Agent GLPI#
Où télécharger l'agent GLPI ?#
L'agent est disponbible via cette URL
Quelle URL dois-je configurer sur mon agent ?#
Vous pouvez vous référer à la documentation en ligne afin de configurer correctement votre agent.
Quels OS sont compatibles avec l'agent GLPI ?#
- Windows
- MacOSX (Intel et Apple Silicon)
- GNU/Linux (distributions principales et basées sur RPM et DEB ou si elles prennent en charge l’empaquetage Snap) Voici la documentation pour l'installation de l'agent sur vos différents OS.
Où télécharger l'agent GLPI ?#
L'agent est disponbible via cette URL
Quelle URL dois-je configurer sur mon agent ?#
Vous pouvez vous référer à la documentation en ligne afin de configurer correctement votre agent.
Quels OS sont compatibles avec l'agent GLPI ?#
- Windows
- MacOSX (Intel et Apple Silicon)
- GNU/Linux (distributions principales et basées sur RPM et DEB ou si elles prennent en charge l’empaquetage Snap)
Voici la documentation pour l'installation de l'agent sur vos différents OS.
Comment installer l'agent par GPO ?#
Un script est disponible afin de déployer vos agents par GPO
Qu'est ce que Glpi-Agent Monitor ?#
Glpi-Agent Monitor permet d'obtenir une interface graphique de votre agent afin de pouvoir effectuer des actions comme forcer un inventaire, consulter le journal de l'agent, ouvrir un ticket, etc. Vous pouver le télécharger grâce à ce lien
Comment installer l'agent sur MacOSX ?#
Pour vous accompagner dans l'installation de l'agent GLPI sur MacOSX, vous pouvez vous référer à la documentation officielle
Comment installer l'agent sur GNU/Linux ?#
Pour vous accompagner dans l'installation de l'agent GLPI sur GNU/Linux, vous pouvez vous référer à la documentation officielle
Où se trouve le fichier de configuration de l'agent ?#
- Sous GNU/Linux :
/etc/glpi-agent/agent.cfg
- Sous MacOSX :
/Applications/GLPI-Agent/etc/agent.cfg
- Sous Windows, elle se trouve en base de registre ici :
HKEY_LOCAL_MACHINE\SOFTWARE\GLPI-Agent
Quels sont les paramètres disponibles dans le fichier de configuration de l'agent ?#
L'agent GLPI inclut de nombreux paramètres comme l'installation de tâches particulières, l'activation SSL, l'utilisation de mot de passe pour l’authentification HTTP sur le serveur, etc. Vous en trouverez la liste complète ici
Comment forcer un inventaire ?#
Windows :
- Si l'agent est installé comme service, vous pouvez vous rendre sur
http://hostname:62354
et forcer un inventaire - Si Glpi-Agent Monitor est installé, vous pouvez lancer l'inventaire directement depuis l'interface de monitoring
- En
CLI
:C:\> cd "C:\Program files\GLPI-Agent" C:\Program files\GLPI-Agent > glpi-agent --force
MacOSX :
sudo /Applications/GLPI-Agent.app/bin/glpi-agent --force
GNU/Linux and others :
sudo glpi-agent --force
Quelles tâches sont supportées par l'agent ?#
L'agent permet le support d'un certain nombre de tâches dont certaines seront paramétrables avec le plugin GlpiInventory disponible depuis le marketplace :
- Netinventory et NetDiscovery : découverte et inventaire réseau avec support SNMP
- Deploy
- Collect
- ESX
- RemoteInventory (uniquement avec une configuration spécifique à l'agent GLPI ou avec le plugin ToolBox de l'agent)
Comment activer la "Basic Authentication" vers l'agent GLPI ?#
Depuis le dossier de configuraiton de l'agent, identifiez le fichier basic-authentication-server-plugin.cfg
. Copiez ce fichier et renommez l'extention .local
. Sur le fichier renommé, décommentez la ligne disabled = no
Plus d'information dans la documentation officielle
A quoi sert la Toolbox
?#
La ToolBox est une interface web simple intégrée à l’Agent GLPI qui permet aux utilisateurs de configurer certaines fonctionnalités lorsqu’il n’y a pas de serveur GLPI disponible.
