Skip to content
2010/05/25 / vpourchet

Installation, paramétrage et administration OCS Inventory + GLPI #12

Paramétrage de la synchronisation avec Active Directory (via LDAP)

 

1. Présentation

 

    Nous allons maintenant voir comment paramétrer les comptes utilisateurs au sein de GLPI. En effet, il est également possible d’importer puis de synchroniser automatiquement les utilisateurs présents dans l’active directory au sein de GLPI.

 

    Cette manipulation s’avère particulièrement utile pour les grosses structures qui utiliseront la fonctionnalité de Helpdesk. En effet chaque utilisateur pourra se connecter à l’interface et poster un ticket sur le support, gérer son planning etc …

    De plus, cette fonctionnalité permet une gestion du matériel avancé en affichant pour un utilisateur sa/ses machines. Par défaut, glpi assigne les machines à aucun utilisateur car aucun n’existe. Une fois la synchronisation paramétrée, chaque machine serra assignée à son utilisateur qui lorsqu’il postera un ticket pourra assigner le ticket à son matériel posant problème.

 

2. Création du lien LDAP et paramétrage

 

    Nous allons voir comment créer ce lien avec l’Active Directory.

 

    Commencez par vous connecter sous glpi en utilisant un compte ayant le profil administrateur ou bien ayant les droits de création sur les fonctionnalités d’import LDAP.
 


 

Rendez vous dans le menu Configuration puis dans la partie Authentification.
 

    Vous avez à présent le choix parmi différentes sources d’authentification externes :
LDAP ( Active Directory)
IMAP / POP (Serveur Mail)
Autres …
    Choisissez LDAP.
 


 

    Cliquez sur le ‘+’ dans le bandeau du menu pour ajouter une source externe d’authentification.
 


    
 
Voici l’écran qu’il va vous falloir remplir.
 

    Voici les informations telles que complétées dans notre exemple :
 


 
Paramètres :
NOM : donnez le nom sous lequel votre lien serra affiché dans glpi
Serveur : rentrez l’adresse de votre serveur AD (dans notre exemple nous avons donné le nom de la machine hébergeant l’Active Directory). Vous pouvez tester la fonctionnalité en rentrant l’adresse dans votre browser web ce qui affiche l’écran suivant).

 
BaseDN : chemin de recherche de base dans l’AD (cf plus loin pour la convention de chemin).
Port LDAP : le port via lequel le protocole LDAP effectue la recherche (laisser la plupart du temps celui par défaut).
Champ de l’identifiant : remplacer la valeur par défaut (uid) par samaccountname de sorte que les utilisateurs puissent se connecter avec leur login de l’AD.
RootDN : chemin de recherche pour les connexions non anonyme, dans ce cas on précise un utilisateur ayant le droit de rechercher dans l’AD.
Pass : mot de passe de l’utilisateur autorisé à rechercher dans l’AD.
Filtre de connexion : (&(objectClass=user)(objectCategory=person)) on applique ce filtre pour ne rechercher que les comptes utilisateurs et pas le reste.
 

    Convention des chemins BaseDN et RootDN
 

    Ces chemins représentent les chemins de recherche dans l’AD. Une syntaxe particulièrement contraignante est à respecter :
 

    ‘DC=’ : est précisé pour le nom du contrôleur de domaine.
    ‘OU=’ : est spécifié pour préciser une unité organisationnelle.
    ‘CN=’ : est spécifié pour le RootDN afin de préciser le connexion name.
 

    Les champs sont sensibles à la case.
 

    Soit dans notre exemple la structure d’AD suivante :
 


    
 

  L’AD contient une OU pour les pc, baptisée PC.
 


 
 Une OU ‘users’ contenant les comptes et groupes de base de l’AD.
 

    

 

Une OU ‘Utilisateurs’ qui contient les utilisateurs de notre AD.

 

    Notre base DN est donc :

    

        OU=Utilisateurs,DC=dns,DC=ocsdomain

 

    Notre RootDN indiquant le compte non annonyme est :

 

 

        CN=Administrator,OU=Utilisateurs,DC=dns,DC=ocsdomain

 

    Nous précisons également le mot de passe du compte administrateur.

 

 

    Convention des propriétés du compte AD.

 

    La partie en bas de l’écran de création du lien avec l’AD permet d’affecter les propriétés de l’AD aux comptes utilisateurs synchronisés dans GLPI.

 


    

Voici une table de correspondance concernant ces informations.

 


    

Si vous souhaitez également importer vos groupes d’utilisateurs, précisez le champ indiquant à l’utilisateur ses groupes en y mettant la valeur ‘memberof’ comme dans notre exemple.


    

 

3. Test de l’import

 

    Nous pouvons dès à présent tester l’import de nos utilisateurs.

    Commencez par cliquer sur ‘Valider’ pour que les informations soient prises en compte.

    Puis cliquez sur le bouton ‘Valider’.

 


 

    
 

    

    Notre connexion fonctionne :


    

 

Ou ne fonctionne pas :


    

 

NOTE : si cela ne fonctionne pas vérifiez vos paramètres et chemins BaseDN et rootDN en respectant la syntaxe (majuscules et pas d’espaces).

 

    Import des utilisateurs

 

    Rendez vous maintenant dans le menu Administration puis Utilisateurs.


    

Les comptes par défaut sont présents.

 

    Cliquez sur le bouton Liaison LDAP situé en haut de la liste.


    
 

    

Puis cliquez sur ‘Importation de nouveaux Utilisateurs’.


  Le filtre fonctionne et ne nous affiche que les comptes d’utilisateurs, vous pouvez à présent importer les utilisateurs.

 

    Import des groupes

 

    Rendez vous dans le menu Administration puis dans Groupes.


    

Vous pouvez également cliquer sur Liaison LDAP.


    

 

Puis importation de nouveaux groupes.


    
 

Si vous avez paramétré des entités, vous pouvez choisir les entités de destination de vos groupes.

 

    Nous allons importer le groupe Administrators, et lui attribuer comme entité de destination l’entité racine (il aura accès a chaque entité fille, donc toutes les entités configurées).


 

    
 

 

Nous ne cochons que ce groupe et cliquons sur importer.

 

 


 


 

    

Notre groupe apparaît.

 


    

Voici le détail du groupe.

 

    Nous lui donnons l’accès aux sous-entités et validons.


    

Puis nous importons l’utilisateur Administrator.

    


 


    

Cet utilisateur vient correctement se positionner dans le groupe auquel il appartient.

 

    Par défaut, les utilisateurs importés ont le profil post-only c’est à dire qu’ils n’ont accès qu’à un écran restreint à la fonctionnalité de création d’un ticket.

 

 
 

 

Page Suivante –>

 

 

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :