GRR – Gestion et Réservation de ressources Intégrer le NTLM

GRR – Gestion et Réservation de ressources
Intégrer le NTLM
DEVOME – Jérôme
GRR – Gestion et réservation de ressources
Remerciement à Fabien Mignotet
Proposé par le team DEVOME
Vous pouvez utiliser le NTLM pour identifier vos utilisateurs sur GRR.
Tout d’abord, par sécurité :

faites une sauvegarde de votre base de donnée,
Remarque :
Pour intégrer le NTLM, il vous faut un minimum de connaissance sur le
système UNIX. Nous sommes en aucun responsable en cas de soucis.
Les lignes sous la forme suivante : ceci est une commande sont des commandes à faire
effectuer dans la console.
I-
Sur le serveur
1. Récupérer le module NTLM pour Apache 2: mod_ntlm2.tar.gz et le
décompresser tar -xvf mod_ntlm2.tar.gz sous le dossier local (exemple /home/grr)
2. Installer le module apache2-dev apt-get install apache2-dev pour faire la compilation
3. Installer le module make apt-get install make
4. Modifier le fichier MakeFile à la racine du répertoire mod_ntlm2:
# the used tools
APXS=apxs2
APACHECTL=/usr/local/sbin/apachectl
# install the shared object file into Apache
$(APXS) -i -a -n 'ntlm' .libs/mod_ntlm.so
5. Ajouter une ligne commentée dans le fichier /etc/apache2/httpd.conf
6. Suite à un souci de connexion avec des logins longs (>16 caractères), il faut modifier
le fichier ntlmssp.inc.c :
#define MAX_HOSTLEN 32
#define MAX_DOMLEN 32
#define MAX_USERLEN 32
GRR – Gestion et réservation de ressources
Proposé par le team DEVOME
Par :
#define MAX_HOSTLEN 64
#define MAX_DOMLEN 64
#define MAX_USERLEN 64
7. Effectuer la compilation avec les commandes make et make install.
Le fichier cité précédemment est mis à jour avec le contenu suivant :
LoadModule ntlm_module /usr/lib/apache2/modules/mod_ntlm.so
8. Création d’un fichier ntlm.load dans /etc/apache2/mods-available avec le même
contenu.
LoadModule ntlm_module /usr/lib/apache2/modules/mod_ntlm.so
Faire un a2enmod ntlm pour l’activation du module
9. Modifier le vhost existant comme ci-dessous, (/etc/apache2/sites-available/default), en
ajoutant entre les balises:
Les informations du module précédents sont à mettre en commentaire.
<Directory "/var/www/grr">
AuthType NTLM
NTLMAuth on
NTLMAuthoritative on
NTLMDomain nom de domaine
NTLMServer serveur AD
NTLMBackup serveur AD
Require valid-user
</Directory>
10. Le service apache doit être stoppé puis relancer sudo service apache2 restart
Il se peut qu’un redémarrage du serveur soit nécessaire pour prendre en compte la
modification.
GRR – Gestion et réservation de ressources
Proposé par le team DEVOME
II-
Sur GRR
Il fallait activer le SSO
III-
Configuration du navigateur web
a) Internet Explorer
Il faut bien vérifier que “Activer l'authentification intégrée de Windows” dans les options
avancées d’Internet Explorer soit bien coché.
(Non effectué lors de la mise en production)
Puis ajouter le site GLPI dans les zones de confiance intranet ou extranet.
b) Firefox
Lancer un nouvel onglet et taper dans la barre d'adresse “about:config”
Dans la liste, chercher la ligne “network.automatic-ntlm-auth.trusted-uris” et un doublecliquer dessus pour ajouter l’adresse IP du serveur GLPI.
On peut aussi utiliser le module NTLM de Firefox.
Remarque :
Sous Windows Vista ou Seven
Le navigateur renvoie une erreur Internal Server Error.
Il faut ajouter une valeur dans la base de registre :
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa
Ajouter une nouvelle valeur DWORD:
La nommer « LmCompatibilityLevel » la mettre à « 1 »
GRR – Gestion et réservation de ressources
Proposé par le team DEVOME
GRR – Gestion et réservation de ressources
Proposé par le team DEVOME