GLPI en Synology con Active Directory

CA · 2019-10-15 10:31:38

Hola a todos.

Soy nuevo en el foro y escribo para ver si alguien puede echarme una mano. Os cuento:

Tengo un NAS Synology en el que está configurado y en servicio un Active Directory. En ese mismo NAS tengo instalado el GLPI.

El problema viene cuando intento configurar que la autenticación de los usuarios se haga desde el Active Directory.

Una vez configurados todos los campos, al guardar, me dice que La prueba ha fallado.

Los Parámetros de configuración utilizados son:

Configuración previa: Directorio Activo
Nombre: Nombre del Dominio
Servidor predeterminado: Sí
Activo: Sí
Servidor: IP LAN del Nas donde se encuentra el Active Directory
Filtro de conexión: (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
BaseDN: OU="ou donde se encuentran los usuarios",OU="ou contenedora de la ou de los usuarios",DC=domino,DC=dom
RootDN: administrator@dominio.dom
Contraseña: "contraseña de administrator@dominio.dom"
Campo de usuario: samaccountname
Campo de sincronización objetguid

El paquete de conexión php a ldap está instalado.

De echo, lo curioso es que este mismo GLPI, anteriormente, estaba conectado a un LDAP sin problema.

Sospecho que puede ser debido a alguna particularidad del Active directory, ya que no está montado en un Win server sino en un Synology NAS.

¿Alguna idea?

makeijan · 2019-10-17 11:03:54

Hola:
¿Que versión de GLPI?. Me suena que en las Synology se instalaba una versión bastante antigua.

CA · 2019-10-30 12:17:43

Disculpa la tardanza.

La versión es la 9.2.2

mecmav · 2019-10-30 14:12:25

(&(objectClass=user)(objectCategory=person)(!(UserAccountControl=514)))

Look at the number inserted on "UserAccountControl". It's need be the same with the admin (profile rights) account you're using on the AD.

This filter does cannot contain any error, else no don't work properly.

CA · 2019-10-30 16:20:04

Muchas gracias pero no ha funcionado...

He buscado el UserAccountControl y es 0x200 (in Hex) = 512
Finalmente he puesto (&(objectClass=user)(objectCategory=person)(!(UserAccountControl=512))) pero no ha funcionado...
Alguna otra idea?
-------------------------------------------------------
Thanks a lot but don't work...

I have searched the UserAccountControl and it is 0x200 (in Hex) = 512
I've finally set (& (objectClass = user) (objectCategory = person) (! (UserAccountControl = 512))) but it didn't work ...
Any other idea?

mecmav · 2019-10-30 16:36:00

I sent you my line config. You need change the value to the one correct.

In the AD, that user need have special permissions for GLPI can read these options.

Try any others:

(&(objectClass=user)(objectCategory=person)(!(UserAccountControl=514))) (test this)

(&(objectClass=user)(objectCategory=person)(!(UserAccountControl=512))) ( I have error on that)

(&(objectClass=user)(objectCategory=person)(!userAccountControl:1.2.840.113556.1.4.803:=2)) (test this too)

(&(objectClass=user)(objectCategory=person)(UserAccountControl=512)) (this worked for me for a while)

BaseDN: DC=yourdomain,DC=com,DC=py (change to your correct FQDN domain)
RootDN: yourdomain\youruseradmin (need have special permissions!)
Login Field: samaccountname (don't change)

Do you have a domain working properly?

CA · 2019-10-30 17:24:26

I've tried (&(objectClass=user)(objectCategory=person)(!(UserAccountControl=514))) <=don't work
(&(objectClass=user)(objectCategory=person)(!userAccountControl:1.2.840.113556.1.4.803:=2)) <=neither does it work
(&(objectClass=user)(objectCategory=person)(UserAccountControl=512)) <= don't work
The red message is always the same: "La prueba ha fallado" (The test has failed)
The account that i'm using is mydomain\administrator <=This is the main administrator acount in the domain.

