+3

TUTORIAL SINGLE SIGN-ON (SSO) GLPI_Debian_Apache--FreeBSD_SAMBA

Ricardo_Xerfan 6 years ago 0

******************************************************************************
*    Configurando o Apache no Debian para realizar Single Sign-On (SSO)      *
*    com o GLPI no mesmo ambiente, utilizando a base de dados LDAP do        *
*    SAMBA no FreeBSD. E configurando os navegadores MS Edge, Google Chrome  *
*    e Mozilla Firefox para permitir o logon único de forma automática.      *
******************************************************************************

**************************************************************************************************
*   FEITO, ESCRITO E TESTADO POR RICARDO XERFAN      *
*                                   GRAÇAS A DEUS, TUDO CERTO!!!                                 *
*                                   DATA: 25/09/2018 - MACAPÁ-AP                                 *
**************************************************************************************************

=================================
OBSERVAÇÃO INICIAL
=================================

** ESTE ARQUIVO LEVA EM CONSIDERAÇÃO QUE JÁ SE TENHA UMA BASE DE DADOS LDAP, O APACHE E O GLPI, TODOS CONFIGURADOS E FUNCIONAIS, POR ISSO NÃO SERÁ ABORDADO A INSTALAÇÃO E CONFIGURAÇÃO DOS MESMOS. SERÁ EXPOSTO TÃO SOMENTE AS CONFIGURAÇÕES PERTINENTES A RELIZAÇÃO DE SINGLE SIGN-ON (SSO) ENTRE O APACHE E O SAMBA, INTEGRANDO O GLPI PARA UTILIZAÇÃO DO MEIO, EVITANDO QUE O USUÁRIO DIGITE AS INFORMAÇÕES DE LOGIN PARA TER ACESSO AO AMBIENTE. PARA QUE ISSO OCORRA SEM PROBLEMAS, TAMBÉM É NECESSÁRIO QUE SE CONFIGURE OS NAVEGADORES PARA PERMITIREM O LOGON ÚNICO DE FORMA AUTOMÁTICA, POR ISSO, SERÁ ABORDADO TAMBÉM A CONFIGURAÇÃO DOS MESMOS (GOOGLE CHROME, MS EDGE E MOZILLA FIREFOX).

** LEMBRANDO QUE ESTE GUIA UTILIZA KERBEROS COMO BASE, LOGO É NECESSÁRIO QUE SE TENHA O DNS COM A ZONA DIRETA E REVERSA, ALÉM DO NTP, TODOS DEVIDAMENTE CONFIGURADOS E FUNCIONAIS. POR ISSO, NÃO SERÁ ABORDADO A CRIAÇÃO DE ZONAS, TAMPOUCO CONFIGURAÇÃO DO NTP. APENAS SERÁ EVIDENCIADO A CONFIGURAÇÃO DO ARQUIVO DO KERBEROS "krb5.conf" e A CRIAÇÃO DE REGISTROS DNS, NO SAMBA, DO TIPO "A" E "PTR" PARA O SERVIDOR QUE HOSPEDARÁ O APACHE E O GLPI.

** O LOGON AUTOMÁTICO NO NAVEGADOR, NÃO FUNCIONA COM O ENDEREÇO IP, PORTANTO, MAIS UM MOTIVO PARA SE TER O DNS BEM CONFIGURADO E FUNCIONAL.

