Ce document est libre de droit, merci simplement de respecter son auteur. Toutes remarques ou commentaires seront les bienvenues. ATTENTION : La mise à jour par script entre GLPI et Active Directory ne fonctionne correctement qu à partir de la version 0.78.2 de GLPI. Il convient donc de mettre à jour GLPI avec la version 0.78.2 au minimum pour que l ensemble des mises à jour faites dans Active Directory soit correctement renseigné dans GLPI. Avec la version 0.72.4, la suppression d un compte dans l Active Directory n entraîne aucun effet dans GLPI. Vous pouvez donc suivre normalement cette documentation puis passer par la suite à une version plus récente de GLPI. 1. Saisir dans la barre d adresse «http://localhost/glpi» puis valider avec la touche [ENTREE]. Lorsque l écran de connexion apparaît, se connecter en utilisant l identifiant «glpi» et le mot de passe de passe «glpi» puis cliquer sur le bouton «Valider» 1. Saisir dans la barre d adresse «http://localhost/glpi» puis valider avec la touche [ENTREE]. 2. Saisir «glpi» sur la ligne identifiant et «glpi» sur la ligne mot de passe. 3. Cliquer sur le bouton «Valider». 1 / 43
2. L écran d accueil apparaît 2 / 43
3. Sur l écran d accueil cliquer sur le menu «Configuration» / «Authentification» Cliquer sur le menu «Configuration» / «Authentification». 3 / 43
4. L écran suivant apparaît, cliquer sur le lien «LDAP» Cliquer sur le lien «LDAP». 4 / 43
5. L écran suivant peut apparaître. Cela signifie que GLPI au travers de la configuration du parseur PHP ne peut pas exploiter les extensions LDAP. Si cette écran d erreur n apparaît pas aller directement au point 20. 5 / 43
6. Ouvrir l explorateur Windows, aller dans le dossier «C:\xampp\php\» puis ouvrir le fichier «php.ini» à l aide du bloc note par exemple 1. Aller dans le dossier «C:\xampp\php\». Cliquer droit dans le fichier «php.ini» puis cliquer gauche sur «Ouvrir». 6 / 43
7. Le bloc note s ouvre, appuyer sur les touches [CTRL] + [F] pour rechercher l expression «ldap» puis cliquer sur le bouton «Suivant» 1. Appuyer sur les touches [CTRL] + [F] puis saisir «ldap». 2. Cliquer sur le bouton «Suivant». 3. La sélection suivante apparaît. 7 / 43
8. Retirer le point virgule au début de la ligne sélectionnée afin d activer l extension PHP concernée comme indiqué sur l écran ci-dessous Retirer le point virgule en face de la ligne concernée. 8 / 43
9. Cliquer sur le menu «Fichier» / «Enregistrer» Cliquer sur le menu «Fichier» / «Enregistrer». 9 / 43
10. Il faut maintenant redémarrer le serveur Apache. Pour cela double cliquer sur l icône du «XAMPP Control Panel» si celui-ci ne figure pas déjà dans le systray à proximité de l horloge Windows Double clique sur «XAMPP Control Panel». 10 / 43
11. Dans le systray à proximité de l horloge Windows doit figurer l icône du «XAMPP Control Panel». Double cliquer sur l icône pour ouvrir le «XAMPP Control Panel» Double cliquer sur l icône du «XAMPP Control Panel» pour l ouvrir. 11 / 43
12. L écran suivant apparaît 12 / 43
13. Cliquer sur le bouton «Stop» en face de la ligne «Apache» Cliquer sur le bouton «Stop» en face de la ligne «Apache». 13 / 43
14. Le service Apache s arrête la case verte indiquant «Running» en face de la ligne Apache disparaît. Cliquer maintenant sur le bouton «Start» en face de cette même ligne Cliquer sur le bouton «Start» en face de la ligne «Apache». 14 / 43
15. Attendre que la case verte «Running» en face de la ligne Apache apparaisse à nouveau puis fermer le «XAMPP Control Panel». Attendre la case verte «Running» en face de la ligne «Apache». 15 / 43
16. Fermer puis ouvrir à nouveau GLPI dans le navigateur web, pour cela saisir dans la barre d adresse «http://localhost/glpi» puis valider avec la touche [ENTREE]. Lorsque l écran de connexion apparaît, se connecter en utilisant l identifiant «glpi» et le mot de passe de passe «glpi» puis cliquer sur le bouton «Valider» 2. Saisir dans la barre d adresse «http://localhost/glpi» puis valider avec la touche [ENTREE]. 2. Saisir «glpi» sur la ligne identifiant et «glpi» sur la ligne mot de passe. 3. Cliquer sur le bouton «Valider». 16 / 43
