[Tuto] Importer des utilisateurs d’Active Directory dans GLPI

Toujours sur le thème de GLPI, petit tuto expliquant comment lier ses utilisateurs Active Directory à son GLPI afin d’éviter de les créer un à un à la mano…

Manipulations simples et rapides garanties !

Lier ses utilisateurs de domaine AD avec GLPI

Il peut être très pratique de lier ses utilisateurs AD avec GLPI. Vous ne multipliez pas les comptes et les mots de passe pour vos utilisateurs et tout se fait de façon centralisée ! (Le but d’un contrôleur de domaine étant justement de centraliser l’authentification… ).

Vos utilisateurs pourront ainsi avoir simplement accès à GLPI pour déclarer des incidents où encore consulter la FAQ sans aucune action de votre part après la mise en place de ce tuto !

Info + : Pour l’installation de GLPI, se référer à l’article suivant : Installer GLPI 10

Une petite contextualisation rapide avant de commencer ! Voici mon infra virtuelle où mes machines sont toutes dans un réseau isolé (vmnet dans VMWare Workstation et Réseau NAT sous VirtualBox) :

Je dispose d’un serveur Windows 2022 avec les services AD DS et DNS installés. Mon nom de domaine est « neptunet.lan ».

Pour ce tuto, j’ai créé 4 utilisateurs que j’ai placé dans une d’Organisation (OU) nommée « Services » et ensuite dans leur département d’affectation respectifs.

Mon serveur GLPI est sous Debian 12.1 sans interface graphique. La version de GLPI installée est la 10.0.9.

J’ai également ajouté un enregistrement hôte (A) dans le DNS, dans la zone de recherche directe de mon domaine afin de me connecter à GLPI non pas avec son adresse IP mais avec un nom plus parlant pour les utilisateurs. Vous pouvez également ajouter un enregistrement Alias (CNAME) pour atteindre votre serveur avec un autre nom, un genre de pseudo, c’est facultatif.

Selon ma configuration de GLPI, mon accès à son interface web depuis un poste client du même réseau se fait via l’url suivante dans mon infra : http://glpi

Info + : Je peux également l’atteindre via l’url http://vm-glpi ou encore http://glpi.neptunet.lan par exemples, cela dépend de votre configuration DNS, c’est à vous de voir. Mon GLPI est installé à la racine du dossier web de mon Debian dans /var/www, je ne dois donc pas rajouter http://glpi/glpi dans mon url mais ça peut être votre cas si votre GLPI est installé dans /var/www/html/glpi donc pensez bien à adapter ce tuto.

Voilà vous savez tout, on peut y aller !

Info ++ : Pour fonctionner, le module LDAP pour PHP doit être installé sur la machine qui héberge GLPI. Si ce n’est pas le cas, lancez d’abord la commande suivante et redémarrer le service web : apt install php-ldap

Connectez vous en tant que super-admin (compte glpi par défaut) sur l’interface web de GLPI. Rendez-vous dans le menu Configuration puis dans Authentification.

Cliquez sur Annuaires LDAP.

Il faut ajouter un annuaire pour créer la liaison. Pour cela, cliquez sur le bouton “+” ou “Ajouter” situé dans la barre du haut.

Il faut maintenant remplir différentes informations qui vont permettre à GLPI de communiquer avec le contrôleur de domaine. GLPI propose de remplir certains champs automatiquement, dont le champ Filtre de connexion, ce qui est assez pratique ! Pour cela, cliquez sur « Active Directory » dans la ligne Préconfiguration.

Les zones Filtre de connexion, champ de l’identifiant et champ de synchronisation ont été remplies. Ces 3 zones permettent de définir comment seront recherchés les utilisateurs dans la base de données AD et quels seront les attributs d’un objet utilisateur utilisés pour se connecter.

