Configuration LDAP
GLPI s'interface avec les répertoires LDAP afin d'authentifier les utilisateurs, contrôler leur accès, récupérer leurs informations personnelles et importer les groupes.
Tous les répertoires compatibles LDAP v3 sont supportés par GLPI. Cela s'applique aussi pour Microsoft Active Directory (AD). Il n'y a pas de limite pour le nombre de répertoires renseignés : bien sûr, plus le nombre est élevé, plus la recherche pour un nouvel utilisateur à authentifier sera longue.
LDAP (port 389)
Premièrement, il est nécessaire de configurer le répertoire dans GLPI et tester la connexion :
Survolez le menu "Configuration" situé dans le menu principal de GLPI.
Choisissez "Authentification".
Plusieurs options d'authentification externe vous seront proposées. Choisissez "Répertoires LDAP".
Pour ajouter un répertoire AD / LDAP à votre liste, cliquez sur l'icône "+ Ajouter".
Vous accéderez à la page de configuration d'un serveur AD / LDAP.
Explication des champs :
Préconfiguration
Ces deux liens cliquables vous permettront de charger ou supprimer les valeurs par défaut pour les autres champs, notamment pour configurer un Active Directory.
Nom
Le nom que vous saisissez ici sera celui affiché dans la liste de vos répertoires, il n'influence pas la configuration.
Serveur par défaut
Ce paramètre vous permet de définir si ce répertoire doit être utilisé en priorité ou non.
Actif
Ce paramètre vous permet d'activer / désactiver ce répertoire après sa création. Ce paramètre sera bien sûr modifiable à tout moment.
Serveur
Ici vous devrez saisir le FQDN de votre serveur ou son adresse IP.
Port
Saisissez ici le port requis pour la connexion à votre répertoire. Par défaut le port est préchargé en 389.
Filtre de connexion
Nous pouvons mettre en place une condition pour la recherche. Cela vous permet de filtrer la recherche d'utilisateurs par un nom réduit d'enregistrements.
Pour Active Directory utilisez le filtre suivant, qui ne retourne que les utilisateurs qui ne sont pas désactivés (car les machines sont aussi considérées comme des utilisateurs par AD) :
(&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
BaseDN
Attention, le basedn doit être écrit sans espaces après les virgules. De plus, la casse est importante.
Les paramètres à saisir sont très simples, par exemple :
Si votre serveur est = ldap.macompagnie.fr
Alors votre basedn = dc=macompagnie,dc=fr
DN du compte (pour les connexions non anonymes)
Saisissez ici le DN complet du compte de service qui s'authentifiera avec votre répertoire
Mot de passe du compte (pour les connexions non anonymes)
Saisissez ici le mot de passe du compte de service qui s'authentifiera votre répertoire. Notez que lors de la sauvegarde de la configuration, ce champ apparaîtra vide, c'est normal, le mot de passe sera sauvegardé dans la base de données.
Champ identifiant
Par défaut, pour un répertoire LDAP, la valeur sera placée sur le champ "uid"
Pour un Active Directory, nous préférerons le champ "samaccountname"
Commentaires
Ce champ n'influence pas la configuration, c'est seulement un champ texte vous permettant de placer une indication, des remarques, etc.
Champ de synchronisation
Dans les schémas fournis par défaut nous recommandons par exemple d'utiliser :
Pour Microsoft Active Directory : l'attribut "objectGUID" (correspondant à l'identifiant unique officiel d'un objet) ;
Pour un répertoire basé sur OpenLDAP : l'attribut "entryUUID".
Portez attention à ce champ, une fois configuré il ne peut pas être modifié.
LDAPS (port 636)
Si vous voulez utiliser LDAPS, vous devez modifier certaines données :
Serveur : Devant le FQDN de votre serveur LDAP, ajoutez ldaps://, ex : ldaps://mon.ad.com
Port : Le port devient 636
Une fois votre répertoire sauvegardé, retournez-y pour éditer sa configuration.
Dans l'onglet Informations avancées, changez Utiliser TLS à Oui.
Références
Last updated
Was this helpful?