My domain is configurated in a synology NAS, but it works fine. I've Active directory with OUs, GPOs...
I suspect it does not work because it is not a windows domain.
Before this domain, on the same machine, I ran a simple LDAP server and connected correctly.

Thanks for your help!

mecmav · 2019-10-31 03:33:22

try this.

(&(objectClass=user)(objectCategory=person)(!userAccountControl: 1.2.840.113556.1.4.803:=2)))

did you read that ? https://wiki.glpi-project.org/doku.php?id=en:ldap

sointelcom · 2019-11-14 01:44:40

Hola CA

Tal vez el problema viene desde el comienzo, usted dice que es un directorio activo pero es una NAS... directorio activo es solamente de Microsoft entonces realmente lo que tiene es un directorio compatible con ldap, pruebe a cambiar:

Campo de usuario: samaccountname > uid

CA · 2019-11-15 16:49:19

Ya logré solucionarlo!

Lo describo por si algún otro usuario se ve en la misma situación.

Resumo: Conectar GLPI, instalado en un NAS Synology, con Active Directory también en NAS Synology.

Lo primero de todo hay que entrar al Synology por SSH y añadir en la sección [global] en /etc/samba/smb.conf el siguiente parámetro:

ldap server require strong auth = no

Reiniciar el Synology y configurar la conexión de GLPI de la siguiente forma:

Configuración previa: Directorio Activo
Nombre: Nombre del Dominio <<<===Para referencia nuestra
Servidor predeterminado: Sí
Activo: Sí
Servidor: Nombre del domino (NO la Ip del servidor) P.ej: dominio.dom
Puerto: 636
Filtro de conexión: (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
BaseDN: OU=,DC=domino,DC=dom
RootDN: administrator@dominio.dom
Contraseña: "contraseña de administrator@dominio.dom"
Campo de usuario: samaccountname
Campo de sincronización: objetguid

Con esta configuración, por fin, me ha realizado la conexión con éxito.

Espero que le sirva a quien lo necesite.

Muchas gracias a todos por vuestra ayuda.

------------------------------------------------------------------------------------------------------------------------------------------------
I managed to fix it!

I describe it in case some other user is in the same situation.

I summarize: Connect GLPI, installed on a Synology NAS, with Active Directory also on Synology NAS.

First of all, you must enter the Synology via SSH and add the following parameter in the [global] section in /etc/samba/smb.conf:

ldap server require strong auth = no

Restart Synology and configure the GLPI connection as follows:

Previous Configuration: Active Directory
Name: Domain Name <<<For Our Reference
Default Server: Yes
Active: Yes
Server: Domain Name (NO server IP) P.ex: domain.dom
Port: 636
Conexion Filter: (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
BaseDN: OU=,DC=domain,DC=dom
RootDN: administrator@domain.dom
Password: "administrator@domain.dom pasword"
User field: samaccountname
sync field: objetguid

With this configuration, finally, I do the connection successfully.

I hope it serves those who need it.

Thank you very much to everyone for your help.

Forum GLPI-Project

Announcement

#1 2019-10-15 10:31:38

GLPI en Synology con Active Directory

#2 2019-10-17 11:03:54

Re: GLPI en Synology con Active Directory

#3 2019-10-30 12:17:43

Re: GLPI en Synology con Active Directory

#4 2019-10-30 14:12:25

Re: GLPI en Synology con Active Directory

#5 2019-10-30 16:20:04

Re: GLPI en Synology con Active Directory

#6 2019-10-30 16:36:00

Re: GLPI en Synology con Active Directory

#7 2019-10-30 17:24:26

Re: GLPI en Synology con Active Directory

#8 2019-10-31 03:33:22

Re: GLPI en Synology con Active Directory

#9 2019-11-14 01:44:40

Re: GLPI en Synology con Active Directory

#10 2019-11-15 16:49:19

Re: GLPI en Synology con Active Directory

Board footer