Toujours sur le thĂšme de GLPI, petit tuto expliquant comment lier ses utilisateurs Active Directory Ă son GLPI afin dâĂ©viter de les crĂ©er un Ă un Ă la manoâŠ
Manipulations simples et rapides garanties !
Lier ses utilisateurs de domaine AD avec GLPI
Il peut ĂȘtre trĂšs pratique de lier ses utilisateurs AD avec GLPI. Vous ne multipliez pas les comptes et les mots de passe pour vos utilisateurs et tout se fait de façon centralisĂ©e ! (Le but dâun contrĂŽleur de domaine Ă©tant justement de centraliser lâauthentification⊠).
Vos utilisateurs pourront ainsi avoir simplement accĂšs Ă GLPI pour dĂ©clarer des incidents oĂč encore consulter la FAQ sans aucune action de votre part aprĂšs la mise en place de ce tuto !
Info + : Pour l’installation de GLPI, se rĂ©fĂ©rer Ă lâarticle suivant : Installer GLPI sous Debian 10 |
Une petite contextualisation rapide avant de commencer ! Voici mon infra virtuelle oĂč mes machines sont toutes dans un rĂ©seau isolĂ© (vmnet dans VMWare Workstation et RĂ©seau NAT sous VirtualBox) :
Je dispose dâun serveur Windows 2019 avec les services AD DS et DNS installĂ©s. Mon nom de domaine est « neptunet.lan ».
Pour ce tuto, jâai créé 4 utilisateurs que jâai placĂ© dans une nouvelle UnitĂ© dâOrganisation (OU) nommĂ©e « Services ».
Mon serveur GLPI est sous Debian 10.6 sans interface graphique. La version de GLPI installée est la 9.5.2.
Jâai ajoutĂ© un poste client juste pour faire joli car je me connecte Ă lâinterface web de GLPI depuis le serveur en dĂ©sactivant la configuration renforcĂ©e dâInternet Explorer (oui je sais ce nâest pas bien mais flemme dâallumer une autre VM⊠ ).
Jâai Ă©galement ajoutĂ© un enregistrement hĂŽte (A) dans le DNS, dans la zone de recherche directe de mon domaine afin de me connecter Ă GLPI non pas avec son adresse IP mais avec un nom plus parlant pour les utilisateurs.
Mon accĂšs Ă GLPI se fait donc via lâurl suivante dans mon infra : http://glpi.neptunet.lan
Voilà vous savez tout, on peut y aller !
Info ++ : Pour fonctionner, le module LDAP pour PHP doit ĂȘtre installĂ© sur la machine qui hĂ©berge GLPI. Si ce nâest pas le cas, lancez dâabord la commande suivante et redĂ©marrer le service web : apt install php-ldap |
Connectez-vous en tant que super-admin (compte glpi par dĂ©faut) sur lâinterface web de GLPI. Rendez-vous dans le menu Administration puis dans Authentification.
Cliquez sur Annuaires LDAP.
Il faut ajouter un annuaire pour créer la liaison. Pour cela, cliquez sur le symbole + situé dans la barre du haut.
Il faut maintenant remplir différentes informations qui vont permettre à GLPI de communiquer avec le contrÎleur de domaine. GLPI propose de remplir certains champs automatiquement, dont le champ Filtre de connexion, ce qui est assez pratique ! Pour cela, cliquez sur « Active Directory » dans la ligne Préconfiguration.
Les zones Filtre de connexion, champ de lâidentifiant et champ de synchronisation ont Ă©tĂ© remplies. Ces 3 zones permettent de dĂ©finir comment seront recherchĂ©s les utilisateurs dans la base de donnĂ©es AD et quels seront les attributs dâun objet utilisateur utilisĂ©s pour se connecter.
Complétez le formulaire avec les informations de votre domaine comme ceci :
- Nom : donnez un nom à ce nouvel élément (de préférence le nom du domaine pour bien identifier la connexion par la suite)
- Serveur par dĂ©faut : mettre Oui (sauf si vous avez lâintention de crĂ©er plusieurs liaisons AD diffĂ©rentes, dans ce cas, Ă vous de choisir quel serveur sera celui par dĂ©faut)
- Actif : mettre Oui pour activer la liaison entre le serveur et GLPI
- Serveur : renseignez lâadresse IP du serveur Active Directory ou son nom complet avec le nom du domaine (au format serveur.domaine.com)
- Port : par dĂ©faut, le protocole LDAP utilise le port 389. Si vous nâavez pas modifiĂ© ce port dans votre infrastructure, laissez par dĂ©faut.
