Forum GLPI-Project

Skim0x

Member

Registered: 2021-10-26

Posts: 6

Besoin d'aide intégation de groupes AD dans GLPI

Je reposte ici car initialement j'ai ouvert ce topic par erreur sur le forum Utilisation GLPI alors pardon pour le doublon...

Premier post ce matin à 10h :
Bonjour à tous ! Tout d'abord je souhaite adresser tous mes remerciements aux utilisateurs de ce forum qui m'ont rendu sans le savoir bon nombres de services depuis lundi dernier Je tiens également par avance à m'excuser d'ouvrir un énième topic sur ce sujet mais je n'ai malheureusement pas pu trouver d'élément de résolution malgré toutes mes recherches.
Alors, pour ma part je suis un jeune débutant en ce qui concerne Linux et toute la suite de logiciels associés et malgré tout l'intérêt que je peux y porter ces derniers temps je ressens mes lacunes en la matière..

J'ai rejoins une entreprise qui a besoin de se créer tout un service informatique, on part littéralement de zéro ou presque en ce qui concerne l'inventorisation et le suivi du parc il m'a donc était demandé de mettre en place un GLPI ce que je fais depuis lundi dernier, jusqu'ici tout va bien je me retrouve avec :
Une machine Debian GNU/Linux bookworm/sid 10
Un GLPI qui fonctionne parfaitement en version 9.5.6
Nous sommes toujours en phase d'hésitation en ce qui concerne le choix entre OCS et FusionInventory mais les deux test se montrent concluants.. bref, grâce à vous je découvre pleins de choses et ça me plait !
Mon problème se trouve en fait au niveau de la gestion de nos utilisateurs, j'ai réussi à importer notre annuaire LDAP Active Directory dans GLPI cela fonctionne on peut exporter les utilisateurs puis utiliser leurs identifiants pour se connecter à leur session self-service, ils sont également directement associés à leurs ordinateurs lorsque leur session (windows) est ouverte dessus bref tout ça c'est bon mais pas pour les groupes !

En ce qui concerne l'annuaire LDAP voilà ma méthode : Je vais dans Configuration > Authentification > Annuaires LDAP
Serveur : <Mon ip>
Filtre de connexion (par défaut en cliquant sur AD) : (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
BaseDN : CN=Users,DC=mondomaine,DC=com
Dans la section groupe j'ai :
Type de recherche : dans les utilisateurs & groupes    Attribut utilisateur : memberof
Filtre pour la recherche dans les groupes : (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Utiliser le DN pour la recherche : Oui

Notre Active Directory ressemble à ça (Je prends tous les conseils sur l'organisation et ce que je peux faire pour corriger les erreurs car je pense que le problème peut venir de l'organisation de celui-ci, il a été mis en place il y a quelques temps par une personne qui ne faisait que trop peu d'info)
->nomdedomaine.com
  ->Builtin
     ->Groupes par défaut (utilisateurs bureau à distance, operateurs d'impression, etc...)
  ->Computers
  ->Domain Controller (Evidemment un seul le fameux serveur win2019)
  ->ForeignSecurityPrincipals
  ->Managed Service Accounts (les 2 sont vides)
  ->Users
    ->Celui-ci contient tous nos groupes de sécurité locaux, globaux et universels ainsi que tous les utilisateurs

A ce stade voilà la situation : Dans GLPI les utilisateurs remontent pour la grande majorité comme membres du groupe "Utilisateurs du domaine" groupe appartenant à CN=Users,OU=nomdedomaine,OU=com mais nous avons par exemple pour le service Achat une seule personne qui remonte dans ce groupe sur la vingtaine qu'il devrait contenir, idem pour le groupe Informatique et tous les autres qui sont donc quand même recréés dans GLPI
Pour palier à cela j'ai essayé de faire Administration > Groupes > Liaison annuaire LDAP
Ici j'ai :
Filtre pour la recherche dans les groupes : (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Filtre de recherche des utilisateurs : (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Lorsque j'envoie ces deux commandes il se passe quelque chose de très facheux : Je vois tous les utilisateurs remonter en tant que Groupes et aucun vrai groupe ! En effet ça me donne un truc du genre DN du groupe :
"Prenom Nom CN=PrenomNom,CN=Users,DC=nomdudomaine,DC=com" pour chaque personne dans la liste Users mais aucune entrée concernant nos groupes "Achats" ou "Commercial",etc...

Je ne sais vraiment plus quoi faire j'ai essayé de modifier la commande d'appel pour identifier les groupes en me basant sur le ldapwiki mais pas moyen, j'ai également essayé de monter plusieurs annuaires en mettant, par exemple, en BaseDN : CN=Achat,CN=Users,DC=mondomaine,DC=com mais aucun resultat..
Concrètement on voudrait que tous les groupes remontent dans GLPI puis qu'en synchronisant les utilisateurs s'y ajoutent lorsqu'ils y appartiennent dans l'AD.

Deuxieme post à midi :
Rebonjour, avec mon collègue on a décidé de faire un test :
On prend une personne membre des groupes "Achats" et "Utilisateurs du domaine" avec comme groupe principal déclaré "Achats"
A ce stade dans GLPI elle remonte uniquement dans "Utilisateurs du domaine"
Dans Active Directory on change son groupe principal de "Achats" à "Utilisateurs du domaine"
On synchronise
Elle se retrouve dans le groupe "Achats" dans GLPI

DONC : On en déduit que GLPI ne remonte pas le groupe principal mais les autres.

Avec ce constat viennent donc de nouvelles questions :
-D'abord, pourquoi ? Est-ce un paramétrage ou plutôt inhérent au fonctionnement de GLPI ?
-Quelle est la meilleure solution ? Savez-vous quelle différence il y a entre appartenir au groupe "Achats" et avoir le groupe "Achat" en groupe principal dans l'AD ?

Merci d'avance

Last edited by Skim0x (2021-10-26 15:48:42)