Complétez le formulaire avec les informations de votre domaine comme ceci :

Nom : donnez un nom à ce nouvel élément (de préférence le nom du domaine pour bien identifier la connexion par la suite)
Serveur par défaut : mettre Oui (sauf si vous avez l’intention de créer plusieurs liaisons AD différentes, dans ce cas, à vous de choisir quel serveur sera celui par défaut)
Actif : mettre Oui pour activer la liaison entre le serveur et GLPI
Serveur : renseignez l’adresse IP du serveur Active Directory ou son nom complet avec le nom du domaine (au format serveur.domaine.com)
Port : par défaut en non sécurisé, le protocole LDAP utilise le port 389. Si vous n’avez pas modifié ce port dans votre infrastructure, laissez par défaut.
BaseDN : renseignez le Distinguished Name de l’Unité d’Organisation dont vous voulez importer les utilisateurs ou le Distinguished Name du domaine entier si vous souhaitez tout importer (au format « OU=monOU,DC=domaine,DC=com » ou simplement « DC=domaine,DC=com » pour le domaine entier)
DN du compte : renseignez ici l’identifiant complet d’un utilisateur ayant les droits d’accès sur le domaine (comme l’administrateur par exemple, au format administrateur@domaine.com)
Mot de passe du compte : ajoutez le mot de passe de l’utilisateur déclaré dans le champ précédent

Cela devrait vous donner une configuration de ce genre :

Quand vous avez terminé de remplir les différents champs, cliquez sur le bouton Ajouter. L’annuaire LDAP que vous venez de configurer sera ajouté à la liste. Après cet ajout, un test de connexion à l’AD est automatiquement effectué. Une infobulle en bas à droite de la fenêtre de GLPI vous avertira en cas de problème.

A partir de ce point, la configuration du serveur est terminée. Les utilisateurs du domaine pourront s’identifier directement. Leurs informations seront ajoutées automatiquement à GLPI.

Faisons un test de connexion avec l’un de nos utilisateurs présents dans AD. On voit tout de suite que la page de connexion à GLPI à changer et permet de se connecter sur le domaine en plus de la base de données interne de GLPI.

Après avoir saisi l’identifiant de mon utilisateur AD et son mot de passe, il aura bien accès à GLPI avec par défaut un profil « Self-Service » dans lequel il ne pourra que créer et suivre l’état de ses propres tickets et accéder à la base de connaissance de GLPI en mode FAQ si celle ci est utilisée.

Retournez sur le compte du super-admin, en pensant bien à sélectionner cette fois ci « Base interne GLPI » et non pas le nom du domaine.

Allez dans le menu Administration puis dans Utilisateurs.

Dans la liste des utilisateurs, vous allez retrouver votre utilisateur que vous avez connecté précédemment. Vous n’avez donc plus aucune manipulation à faire.

Vous pouvez si vous le souhaitez importer en masse tous les utilisateurs qui sont dans la « BaseDN » que vous avez déclaré lors de la configuration afin qu’ils soient synchronisés avec votre GLPI avant même leur 1^ère connexion. Pour cela, toujours dans le sous-menu Utilisateurs, cliquez sur le bouton Liaison annuaire LDAP.

Cliquez sur Importation de nouveaux utilisateurs.

Sauf si vous souhaitez importer un utilisateur bien précis, cliquez simplement sur le bouton Rechercher sans définir de critère.

Vous verrez apparaître en bas de la page, tous les utilisateurs qui sont dans la BaseDN déclarée (soit ceux d’une OU, soit tous les utilisateurs du domaine selon votre configuration).

Pour les importer dans GLPI, cochez les cases sur la gauche pour les sélectionner, cliquez sur le bouton Actions.

Sélectionnez Importer puis cliquez sur Envoyer.

Une infobulle vous informera du déroulement de l’import.

Si vous allez vérifier vos utilisateurs, ils apparaitront bien dans GLPI. Je retrouve bien mes 4 utilisateurs AD.

Vous pouvez également importer des groupes AD, les manipulations restent les mêmes.

Allez dans le menu Administration puis dans Groupes cette fois-ci. Cliquez sur le bouton de liaison LDAP.

Cliquez sur “Importation de nouveaux groupes”.

GLPI vous proposera en bas de page tous les groupes disponibles dans le BaseDN renseigné précédemment. Il ne vous reste qu’à cocher les cases des groupes que vous voulez importer, menu Actions puis Importer.