Category: GLPI Network

Subject

Comment connecter mon annuaire AD / LDAP sur mon GLPI ?

Content

GLPI s'interface avec des annuaires LDAP afin d'authentifier les utilisateurs, de contrôler leur accès, de récupérer leurs informations personnelles et d'importer des groupes.

Tous les annuaires compatibles LDAP v3 sont supportés par GLPI. C'est donc aussi le cas pour Microsoft Active Directory (AD). Il n'y a pas de limite quant au nombre d'annuaires renseignés : bien entendu plus le nombre est élevé, plus la recherche d'un nouvel utilisateur à authentifier peut être longue.

 

LDAP (port 389)

 

Dans un premier temps, il est nécessaire de configurer l'annuaire sur GLPI et de tester la connexion :

 

  • Survolez le menu " Configuration " situé dans le menu bandeau principal de GLPI.
  • Choisissez  " Authentification ".
  • Plusieurs choix d'authentification externe vous seront proposés. Choisissez " Annuaires LDAP ".
  • Afin d'ajouter un annuaire AD / LDAP à votre liste, effectuez un clic sur l'icone " + ".
  • Vous accéderez à la page de configuration d'un serveur AD / LDAP.

09f1d556-71844724-5e142db3ec6781.54551066

 

Explication des champs :

  • Préconfiguration

Ces deux liens cliquables vous permettront de charger ou d'effacer des valeurs par défaut d'autres champs, notamment pour la configuration d'un annuaire Active Directory.

  • Nom

Le nom à saisir ici sera celui affiché dans la liste de vos annuaires, il n'influence pas la configuration.

  • Serveur par défaut

Ce paramètre vous permet de définir si cet annuaire devra être utilisé en priorité ou non.

  • Actif

Ce paramètre vous permet d'activer/désactiver cet annuaire suite à sa création. Ce paramètre sera bien entendu modifiable à tout instant.

  • Serveur

Vous devrez saisir ici le FQDN de votre serveur ou son adresse IP.

  • Port

Saisissez ici le port requis pour la connexion à votre annuaire. Par défaut le port est préchargé en 389.

  • Filtre de connexion

On peut mettre en place une condition pour la recherche. Celle-ci permet de filtrer la recherche des utilisateurs à un nom réduit d'enregistrements.

Pour Active Directory, utiliser le filtre suivant, qui ne renvoie que les utilisateurs non désactivés (car les machines sont aussi considérées comme des utilisateurs par AD) :

(&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

  • BaseDN

Attention, la basedn doivent être écrits sans espaces après les virgules. De plus, la casse est importante.

Les paramètres à entrer sont très simples, par exemple :

Si votre Serveur = ldap.mycompany.fr

Alors votre basedn = dc=mycompany,dc=fr

  • DN du compte (pour les connexions non anonymes)

Saisissez ici le DN complet du compte de service qui s'authentifiera auprès de votre annuaire

  • Mot de passe du compte (pour les connexions non anonymes)

Saisissez ici le mot de passe du compte de service qui s'authentifiera auprès de votre annuaire. Notez que lors de l'enregistrement de la configuration, ce champ apparaîtra vide, ceci est normal, le mot de passe sera bien enregistré en base de données.

  • Champ de l'identifiant

Par défaut, pour un annuaire LDAP, la valeur se placera sur le champ " uid "

Pour un Active Directory, on préférera le champ " samaccountname "

  • Commentaires

Ce champ n'influence pas la configuration, ce n'est qu'un champ texte vous permettant de placer une indication, une remarques, etc.

  • Champ de synchronisation

Dans les schémas fournis par défaut nous conseillons par exemple d’utiliser:

- Pour Microsoft Active Directory : l’attribut « objectGUID » (correspondant à l’identifiant unique officiel d’un objet) ;
- Pour un annuaire basé sur OpenLDAP: l’attribut « entryUUID ».

Attention à ce champ, une fois configuré il ne pourra pas pas être modifier.

 

Une fois les champs saisis, Cliquez sur " Ajouter " pour enregistrer votre annuaire. Notez qu'un test de connexion est effectué à ce moment.

 

 

LDAPS (port 636)

 

Si vous souhaitez utiliser LDAPS, vous devez modifier certaines données vues plus haut :

Serveur : Devant l'IP ou le FQDN de votre serveur LDAP, ajoutez ldaps:// , ex: ldaps://mon.ad.com

Port : Le port devient 636

Une fois votre annuaire enregistré, retournez dans celui ci pour éditer sa configuration.

Dans l'onglet Informations avancées, passez Utiliser TLS à Oui.

 

GLPI NETWORK CLOUD UNIQUEMENT

Si l'utilisation d'un certificat est requis par votre environnement LDAP, un formulaire est à votre disposition ici pour nous transmettre votre certificat à ajouter sur votre instance.




Source : https://glpi-project.org/DOC/

 

Writer: TECLIB
Created on 2020-01-06 16:37
Last update on 2020-10-08 14:58
395 views
This item is part of the FAQ