===============================================================================

===============================================================================
                     PREPARAÇÃO DO SERVIDOR FreeBSD
                              COM SAMBA48
===============================================================================

=================================
CONFIGURAR O KERBEROS DENTRO DO SAMBA
=================================

Passo 01:

O arquivo de configuração do Kerberos "krb5.conf" fica localizado dentro do diretório "private" do SAMBA. Basta realizar:

# smbd -b
 
Procure então pela variável "PRIVATE_DIR:" (sem aspas):

PRIVATE_DIR: /var/db/samba4/private

O comando pode ser feito desta forma também:

# smbd -b |grep PRIVATE_DIR:

PRIVATE_DIR: /var/db/samba4/private

Ou simplesmente procure o arquivo "krb5.conf" com o "find":

# find / -iname krb5.conf

/var/db/samba4/private/krb5.conf

Editar o arquivo "krb5.conf"

ee /var/db/samba4/private/krb5.conf

Colocar as informações relativas ao REALM do seu domínio dentro do arquivo "krb5.conf":

[libdefaults]
default_realm = FREEDOM.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
FREEDOM.LOCAL = {
kdc = svr02.freedom.local
admin_server = srv02.freedom.local
default_domain = FREEDOM.LOCAL
}
[domain_realm]
.freedom.local = FREEDOM.LOCAL
freedom.local = FREEDOM.LOCAL

Criar um link simbólico para o arquivo "krb5.conf" dentro do diretório "/etc/":

# ln -s /var/db/samba4/private/krb5.conf /etc/krb5.conf

Verificar se o link simbólico foi criado:

# ls -alh /etc | grep 'krb5*'

A saída desse comando deve ser parecida com essa:

lrwxr-xr-x   1 root  wheel       32B Aug 31 01:27 krb5.conf -> /var/db/samba4/private/krb5.conf

*OBS.01: Para mais informações sobre a configuração do Kerberos, acesse:

https://www.h5l.org/

https://web.mit.edu/kerberos/

https://www.amazon.com.br/Kerberos-Definitive-Guide-ebook/dp/B004P1J81C
https://books.google.com.br/books?id=dGMd-uay-lkC&pg=PT67&lpg=PT67&dq=kerberos+heimdal+definitive+guide&source=bl&ots=JvehrL37ad&sig=aYeWPh60-Ojddbliae3eTJANBBg&hl=pt-BR&sa=X&ved=2ahUKEwjRm7HynZ3dAhXLDJAKHa1mD3AQ6AEwBnoECAAQAQ#v=onepage&q=kerberos%20heimdal%20definitive%20guide&f=false

https://www.safaribooksonline.com/library/view/kerberos-the-definitive/0596004036/ch04s02.html

https://www.safaribooksonline.com/library/view/kerberos-the-definitive/0596004036/ch04s04.html

=================================
ADICIONAR REGISTROS DOS TIPOS "A" e "PTR" NO DNS
=================================

Passo 02:

Criar o registro do tipo "A" na zona direta do DNS do SAMBA, para o servidor que ficará hospedado o serviço do Apache e do GLPI:

# samba-tool dns add 127.0.0.1 freedom.local svrglpi.freedom.local A 192.168.2.30 -U Administrator

A saída desse comando deve ser parecida com essa:

Password for [FREEDOM\Administrator]:
Record added successfully

Testar a resolução do registro que foi criado no passo anterior:

# host -t A svrglpi

A saída desse comando deve ser parecida com essa:

svrglpi.freedom.local has address 192.168.2.30

Criar o registro do tipo "PTR" na zona reversa do DNS do SAMBA, para o servidor que ficará hospedado o serviço do Apache e do GLPI:

# samba-tool dns add 127.0.0.1 2.168.192.in-addr.arpa 30 PTR svrglpi.freedom.local -U Administrator

A saída desse comando deve ser parecida com essa:

Password for [FREEDOM\Administrator]:
Record added successfully

Testar a resolução reversa do registro que foi criado no passo anterior:

# host 192.168.2.30

A saída desse comando deve ser parecida com essa:

30.2.168.192.in-addr.arpa domain name pointer svrglpi.freedom.local.

*OBS.02: No momento de testar a resolução de nomes no modo reverso, caso apareça uma mensagem de erro parecida com essa: "Host 30.2.168.192.in-addr.arpa not found: 3(NXDOMAIN)". Verifique a zona reversa e o respectivo registro dentro da zona.

