[Tuto] Importer des utilisateurs d’Active Directory dans GLPI

Toujours sur le thème de GLPI, petit tuto expliquant comment lier ses utilisateurs Active Directory à son GLPI afin d’éviter de les créer un à un à la mano…

Manipulations simples et rapides garanties !

Lier ses utilisateurs de domaine AD avec GLPI

Il peut être très pratique de lier ses utilisateurs AD avec GLPI. Vous ne multipliez pas les comptes et les mots de passe pour vos utilisateurs et tout se fait de façon centralisée ! (Le but d’un contrôleur de domaine étant justement de centraliser l’authentification… ).

Vos utilisateurs pourront ainsi avoir simplement accès à GLPI pour déclarer des incidents où encore consulter la FAQ sans aucune action de votre part après la mise en place de ce tuto !

Info + : Pour l’installation de GLPI, se référer à l’article suivant : Installer GLPI sous Debian 10

Une petite contextualisation rapide avant de commencer ! Voici mon infra virtuelle où mes machines sont toutes dans un réseau isolé (vmnet dans VMWare Workstation et Réseau NAT sous VirtualBox) :

Je dispose d’un serveur Windows 2019 avec les services AD DS et DNS installés. Mon nom de domaine est « neptunet.lan ».

Pour ce tuto, j’ai créé 4 utilisateurs que j’ai placé dans une nouvelle Unité d’Organisation (OU) nommée « Services ».

Mon serveur GLPI est sous Debian 10.6 sans interface graphique. La version de GLPI installée est la 9.5.2.

J’ai ajouté un poste client juste pour faire joli car je me connecte à l’interface web de GLPI depuis le serveur en désactivant la configuration renforcée d’Internet Explorer (oui je sais ce n’est pas bien mais flemme d’allumer une autre VM… ).

J’ai également ajouté un enregistrement hôte (A) dans le DNS, dans la zone de recherche directe de mon domaine afin de me connecter à GLPI non pas avec son adresse IP mais avec un nom plus parlant pour les utilisateurs.

Mon accès à GLPI se fait donc via l’url suivante dans mon infra : http://glpi.neptunet.lan

Voilà vous savez tout, on peut y aller !

Info ++ : Pour fonctionner, le module LDAP pour PHP doit être installé sur la machine qui héberge GLPI. Si ce n’est pas le cas, lancez d’abord la commande suivante et redémarrer le service web : apt install php-ldap

Connectez-vous en tant que super-admin (compte glpi par défaut) sur l’interface web de GLPI. Rendez-vous dans le menu Administration puis dans Authentification.

Cliquez sur Annuaires LDAP.

Il faut ajouter un annuaire pour créer la liaison. Pour cela, cliquez sur le symbole + situé dans la barre du haut.

Il faut maintenant remplir différentes informations qui vont permettre à GLPI de communiquer avec le contrôleur de domaine. GLPI propose de remplir certains champs automatiquement, dont le champ Filtre de connexion, ce qui est assez pratique ! Pour cela, cliquez sur « Active Directory » dans la ligne Préconfiguration.

Les zones Filtre de connexion, champ de l’identifiant et champ de synchronisation ont été remplies. Ces 3 zones permettent de définir comment seront recherchés les utilisateurs dans la base de données AD et quels seront les attributs d’un objet utilisateur utilisés pour se connecter.

Complétez le formulaire avec les informations de votre domaine comme ceci :

Nom : donnez un nom à ce nouvel élément (de préférence le nom du domaine pour bien identifier la connexion par la suite)
Serveur par défaut : mettre Oui (sauf si vous avez l’intention de créer plusieurs liaisons AD différentes, dans ce cas, à vous de choisir quel serveur sera celui par défaut)
Actif : mettre Oui pour activer la liaison entre le serveur et GLPI
Serveur : renseignez l’adresse IP du serveur Active Directory ou son nom complet avec le nom du domaine (au format serveur.domaine.com)
Port : par défaut, le protocole LDAP utilise le port 389. Si vous n’avez pas modifié ce port dans votre infrastructure, laissez par défaut.
BaseDN : renseignez le Distinguished Name de l’Unité d’Organisation dont vous voulez importer les utilisateurs ou le Distinguished Name du domaine entier si vous souhaitez tout importer (au format « OU=monOU,DC=domaine,DC=com » ou simplement « DC=domaine,DC=com » pour le domaine entier)
DN du compte : renseignez ici l’identifiant complet utilisateur ayant les droits d’accès sur le domaine (comme l’administrateur par exemple, au format administrateur@domaine.com)
Mot de passe du compte : ajoutez le mot de passe de l’utilisateur déclaré dans le champ précédent

Cela devrait vous donner une configuration de ce genre :

Quand vous avez terminé de remplir les différents champs, cliquez sur le bouton Ajouter. L’annuaire LDAP que vous venez de configurer sera ajouté à la liste. Une infobulle en bas à droite de la page web va s’afficher indiquant qu’un test a été effectué et qu’il a réussi si toutes les informations sont bonnes.

A partir de ce point, la configuration du serveur est terminée. Les utilisateurs du domaine pourront s’identifier directement. Leurs informations seront ajoutées automatiquement à GLPI.

Faisons un test de connexion avec l’un de nos utilisateurs présents dans AD. On voit tout de suite que la page de connexion à GLPI à changer et permet de se connecter sur le domaine en plus de la base de données interne de GLPI.

Après avoir saisi l’identifiant de mon utilisateur et son mot de passe, il aura bien accès à GLPI avec par défaut un profil « Self-Service » dans lequel il ne pourra que créer et suivre l’état de ses propres tickets et accéder à la FAQ.

Retournez sur le compte du super-admin, en pensant bien à sélectionner cette fois ci « Base interne GLPI » et non pas le nom du domaine.

Allez dans le menu Administration puis dans Utilisateurs.

Dans la liste des utilisateurs, vous allez retrouver votre utilisateur que vous avez connecté précédemment. Vous n’avez donc plus aucune manipulation à faire.

Vous pouvez si vous le souhaitez importer en masse tous les utilisateurs qui sont dans la « BaseDN » que vous avez déclaré lors de la configuration afin qu’ils soient synchronisés avec votre GLPI avant même leur 1^ère connexion. Pour cela, toujours dans le sous-menu Utilisateurs, cliquez sur le bouton Liaison annuaire LDAP.

Cliquez sur Importation de nouveaux utilisateurs.

Sauf si vous souhaitez importer un utilisateur bien précis, cliquez simplement sur le bouton Rechercher sans définir de critère.

Vous verrez apparaître en bas de la page, tous les utilisateurs qui sont dans la BaseDN déclarée (soit ceux d’une OU, soit tous les utilisateurs du domaine selon votre configuration).

Pour les importer dans GLPI, cochez les cases sur la gauche pour les sélectionner, cliquez sur le bouton Actions, sélectionnez Importer puis cliquez sur Envoyer. Une fois encore, une infobulle vous informera du déroulement de l’import.

Si vous allez vérifier vos utilisateurs, ils apparaitront bien dans GLPI.

Info + : Si vous souhaitez automatiser le processus d’import ou de synchronisation de masse, il faudra mettre en place une tâche planifiée avec un script disponible sur GLPI, plus d’informations sur le site officiel de GLPI : Importer et synchroniser depuis un annuaire par script

Vous pouvez également importer des groupes AD, les manipulations restent les mêmes.