Aller au contenu

LDAP(s)#

Comment connecter mon LDAPS Entra à GLPI ?#

Pour connecter un LDAPS, il faut vous assurez d'avoir une licence suffisante vous permettant de créer une LDAPS. Le service domain services est nécessaire pour la création de votre LDAPS. Veuillez vous référer à la documentation officielle de Microsoft. Une fois votre LDAPS créé, il vous suffit de suivre les instructions depuis configuration > authentification > Annauire LDAP

Pourquoi ai-je un message d'erreur qui m'informe que je n'ai pas les droits d'accéder à l'application ?#

Ceci se produit lorsque les règles d'habilitations n'ont pas été mises en place. En effet, une fois l'authentification réussie, GLPI vérifie que vous avez une habilitation assignée. GLPI vérifie également qu'une règle ait été mise en place pour vous en attribuer une automatiquement. Si ce n'est pas le cas, l'accès à GLPI vous sera refusé. Pour paramétrer ces règles d'habilitation, rendez-vous sur cet article pour vous aider dans la configuration.

Pourquoi mes utilisateurs sont supprimés de GLPI lorsqu'ils sont désactivés ?#

Depuis configuration > authentification > configuration vous pouvez choisir le comportement GLPI lorsqu'un utilisateur est désactivé de votre LDAP(s)

  • Conserver
  • Désactiver
  • Désactiver + retirer les groupes
  • Désactiver + retirer les habilitation et les groupes (dynamiques)
  • Mettre à la corbeille
  • Retirer les habilitations et les groupes (dynamique)

J'ai des difficultés à synchroniser mon LDAP(s), comment puis-je obtenir un débug ?#

Pour les instance on-premise, vous pouvez consulter dans files/_log (ou à l'endroit où vous avez stocker vos logs) Vous pouvez également télécharger le plugin LDAP Tools pour vous aider à comprendre d'où provient le problème.

Quelles sont les informations remontées par LDAP(s) ?#

Vous pouvez gérer les informations qui seront remontées par votre LDAP(s) depuis configuration > authentification > annuaire LDAP, onglet utilisateurs

Alt text

Comment synchroniser les groupes ?#

Depuis configuration > authentification > annuaire LDAP, onglet groupes, vous pouvez choisir comment se comportera GLPI lors de la synchronisation de vos groupes.

GLPI peut :

  • Vérifier les groupes appartenant à l'utilsateur (recherche utilisateurs)
  • Vérifier les utilisateurs présentes dans les groupes (recherche groupes)
  • Les 2

Pensez à indiquer l'attribut utilisateur (en général memberof) afin que GLPI puisse se baser sur cet attribut pour synchroniser les groupes appartenant à l'utilisateur Pensez à indiquer l'attribut groupes (en général member) afin que GLPI puisse se baser sur cet attribut pour synchroniser les utilisateurs des groupes

A quoi sert le filtre pour la recherche de groupes ?#

Le filtre permet de ne remonter que certains groupes, selon leur nom par exemple. Si vous ne souhaitiez remonter que le groupe comptabilité par exemple, vous pourriez avoir une syntaxe telle que (&(objectCategory=group)(SAMAcCOUNTNAME=*comptabilité*)). Vous pouvez vous aider de cette documentation pour vous aider à construire votre filtre.

Mon LDAPS nécessite un certificat, comment le paramétrer ?#

On-premise :

  • Importer votre certificat dans votre serveur GLPI (ils doivent être lisibles par l'utilisateur utilisant le serveur web)

Instance Cloud :

  • utiliser le formulaire pour vous faire parvenir votre certificat

On-premise et instance Cloud :

  • Depuis configuration > authentification > annuaire LDAP, onglet informations avancées, indiquez le chemin de votre certificat dans les onglets TLS certfile et TLS Keyfile. Pour les instances Cloud, il vous sera communiqué par retour de votre ticket.

Comment ajouter des réplicats pour mon/mes serveurs LDAP(s) ?#

Depuis configuration > authentification > annuaire LDAP, onglet replicats, indiquez les informations nécessaires aux réplicats.

Pourquoi mes utilisateurs ne sont pas importés ?#

Vérifiez que votre LDAP(s) soit joignable et correctement paramétré côté GLPI. Si votre LDAP(s) est correctement paramétré côté GLPI, vérifiez que l'option ajout automatique des utilisateurs à partir des sources externes d'authentification Vérifier que les habilitations automatiques aient bien été mises en place. Si vous n'avez pas d'habilitation automatique, vérifiez que l'otpion ajouter un utilisateur sans habilitation depuis un annuaire LDAP (depuis configuration > authentification > configuration) soit à oui

Comment synchroniser automatiquement mes utilisateurs LDAP ?#

Afin de synchroniser automatiquement vos utilisateurs depuis un LDAP, vous pouvez ajouter une ligne dans votre crontab (celle de l'utilisateur qui lit les fichiers web apache, www-data, etc.)