*OBS.03: Para mais informações de como administrador o DNS, acesse:

https://wiki.samba.org/index.php/DNS_Administration

https://www.samba.org/samba/docs/current/man-html/samba-tool.8.html

https://www.mundotibrasil.com.br/gerenciando-seu-servidor-dns-pelo-shell-no-samba4/

------------------------------------------------------------------------------

------------------------------------------------------------------------------

ATENÇÃO: AGORA VAMOS PARTIR PARA A CONFIGURAÇÃO DO SERVIDOR WEB APACHE E DO SERVIÇO DO GLPI QUE VAI RODAR EM CIMA DO SISTEMA OPERACIONAL GNU/LINUX DEBIAN.

===============================================================================
                     PREPARAÇÃO DO SERVIDOR DEBIAN
               COM SERVIDOR WEB APACHE E SERVIÇO DO GLPI
===============================================================================

IMPORTANTE: ANTES DE TUDO, CONFIGURE UM IP ESTÁTICO PARA SUA PLACA DE REDE DO SERVIDOR DEBIAN:

# nano /etc/network/interfaces

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.2.30
netmask 255.255.255.0
post-up route add default gw 192.168.2.1

=================================
INSTALAR PACOTES NECESSÁRIOS
=================================

Passo 03:

Atualizar o "apt-get":

# apt-get update

Instalar o pacote "krb5-user":

# apt-get install krb5-user

Instalar o pacote "samba-common-bin":

# apt-get install samba-common-bin

=================================
CONFIGURAR O KERBEROS PARA ACESSO AO KDC
=================================

Passo 04:

Entrar no diretório /etc/:

# cd /etc/

Renomear o arquivo "krb5.conf"

# mv krb5.conf krb5.conf.old

Criar outro arquivo "krb5.conf"

# nano krb5.conf

Adicionar as seguintes linhas ao arquivo "krb5.conf"

[libdefaults]
default_realm = FREEDOM.LOCAL
kdc_timesync = 1
forwardable = true
proxiable = true
[realms]
FREEDOM.LOCAL = {
kdc = svr02.freedom.local
admin_server = srv02.freedom.local
default_domain = FREEDOM.LOCAL
}
[domain_realm]
.freedom.local = FREEDOM.LOCAL
freedom.local = FREEDOM.LOCAL

=================================
CONFIGURAR AS INFORMAÇÕES DE DNS
=================================

Passo 05:

Editar o arquivo "/etc/resolv.conf":

# nano /etc/resolv.conf

Adicionar ao arquivo "resolv.conf" o endereço IP do Servidor SAMBA, juntamente com o domínio pesquisável:

search freedom.local
domain freedom.local
nameserver 192.168.2.60

Verificar se o DNS está fazendo resolução dos nomes dos servidores, tanto o direto, quanto o reverso:

# host -t A svrglpi.freedom.local

# host 192.168.2.30

=================================
INGRESSAR O SERVIDOR DEBIAN DOMÍNIO SAMBA
=================================

Passo 06:

Entrar no diretório do SAMBA:

# cd /etc/samba

Renomear o arquivo "smb.conf":

# mv smb.conf smb.conf.old

Criar outro arquivo "smb.conf":

# nano smb.conf

Adicionar as seguinte linhas ao arquivo "smb.conf" criado acima (DE ACORDO COM O SEU AMBIENTE, NESSE ARQUIVO TEM INFORMAÇÕES DESNECESSÁRIAS):

[global]
workgroup = FREEDOM
security = ADS
realm = FREEDOM.LOCAL
encrypt passwords = yes

netbios name = SVRGLPI
domain master = no
host msdfs = no

kerberos method = secrets and keytab
client signing = if_required

## map id's outside to domain to tdb files.
idmap config *:backend = tdb
idmap config *:range = 50001-80000
## map ids from the domain  the range may not overlap !
idmap config INTERNAL:backend = ad
idmap config INTERNAL:schema_mode = rfc2307
idmap config INTERNAL:range = 10000-40000

winbind nss info = rfc2307
winbind trusted domains only = no
winbind use default domain = yes
winbind enum users  = yes
winbind enum groups = yes
winbind refresh tickets = yes
winbind offline logon = yes

