SPNEGO sous Debian

Le
David BERCOT
Bonjour,

Comme vous avez peut-être déjà été confronté =
à ce problème, je me
permets de vous demander conseil

J'ai donc une application professionnelle qui utilise SPNEGO pour
éviter de se ré-identifier. Cette partie est non contournable.

En ce qui me concerne, j'aimerais que ça fonctionne sous Debian. J'ai
donc installé un poste que j'ai intégré dans l'AD et cette p=
artie
roule parfaitement : j'ouvre ma session avec un compte qui n'existe que
dans l'AD.

Maintenant, pour mon appli, ça ne fonctionne pas !
Dans Firefox, j'ai essayé de modifier la directive
network.negotiate-auth.trusted-uris sans succès.

Avez-vous des pistes en la matière ?

Merci d'avance.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20111205162629.7b2aefd0@debian-david
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Guy Deleeuw
Le #24034751
Bonjour
https://developer.mozilla.org/En/Integrated_Authentication
J'ignore si cela t'aide
Guy

Le lundi 05 décembre 2011 à 16:26 +0100, David BERCOT a écri t :
Bonjour,

Comme vous avez peut-être déjà été confrontà © à ce problème, je me
permets de vous demander conseil...

J'ai donc une application professionnelle qui utilise SPNEGO pour
éviter de se ré-identifier. Cette partie est non contournable.

En ce qui me concerne, j'aimerais que ça fonctionne sous Debian. J'a i
donc installé un poste que j'ai intégré dans l'AD et cette partie
roule parfaitement : j'ouvre ma session avec un compte qui n'existe que
dans l'AD.

Maintenant, pour mon appli, ça ne fonctionne pas !
Dans Firefox, j'ai essayé de modifier la directive
network.negotiate-auth.trusted-uris sans succès.

Avez-vous des pistes en la matière ?

Merci d'avance.

David.





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Erwan David
Le #24037081
On Mon, Dec 05, 2011 at 04:26:29PM CET, David BERCOT
Bonjour,

Comme vous avez peut-être déjà été confronté à ce problème, je me
permets de vous demander conseil...

J'ai donc une application professionnelle qui utilise SPNEGO pour
éviter de se ré-identifier. Cette partie est non contournable.

En ce qui me concerne, j'aimerais que ça fonctionne sous Debian. J'ai
donc installé un poste que j'ai intégré dans l'AD et cette partie
roule parfaitement : j'ouvre ma session avec un compte qui n'existe que
dans l'AD.

Maintenant, pour mon appli, ça ne fonctionne pas !
Dans Firefox, j'ai essayé de modifier la directive
network.negotiate-auth.trusted-uris sans succès.

Avez-vous des pistes en la matière ?




J'ai utilisé http://blog.webonweboff.com/2010/12/integrated-windows-authentication-and.html
Et ça marche au moins avec le outlook webaccess du bureau.

PS: l'authentification de ma debian est faite par kerberos sur le DC windows, ça doit aider aussi.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
David BERCOT
Le #24037181
Le Tue, 6 Dec 2011 08:54:34 +0100,
Erwan David
On Mon, Dec 05, 2011 at 04:26:29PM CET, David BERCOT
Bonjour,

Comme vous avez peut-être déjà été confrontà © à ce problème, je me
permets de vous demander conseil...

J'ai donc une application professionnelle qui utilise SPNEGO pour
éviter de se ré-identifier. Cette partie est non contournable.

En ce qui me concerne, j'aimerais que ça fonctionne sous Debian. J' ai
donc installé un poste que j'ai intégré dans l'AD et cett e partie
roule parfaitement : j'ouvre ma session avec un compte qui n'existe
que dans l'AD.

Maintenant, pour mon appli, ça ne fonctionne pas !
Dans Firefox, j'ai essayé de modifier la directive
network.negotiate-auth.trusted-uris sans succès.

Avez-vous des pistes en la matière ?