Quelles sont les fonctionnalités de la Toolbox
?#
Voici les principales fonctionnalités fournies par ToolBox
:
- Gérer les tâches d’inventaire (disponible depuis l’Agent GLPI 1.6)
- Gérer les définitions d’informations d’authentification
- Gérer les définitions de plages d’adresses IP
- Gérer les définitions de planification (disponible depuis l’Agent GLPI 1.6)
- Afficher les résultats de l’inventaire léger et modifier éventuellement les champs personnalisés
- Gestion de la définition des remotes (obsolète depuis l’Agent GLPI 1.6)
- Gérer les règles de prise en charge de mib pour ajuster les résultats pour les périphériques réseau SNMP
Comment installer la ToolBox
de l'agent ?#
Dans le dossier de configuration de l'agent :
- Copiez le fichier
toolbox-plugin.cfg
et renommez-letoolbox-plugin.local
- Ouvrez le fichier
toolbox-plugin.local
et décommentez la lignedisabled = no
- Redémarrez le service GLPI
- Connectez vous sur
localhost:62354
Un nouveau menu sera disponible depuis l'interface
Paramétrez votre toolbox, avec Arthur, grâce à notre chaîne YouTube
Comment puis-je configurer mon agent pour accéder à mon serveur GLPI en SSL ?#
La première chose à vérifier est que vous utilisez bien une URL débutant par https://. Si votre serveur GLPI est correctement configuré et qu’il présente un certificat signé par une autorité de certification publique, vous n’aurez rien à faire de plus. La deuxième chose à vérifier est que votre réseau ne bloque pas les requêtes vers le port 443 de votre serveur GLPI depuis le poste où doit s’exécuter l’agent. Enfin, vous pouvez vérifier le journal de l’agent ou que la sortie d’erreur d’une exécution en ligne de commande rapporte une erreur du genre :
[error] [http client] internal response: 500 Can't connect to 192.168.2.3:443 (certificate verify failed), SSL connect attempt failed error:0A000086:SSL routines::certificate verify failed
[error] No supported answer from server at https://192.168.2.3
[info] [http client] SSL Client warning: Peer certificate not verified
[info] [http client] SSL Client info: Cert-Issuer: '/CN=debian-hosting', Cert-Subject: '/CN=debian-hosting', Version: 'TLSv1_3', Cipher: 'TLS_AES_256_GCM_SHA384'
[info] [http client] SSL server certificate fingerprint: sha256$bae02f72f312d6bc4e6f358181a7beb319224e242b8e370d49a60f659c4a589f
[info] [http client] You can set it in conf as 'ssl-fingerprint' and disable 'no-ssl-check' option to trust that server certificate
sha256$bae02f72f312d6bc4e6f358181a7beb319224e242b8e370d49a60f659c4a589f
. Cette valeur peut être ensuite configurée sur tous vos agents pour qu’ils reconnaissent votre serveur GLPI.
Il faut noter que vos agents devront être reconfigurés avec une nouvelle empreinte de certificat SSL si le certificat présenté par le serveur est mis à jour.
Sinon la manière historique de configurer la reconnaissance du certificat SSL présenté par le serveur GLPI est de configurer l’option ca-cert-file avec le chemin vers un fichier au format PEM contenant soit le certificat publique présenté par le serveur, soit le certificat publique de l’autorité ayant signé le certificat présenté par le serveur.L’inconvénient de cette option est que vous aurez à créer ou copier ce fichier sur toutes les machines qui en auront besoin. L’option ca-cert-dir peut aussi être exploitée, mais ça mise en oeuvre reste plus complexe car le nom de fichier des certificats que le dossier configuré doit contenir n’est pas évident à déterminer.
Depuis la version 1.3 de l’agent GLPI sur windows et MacOSX, l’agent tentera aussi de vérifier s’il trouve le certificat du serveur dans le magasin de certificats du système ou keystore pour windows ou dans le trousseau de clés ou keychain sur MacOSX. Comme demandé par la communauté, depuis l’agent 1.5, l’agent reconnait plusieurs autres sections dumagasin de certificats sur windows.