- BaseDN : renseignez le Distinguished Name de lâUnitĂ© dâOrganisation dont vous voulez importer les utilisateurs ou le Distinguished Name du domaine entier si vous souhaitez tout importer (au format « OU=monOU,DC=domaine,DC=com » ou simplement « DC=domaine,DC=com » pour le domaine entier)
- DN du compte : renseignez ici lâidentifiant complet utilisateur ayant les droits dâaccĂšs sur le domaine (comme lâadministrateur par exemple, au format administrateur@domaine.com)
- Mot de passe du compte : ajoutez le mot de passe de lâutilisateur dĂ©clarĂ© dans le champ prĂ©cĂ©dent
Cela devrait vous donner une configuration de ce genre :
Quand vous avez terminĂ© de remplir les diffĂ©rents champs, cliquez sur le bouton Ajouter. Lâannuaire LDAP que vous venez de configurer sera ajoutĂ© Ă la liste. Une infobulle en bas Ă droite de la page web va sâafficher indiquant quâun test a Ă©tĂ© effectuĂ© et quâil a rĂ©ussi si toutes les informations sont bonnes.
A partir de ce point, la configuration du serveur est terminĂ©e. Les utilisateurs du domaine pourront sâidentifier directement. Leurs informations seront ajoutĂ©es automatiquement Ă GLPI.
Faisons un test de connexion avec lâun de nos utilisateurs prĂ©sents dans AD. On voit tout de suite que la page de connexion Ă GLPI Ă changer et permet de se connecter sur le domaine en plus de la base de donnĂ©es interne de GLPI.
AprĂšs avoir saisi lâidentifiant de mon utilisateur et son mot de passe, il aura bien accĂšs Ă GLPI avec par dĂ©faut un profil « Self-Service » dans lequel il ne pourra que crĂ©er et suivre lâĂ©tat de ses propres tickets et accĂ©der Ă la FAQ.
Retournez sur le compte du super-admin, en pensant bien à sélectionner cette fois ci « Base interne GLPI » et non pas le nom du domaine.
Allez dans le menu Administration puis dans Utilisateurs.
Dans la liste des utilisateurs, vous allez retrouver votre utilisateur que vous avez connectĂ© prĂ©cĂ©demment. Vous nâavez donc plus aucune manipulation Ă faire.
Vous pouvez si vous le souhaitez importer en masse tous les utilisateurs qui sont dans la « BaseDN » que vous avez dĂ©clarĂ© lors de la configuration afin quâils soient synchronisĂ©s avec votre GLPI avant mĂȘme leur 1Ăšre connexion. Pour cela, toujours dans le sous-menu Utilisateurs, cliquez sur le bouton Liaison annuaire LDAP.
Cliquez sur Importation de nouveaux utilisateurs.
Sauf si vous souhaitez importer un utilisateur bien précis, cliquez simplement sur le bouton Rechercher sans définir de critÚre.
Vous verrez apparaĂźtre en bas de la page, tous les utilisateurs qui sont dans la BaseDN dĂ©clarĂ©e (soit ceux dâune OU, soit tous les utilisateurs du domaine selon votre configuration).
Pour les importer dans GLPI, cochez les cases sur la gauche pour les sĂ©lectionner, cliquez sur le bouton Actions, sĂ©lectionnez Importer puis cliquez sur Envoyer. Une fois encore, une infobulle vous informera du dĂ©roulement de lâimport.
Si vous allez vérifier vos utilisateurs, ils apparaitront bien dans GLPI.
Info + : Si vous souhaitez automatiser le processus dâimport ou de synchronisation de masse, il faudra mettre en place une tĂąche planifiĂ©e avec un script disponible sur GLPI, plus dâinformations sur le site officiel de GLPI : Importer et synchroniser depuis un annuaire par script |
Vous pouvez Ă©galement importer des groupes AD, les manipulations restent les mĂȘmes.
Les groupes importĂ©s depuis lâAD seront disponibles dans GLPI.
Câest tout pour ce tuto ! PlutĂŽt simple pas vrai ?
A bientĂŽt !