IMPORTANTE: PARA MAIS INFORMAÇÕES SOBRE O SAMBA, ACESSE:

https://wiki.samba.org/index.php/User_Documentation

Ingressar ao domínio:

# net ads join -U Administrator

Testar se foi adicionado:

# net ads testjoin

Verificar as informações no domínio:

# net ads status -U Administrator

*OBS.04: DAS INFORMAÇÕES TRAZIDAS PELO COMANDO ACIMA, ESSAS SÃO AS MAIS IMPORTANTES PARA O CENÁRIO ATUAL:

dNSHostName: svrglpi.freedom.local
servicePrincipalName: HOST/SVRGLPI
servicePrincipalName: HOST/svrglpi.freedom.local

ATENÇÃO: DEPOIS DE FEITO O COMANDO DESCRITO ABAIXO (net ads keytab add http -U Administrator) PARA ADICIONAR UM NOVO PRINCIPAL E GERAR A KEYTAB, REFAÇA O COMANDO ACIMA (net ads status -U Administrator), VC VERÁ QUE FOI ADICIONADO UM NOVO PRINCIPAL "HTTP" COM O HOSTNAME E O FQDN DO SERVIDOR DEBIAN, COMO A SAÍDA ABAIXO:

servicePrincipalName: HOST/SVRGLPI
servicePrincipalName: HOST/svrglpi.freedom.local
servicePrincipalName: HTTP/SVRGLPI
servicePrincipalName: HTTP/svrglpi.freedom.local

ADICIONAR O HTTP COMO PRINCIPAL GERANDO A KEYTAB (krb5.keytab):

# net ads keytab add http -U Administrator

*OBS.05: O COMANDO ACIMA GERA A KEYTAB DENTRO DO DIRETÓRIO "/etc"

Verificar a keytab gerada:

# klist -k

A saída desse comando deve ser parecida com essa:

Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
2 http/svrglpi.freedom.local@FREEDOM.LOCAL
2 http/svrglpi.freedom.local@FREEDOM.LOCAL
2 http/svrglpi.freedom.local@FREEDOM.LOCAL
2 http/svrglpi.freedom.local@FREEDOM.LOCAL
2 http/svrglpi.freedom.local@FREEDOM.LOCAL
2 http/svrglpi@FREEDOM.LOCAL
2 http/svrglpi@FREEDOM.LOCAL
2 http/svrglpi@FREEDOM.LOCAL
2 http/svrglpi@FREEDOM.LOCAL
2 http/svrglpi@FREEDOM.LOCAL

FAZER O TESTE DE AUTENTICAÇÃO PARA O KERBEROS NESSA KEYTAB SETANDO O PRINCIPAL:

# kinit -V -k -t /etc/krb5.keytab http/svrglpi@FREEDOM.LOCAL

*OBS.06: OBSERVE QUE AQUI É UM PASSO FUNDAMENTAL PARA DEFINIR QUAL PRINCIPAL USAR NO ARQUIVO "000-default.conf" CITADO NO ITEM "Para o Módulo de autenticação Kerberos" DO "Passo 08" DA SEÇÃO "CONFIGURAR AS INFORMAÇÕES PARA REALIZAR SSO - SEGUNDA PARTE".

