Toujours sur le thĂšme de GLPI, petit tuto expliquant comment lier ses utilisateurs Active Directory Ă  son GLPI afin d’éviter de les crĂ©er un Ă  un Ă  la mano


Manipulations simples et rapides garanties ! cool


Lier ses utilisateurs de domaine AD avec GLPI

Il peut ĂȘtre trĂšs pratique de lier ses utilisateurs AD avec GLPI. Vous ne multipliez pas les comptes et les mots de passe pour vos utilisateurs et tout se fait de façon centralisĂ©e ! (Le but d’un contrĂŽleur de domaine Ă©tant justement de centraliser l’authentification
 wink ).

Vos utilisateurs pourront ainsi avoir simplement accĂšs Ă  GLPI pour dĂ©clarer des incidents oĂč encore consulter la FAQ sans aucune action de votre part aprĂšs la mise en place de ce tuto !

Info + : Pour l’installation de GLPI, se rĂ©fĂ©rer Ă  l’article suivant : Installer GLPI sous Debian 10

Une petite contextualisation rapide avant de commencer ! Voici mon infra virtuelle oĂč mes machines sont toutes dans un rĂ©seau isolĂ© (vmnet dans VMWare Workstation et RĂ©seau NAT sous VirtualBox) :

Je dispose d’un serveur Windows 2019 avec les services AD DS et DNS installĂ©s. Mon nom de domaine est « neptunet.lan ».

Pour ce tuto, j’ai crĂ©Ă© 4 utilisateurs que j’ai placĂ© dans une nouvelle UnitĂ© d’Organisation (OU) nommĂ©e « Services ».

Mon serveur GLPI est sous Debian 10.6 sans interface graphique. La version de GLPI installée est la 9.5.2.

J’ai ajoutĂ© un poste client juste pour faire joli car je me connecte Ă  l’interface web de GLPI depuis le serveur en dĂ©sactivant la configuration renforcĂ©e d’Internet Explorer (oui je sais ce n’est pas bien mais flemme d’allumer une autre VM
  blush ).

J’ai Ă©galement ajoutĂ© un enregistrement hĂŽte (A) dans le DNS, dans la zone de recherche directe de mon domaine afin de me connecter Ă  GLPI non pas avec son adresse IP mais avec un nom plus parlant pour les utilisateurs.

Mon accùs à GLPI se fait donc via l’url suivante dans mon infra : http://glpi.neptunet.lan

Voilà vous savez tout, on peut y aller !

Info ++ : Pour fonctionner, le module LDAP pour PHP doit ĂȘtre installĂ© sur la machine qui hĂ©berge GLPI. Si ce n’est pas le cas, lancez d’abord la commande suivante et redĂ©marrer le service web : apt install php-ldap

Connectez-vous en tant que super-admin (compte glpi par dĂ©faut) sur l’interface web de GLPI. Rendez-vous dans le menu Administration puis dans Authentification.

Cliquez sur Annuaires LDAP.

Il faut ajouter un annuaire pour créer la liaison. Pour cela, cliquez sur le symbole + situé dans la barre du haut.

Il faut maintenant remplir différentes informations qui vont permettre à GLPI de communiquer avec le contrÎleur de domaine. GLPI propose de remplir certains champs automatiquement, dont le champ Filtre de connexion, ce qui est assez pratique ! Pour cela, cliquez sur « Active Directory » dans la ligne Préconfiguration.

Les zones Filtre de connexion, champ de l’identifiant et champ de synchronisation ont Ă©tĂ© remplies. Ces 3 zones permettent de dĂ©finir comment seront recherchĂ©s les utilisateurs dans la base de donnĂ©es AD et quels seront les attributs d’un objet utilisateur utilisĂ©s pour se connecter.

Complétez le formulaire avec les informations de votre domaine comme ceci :

