LDAP(s)

Comment connecter mon Entra LDAPS à GLPI ?

Pour connecter un LDAPS, vous devez vous assurer d'avoir une licence suffisante vous permettant de créer un LDAPS. Le service domain services est requis pour créer votre LDAPS. Veuillez vous référer à la documentation officielle Microsoft. Une fois votre LDAPS créé, il suffit de suivre les instructions depuis Configuration > Authentification > Annuaire LDAP.

Pourquoi ai-je un message d'erreur m'informant que je n'ai pas les droits d'accès à l'application ?

Cela se produit lorsque les règles d'autorisation n'ont pas été configurées. En effet, une fois l'authentification réussie, GLPI vérifie que vous avez une autorisation assignée. GLPI vérifie aussi qu'une règle a été mise en place pour vous en assigner une automatiquement. Si ce n'est pas le cas, l'accès à GLPI sera refusé. Pour mettre en place ces règles d'autorisation, consultez cet article pour obtenir de l'aide sur la configuration.

Pourquoi mes utilisateurs sont-ils supprimés de GLPI lorsqu'ils sont désactivés ?

Depuis Configuration > Authentification > Configuration vous pouvez choisir le comportement de GLPI lorsqu'un utilisateur est désactivé depuis votre LDAP(s)

• Préserver

• Désactiver

• Désactiver + retirer des groupes

• Désactiver + retirer les autorisations et groupes (dynamiques)

• Mettre à la corbeille

• Retirer les autorisations et groupes (dynamiques)

J'ai des difficultés à synchroniser mon LDAP(s). Comment obtenir un debug ?

Pour les instances on-premise, vous pouvez vérifier dans files/_log (ou là où vous stockez vos logs). Vous pouvez aussi télécharger le plugin LDAP Tools pour vous aider à comprendre le problème.

Quelles informations sont remontées par le(s) LDAP ?

Vous pouvez gérer les informations récupérées par votre LDAP(s) depuis Configuration > Authentification > Annuaire LDAP, onglet Utilisateurs

Comment synchroniser les groupes ?

Depuis Configuration > Authentification > Annuaire LDAP, onglet Groupes, vous pouvez choisir comment GLPI se comporte lors de la synchronisation de vos groupes.

GLPI peut :

• Vérifier les groupes appartenant à l'utilisateur (recherche utilisateur)

• Vérifier les utilisateurs présents dans les groupes (recherche groupe)

• Les deux

N'oubliez pas d'indiquer l'attribut utilisateur (généralement memberof) pour que GLPI puisse utiliser cet attribut pour synchroniser les groupes appartenant à l'utilisateur. N'oubliez pas d'indiquer l'attribut groupes (généralement member) pour que GLPI puisse utiliser cet attribut pour synchroniser les utilisateurs dans les groupes.

À quoi sert le filtre de recherche de groupe ?

Le filtre permet de ne trouver que certains groupes, selon leur nom par exemple. Si vous ne vouliez trouver que le groupe comptabilité, par exemple, vous pourriez avoir une syntaxe telle que (&(objectCategory=group)(SAMAcCOUNTNAME=*compta*)). Vous pouvez utiliser cette documentation pour vous aider à construire votre filtre.

Mon LDAPS nécessite un certificat, comment le configurer ?

On-premise :

• Importez votre certificat sur votre serveur GLPI (il doit être lisible par l'utilisateur du serveur web)

Instance Cloud :

• utilisez le formulaire pour nous envoyer votre certificat

On-premise et instance Cloud :

• Depuis Configuration > Authentification > Annuaire LDAP, onglet Informations avancées, indiquez le chemin vers votre certificat dans les champs TLS certfile et TLS Keyfile. Pour les instances Cloud, cela vous sera communiqué en retour de votre ticket.

Comment ajouter des réplicas pour mon/mes serveur(s) LDAP ?

Depuis Configuration > Authentification > Annuaire LDAP, onglet Réplications, saisissez les informations requises pour les réplicas.

Pourquoi mes utilisateurs ne sont-ils pas importés ?

