Les modes d'authentification
Introduction
Vous allez découvrir dans ce chapitre les différents mécanismes qui permettent de gérer les comptes des utilisateurs.
Vous avez remarqué que des comptes prédéfinis sont créés lors de l’installation de GLPI, ce qui signifie que GLPI est capable de gérer l’authentification des utilisateurs au travers de sa propre base de comptes.
De nombreuses entreprises exploitent des solutions d’annuaires ou de comptes bureautiques. GLPI sait parfaitement s’appuyer sur ces éléments pour authentifier des utilisateurs et les ajouter dans la base des utilisateurs.
Vous apprendrez dans le chapitre sur les profils que ces données extérieures permettent d’aller au-delà de la simple authentification car elles permettent également de gérer dynamiquement les habilitations attribuées à ces utilisateurs.
La gestion de la base des comptes utilisateurs se fait dans le menu Administration - Utilisateurs, alors que la définition des éléments d’authentification externe se passe dans le menu Configuration - Authentification.
La base locale de comptes
Cette base de comptes sert à enregistrer les données relatives à tous les utilisateurs quel que soit leur mode d’authentification. Il est possible dans cette base de comptes de gérer manuellement l’ajout des utilisateurs.
La gestion de la base de comptes a lieu dans le menu Administration - Utilisateurs. Afin d’obtenir la visibilité et les droits sur ce menu, vous utiliserez le compte glpi qui possède les droits associés au profil Super-Admin.
Les comptes par défaut
Lors de l’installation de GLPI, cinq comptes utilisateurs prédéfinis sont créés :
-
glpi (mot de passe glpi, profil associé Super-Admin sur l’Entité Racine récursif).
-
glpi-system (ce nouvel utilisateur est spécial et est utilisé pour les actions automatiques).
-
normal (mot de passe normal, profil associé Observateur sur l’Entité Racine récursif).
-
post-only (mot de passe postonly, profil associé Self-Service sur l’Entité Racine récursif).
-
tech (mot de passe tech, profil associé Technicien sur l’Entité Racine récursif).
La première chose à faire est de sécuriser l’accès à GLPI en mode Super-Admin.
Sécurisation des comptes par défaut
Vous devez modifier le mot de passe du compte utilisateur glpi :
Placez-vous dans le menu Administration - Utilisateurs.
La liste des utilisateurs présents dans la base de comptes s’affiche.
Cliquez sur le nom du compte glpi.
La fiche de l’utilisateur s’affiche.
Dans le champ Mot de passe, saisissez le nouveau mot de passe, puis ressaisissez-le dans le champ Confirmation mot de passe. Afin de respecter la politique de sécurité des mots de passe mise en place, celle-ci est rappelée à côté...
Les modes d’authentification externe
La possibilité qu’offre GLPI de gérer manuellement une base de comptes ne peut être considérée comme suffisante dès lors que le nombre d’utilisateurs devient trop important.
Il convient alors de s’appuyer sur une source externe de données pour valider le fait qu’un utilisateur a le droit de se connecter à l’application.
En fonction de la source de données externe choisie, GLPI proposera différents modes de fonctionnement. Il sera par exemple possible de choisir d’importer les données d’un annuaire pour alimenter la base locale de comptes. Cette solution simplifie bien sûr la gestion de la base de comptes mais reste un mode de gestion manuel.
GLPI propose donc de déléguer l’authentification à un outil externe. Les principaux outils sur lesquels peut s’appuyer GLPI sont :
-
un annuaire LDAP,
-
un serveur de messagerie.
Dès lors qu’un utilisateur sera authentifié au travers d’une source externe, il vous sera possible de l’ajouter automatiquement à la base de comptes de l’application.
Pour activer l’ajout des utilisateurs qui s’authentifient sur des ressources externes :
Placez-vous dans le menu Configuration - Authentification.
Cliquez sur le lien Configuration.
La fenêtre de configuration des authentifications externes s’affiche.
Placez le champ Ajout automatique des utilisateurs à partir des sources externes d’authentification sur Oui.
Les autres champs de cette fenêtre de configuration sont :
Ajouter un utilisateur sans habilitation depuis un annuaire LDAP : ce champ permet d’autoriser l’ajout d’un utilisateur dans la base de comptes locale, même si aucune règle ne lui donne d’habilitation....