  • Nom : donnez un nom Ă  ce nouvel Ă©lĂ©ment (de prĂ©fĂ©rence le nom du domaine pour bien identifier la connexion par la suite)
  • Serveur par dĂ©faut : mettre Oui (sauf si vous avez l’intention de crĂ©er plusieurs liaisons AD diffĂ©rentes, dans ce cas, Ă  vous de choisir quel serveur sera celui par dĂ©faut)
  • Actif : mettre Oui pour activer la liaison entre le serveur et GLPI
  • Serveur : renseignez l’adresse IP du serveur Active Directory ou son nom complet avec le nom du domaine (au format serveur.domaine.com)
  • Port : par dĂ©faut, le protocole LDAP utilise le port 389. Si vous n’avez pas modifiĂ© ce port dans votre infrastructure, laissez par dĂ©faut.
  • BaseDN : renseignez le Distinguished Name de l’UnitĂ© d’Organisation dont vous voulez importer les utilisateurs ou le Distinguished Name du domaine entier si vous souhaitez tout importer (au format « OU=monOU,DC=domaine,DC=com » ou simplement « DC=domaine,DC=com » pour le domaine entier)
  • DN du compte : renseignez ici l’identifiant complet utilisateur ayant les droits d’accĂšs sur le domaine (comme l’administrateur par exemple, au format administrateur@domaine.com)
  • Mot de passe du compte : ajoutez le mot de passe de l’utilisateur dĂ©clarĂ© dans le champ prĂ©cĂ©dent

Cela devrait vous donner une configuration de ce genre :

Quand vous avez terminĂ© de remplir les diffĂ©rents champs, cliquez sur le bouton Ajouter. L’annuaire LDAP que vous venez de configurer sera ajoutĂ© Ă  la liste. Une infobulle en bas Ă  droite de la page web va s’afficher indiquant qu’un test a Ă©tĂ© effectuĂ© et qu’il a rĂ©ussi si toutes les informations sont bonnes.

A partir de ce point, la configuration du serveur est terminĂ©e. Les utilisateurs du domaine pourront s’identifier directement. Leurs informations seront ajoutĂ©es automatiquement Ă  GLPI.

Faisons un test de connexion avec l’un de nos utilisateurs prĂ©sents dans AD. On voit tout de suite que la page de connexion Ă  GLPI Ă  changer et permet de se connecter sur le domaine en plus de la base de donnĂ©es interne de GLPI.

AprĂšs avoir saisi l’identifiant de mon utilisateur et son mot de passe, il aura bien accĂšs Ă  GLPI avec par dĂ©faut un profil « Self-Service » dans lequel il ne pourra que crĂ©er et suivre l’état de ses propres tickets et accĂ©der Ă  la FAQ.

Retournez sur le compte du super-admin, en pensant bien à sélectionner cette fois ci « Base interne GLPI » et non pas le nom du domaine.

Allez dans le menu Administration puis dans Utilisateurs.

Dans la liste des utilisateurs, vous allez retrouver votre utilisateur que vous avez connectĂ© prĂ©cĂ©demment. Vous n’avez donc plus aucune manipulation Ă  faire.

Vous pouvez si vous le souhaitez importer en masse tous les utilisateurs qui sont dans la « BaseDN » que vous avez dĂ©clarĂ© lors de la configuration afin qu’ils soient synchronisĂ©s avec votre GLPI avant mĂȘme leur 1Ăšre connexion. Pour cela, toujours dans le sous-menu Utilisateurs, cliquez sur le bouton Liaison annuaire LDAP.

Cliquez sur Importation de nouveaux utilisateurs.

Sauf si vous souhaitez importer un utilisateur bien précis, cliquez simplement sur le bouton Rechercher sans définir de critÚre.

Vous verrez apparaĂźtre en bas de la page, tous les utilisateurs qui sont dans la BaseDN dĂ©clarĂ©e (soit ceux d’une OU, soit tous les utilisateurs du domaine selon votre configuration).

Pour les importer dans GLPI, cochez les cases sur la gauche pour les sĂ©lectionner, cliquez sur le bouton Actions, sĂ©lectionnez Importer puis cliquez sur Envoyer. Une fois encore, une infobulle vous informera du dĂ©roulement de l’import.

Si vous allez vérifier vos utilisateurs, ils apparaitront bien dans GLPI.

Info + : Si vous souhaitez automatiser le processus d’import ou de synchronisation de masse, il faudra mettre en place une tĂąche planifiĂ©e avec un script disponible sur GLPI, plus d’informations sur le site officiel de GLPI : Importer et synchroniser depuis un annuaire par script 

Vous pouvez Ă©galement importer des groupes AD, les manipulations restent les mĂȘmes.

Les groupes importĂ©s depuis l’AD seront disponibles dans GLPI.

 

C’est tout pour ce tuto ! Plutît simple pas vrai ?

A bientĂŽt ! hi


[Tuto] Importer des utilisateurs d’Active Directory dans GLPI

Articles pouvant vous intéresser