Dans cet article, nous allons voir comment configurer GLPI avec un Active Directory de façon à ce que les utilisateurs puissent d’identifier avec leur nom et mot de passe de session Windows.
Configuration de l’annuaire Active Directory dans GLPI
Depuis le menu de navigation aller sur Configuration 1 > Authentifications 2.
Dans le liste des Authentifications externes, cliquer sur Annuaires LDAP 1.
Cliquer sur le + 1 pour ajouter un annuaire.
Cliquer sur Active Directory 1 pour pré-remplir les champs.
Configurer l’Active Directory :
- 1 Entrer un nom
- 2 Mettre cet annuaire par défaut
- 3 Rendre le serveur Actif
- 4 Entrer le nom fqdn ou l’ip de votre contrôleur de domaine
- 5 Saisir la BaseDN de votre domaine
- 6 Identifiant et mot de passe d’un compte autorisé à se connecter
- 7 Cliquer sur Ajouter.
Cliquer sur le serveur 1 qui vient d’être ajouté.
Depuis l’onglet Annuaire LDAP 1, on retrouve la configuration de l’annuaire que l’on a entré juste avant.
Aller sur l’onglet Tester 1 et cliquer sur le bouton Tester 2. Si la configuration est bonne vous deviez avoir le message de confirmation 3.
L’onglet Utilisateurs 1 permet de paramétrer les liaisons entre l’Active Directory et la base GLPI.
L’onglet Groupes 1 permet l’import des groupes AD et de faire la liaison également avec GLPI.
Import des utilisateurs
Depuis le menu de navigation aller sur Administration 1 / Utilisateurs 2.
Pour le moment, il y a seulement les utilisateurs par défaut. Cliquer sur le bouton Liaison annuaire LDAP 1.
Depuis cette page, il est également possible de synchroniser l’utilisateur déjà importer en cas de modification dans l’Active Directory. Cliquer sur Importation de nouveaux utilisateurs 1.
Depuis ce formulaire, il est possible de faire des filtres de recherche. Ici on souhaite importer l’ensemble des utilisateurs, cliquer sur Rechercher 1.
Sous le formulaire s’affiche le résultat de recherche 1.
Cocher les utilisateurs 1 que doivent être importés et cliquer sur le bouton Actions 2.
Au niveau de l’action sélectionner Importer 1 et cliquer sur Envoyer 2.
Une notification doit s’afficher avec le résultat de l’action.
Retourner sur la liste des utilisateurs vérifier qu’ils soient bien présent.
La synchronisation fonctionne de la même manière.
Import des groupes
Le fonctionnement pour importer les groupes est identique que pour les utilisateurs.
Depuis le menu de navigation aller sur Administration 1 / Groupes 2.
Cliquer sur Liaison annuaire LDAP 1.
Cliquer sur Importation de nouveaux groupes 1.
Cliquer en Envoyer 1 pour exécuter la rechercher, sélectionner les groupes à importer 2 et cliquer sur Action 3.
Au niveau de l’action sélectionner Importer 1 et cliquer sur Envoyer 2.
Retourner sur la liste des groupes et vérifier le résultat.
Automatisation de l’import et de la synchronisation des utilisateurs
Malheureusement il n’existe pas d’actions automatiques dans GLPI pour effectuer ces tâches.
Heureusement les développeurs de GLPI ont pensé à tout, il y a un script (ldap_mass_sync.php) qui permet d’effectuer cela.
Avant de mettre en place l’automatisation je vous invite à lire l’article suivant : GLPI : actions automatiques configuration.
La mise en place de l’automatisation de l’import et de la synchronisation utilise le même fonctionnement. Création d’un bat avec une tâche planifiée.
Les explications suivantes sont pour Windows. En lisant l’article sur les actions automatiques et en adaptant les explications ci-après il est possible de la faire sous Linux.
Dans le répertoire d’installation de GLPI localisé le fichier ldap_mass_sync.php qui se trouve dans le répertoire scripts à la racine du site.
Créer un fichier bat avec le contenu suivant :
"C:\Program Files (x86)\PHP\vX.Y\php.exe" "C:\inetpub\glpi\scripts\ldap_mass_sync.php"
Cette ligne aura pour effet de synchroniser les utilisateurs l’ensemble des annuaires déclarés dans GLPI.
Créer une nouvelle tâche planifiée sur le serveur web qui va lancer le bat. En fonction de vos besoins adapter l’intervalle d’exécution.
Syntaxe
ldap_mass_sync.php [<Options>]
Paramètres
Paramètre | Description |
---|---|
ldapservers_id | Facultatif, ce paramètre permet d’indiquer l’ID du serveur LDAP. Si le paramètre n’est pas renseigné le script s’exécutera pour l’ensemble des serveurs actifs |
action | Facultatif, ce paramètre permet de déterminer l’action à faire. 0 : Import seulement 1 : Synchronisation des utilisateurs existants 2 : Import et synchronisation Si aucune valeur n’est renseigné, le script effectuera seulement une synchronisation |
Exemple :
ldap_mass_sync.php ldapservers_id=1 action=1
Le script s’exécutera seulement pour le serveur ldap ayant l’ID 1 et synchronise les utilisateurs.