Vérifiez que votre LDAP(s) est joignable et correctement configuré côté GLPI. Si votre LDAP(s) est correctement configuré côté GLPI, vérifiez que l'option ajouter automatiquement les utilisateurs depuis une source d'authentification externe a été sélectionnée. Vérifiez que des autorisations automatiques ont été configurées. Si vous n'avez pas d'autorisation automatique, vérifiez que l'option ajouter un utilisateur sans accréditation depuis un annuaire LDAP (depuis Configuration > Authentification > Configuration) est sur Oui.

Comment synchroniser automatiquement mes utilisateurs LDAP ?

Pour synchroniser automatiquement vos utilisateurs depuis un LDAP, vous pouvez ajouter une ligne à votre crontab (celle de l'utilisateur qui lit les fichiers web, Apache, www-data, etc.)

0 * * * * www-data cd /var/www/glpi/ && /usr/bin/php bin/console glpi:ldap:synchronize_users --no-interaction >/dev/null 2>&1

Vous pouvez ajouter des options à cette commande pour synchroniser aussi les comptes désactivés, par exemple :

0 * * * * www-data cd /var/www/glpi/ && /usr/bin/php bin/console glpi:ldap:synchronize_users --no-interaction -d 3 >/dev/null 2>&1

Si vous souhaitez effectuer plusieurs actions, nous vous conseillons d'ajouter autant de commandes LDAP à votre cron que nécessaire (une commande pour la synchronisation des comptes, une autre pour la désactivation des comptes, etc.).

La commande php /var/www/html/glpi/bin/console glpi:ldap:synchronize_users, placée dans le cron, prend-elle en compte le filtre de connexion LDAP configuré dans Configuration > Authentification > Annuaires LDAP ?

Oui, si vous ne spécifiez pas --ldap-filter dans votre ligne de commande, GLPI prend le champ de synchronisation + la condition spécifiée dans le filtre de connexion pour effectuer la recherche.

Puis-je restaurer un utilisateur GLPI lorsqu'il est aussi réactivé dans le LDAP ?

Depuis Configuration > Authentification > Configuration vous pouvez choisir le comportement de l'Action lors de la restauration d'un utilisateur dans l'annuaire LDAP. Vous pouvez choisir de :

• Activer

• Ne rien faire

• Restaurer (sortir de la corbeille)

Quand faut-il remplir les champs TLS Certfile et TLS Keyfile ?

Les champs TLS Certfile et TLS Keyfile doivent être renseignés lorsque l'authentification (Bind) (Configuration > Authentification > Annuaire LDAP > Utiliser Bind) est activée via un certificat et sa clé privée (comme LDAPS sur Google Workspace, par exemple) : cela remplace (ou complète) un utilisateur/mot de passe.

Est-il possible d'utiliser les groupes imbriqués ?

Oui, GLPI peut gérer les groupes imbriqués.

Vous devez synchroniser les groupes dans GLPI :

Dans Configuration > Authentification > Annuaires LDAP > Annuaire concerné :

• Onglet principal :

  • Filtre de connexion : Utilisez la préconfiguration Active Directory "(&(objectClass=user)(objectCategory=person)( !(userAccountControl:1.2.840.113556.1.4.803:=2)))"

  • Base DN : doit être un sous-arbre contenant les utilisateurs et groupes AD

• Onglet Groupe :

  • Type de recherche : 'Dans les groupes' ou 'Utilisateurs et groupes' (les deux fonctionnent)

  • Attribut utilisateur indiquant les groupes : memberof

  • Filtre pour la recherche dans les groupes : Vide

  • Attribut groupe contenant ses utilisateurs : member:1.2.840.113556.1.4.1941:

  • Utiliser le DN dans la recherche : Oui

Ensuite, il faut importer les groupes dans GLPI (groupes sur lesquels les règles d'autorisation seront basées).

• Administration > Groupes > Lien annuaire LDAP

• Enfin, adaptez les règles d'autorisation pour utiliser le critère Groupe - est plutôt que MemberOf - contient.

• Puis forcez la synchronisation d'un utilisateur pour que GLPI lie les groupes importés à l'utilisateur et donne les bonnes autorisations en fonction de ces groupes.