Forum Tranquil IT

Serveur wapt linux 2.4.
Client Windows 10

Bonjour,

Le SSO sur le self service fonctionne avec certains comptes AD et pas avec d'autres sur le même PC.

Sur le compte ou ca ne fonctionne pas, ca demande login et mot de passe du compte.
Une fois les informations d'identification rentrée, l'utilisateur a accès au self service, mais a chaque fois il doit se ré identifier.

Avez-vous une idée? Des log spécifique à regarder?



Coté waptserver.ini les paramètres suivant sont bien rempli
ldap_account_service_login = XXXXXX
ldap_account_service_password = XXXX
ldap_auth_server = XXXXXX
ldap_auth_base_dn = XXXXX
use_kerberos = True
ldap_auth_ssl_enabled = True
use_ssl_client_auth = True


Coté client, dans la configuration de l'agent j'ai bien
service_auth_type = waptserver-ldap
use_kerberos = True

Bonjour,

Après investigation le problème est liée à la taille du ticket kerberos.
Le SSO sur le self service semble avoir une limite de taille de ticket Kerberos, inférieur à celle de Windows.

Bonjour

Merci pour ce retour.

Pouvez-vous me dire si avec l'utilisateur qui pose problème a l'accès a l'url : https://srvwapt.mydomain.lan/api/v3/login_kerberos fonctionne depuis un firefox ?

Attention dans firefox il faut mettre dans about:config :

network.negotiate-auth.delegation-uris mydomain.lan
network.negotiate-auth.trusted-uris mydomain.lan

ça nous permettra de savoir si c'est le module nginx spnego qui pose problème ou bien waptself

Avec un utilisateur qui a un petit ticket Kerberos, pas de problème.

Avec un utilisateur qui a un grand ticket kerberos :

400 Bad Request
Request Header Or Cookie Too Large
nginx

au vu du message vous pouvez essayer d'ajouter coter nginx:

large_client_header_buffers 4 16k;

https://stackoverflow.com/questions/651 ... 7#65151807

si ça marche on verra pour modifier la conf initial nginx de wapt

Effectivement ça fonctionne.

Merci

Merci on viens d'ajouter le paramétrage nginx dans le code git branch master ici pour prendre le cas en compte