Configurer LDAP#
GLPI s'interface avec des annuaires LDAP afin d'authentifier les utilisateurs, de contrôler les accès, récupérer leurs informations personnelles et importer des groupes.
Tous les annuaires compatibles LDAP v3 sont supportés par GLPI. C'est donc aussi le cas pour Microsoft Active Directory (AD). Il n'y a pas de limite quant au nombre d'annuaires renseignés : bien entendu plus le nombre est élevé, plus la recherche d'un nouvel utilisateur à authentifier peut être longue.
LDAP (port 389)#
Dans un premier temps, il est nécessaire de configurer l'annuaire sur GLPI et de tester la connexion :
- Rendez-vous dans
Configuration
>Authentification
- Plusieurs choix d'authentification externe vous seront proposés. Choisissez
Annuaires LDAP
- Afin d'ajouter un annuaire AD/LDAP à votre liste, effectuez un clic sur l'icone
Ajouter
- Vous accéderez à la page de configuration d'un serveur AD/LDAP.
Explication des champs#
-
Préconfiguration
Ces deux liens cliquables vous permettront de charger ou d'effacer des valeurs par défaut d'autres champs, notamment pour la configuration d'un annuaire Active Directory. -
Nom
Le nom à saisir ici sera celui affiché dans la liste de vos annuaires, il n'influence pas la configuration. -
Serveur par défaut
Ce paramètre vous permet de définir si cet annuaire devra être utilisé en priorité ou non. -
Actif
Ce paramètre vous permet d'activer/désactiver cet annuaire suite à sa création. Ce paramètre sera bien entendu modifiable à tout instant. -
Serveur
Vous devrez saisir ici le FQDN de votre serveur ou son adresse IP. -
Port
Saisissez ici le port requis pour la connexion à votre annuaire. Par défaut le port est préchargé en 389. -
Filtre de connexion
On peut mettre en place une condition pour la recherche. Celle-ci permet de filtrer la recherche des utilisateurs à un nom réduit d'enregistrements.
Pour Active Directory, utiliser le filtre suivant, qui ne renvoie que les utilisateurs non désactivés (car les machines sont aussi considérées comme des utilisateurs par AD) :
(&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
- BaseDN
Attention, la basedn doivent être écrits sans espaces après les virgules. De plus, la casse est importante.
Les paramètres à entrer sont très simples, par exemple :
Si votre Serveur = ldap.mycompany.fr
Alors votre basedn = dc=mycompany,dc=fr
DN du compte (pour les connexions non anonymes)
Saisissez ici le DN complet du compte de service qui s'authentifiera auprès de votre annuaire
-
Mot de passe du compte (pour les connexions non anonymes)
Saisissez ici le mot de passe du compte de service qui s'authentifiera auprès de votre annuaire. Notez que lors de l'enregistrement de la configuration, ce champ apparaîtra vide, ceci est normal, le mot de passe sera bien enregistré en base de données. -
Champ de l'identifiant
Par défaut, pour un annuaire LDAP, la valeur se placera sur le champuid
Pour un Active Directory, on préférera le champsamaccountname
-
Commentaires Ce champ n'influence pas la configuration, ce n'est qu'un champ texte vous permettant de placer une indication, une remarques, etc.
-
Champ de synchronisation Dans les schémas fournis par défaut nous conseillons par exemple d’utiliser:
-
Pour Microsoft Active Directory : l’attribut
objectGUID
(correspondant à l’identifiant unique officiel d’un objet) ; - Pour un annuaire basé sur OpenLDAP: l’attribut
entryUUID
Champ de synchronisation
Ce champ, une fois configuré, ne pourra pas pas être modifié.
Une fois les champs saisis, cliquez sur
Ajouter
pour enregistrer votre annuaire. Notez qu'un test de connexion est effectué à ce moment.
LDAPS (port 636)#
Si vous souhaitez utiliser LDAPS, vous devez modifier certaines données vues plus haut :
- Serveur : Devant le FQDN de votre serveur LDAP, ajoutez
ldaps://
, ex: ldaps://mon.ad.com - Port : Le port devient 636
Une fois votre annuaire enregistré, retournez dans celui ci pour éditer sa configuration.
Dans l'onglet Informations avancées, passez Utiliser TLS à Oui.