*OBS.07: SE APRESENTAR ERRO PROPOSITAL CONFORME A SAÍDA DO COMANDO ACIMA:

Using default cache: /tmp/krb5cc_0
Using principal: http/svrglpi@FREEDOM.LOCAL
Using keytab: /etc/krb5.keytab
kinit: Preauthentication failed while getting initial credentials

BASTA VC ALTERAR O PRINCIPAL PARA QUE AUTENTIQUE PARA O KERBEROS:

# kinit -V -k -t /etc/krb5.keytab http/svrglpi.freedom.local@FREEDOM.LOCAL

A saída desse comando deve ser parecida com essa:

Using default cache: /tmp/krb5cc_0
Using principal: http/svrglpi.freedom.local@FREEDOM.LOCAL
Using keytab: /etc/krb5.keytab
Authenticated to Kerberos v5

PERCEBA QUE AO ALTERAR O PRINCIPAL, ELE CONSEGUIU AUTENTICAR NORMALMENTE PARA O KERBEROS, LOGO É ESSE PRINCIPAL QUE VC DEVE COLOCAR NO CAMPO "KrbServiceName" DO ARQUIVO "000-default.conf" CITADO NO ITEM "Para o Módulo de autenticação Kerberos" DO "Passo 08" DA SEÇÃO "CONFIGURAR AS INFORMAÇÕES PARA REALIZAR SSO - SEGUNDA PARTE".


=================================
CONFIGURAR AS INFORMAÇÕES PARA REALIZAR SSO - PRIMEIRA PARTE
=================================

Passo 07:

Com o auxílio da ferramenta "ktutil", vc vai ler a keytab local "/etc/krb5.keytab" e gerar nova keytab no diretório do Apache "/etc/apache2":

# ktutil

Ler a keyTab dentro do console do ktutil:

ktutil:  rkt /etc/krb5.keytab

Listar a keytab somente para confirmar se é a mesma que foi utilizada para verificar e gerar o ticket do principal:

ktutil:  l

A saída desse comando deve ser parecida com essa:

slot KVNO Principal
---- ---- ---------------------------------------------------------------------
1    2 http/svrglpi.freedom.local@FREEDOM.LOCAL
2    2 http/svrglpi.freedom.local@FREEDOM.LOCAL
3    2 http/svrglpi.freedom.local@FREEDOM.LOCAL
4    2 http/svrglpi.freedom.local@FREEDOM.LOCAL
5    2 http/svrglpi.freedom.local@FREEDOM.LOCAL
6    2               http/svrglpi@FREEDOM.LOCAL
7    2               http/svrglpi@FREEDOM.LOCAL
8    2               http/svrglpi@FREEDOM.LOCAL
9    2               http/svrglpi@FREEDOM.LOCAL
   10    2               http/svrglpi@FREEDOM.LOCAL
   
IMPORTANTE: ANTES DE ESCREVER UMA NOVA KEYTAB COM TODAS ESSA INFORMAÇÕES, VC PODE REMOVER OS SLOTS COM OS PRINCIPAIS QUE NÃO AUTENTICARAM PARA O KERBEROS ATRAVÉS DO COMANDO "delent" seguido de espaço e o número do slot correspondente. No caso desse cenário que montei, os slots que poderiam ser apagados, seriam os de 6 a 10.

Escrever nova keytab no diretório do Apache "/etc/apache2":

ktutil:  wkt /etc/apache2/http.keytab

IMPORTANTE: CASO QUEIRA TER CERTEZA DE QUE ESCREVEU A NOVA KEYTAB COM AS INFORMAÇÕES CORRETAS, BASTA LER ESSA KEYTAB QUE FOI GERADA (rkt /etc/apache2/http.keytab) E DEPOIS MANDAR LISTAR (list) O CONTEÚDO DA MESMA.

SAIR DO CONSOLE DA FERRAMENTA "ktutil":

ktutil:  q

MODIFICAR AS PERMISSÕES DA KEYTAB QUE FOI GERADA NO DIRETÓRIO DO APACHE:

# chmod 755 /etc/apache2/http.keytab

=================================
CONFIGURAR AS INFORMAÇÕES PARA REALIZAR SSO - SEGUNDA PARTE
=================================