17. L écran d accueil apparaît 17 / 43
18. Sur l écran d accueil cliquer sur le menu «Configuration» / «Authentification» Cliquer sur le menu «Configuration» / «Authentification». 18 / 43
19. L écran suivant apparaît, cliquer sur le lien «LDAP» Cliquer sur le lien «LDAP». 19 / 43
20. L écran suivant apparaît 20 / 43
21. Cliquer sur le bouton «+» en face de la ligne «Authentification» Cliquer sur le bouton «+» en face de la ligne «Authentification». 21 / 43
22. L écran suivant apparaît 22 / 43
23. Saisir les informations selon votre contexte : Nom : entreprise.local [Nom de la connexion LDAP dans GLPI] Serveur : ldap://entreprise.local [adresse ou nom du serveur AD précédé de ldap:// ] Basedn : OU=Modele,DC=entreprise,DC=local [emplacement dans l AD où sont stockés les utilisateurs] Rootdn : CN=Administrateur,OU=Modele,DC=entreprise,DC=local [emplacement du compte Administrateur du domaine] Champ de l'identifiant : samaccountname Pass (pour les connexions non anonymes) : [Mot de passe Administrateur du domaine] Filtre de connexion : (&(objectclass=user)(objectcategory=person)) Fuseau horaire : GMT +1 heure(s) Attribut utilisateur indiquant ses groupes : memberof Nom de famille : sn Commentaires : info Téléphone : telephonenumber Portable : mobile Prénom : givenname E-Mail : mail Téléphone 2 : othertelephone Titre : title Langue : preferredlanguage Saisir les informations selon votre contexte puis cliquer sur le bouton «Valider». 23 / 43
24. L écran suivant apparaît, cliquer sur le bouton «Valider» Cliquer sur le bouton «Valider». 24 / 43
25. L écran suivant apparaît indiquant que les connexions à l AD se sont bien effectuées Les tests de connexion à l AD se sont bien effectués. A ce stade, il est préférable d importer d abord les groupes avant les utilisateurs dans GLPI pour que les utilisateurs soient affectés dans leurs groupes correspondants dans GLPI. Dans cette documentation, nous importerons d abord les utilisateurs puis les groupes afin de présenter la méthode qui consiste à mettre à jour les utilisateurs après importations dans GLPI. Cette étape n est pas nécessaire si on importe les groupes avant les utilisateurs, toutefois il faudra procéder à l importation et à la mise à jour des utilisateurs lorsque des modifications seront faites dans l AD sinon GLPI n en sera pas informé. 25 / 43
26. Cliquer sur le menu «Administration» / «Utilisateurs» Cliquer sur le menu «Administration» / «Utilisateurs». 26 / 43
27. L écran suivant apparaît, cliquer sur le bouton «Liaison LDAP» Cliquer sur le bouton «Liaison LDAP». 27 / 43
28. L écran suivant apparaît, cliquer sur le lien «Importation de nouveau utilisateurs» Cliquer sur le lien «Importation de nouveau utilisateurs». 28 / 43
29. L écran suivant fait apparaître les utilisateurs de l AD qui sont maintenant prêt à être importé dans GLPI. ATTENTION : Seuls les utilisateurs dont la case «Importer» est cochée seront importés dans GLPI. Il convient donc de modifier le nombre de ligne affiché pour importer tous les utilisateurs de l AD. Cliquer sur le bouton «Importer» pour charger tous les utilisateurs sélectionnés dans GLPI ATTENTION : Tous les éléments doivent être affichés pour pouvoir être importés. La liste des utilisateurs de l AD apparaît prêt à être importé dans GLPI. Cliquer sur le bouton «Importer» pour charger tous les utilisateurs sélectionnés dans GLPI. PS : Le nom des utilisateurs a volontairement été masqué sur cet écran. 29 / 43
30. L écran de progression suivant apparaît 30 / 43
31. L importation s achève sur l écran suivant 31 / 43
32. Une fois l importation des utilisateurs terminés, il faut importer les groupes. Cliquer sur le menu «Administration» / «Groupes» Cliquer sur le menu «Administration» / «Groupes». 32 / 43
33. L écran suivant apparaît, cliquer sur le bouton «Liaison LDAP» Cliquer sur le bouton «Liaison LDAP» 33 / 43
34. L écran suivant apparaît, cliquer sur le lien «Importation de nouveaux groupes» Cliquer sur le lien «Importation de nouveaux groupes» 34 / 43
