1

Topic: authentification x509

Bonjour,
J'utilise actuellement l'authentification x509 pour GLPI qui est très pratique mais je pense un peu incomplète.

En effet il y aurait quelques paramètres qu'il faudrait remplir avant d'être connecté :

- gestion des CRL : chaque autorité de certification gère les liste de révocation grâce à des CRL. il faudrait pouvoir les interroger dans GLPI pour éviter qu'une personne qui n'a plus les droits puisse se connecter.

- filtres sur AC : à quelle autorité de certification on fait confiance

en fait ça correspond au champ OU, O et CN du certificat pour le client et l'autorité.
Je sais le faire dans apache mais je suis une quiche pour ce qui est de php. Je vous donne les exemple dans apache :

#  cat /etc/apache2/vhosts.d/00_default_ssl_vhost.conf

## Certificate Revocation Lists (CRL):
SSLCARevocationFile /etc/ssl/apache2/ca-bundle.crl

## filtres client
SSLRequire %{SSL_CLIENT_S_DN_OU} eq "TOTO"
## filtres autorité
SSLRequire %{SSL_CLIENT_I_DN_CN} in {"TITI","TUTU"}


Ça évitera de pouvoir se connecter à GLPI avec son certificat des impôts wink

Merci si quelqu'un arrive à faire ça...

Non mais ho!! Hé ..! Hein .. Bah alors ?...

2

Re: authentification x509

Intéressant, j'ai créé un ticket sur ce sujet.

https://forge.indepnet.net/issues/3265

JMD / Jean-Mathieu Doléans - Glpi-project.org - Association Indepnet
Apportez votre pierre au  projet GLPI   : Soutenir     Contribuer

3

Re: authentification x509

Au niveau CRL je ne vois pas trop comment gérer directement dans GLPI.
Si vous avez une idée, je suis preneur.
Pour le reste une solution a été mise en place pour la 0.84. Si vous avez des remarques sur la mise en place n'hésitez pas.

MoYo - Julien Dombre - Association INDEPNET
Contribute to GLPI :    Support     Contribute     References     Freshmeat

4

Re: authentification x509

En plus au niveau CRL... Apache fait ca très bien donc pas besoin de le traiter dans GLPI me semble t'il ?

MoYo - Julien Dombre - Association INDEPNET
Contribute to GLPI :    Support     Contribute     References     Freshmeat

5

Re: authentification x509

Actuellement PHP n'offre pas les fonctions nécessaires pour parser des fichiers CRL.
cf Patch en attente sur les version PHP.

Je crois donc que l'on doive se résigner à attendre.

JMD / Jean-Mathieu Doléans - Glpi-project.org - Association Indepnet
Apportez votre pierre au  projet GLPI   : Soutenir     Contribuer