*OBS.08: EXISTEM DUAS FORMAS DE REALIZAR O PROCEDIMENTO DESCRITO NO "Passo 08", AMBAS SÃO ATRAVÉS DA ADIÇÃO DAS INFORMAÇÕES AO ARQUIVO RESPONSÁVEL PELO DIRETÓRIO DO SITE, NO MEU CASO EU ESCOLHI O ARQUIVO PADRÃO DO APACHE (MAS VOCÊ PODE ESCOLHER OUTRO CONFORME SUA NECESSIDADE). A PRIMEIRA FORMA E MAIS INDICADA, PRINCIPALMENTE POR CAUSA DAS INFORMAÇÕES DE LOGs, É UTILIZANDO O MÓDULO DE AUTENTICAÇÃO KERBEROS "mod_auth_kerb.so". A SEGUNDA FORMA É UTILIZANDO O MÓDULO DE AUTENTICAÇÃO SASL/GSSAPI "mod_auth_gssapi.so". PARA ISSO É NECESSÁRIO QUE SEJA INSTALADO O MÓDULO CORRESPONDENTE E LOGO EM SEGUIDA HABILITÁ-LO:

Para o Módulo de autenticação Kerberos:

# apt-get install libapache2mod-auth-kerb

ou

Para o Módulo de autenticação SASL/GSSAPI:

# apt-get install libapache2-mod-auth-gssapi

Passo 08:

Editar o arquivo "000-default.conf" do Apache, localizado no diretório "/etc/apache2/sites-available/":

# nano "/etc/apache2/sites-available/000-default.conf"

Inserir as informações para o Apache utilizar o Kerberos na autenticação:

Para o Módulo de autenticação Kerberos:

**Inserir antes do bloco "<VirtualHost *:80>":

LoadModule auth_kerb_module /usr/lib/apache2/modules/mod_auth_kerb.so

**Inserir dentro do bloco "<VirtualHost *:80>":

<Directory "/var/www/html/glpi" >
AuthType Kerberos
AuthName "Single Sign-On Kerberos"
KrbAuthRealms FREEDOM.LOCAL
KrbServiceName http/svrglpi.freedom.local
Krb5Keytab /etc/apache2/http.keytab
KrbLocalUserMapping On
KrbMethodNegotiate On
KrbMethodK5Passwd On
require valid-user
</Directory>


OU


Para o Módulo de autenticação SASL/GSSAPI:

**Inserir antes do bloco "<VirtualHost *:80>":

LoadModule auth_gssapi_module /usr/lib/apache2/modules/mod_auth_gssapi.so

**Inserir dentro do bloco "<VirtualHost *:80>":

<Directory "/var/www/html/glpi" >
AuthType GSSAPI
AuthName "Single Sign-On SASL/GSSAPI"
GssapiCredStore keytab:/etc/apache2/http.keytab
Require valid-user
</Directory>

SALVAR O ARQUIVO E SAIR DO EDITOR.

REINICIAR O SERVIÇO DO APACHE:

# service apache2 restart

*OBS.09: NÃO PODE APRESENTAR NENHUM ERRO ATÉ AQUI.

IMPORTANTE: PARA MAIS INFORMAÇÕES SOBRE OS MÓDULOS DE AUTENTICAÇÃO KERBEROS E SASL/GSSAPI, ACESSE:

https://github.com/S2-/mod_auth_kerb

https://github.com/modauthgssapi/mod_auth_gssapi


ATENÇÃO: ATÉ AQUI O SEU SERVIDOR DEBIAN COM APACHE JÁ É CAPAZ DE UTILIZAR O KERBEROS PARA REALIZAR CONEXÕES AO SERVIDOR SAMBA NO SISTEMA OPERACIONAL FreeBSD. NO ENTANTO, PARA QUE O GLPI CONSIGA PEGAR OS DADOS DO USUÁRIO REMOTO, É NECESSÁRIO CONFIGURAR AS INFORMAÇÕES NO CONSOLE DE GERENCIAMENTO WEB DO PRÓPRIO GLPI.