0 * * * * www-data cd /var/www/glpi/ && /usr/bin/php bin/console glpi:ldap:synchronize_users --no-interaction >/dev/null 2>&1

Vous pouvez ajouter des options à cette commande pour synchroniser également les comptes désactivés par exemple :

0 * * * * www-data cd /var/www/glpi/ && /usr/bin/php bin/console glpi:ldap:synchronize_users --no-interaction -d 3 >/dev/null 2>&1

Si vous souhaitez effectuer plusieurs actions, nous vous conseillons d'ajouter autant de commande LDAP dans votre cron que d'actions souahatées (une commande pour la synchronisation des comptes, une autre pour les comptes désactivés, etc.)

Est-ce que la commande php /var/www/html/glpi/bin/console glpi:ldap:synchronize_users, mise en place dans le cron prend, en compte le filtre de connexion LDAP paramétré dans Configuration > Authentification > Annuaires LDAP#

Oui, si vous ne précisez pas --ldap-filter dans votre ligne de commande, GLPI prend le champ de synchronisation + la condition indiquée dans le filtre de connexion pour effectuer la recherche.

Exemple

  • Champ de synchronisation configuré = entryuuid
  • Filtre de connexion configuré = (objectClass=inetOrgPerson)
  • LDAP filter résultant en ligne de commande = (& (entryuuid=*) (objectClass=inetOrgPerson))

Peut on restaurer un utilisateur de GLPI lorsqu'il est également réactivé au niveau du LDAP ?#

Depuis configuration > authentification > configuration vous pouvez choisir le comportement de l'action à réaliser quand un utilisateur est restauré dans l'annuaire LDAP. Vous pouvez choisir de :

  • Activer
  • Ne rien faire
  • Restaurer (sortir de la corbeille)

Information

S'il a été définitivement, il sera recréé comme nouvel utilisateur

Dans quels cas les champs TLS Certfile et TLS Keyfile doivent ils être renseignées ?#

Les champs TLS Certfile et TLS Keyfile doivent être renseigés lorsque l'authentification (Bind) ( configuration > authentification > Annuraires LDAP > Utiliser Bind) est activée via un certificat et sa clé privée (comme le LDAPS sur Google Worspace par exemple) : c'est donc en remplacement (ou complément) d'un user/password.

Certificats

Si vous utilisez LDAPS, il faut que les certificats soient positionnés sur votre serveur de façon à ce que GLPI puisse y accéder (dans le dossier config de GLPI par exemple)

Est-il possible d'utiliser les groupes imbriqués ?#

Oui, GLPI sait gérer les groupes imbriqués.

Il faut synchroniser les groupes dans GLPI :

Dans Configuration > Authentification > Annuaires LDAP > Annuaire concerné :

  • Onglet principal :

    • Filtre de connexion : Utiliser la préconfiguration Active Directory "(&(objectClass=user)(objectCategory=person)( !(userAccountControl:1.2.840.113556.1.4.803:=2)))"
    • Base DN : doit être une sous-arborescence contenant des utilisateurs et des groupes AD.
  • Onglet Groupe :

    • Type de recherche : 'Dans les groupes' ou 'Utilisateurs et groupes' (les deux fonctionnent)
    • Attribut utilisateur indiquant les groupes: memberof
    • Filtre pour la recherche dans les groupes: Vide
    • Attribut des groupes contenant des utilisateurs:member:1.2.840.113556.1.4.1941:
    • Utiliser le DN pour la recherche: Oui

Explication

Pour une explication de la valeur member:1.2.840.113556.1.4.1941:, lisez cet article

Ensuite, il faut importer les groupes dans GLPI (groupes sur lesquels les règles d'autorisation seront basées).

  • Administration > Groupes > :ti-users-cog:Liaison annuaire LDAP

  • Enfin, adapter les règles d'autorisation pour utiliser le critère Groupe - est plutôt que MemberOf - contient.

  • Forcez ensuite la synchronisation d'un utilisateur pour que GLPI relie les groupes importés à l'utilisateur et donne les autorisations correctes en fonction de ces groupes.

Attention

Gérer les règles d'autorisation sur le champ memberOf de l'utilisateur n'est pas une bonne pratique, ce champ ne contient pas de groupes imbriqués.