Cette fonctionnalité peut vous permettre de simplifier l’authentification SSL du serveur GLPI sur un grand parc car vous aurez juste à recourir à un déploiement automatique du magasin de certificats sans avoir à utiliser une quelconque option spécifique de l’agent. De plus, en cas de mise à jour du certificat du serveur GLPI, vous n’aurez qu’àdéployer le nouveau certificat et les agents finiront par l’utiliser sans que vous ayez à intervenir.
Comment diagnostiquer un problème de connexion SSL ?#
Si vous n’arrivez pas à configurer l’authentification SSL du serveur, vous pouvez utiliser l’option --debug
2 fois en combinaison avec l’option --logger=stderr
en exécutant l’agent depuis une ligne de commande pour obtenir un diagnostic plus complet du support SSL. Cela pourra probablement vous aider à identifier un problème particulieret l’output obtenu vous sera toujours demandé si vous sollicitez du support.
Il faut lancer la commande dans une console administrative et le mieux est d’utiliser des options qui vont forcer l’exécution et limiter les tâches à une seule, ici la tâche Collect. Le but reste uniquement de diagnostiquer un problème de communication SSL avec le serveur GLPI :
glpi-agent --logger=stderr --debug --debug --tasks=collect --force
Voici à quoi pourrait ressembler l’output obtenu :
DEBUG: .../IO/Socket/SSL.pm:846: call Net::SSLeay::connect
DEBUG: .../IO/Socket/SSL.pm:3690: * TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8)
DEBUG: .../IO/Socket/SSL.pm:3690: * TLSv1.3 (IN), TLS handshake, Certificate (11)
DEBUG: .../IO/Socket/SSL.pm:2857: ok=0 [0] /CN=debian-hosting/CN=debian-hosting
DEBUG: .../IO/Socket/SSL.pm:3690: * TLSv1.3 (OUT), TLS alert, Unknown alert (560)
DEBUG: .../IO/Socket/SSL.pm:849: done Net::SSLeay::connect -> -1
DEBUG: .../IO/Socket/SSL.pm:852: SSL connect attempt failed
DEBUG: .../IO/Socket/SSL.pm:852: local error: SSL connect attempt failed error:0A000086:SSL routines::certificate verify failed
DEBUG: .../IO/Socket/SSL.pm:855: fatal SSL error: SSL connect attempt failed error:0A000086:SSL routines::certificate verify failed
DEBUG: ...perl/Net/HTTPS.pm:67: ignoring less severe local error 'IO::Socket::IP configuration failed', keep 'SSL connect attempt failed error:0A000086:SSL routines::certificate verify failed'
DEBUG: .../IO/Socket/SSL.pm:3062: free ctx 94133007189808 open=94133007189808
DEBUG: .../IO/Socket/SSL.pm:3066: free ctx 94133007189808 callback
DEBUG: .../IO/Socket/SSL.pm:3073: OK free ctx 94133007189808
[error] [http client] internal response: 500 Can't connect to 192.168.2.3:443 (No such file or directory), SSL connect attempt failed error:0A000086:SSL routines::certificate verify failed
[error] No supported answer from server at https://192.168.2.3
ok=0 [0] /CN=debian-hosting/CN=debian-hosting
qui montre que le certificat du serveur est un certificat auto-signé avec un nom d’hôte debian-hosting et une erreur fatal SSL error qui indique certificate verify failed. En conclusion, l’agent refuse la connexion car il n’est pas en mesure d’authentifier leserveur auquel il accède. Et c’est normal quand on utilise une url contenant une ip. Ce genre d’erreur se résout en utilisant une des options de configuration de l’agent.
Mais d’autres erreurs pourraient remonter indiquant par exemple que le support SSL du serveur est dépassé ou que la négocation pour déterminer le protocole d’échange à utiliser n’a pas abouti. Ce genre d’erreur peut indiquer un problème à résoudre côté serveur.
Pourquoi mon agent affiche un statut ou une demande d'inventaire inconnu?#
Par défaut, le statut de l'agent est affiché en inconnu
. Vous pouvez cliquez sur
afin de :
- voir le statut
- lancer un inventaire
Il peut arriver que le serveur n'ait pas accès au port de l'agent, auquel cas cette fonctionnalité ne sera pas disponible :
- soit dans le cas d'un agent derrière un firewall
- soit le routage ne le permet pas,
- si le port est filtré par le firewall de la machine.
Cloud
Cette fonctionnalité n'est pas disponbile en Cloud