35. L écran suivant apparaît ATTENTION : Seuls les groupes dont la case «Importer» est cochée seront importés dans GLPI. Il convient donc de modifier le nombre de ligne affiché pour importer tous les groupes de l AD. Cliquer sur le bouton «Importer» pour charger tous les groupes sélectionnés dans GLPI ATTENTION : Tous les éléments doivent être affichés pour pouvoir être importés. La liste des groupes de l AD apparaît prêt à être importé dans GLPI. Cliquer sur le bouton «Importer» pour charger tous les utilisateurs sélectionnés dans GLPI. PS : Le nom des utilisateurs a volontairement été masqué sur cet écran. 35 / 43
36. L écran de progression suivant apparaît 36 / 43
37. L importation s achève sur l écran suivant REMARQUE IMPORTANTE : L importation des utilisateurs avant celles des groupes aboutit à la création d utilisateurs qui ne figurent dans aucun groupe. Il faut d abord importer les groupes avant les utilisateurs pour que l import associe correctement chaque utilisateur à ses groupes respectifs. Nous allons maintenant mettre en place un script de synchronisation automatique (via une tâche planifiée sous Windows par exemple) qui permettra la mise à jour des utilisateurs et des groupes dans GLPI à partir de l AD LIMITATION : Si le nombre d utilisateurs ou bien le nombre de groupes à importer dans GLPI est supérieur à 1000, il faut impérativement modifier les «policies Active Directory» au sein du domaine afin que Windows puisse retourner plus de 1000 enregistrements lorsqu une requête LDAP lui est formulée. Se reporter à l annexe 2 qui décrit les commandes à exécuter sur le serveur maître du domaine AD. 37 / 43
38. Pour installer le script de synchronisation entre GLPI et AD, copier le fichier «ldap_mass_sync.bat» (annexe 1) dans «C:\xampp\htdocs\glpi\scripts\» 38 / 43
39. Aller dans le dossier «C:\xampp\htdocs\glpi\scripts\» puis coller le dossier issu du point précédent 1. Aller dans le dossier «C:\xampp\htdocs\glpi\scripts\». Cliquer droit dans le dossier «C:\xampp\htdocs\glpi\scripts\» puis cliquer gauche sur «Coller». 39 / 43
40. Double cliquer sur le fichier «ldap_mass_sync.bat» afin de lancer le script Double cliquer sur «ldap_mass_sync.bat». 40 / 43
41. Le script se déroule, attendre la fin de l exécution du script Il suffit maintenant de créer une tâche planifiée dans le système afin d exécuter le script de synchronisation AD / GLPI périodiquement. 41 / 43
ANNEXE 1 Contenu du fichier «ldap_mass_sync.bat», en gras, les modifications nécessaire au bon fonctionnement du script @echo off REM REM POUR TROUVER LE "serveur_id", se connecter dans GLPI, REM ALLER DANS LE MENU "Configuration / Authentification" REM CLIQUER SUR LE LIEN "LDAP" REM CLIQUER SUR LE LIEN CORRESPONDANT A SA LIAISON LDAP REM LIRE L'URL DANS LA BARRE D'ADRESSE DU NAVIGATEUR : REM REM http://ocs/glpi/front/auth.ldap.php?next=extauth_ldap&id=1 REM REM LE "server_id" EST INDIQUE par "&ID=1" donc 1. REM REM VALEURS POSSIBLE POUR "action" : REM REM action=0 : import new users REM action=1 : synchronize users REM action=2 : force synchronization of all the users (even if ldap timestamp wasn't modified) REM echo Chemins php et du script a lancer SET path_php="c:\xampp\php" SET plugin_glpi="c:\xampp\htdocs\glpi\scripts" echo Definition du path PATH = %PATH%;%path_php% IF EXIST %plugin_glpi%\ldap_mass_sync.php GOTO RUN GOTO EXIT :RUN echo Lancement du script CD %plugin_glpi% php ldap_mass_sync.php -server_id=1 action=2 @ECHO. GOTO FIN :EXIT echo Le chemin vers ldap_mass_sync.php est incorrect pause :FIN REM PAUSE 42 / 43
ANNEXE 2 Ouvrir une invite MS/DOS (Menu «Démarrer» / «Exécuter» / saisir «CMD» puis [ENTREE]) C:\> ntdsutil ntdsutil: ldap policies ldap policy: connections server connections: connect to server entreprise server connections : q ldap policy : show values (lire la valeur du MaxPageSize affichée qui doit être 1000) ldap policy : set maxpagesize to 5000 ldap policy : commit changes ldap policy : q ntdsutil : q C:\> exit 43 / 43