SPNEGO sous Debian

Bonjour
https://developer.mozilla.org/En/Integrated_Authentication
J'ignore si cela t'aide
Guy

Le lundi 05 décembre 2011 à 16:26 +0100, David BERCOT a écri t :

Bonjour,

Comme vous avez peut-être déjà été confrontà © à ce problème, je me
permets de vous demander conseil...

J'ai donc une application professionnelle qui utilise SPNEGO pour
éviter de se ré-identifier. Cette partie est non contournable.

En ce qui me concerne, j'aimerais que ça fonctionne sous Debian. J'a i
donc installé un poste que j'ai intégré dans l'AD et cette partie
roule parfaitement : j'ouvre ma session avec un compte qui n'existe que
dans l'AD.

Maintenant, pour mon appli, ça ne fonctionne pas !
Dans Firefox, j'ai essayé de modifier la directive
network.negotiate-auth.trusted-uris sans succès.

Avez-vous des pistes en la matière ?

Merci d'avance.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/1323099352.2331.19.camel@pc-0100

On Mon, Dec 05, 2011 at 04:26:29PM CET, David BERCOT <debian@bercot.org> said:

Bonjour,

Comme vous avez peut-être déjà été confronté à ce problème, je me
permets de vous demander conseil...

J'ai donc une application professionnelle qui utilise SPNEGO pour
éviter de se ré-identifier. Cette partie est non contournable.

En ce qui me concerne, j'aimerais que ça fonctionne sous Debian. J'ai
donc installé un poste que j'ai intégré dans l'AD et cette partie
roule parfaitement : j'ouvre ma session avec un compte qui n'existe que
dans l'AD.

Maintenant, pour mon appli, ça ne fonctionne pas !
Dans Firefox, j'ai essayé de modifier la directive
network.negotiate-auth.trusted-uris sans succès.

Avez-vous des pistes en la matière ?

J'ai utilisé http://blog.webonweboff.com/2010/12/integrated-windows-authentication-and.html
Et ça marche au moins avec le outlook webaccess du bureau.

PS: l'authentification de ma debian est faite par kerberos sur le DC windows, ça doit aider aussi.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20111206075434.GH31886@rail.eu.org

Le Tue, 6 Dec 2011 08:54:34 +0100,
Erwan David <erwan@rail.eu.org> a écrit :

On Mon, Dec 05, 2011 at 04:26:29PM CET, David BERCOT
<debian@bercot.org> said:

Bonjour,

Comme vous avez peut-être déjà été confrontà © à ce problème, je me
permets de vous demander conseil...

J'ai donc une application professionnelle qui utilise SPNEGO pour
éviter de se ré-identifier. Cette partie est non contournable.

En ce qui me concerne, j'aimerais que ça fonctionne sous Debian. J' ai
donc installé un poste que j'ai intégré dans l'AD et cett e partie
roule parfaitement : j'ouvre ma session avec un compte qui n'existe
que dans l'AD.

Maintenant, pour mon appli, ça ne fonctionne pas !
Dans Firefox, j'ai essayé de modifier la directive
network.negotiate-auth.trusted-uris sans succès.

Avez-vous des pistes en la matière ?

J'ai utilisé
http://blog.webonweboff.com/2010/12/integrated-windows-authentication-and. html
Et ça marche au moins avec le outlook webaccess du bureau.

PS: l'authentification de ma debian est faite par kerberos sur le DC
windows, ça doit aider aussi.

Au niveau de l'authentification, je suis comme toi... Cette partie-là
fonctionne parfaitement.

Par contre, pour spnego, là, c'est beaucoup moins joyeux :-(

Déjà, il semblerait qu'avec d'autres navigateurs (Chrome ou Chrom ium
par exemple), c'est la croix et la bannière...

Mais bon, si j'y arrive avec IceWeasel, ce sera déjà bon !!!

J'ai fait les manipulations recommandées dans le lien que tu cites,
mais ça ne fonctionne toujours pas. En fait, on sent qu'IceWeasel fait
quelque chose, mais il n'arrive à rien.

A priori, je penche pour un problème de transfert de droits. Ainsi, mon
compte est identifié sur un domaine ad.maboite.intra et le site oà ¹ je
dois être identifié, en interne, est maboite.fr.

Je dois reconnaître que, ne connaissant pas le fonctionnement de
spnego, c'est difficile d'avancer.

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20111206091007.46b2d952@debian-david

On Tue, 6 Dec 2011 09:10:07 +0100
David BERCOT <debian@bercot.org> wrote:

>> Maintenant, pour mon appli, ça ne fonctionne pas !
>> Dans Firefox, j'ai essayé de modifier la directive
>> network.negotiate-auth.trusted-uris sans succès.
>>
>> Avez-vous des pistes en la matière ?
>>
>
>J'ai utilisé
>http://blog.webonweboff.com/2010/12/integrated-windows-authentication-an d.html
>Et ça marche au moins avec le outlook webaccess du bureau.
>
>PS: l'authentification de ma debian est faite par kerberos sur le DC
>windows, ça doit aider aussi.

Au niveau de l'authentification, je suis comme toi... Cette partie-là
fonctionne parfaitement.

Ceci t'aidera ptêt:
http://appliedcrypto.com/files/spnego-centeris-identity-likewise-integratio n.pdf
http://mbechler.eenterphace.org/blog/index.php?/archives/6-Doing-GSSNegotia te-SSO-using-Mozilla-Firefox,-MIT-Kerberos-and-PHP.html
http://bofriis.dk/files/doc/spnego-browser-configuration-.pdf
https://wiki.jasig.org/display/CASUM/SPNEGO
http://rc.quest.com/topics/mozilla/

Déjà, il semblerait qu'avec d'autres navigateurs (Chrome ou Chr omium
par exemple), c'est la croix et la bannière...

http://www.google.com/support/forum/p/Chrome/thread?tid=28894030e871cb94& hl=en
http://blob.inf.ed.ac.uk/gdutton/2010/11/chrome-and-spnego/

J'ai fait les manipulations recommandées dans le lien que tu cites,
mais ça ne fonctionne toujours pas. En fait, on sent qu'IceWeasel fa it
quelque chose, mais il n'arrive à rien.

Il-y-a 2 primitives à modifier; et certaines versions de FF sont
"cassées" au niveau SPNEGO.

Par ailleurs, ça serait bien que tu saches *exactement* ce qui
merde; dans ce cas, wireshark est ton ami: isole les trames qui
t'intéressent, et 'gade ce que répond le svr à la requê te de FF.

A priori, je penche pour un problème de transfert de droits. Ainsi, mon
compte est identifié sur un domaine ad.maboite.intra et le site oà ¹ je
dois être identifié, en interne, est maboite.fr.

CA ça peut-être un gros PB (mis tu te connectes déjà en session,
donc normalement ça ne devrait pas rentrer en ligne de compte).

Je dois reconnaître que, ne connaissant pas le fonctionnement de
spnego, c'est difficile d'avancer.

Il peut se configurer en multi-domains.

--
What is a magician but a practising theorist?
-- Obi-Wan Kenobi

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20111206103313.3d776540@anubis.defcon1