et le sécuriser pour l’utilisateur apache

chown www-data:www-data glpi.keytab
chmod 640 glpi.keytab

Configurer le vHOST Apache pour GLPI

<VirtualHost *:443>

        ServerName tonserveur.tondomaine.com
        DocumentRoot /var/www/glpi/public
        SSLEngine on
        SSLCertificateFile     /etc/ssl/certs/toncert.pem
        SSLCertificateKeyFile /etc/ssl/private/tapv.key
        SSLCACertificateFile  /etc/ssl/certs/tonac.pem

        ErrorLog     /var/log/apache2/glpi-error.log


        <Directory /var/www/glpi/public>
        AuthType GSSAPI
        AuthName "GLPI SSO"
        GssapiCredStore keytab:/etc/apache2/glpi.keytab
        Require valid-user

        #autorise l'agent à bypass SSO
        <If "%{HTTP_USER_AGENT} =~ /GLPI-Agent_v/">
        Require all granted
        </If>

        RewriteEngine On
        RewriteCond %{REQUEST_FILENAME} !-f
        RewriteRule ^(.*)$ index.php [QSA,L]
        Options +FollowSymlinks
        </Directory>

        <FilesMatch \.php$>
        SetHandler "proxy:unix:/run/php/php8.2-fpm.sock|fcgi://localhost/"
        </FilesMatch>

    </VirtualHost>

Enfin dans GLPI / ACCUEIL / CONFIGURATION / AUTHENTIFICATION /AUTRES:Champs de stockage de l'identifiant dans la requête HTTP choisir REMOTE_USER

Windows Tweaks

2 outils que j'ai retenu pour agir simplement et rapidement sur ton Windows. Elimine les bloatwares, la télémétrie, et autre surcharge de Microsoft. Le script de Chris https://christitus.com/windows-tool/ iwr -useb https://christitus.com/win | iex WinScript Joli GUI qui reprend le thème de Windows 11.

Un blog Ops incroyable

Plus qu'un blog une véritable plateforme de formation, le blog de Stéphane Robert Formez-vous à la culture et aux outils DevOpsDécouvrez comment vous former à la culture DevOps et maîtriser les outils essentiels pour améliorer la collaboration et l’automatisation.Stéphane ROBERT - DevSecOps BlogStéphane ROBERT

RAID 6 logiciel accéléré Linux

Prérequis apt install mdadm bcache-tools Création du RAID 6 Lister les disques sdl est le disque système Vérifier en regardant les références de disques qui ne sont pas les disques systèmes du serveur Nettoyer les disques de sda à sdm mais surtout pas sdl le disque système en raid hardware

Prism Central WEB GUI ne se charge plus !

Jamais tu ne changeras la stratégie de mot de passe du compte admin de Prism Central sur... illimité .... Prism Central réagit très mal. Lors de l'accès en https au web gui la login box ne s'affiche pas, la page charge indéfiniment, on peut constater en console

Read more

Windows Tweaks

Un blog Ops incroyable

RAID 6 logiciel accéléré Linux

Prism Central WEB GUI ne se charge plus !