Aller au contenu

Configurer LDAP#

GLPI s'interface avec des annuaires LDAP afin d'authentifier les utilisateurs, de contrôler les accès, récupérer leurs informations personnelles et importer des groupes.

Tous les annuaires compatibles LDAP v3 sont supportés par GLPI. C'est donc aussi le cas pour Microsoft Active Directory (AD). Il n'y a pas de limite quant au nombre d'annuaires renseignés : bien entendu plus le nombre est élevé, plus la recherche d'un nouvel utilisateur à authentifier peut être longue.

LDAP (port 389)#

Dans un premier temps, il est nécessaire de configurer l'annuaire sur GLPI et de tester la connexion :

  • Rendez-vous dans Configuration > Authentification
  • Plusieurs choix d'authentification externe vous seront proposés. Choisissez Annuaires LDAP
  • Afin d'ajouter un annuaire AD/LDAP à votre liste, effectuez un clic sur l'icone Ajouter
  • Vous accéderez à la page de configuration d'un serveur AD/LDAP.

Alt text

Explication des champs#

  • Préconfiguration
    Ces deux liens cliquables vous permettront de charger ou d'effacer des valeurs par défaut d'autres champs, notamment pour la configuration d'un annuaire Active Directory.

  • Nom
    Le nom à saisir ici sera celui affiché dans la liste de vos annuaires, il n'influence pas la configuration.

  • Serveur par défaut
    Ce paramètre vous permet de définir si cet annuaire devra être utilisé en priorité ou non.

  • Actif
    Ce paramètre vous permet d'activer/désactiver cet annuaire suite à sa création. Ce paramètre sera bien entendu modifiable à tout instant.

  • Serveur
    Vous devrez saisir ici le FQDN de votre serveur ou son adresse IP.

  • Port
    Saisissez ici le port requis pour la connexion à votre annuaire. Par défaut le port est préchargé en 389.

  • Filtre de connexion
    On peut mettre en place une condition pour la recherche. Celle-ci permet de filtrer la recherche des utilisateurs à un nom réduit d'enregistrements.

Pour Active Directory, utiliser le filtre suivant, qui ne renvoie que les utilisateurs non désactivés (car les machines sont aussi considérées comme des utilisateurs par AD) :

(&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

  • BaseDN
    Attention, la basedn doivent être écrits sans espaces après les virgules. De plus, la casse est importante.

Les paramètres à entrer sont très simples, par exemple :

Si votre Serveur = ldap.mycompany.fr

Alors votre basedn = dc=mycompany,dc=fr

DN du compte (pour les connexions non anonymes)

Saisissez ici le DN complet du compte de service qui s'authentifiera auprès de votre annuaire

  • Mot de passe du compte (pour les connexions non anonymes)
    Saisissez ici le mot de passe du compte de service qui s'authentifiera auprès de votre annuaire. Notez que lors de l'enregistrement de la configuration, ce champ apparaîtra vide, ceci est normal, le mot de passe sera bien enregistré en base de données.

  • Champ de l'identifiant
    Par défaut, pour un annuaire LDAP, la valeur se placera sur le champ uid Pour un Active Directory, on préférera le champ samaccountname

  • Commentaires Ce champ n'influence pas la configuration, ce n'est qu'un champ texte vous permettant de placer une indication, une remarques, etc.

  • Champ de synchronisation Dans les schémas fournis par défaut nous conseillons par exemple d’utiliser:

  • Pour Microsoft Active Directory : l’attribut objectGUID (correspondant à l’identifiant unique officiel d’un objet) ;

  • Pour un annuaire basé sur OpenLDAP: l’attribut entryUUID

Champ de synchronisation

Ce champ, une fois configuré, ne pourra pas pas être modifié.

Une fois les champs saisis, cliquez sur Ajouter pour enregistrer votre annuaire. Notez qu'un test de connexion est effectué à ce moment.

LDAPS (port 636)#

Si vous souhaitez utiliser LDAPS, vous devez modifier certaines données vues plus haut :

  • Serveur : Devant le FQDN de votre serveur LDAP, ajoutez ldaps://, ex: ldaps://mon.ad.com
  • Port : Le port devient 636

Une fois votre annuaire enregistré, retournez dans celui ci pour éditer sa configuration.

Dans l'onglet Informations avancées, passez Utiliser TLS à Oui.

References#

GLPI documentation "LDAP Directories"