Re: SPNEGO sous Debian
Le Tue, 6 Dec 2011 08:54:34 +0100, Erwan David er...@rail.eu.org a écrit : On Mon, Dec 05, 2011 at 04:26:29PM CET, David BERCOT deb...@bercot.org said: Bonjour, Comme vous avez peut-être déjà été confronté à ce problème, je me permets de vous demander conseil... J'ai donc une application professionnelle qui utilise SPNEGO pour éviter de se ré-identifier. Cette partie est non contournable. En ce qui me concerne, j'aimerais que ça fonctionne sous Debian. J'ai donc installé un poste que j'ai intégré dans l'AD et cette partie roule parfaitement : j'ouvre ma session avec un compte qui n'existe que dans l'AD. Maintenant, pour mon appli, ça ne fonctionne pas ! Dans Firefox, j'ai essayé de modifier la directive network.negotiate-auth.trusted-uris sans succès. Avez-vous des pistes en la matière ? J'ai utilisé http://blog.webonweboff.com/2010/12/integrated-windows-authentication-and.html Et ça marche au moins avec le outlook webaccess du bureau. PS: l'authentification de ma debian est faite par kerberos sur le DC windows, ça doit aider aussi. Au niveau de l'authentification, je suis comme toi... Cette partie-là fonctionne parfaitement. Par contre, pour spnego, là, c'est beaucoup moins joyeux :-( Déjà, il semblerait qu'avec d'autres navigateurs (Chrome ou Chromium par exemple), c'est la croix et la bannière... Mais bon, si j'y arrive avec IceWeasel, ce sera déjà bon !!! J'ai fait les manipulations recommandées dans le lien que tu cites, mais ça ne fonctionne toujours pas. En fait, on sent qu'IceWeasel fait quelque chose, mais il n'arrive à rien. A priori, je penche pour un problème de transfert de droits. Ainsi, mon compte est identifié sur un domaine ad.maboite.intra et le site où je dois être identifié, en interne, est maboite.fr. Je dois reconnaître que, ne connaissant pas le fonctionnement de spnego, c'est difficile d'avancer. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20111206091007.46b2d952@debian-david
Re: SPNEGO sous Debian
On Tue, 6 Dec 2011 09:10:07 +0100 David BERCOT deb...@bercot.org wrote: Maintenant, pour mon appli, ça ne fonctionne pas ! Dans Firefox, j'ai essayé de modifier la directive network.negotiate-auth.trusted-uris sans succès. Avez-vous des pistes en la matière ? J'ai utilisé http://blog.webonweboff.com/2010/12/integrated-windows-authentication-and.html Et ça marche au moins avec le outlook webaccess du bureau. PS: l'authentification de ma debian est faite par kerberos sur le DC windows, ça doit aider aussi. Au niveau de l'authentification, je suis comme toi... Cette partie-là fonctionne parfaitement. Ceci t'aidera ptêt: http://appliedcrypto.com/files/spnego-centeris-identity-likewise-integration.pdf http://mbechler.eenterphace.org/blog/index.php?/archives/6-Doing-GSSNegotiate-SSO-using-Mozilla-Firefox,-MIT-Kerberos-and-PHP.html http://bofriis.dk/files/doc/spnego-browser-configuration-.pdf https://wiki.jasig.org/display/CASUM/SPNEGO http://rc.quest.com/topics/mozilla/ Déjà, il semblerait qu'avec d'autres navigateurs (Chrome ou Chromium par exemple), c'est la croix et la bannière... http://www.google.com/support/forum/p/Chrome/thread?tid=28894030e871cb94hl=en http://blob.inf.ed.ac.uk/gdutton/2010/11/chrome-and-spnego/ J'ai fait les manipulations recommandées dans le lien que tu cites, mais ça ne fonctionne toujours pas. En fait, on sent qu'IceWeasel fait quelque chose, mais il n'arrive à rien. Il-y-a 2 primitives à modifier; et certaines versions de FF sont cassées au niveau SPNEGO. Par ailleurs, ça serait bien que tu saches *exactement* ce qui merde; dans ce cas, wireshark est ton ami: isole les trames qui t'intéressent, et 'gade ce que répond le svr à la requête de FF. A priori, je penche pour un problème de transfert de droits. Ainsi, mon compte est identifié sur un domaine ad.maboite.intra et le site où je dois être identifié, en interne, est maboite.fr. CA ça peut-être un gros PB (mis tu te connectes déjà en session, donc normalement ça ne devrait pas rentrer en ligne de compte). Je dois reconnaître que, ne connaissant pas le fonctionnement de spnego, c'est difficile d'avancer. Il peut se configurer en multi-domains. -- What is a magician but a practising theorist? -- Obi-Wan Kenobi -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20111206103313.3d776540@anubis.defcon1
Re: SPNEGO sous Debian
Bonjour https://developer.mozilla.org/En/Integrated_Authentication J'ignore si cela t'aide Guy Le lundi 05 décembre 2011 à 16:26 +0100, David BERCOT a écrit : Bonjour, Comme vous avez peut-être déjà été confronté à ce problème, je me permets de vous demander conseil... J'ai donc une application professionnelle qui utilise SPNEGO pour éviter de se ré-identifier. Cette partie est non contournable. En ce qui me concerne, j'aimerais que ça fonctionne sous Debian. J'ai donc installé un poste que j'ai intégré dans l'AD et cette partie roule parfaitement : j'ouvre ma session avec un compte qui n'existe que dans l'AD. Maintenant, pour mon appli, ça ne fonctionne pas ! Dans Firefox, j'ai essayé de modifier la directive network.negotiate-auth.trusted-uris sans succès. Avez-vous des pistes en la matière ? Merci d'avance. David. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1323099352.2331.19.camel@pc-0100
Re: SPNEGO sous Debian
On Mon, Dec 05, 2011 at 04:26:29PM CET, David BERCOT deb...@bercot.org said: Bonjour, Comme vous avez peut-être déjà été confronté à ce problème, je me permets de vous demander conseil... J'ai donc une application professionnelle qui utilise SPNEGO pour éviter de se ré-identifier. Cette partie est non contournable. En ce qui me concerne, j'aimerais que ça fonctionne sous Debian. J'ai donc installé un poste que j'ai intégré dans l'AD et cette partie roule parfaitement : j'ouvre ma session avec un compte qui n'existe que dans l'AD. Maintenant, pour mon appli, ça ne fonctionne pas ! Dans Firefox, j'ai essayé de modifier la directive network.negotiate-auth.trusted-uris sans succès. Avez-vous des pistes en la matière ? J'ai utilisé http://blog.webonweboff.com/2010/12/integrated-windows-authentication-and.html Et ça marche au moins avec le outlook webaccess du bureau. PS: l'authentification de ma debian est faite par kerberos sur le DC windows, ça doit aider aussi. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet unsubscribe vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20111206075434.gh31...@rail.eu.org