=================================
CONFIGURAR O GLPI NO CONSOLE DE ADMINISTRAÇÃO WEB
=================================

Passo 09:

Acessar, com privilégios administrativos, o console Web do GLPI:

Ir no menu "Configurar" clicar no item "Autenticação":

Clicar em "Outros métodos de autenticação":

Na seção "Outra autenticação enviada na requisição HTTP":

Definir o item "Armazenamento do campo de login na requisição HTTP" como:

REMOTE_USER

Clicar no botão "Salvar" e depois "Sair" do GLPI.

*OBS.10: A SEÇÃO "Outra autenticação enviada na requisição HTTP" VAI APARECER COMO "Habilitado".

ATENÇÃO: ATÉ AQUI O GLPI JÁ CONSEGUE PEGAR AS INFORMAÇÕES DO APACHE NO TOCANTE AO USUÁRIO DA SESSÃO CORRENTE, NO ENTANTO, O NAVEGADOR AINDA NÃO PERMITE QUE O ACESSO AO SERVIÇO SEJA FEITO DE FORMA AUTOMÁTICA, POR ISSO AINDA É NECESSÁRIO CONFIGURAR OS NAVEGADORES.

=================================
CONFIGURAR NAVEGADORES PARA QUE PERMITAM LOGON ÚNICO DE FORMA AUTOMÁTICA.
=================================

Passo 10:

------------------------------------------------------------------------------
GOOGLE CHROME E MS EDGE (INTERNET EXPLORER):
------------------------------------------------------------------------------

IR NO MENU DE CONFIGURAÇÕES DO GOOGLE CHROME (chrome://settings/):

CLICAR EM "Avançado":

CLICAR EM "Abrir configurações de proxy"

NA CAIXA DE DIÁLOGO "Propriedades de Internet"

CLICAR NA ABA "Segurança"

SELECIONAR "Intranet Local"

CLICAR NO BOTÃO "Sites"

CLICAR NO BOTÃO "Avançadas"

DIGITAR O ENDEREÇO DO GLPI: "http://svrglpi.freedom.local"

CLICAR NO BOTÃO "Adicionar" E DEPOIS NO BOTÃO "Fechar"

AINDA NA ABA "Segurança"

CLICAR NO BOTÃO "Nível personalizado"

DENTRO DE "Configurações" IR NO BLOCO "Autenticação de Usuário"/ "Fazer logon"

SELECIONAR A OPÇÃO "Logon automático somente na zona da intranet"

EM "Redefinir configurações personalizadas"/ "Redefinir como:" DEIXAR "Médio-baixo (padrão)"

CLICAR NO BOTÃO "OK"

OBS.11: É NECESSÁRIO REINICIAR O COMPUTADOR APÓS ESSAS CONFIGURAÇÕES.

Passo 11:

------------------------------------------------------------------------------
MOZILLA FIREFOX:
------------------------------------------------------------------------------

ABRIR UMA ABA EM BRANCO

DIGITAR "about:config"

PROCURAR A CHAVE "network.negotiate-auth.trusted-uris" E EDITAR A MESMA (DOIS CLIQUES)

NA JANELA "Editar valor string", ADICIONAR O ENDEREÇO DO GLPI "http://svrglpi.freedom.local"

CLICAR NO BOTÃO "OK"

PRONTO!!! COM ESSAS TODAS ESSAS CONFIGURAÇÕES O APACHE JÁ ESTÁ REALIZANDO SINGLE SIGN-ON (SSO) COM O SAMBA E O GLPI PEGANDO AS INFORMAÇÕES DO PRÓPRIO APACHE, JUNTAMENTE COM OS NAVEGADORES PERMITINDO LOGON ÚNICO DE FORMA AUTOMÁTICA, EVITANDO QUE O USUÁRIO DIGITE AS INFORMAÇÕES DE LOGIN.

================
END OF FILE - GRAÇAS A DEUS TUDO CERTO!!!
================

FEITO, ESCRITO E TESTADO POR RICARDO XERFAN. DATA: 25/09/2018 - MACAPÁ-AP.