J'ai utilisé
http://blog.webonweboff.com/2010/12/integrated-windows-authentication-and. html
Et ça marche au moins avec le outlook webaccess du bureau.

PS: l'authentification de ma debian est faite par kerberos sur le DC
windows, ça doit aider aussi.



Au niveau de l'authentification, je suis comme toi... Cette partie-là
fonctionne parfaitement.

Par contre, pour spnego, là, c'est beaucoup moins joyeux :-(

Déjà, il semblerait qu'avec d'autres navigateurs (Chrome ou Chrom ium
par exemple), c'est la croix et la bannière...

Mais bon, si j'y arrive avec IceWeasel, ce sera déjà bon !!!

J'ai fait les manipulations recommandées dans le lien que tu cites,
mais ça ne fonctionne toujours pas. En fait, on sent qu'IceWeasel fait
quelque chose, mais il n'arrive à rien.

A priori, je penche pour un problème de transfert de droits. Ainsi, mon
compte est identifié sur un domaine ad.maboite.intra et le site oà ¹ je
dois être identifié, en interne, est maboite.fr.

Je dois reconnaître que, ne connaissant pas le fonctionnement de
spnego, c'est difficile d'avancer.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Yves F. Barbier
Le #24037441
On Tue, 6 Dec 2011 09:10:07 +0100
David BERCOT
>> Maintenant, pour mon appli, ça ne fonctionne pas !
>> Dans Firefox, j'ai essayé de modifier la directive
>> network.negotiate-auth.trusted-uris sans succès.
>>
>> Avez-vous des pistes en la matière ?
>>
>
>J'ai utilisé
>http://blog.webonweboff.com/2010/12/integrated-windows-authentication-an d.html
>Et ça marche au moins avec le outlook webaccess du bureau.
>
>PS: l'authentification de ma debian est faite par kerberos sur le DC
>windows, ça doit aider aussi.

Au niveau de l'authentification, je suis comme toi... Cette partie-là
fonctionne parfaitement.



Ceci t'aidera ptêt:
http://appliedcrypto.com/files/spnego-centeris-identity-likewise-integratio n.pdf
http://mbechler.eenterphace.org/blog/index.php?/archives/6-Doing-GSSNegotia te-SSO-using-Mozilla-Firefox,-MIT-Kerberos-and-PHP.html
http://bofriis.dk/files/doc/spnego-browser-configuration-.pdf
https://wiki.jasig.org/display/CASUM/SPNEGO
http://rc.quest.com/topics/mozilla/


Déjà, il semblerait qu'avec d'autres navigateurs (Chrome ou Chr omium
par exemple), c'est la croix et la bannière...



http://www.google.com/support/forum/p/Chrome/thread?tid(894030e871cb94& hl=en
http://blob.inf.ed.ac.uk/gdutton/2010/11/chrome-and-spnego/

J'ai fait les manipulations recommandées dans le lien que tu cites,
mais ça ne fonctionne toujours pas. En fait, on sent qu'IceWeasel fa it
quelque chose, mais il n'arrive à rien.



Il-y-a 2 primitives à modifier; et certaines versions de FF sont
"cassées" au niveau SPNEGO.

Par ailleurs, ça serait bien que tu saches *exactement* ce qui
merde; dans ce cas, wireshark est ton ami: isole les trames qui
t'intéressent, et 'gade ce que répond le svr à la requê te de FF.

A priori, je penche pour un problème de transfert de droits. Ainsi, mon
compte est identifié sur un domaine ad.maboite.intra et le site oà ¹ je
dois être identifié, en interne, est maboite.fr.



CA ça peut-être un gros PB (mis tu te connectes déjà en session,
donc normalement ça ne devrait pas rentrer en ligne de compte).

Je dois reconnaître que, ne connaissant pas le fonctionnement de
spnego, c'est difficile d'avancer.



Il peut se configurer en multi-domains.

--
What is a magician but a practising theorist?
-- Obi-Wan Kenobi

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme