Boa noite galera,
Hoje novamente estarei esclarecendo como integrar o GLPI com o AD (Active Directory – Microsoft), eu já havia postado anteriormente em um outro blog (já desativado) como fazer isso mas para ajudar a galera e tornar meu no blog/site um ponto de referência sobre o GLPI, estarei passando novamente o caminho das pedras o passo-a-passo.
OBJETIVO: Integrar o GLPI e o AD (Active Directory – LDAP) para importação e autenticação de usuários.
Para que serve essa integração?
Serve para que você que utiliza GLPI e possui AD na sua rede, não precise cadastrar usuários manualmente no GLPI. Pois ao cadastrar um usuário no seu AD e será automaticamente adicionado no GLPI e o usuário irá utilizar apenas o seu login e senha de rede (AD) para fazer autenticação no GLPI.
Caminho das pedras, como será?
Veja o ambiente para a integração:
Conforme a figura, temos um servidor Linux com o GLPI, um servidor Windows com o AD e um usuário cadastrado no AD chamado “Thiago”.
1º – Passo:
Acessei o GLPI pelo browser (exemplo: http://localhost/glpi), use o usuário “GLPI”.
2º – Passo:
Vai em “Configurar” > “Autenticação” > “Autenticações externas” > “Diretório LDAP”, veja as figuras abaixo:
3º – Passo:
Clique para adicionar e vamos configurar os filtros ldap, para pegar somente os usuários do AD:
Explicando os campos descritos na figura:
Diretório LDAP
Nome: thiagopassamani.com.br (Nome do Domínio)
Servidor: 192.168.1.2 (Ip do Servidor AD)
Basedn: dc=thiagopassamani, dc=com, dc=br
Rootdn(para conexão não anônima) : PASSAMANI\glpi (usuário do AD – permissão de administrador / domain controler)
Pass: *******
Campo de Login: samaccountname
Fuso horário: GMT -3 horas(s)
Porta LDAP (default=389) : 389
Filtro de Conexão:(&(objectClass=user)(objectCategory=person))
Usa TLS: Não
Pertencer a grupos
Tipo de busca: Em usuários
Filtro para pesquisar em grupos: (&(objectClass=user)(objectCategory=person))
Usar DN na Pesquisa: SIM
Usuário contendo seus grupos: memberof
Grupo contendo seus usuários: (deixar em branco)
Links GLPI/LDAP
Sobrenome: cn
Nome: givenName
Comentários: (deixar em branco)
Telefone: telephonenumber
Celular: mobile
E-mail: mail
Telefone2: (deixar em branco)
Depois clique no botão “Enviar” e logo abaixo tem a opção para testar a autenticação, veja:
Se ocorrer tudo certo, irá exibir a mensagem de Sucesso. Depois ficará cadastrado desse jeito:
4º – Passo:
Importar os usuários do AD para a base do GLPI, lembrando que só é feito uma cópia dos usuários, pois a senha será autenticada/validada pelo servidor AD para acesso ao GLPI.
Para importar vá em “Administração” > “Usuários”, veja a figura abaixo:
Clique no botão “Link LDAP”, veja figura:
Depois clique no botão “Importar novos usuários”, será exibido uma lista dos usuários (não postei a figura) que você deseja importar, marque e clique em “importar”.
5º – Passo:
Acessei novamente “Administração” > “Usuários” e veja os usuários importados:
6º – Passo:
Faça o teste, acessando com o usuário importado e seja feliz… Kkkkk….
OBSERVAÇÃO:
[¹] Esse tutorial foi desenvolvido com o GLPI (versão 0.72.4), que ainda não possui importação automática de usuários.
[²] Para importar um novo usuário cadastrado no AD, você terá que sempre efetuar os passos 4 e 5.
[³] Na versão 0.78 (Release – Teste) será feito automáticamente, vamos esperar e assim que se tornar estavel, estarei postando outro passo-a-passo.
Espero que gostem e que esse passo-a-passo salve muita gente que está precisando dessa intergração. Dúvidas, sugestões ou críticas, COMENTEM, OK?
Até a próxima…
===> >> A T U A L I Z A Ç Ã O <<< ===
Nas versões do AD a utilização do “ROOT DN” muda a forma de escrever, veja o exemplo:
No AD 2000 e AD 2003 pode ser escrito dessas duas formas:
cn=usuario, dc=dominio ou dominio\usuario
No AD 2008 pode ser escrito de três formas diferentes:
cn=usuario, dc=dominio ou dominio\usuario ou usuario@dominio
OBSERVAÇÃO: O usuário deve possuir privilégios para fazer consultas no banco do AD.
Comentários
194 respostas para “Integração GLPI e AD (Active Directory)”
Michel sim é possível. Você pode adicionar os slaves na conexão também.
Fernando no GLPI só há a configuração do Perfil, realmente nunca testei isso.
Darlisson qual é a versão do GLPI? Tente efetuar a configuração de conexão LDAP com um usuário DOMAIN ADMINS.
Vitor o GLPI não consegue alterar senha do usuário quando ele efetuar o primeiro logon na rede, apenas depois dessa alteração ele consegue efetuar o login.
Thiago, parabéns pelo post !!!!
Gostaria de saber se é possível integrar o GLPI com mais de um AD ?
Abs.
Thiago, parabéns pelo blog sempre compartilhando conhecimento.
Estou com alguns problemas:
Fica a configuração conforme acima, o teste com o servidor é realizado com sucesso, porém um determinado usuário não consegue logar aparece a msg “tente logar novamente”.
O outro problema é que não consigo importar novos usuários, aparece “Não há usuários para importar”
Sabe o que pode ser ??
@Thiago Passamani: Boa tarde,
Estou com o mesmo problema, sem sucesso de resolução.
Identifiquei o seguinte:
Domain User somente loga no GLPISERVER quando efetuada permissão de logon no ADSERVER.
Alguma sugestao?
Fala Thiago! Poderia me dar uma ajuda: então estava querendo colocar de uma forma automática quando o usuário logar ele automaticamente jogar este usuário para uma entidade filha especifica. Tem como me ajudar por favor?
Hugo use um usuário com acesso ao grupo “Domain Admins” e veja se resolve. Preciso atualizar esse tutorial.
Oi Thiago, excelente tutorial.
Estou na versão 0.84.3 e estou problema na associação dos grupos.
Estou habilitando aprovações e para isso preciso que cada usuários esteja com seu grupo e cada grupo com seus aprovadores. Acontece que nem todos os usuários vieram do AD com o grupo primário ao qual estavam configurados.
No GLPI os grupos foram importados, mas não há uma opção de sincronizar com o AD, somente importar novos grupos.
Teria alguma luz?
Antonio utilize um usuário para conexão que seja “DOMAIN ADMINS” para testar e me fala se resolveu.
Prezados boa tarde, quero parabenizar ao Tiago Passamani pelo material, estou implementando a GLPI aqui no parque da empresa, e seguindo o tutorial consegui configurar o servidor, e inclusive ao efetuar o testte, obtenho sucesso, entretanto, no momento de importar os usuários pelo link LDAP,
(Administração >> usuários >>Link do diretório LDAP), clico em pesquisar e o glpi não me retorna nenhum usuario e vejo a mensagem:
” NENHUM USUÁRIO A SER IMPORTADO”
Estou usando a versão 0.9.0.4 do GLPI
Alguem pode me ajudar?
Diego creio que seja da mesma forma, se ainda estiver com problema entre em contato por e-mail ou skype.
Você precisa mudar a regra de importação para assumir a entidade filha.
Bom dia,
Muito bom post, aqui usamos o AZURE AD, sabe como utilizar esta ferramenta para fazer um SSO no Glpi?
@Thiago Passamani: Estou tentando mudar a entidade padrão dos usuários importados do AD, porém não consigo
Consegui mudar direto no banco na tabela glpi_users porém na lista continua exibindo a entidade root, apenas quando abro o perfil do usuário que exibi a entidade filha.
Sabe me dizer como faço para todos os usuários importados do AD terem uma determinada entidade filha?
Rafael no seu caso duas entidades uma com cada domínio.
Eduardo acessa via MySQL e altera o ip do servidor. Se tiver o usuário GLPI ativo, é só acessar e efetuar a alteração pela Web.
Bom dia Thiago.
Primeiro, parabéns pelos posts, eles têm me ajudado bastante na meu aprendizado como GLPI.
Bom, preciso de uma ajuda, tenho dois domínios para configurar no GLPI, A e B, configurei o A, fiz teste com sucesso e trouxe os usuários certinho. Configurei o B, o teste foi realizado com sucesso, porém não está trazendo nenhum usuário, há alguma outra configuração que preciso fazer quando tenho dois domínios diferentes?
Abraço.
Ola bom dia, estou sem acesso ao meu GLPI devido a uma altercao de meu servidor LDAP para um servidor novo, poderia me ajudar como eu posso alterar essa configuracao via shell, qual arquivo devo acessar e alterar.
Charline você já testou liberar acesso o servidor onde há o GLPI instalado?
Augusto pode ser o filtro ldap utilizado. Qual o filtro você está utilizando?
Boa noite Thiago,
Parabéns pelo conteúdo.
Fiz todas as configurações, e veio a mensagem de teste concluído com sucesso.
Porém quando peço para importar os usuários, não retornar nenhum.
O que pode ser?
Olá Thiago. Estou com uma dificuldade: utilizo o ldap para autenticação no GLPI. Porém as contas dos usuários criadas no AD têm restrições de logon, ou seja só autenticam nos computadores especificados. Por isso a autenticação não funciona no GLPI, a menos que eu dê permissão de logon em todos os computadores ou adicione o servidor ldap. Não gostaria de utilizar nenhumas das opções. Tem alguma configuração no GLPI que resolva este problema?
Ricardo não a importação automática do usuário, após a configuração se o usuário logar e estiver permitido, ele será importado. Fora isso, só importando manualmente.
Thiago,
Você sabe se tem como realizar a importação automática de usuários de uma base LDAP na versão 0.90.1 ?
Fico no aguardo.
Abraços.
Leonardo o “LEO.VIANNA” é seu Dominio FQDN e já o “LEO” é o nome simplificado. Funcionaria também se usasse administrador@leo.vianna.
@Antonio: Antonio, também estava com esse problema. O meu dominio é leo.vianna e no campo “RootDN” eu estava usando >>> “leo.vianna\administrador” // “coloquei LEO\administrador” e funcionou!
@Bruno: Bruno, também estava com esse problema. O meu dominio é leo.vianna e no campo “RootDN” eu estava usando >>> “leo.vianna\administrador” // “coloquei LEO\administrador” e funcionou!
Felipe são servidores diferentes? Se sim, você pode criar outra conexão com o servidor do domínio interno para receber emails e enviar notificações. E se for igual você precisa colocar que a conta interna pode enviar e-mail para o domínio externo.
Olá, temos o GLPI versão 0.85.4 rodando via xampp, e temos varios emails, algumas pessoas só tem email interno exemplo usuario@dominio.local, outros são usuario@dominio.com.br, via .com.br as notificações chegam, mas para usuarios com email interno @dominio.local os email não chegam, como fazer para que esses usuarios que não tem acesso a email externo receberem as notificações?
Cleyton qual é o filtro que está usando?
Ricardo será necessário instalar os pacotes php5-ldap e php5-imap.
@Ricardo:
Estou usando Oracle Linux como servidor.
O como resolver o erro da tela abaixo?
http://i.imgur.com/PV9mdkf.png
Tarcis é possível, porém o usuário deve ter o mesmo nome, apenas o tipo de autenticação deve ser alterado.
Diego qual é o filtro que está fazendo? O usuário de conexão está correto? Qual é Base DN do AD que está usando?
Quando vou pesquisar a consulta não retorna os usuários.
Boa tarde Thiago,
Eu configurei um AD no meu GLPI que já tem um banco de dados antigo com usuários cadastrados e chamados dos mesmos. O AD está importando normalmente, mas eu gostaria que os usuários importados do AD se mesclem com os usuários do glpi para que eu não perca as estáticas antigas. Tem como fazer isso?
Fiz todo procedimento e quando clico em link do diretório LDAP não acontece nada, não aparecem os usuários, estranho e que mandei testar a conexão e apareceu com sucesso. Alguém está passando pela mesma dificuldade?
E aí Thiago, beleza?
Fera, gostaria de saber se há como vincular, automaticamente, os usuários aos seus respectivos grupos do AD, ou, se há uma possibilidade de importar os usuários já com os seus grupos.
Fiz da seguinte forma a configuração de grupos no LDAP:
Tipos de pesquisa: Grupos
Atributo de usuário contendo seus grupos: Em branco
Filtrar para pesquisar em grupos: (&(objectClass=group)(memberOf=CN=GLPI,OU=Grupos,OU=Servicos,DC=contoso,DC=com))
Atributo de grupo contendo seus usuários: Em branco
Usar DN na pesquisa: Não
Fiz o filtro assim, pois da maneira que você explicou trouxe todos os grupos do AD, e do modo que eu fiz, vinculando o grupo GLPI aos grupos que eu quero que apareça, nos trás somente os grupos que quero.
Ainda assim, não vi a possibilidade de trazer o vínculo do usuário com o seu grupo, nos forçando a atribuir um grupo para cada usuário, um a um, e isso em um ambiente com 200 colaboradores faz com que o serviço se torne moroso, não que seja um problema, mas se houver a possibilidade de automatizar… por que não?
Um abraço e até mais.
@Thiago Passamani:
Que grupo é esse?
Obrigado Thiago, só me restou uma dúvida.
Quero que o GLPI funcione apenas para um grupo do meu AD(no caso quero importar apenas um grupo para ser utilizado no GLPI), como faço isso?
Thiago, muito bom o seu post.
Sou funcionário do IBGE e estou customizando a ferramenta para utilizarmos aqui.
Primeiramente estávamos usando o LDAP do Lotus Notes, teve uma norma técnica aqui que agora teremos que usar o LDAP do AD.
Importei alguns usuários do AD mas não consigo fazer logon com eles.
E a sincronização dos usuários já contidos ocorre quando escrevo que o campo de login é o mail, quando troco para samaccountname ele não realiza a ação de sincronizar.
Não sei o que pode estar acontecendo, já tentei de tudo um pouco aqui. Pode me ajudar?
Boa noite, pessoal não estou conseguindo fazer a autenticação com o AD, dá o seguinte erro quando eu tento fazer o teste de conexão.
Teste de conexão ao diretório LDAP
Teste falhou: Servidor principal
Amigo,
Estou utilizando o GLP como ferramenta didatica no curso de manutenção de computadores, o meu laboratorio utiliza o windows 2012 r2 com Ad configurado, utilizo a versão GLPI 0.85. realizei a configuração que vc mensiona porém ele nao está importando os usuarios. saberia me dizer o porque?
Vlw abraços!
[…] http://www.thiagopassamani.com.br/glpi/integracao-glpi-e-ad-active-directory.html […]
Amigo.
Estou implementando o glpi na empresa.
Gostaria da sua ajuda, pois gostaria de utilizar a autenticação já feita no Windows para que não seja necessária outra autenticação no glpi…
Já está tudo de acordo segui do seu tutorial.
Desde já obrigado
Boa tarde Thiago suas dicas foram preciosas e consegui fazer a integração. Porém assim como vi em muitos comentários, aqui também dava ok no teste mas não aparecia nenhum usuário na hora de importar. Após alguns testes e pesquisas problema desapareceu do nada.
Ambiente: Debian 7 + Win2008.
Obrigado!!
A autenticação funcionava normalmente no AD antigo (Windows Server 2008), criei um novo AD (Windows Server 2012 R2) e migrei todos os usuários e computadores, adicionei os dados do novo domínio, o sistema acusa sucesso no teste realizado mas os usuários do novo AD não são sincronizados e não é possível logar com eles.
Alguns usuários mantiveram o mesmo nome no novo domínio, outros foram alterados. São 40 usuários.
Era um domínio nome.local e foi alterado para outronome.com.br.
Alguma dica?
Bom dia: Como é possível associar as tarefas ou tickets ao project na versão 0.85 do glpi para aparecer no gráfico de GANTT?
Ha alguma forma?
obrigado
Quando tento sincronizar com o AD obtenho a seguinte informação “Aviso: O pedido excede o limite da directoria. O resultado é apenas parcial.”. Como posso contornar esta limitação ?
Thiago to tentando integrar o glpi 0.84.7 com o AD mas até agora sem sucesso pois toda vez que faço o teste de conexão “Teste falhou: Servidor principal santiago.local” ja não sei mais o que fazer utilizei todas as suas instruções e continua dando este erro se possivel gostaria que me ajudasse a resolver esse problema para começar a utilizar o glpi.
@William: @William:
Olá galera, resolvido meu problema.
Como já estou com a versão mais recente do GLPI ao invés de adicionar um determindado usuário para buscar na base de dados do AD, penas cliquei em pesquisar kkkk veio todos os usúarios, grato.
Cara muito bom tutorial, uma dúvida. Já estou com meu GLPI em funcionamento e inclusive já fiz a comunicação com OCS tudo perfeito.
O x da questão e como integrar todos os usuário do AD no GLPI, um por um até consigo fazer a importação mas 400 será osso kkk.
José nas versões novas já possui uma conexão de exemplo.
@Thiago Passamani: como fazer isso? já tentei de todas a formas….
Jose você deve alterar os filtros para restringir apenas ao usuário que você quer que acesse o GLPI.
@Thiago Passamani: fiz o que vc passou, mas mesmo assim aparece todos os usuarios e sendo assim todos conseguem fazer login no GLPI
Marcos veja se o usuário está marcado com desativado e deletado na tabela GLPI_USERS.
Olá Thiago ..tudo bem ? Sou funcionário da fundação copel e estamos personalizando o GLPI.
Porém hoje eu importei os usuários e grupos do LDAP e correu de acordo , me bati um pouco. Então ao restaurar a base de dados do GLPI eu ai tentar importar ele não aparece mais os usuários e grupos.
Como devo proceder ?
Abraço e parabéns pelas matérias tem ajudado muito , pena que não vi ninguém com uma dúvida como essa e sim quase igual , no caso do Humberto que excluiu da base e no meu caso eu restaurei o GLPI.
Inclusive em outro servidor também não lista mais.
@Alexander: @Alexander: Você conseguiu resolver esse problema? Estou na mesma situação que você e gostaria de saber se existe solução…
@Fabrício Viana: Olá Fabricio,
Estou com problemas para configurar meu AD 2003 na 0.84.5 você pode me passar como fez as configurações?
Obrigado,
Gerson
Anderson você instalou as extensões? Já importou clicando em Link LDAP nos usuários?
Bom dia a todos,
Após instalar tudo não consigo puxar nada do AD.
tem alguma orientação para isto?Estou usando a ultima versão do GLPI.
Fabricio respondendo a pergunta a versão 0.85 ainda é de teste (beta), mas vamos lá.
A integração não é automatica, você deve clicar sempre no Link LDAP e sincronizar os novos usuários. Já a segunda pergunta existe um plugin SSO, porém nunca usei.
Fabrício vá em Administração > Usuários > Link Diretório LDAP e sincronizar.
Ricardo vá em Configurar >Autenticação > Configurar > Autenticação > “Ação quando um usuário é excluído do diretório LDAP: DESABILITAR”, porém só funciona se excluir o usuário do AD.
Tiago,
Boa Tarde.
Consegui realizar a integração com o A.D já na nova versão 85, porém tenho algumas dúvidas:
– Esta integração faz automaticamente, tipo: Criei um usuário no A.D já sincroniza no GLPI? Como é a configuração para este processo se tornar automático?
– Segunda dúvida é, os usuários são criados automáticos no A.D e sincronizados no GLPI, quando eu logar em uma máquina tem como entrar direto no GLPI sem precisar colocar usuário e senha. Single sign on.
Muito obrigado,
Fabrício Viana.
Tiago,
Boa Tarde.
Nos testes encontrei meu servidor A.D, mas como importo os usuários, não os encontrei.
Obrigado,
Fabrício Viana.
Muito legal, mais e para fazer o processo inverso? ex: Quero que as contas que eu desabilitei ou removi no AD sejam também removidas do GLPI, como poderia fazer?
Alexandre já atentou atualizar sua versão? Pode ser que tenha bug nessa versão que você está utilizando.
Estou com esse problema e não consigo logar nem com o usuario GLPI,
Utilizo a versão 0.83.91.
Andreson você excluiu os usuários? Se sim, eles estão com uma flag como excluídos no banco de dados, você deve alterar para que posso sincronizar novamente.
Jonathan qual o filtro LDAP você está usando para esses campos?
todos os testes deram certo, mas na hora de importar novos Usuários (link LDAP) não aparece nenhum na lista, o que pode ter acontecido?
Thiago, vc está de Parabéns! Muito bom seu tuto.
Mas, gostaria de saber pq não consigo trazer do meu AD as informações como Telefone, Email e outros. Atualizei no meu AD usuário por usuário, os telefones e os emails, mas não estão vindo no GLPI o que está faltando?
Obrigado!
Isso ai Ricardo ficou bem fácil agora.
Jose na base do LDAP você deve coloca o nome do grupo Exemplo: CN:Grupo, Dc=Dominio, Dc=Local
Boa tarde,
Gostaria de importar somente usuários pertencentes a um grupo X do AD para o GLPI, alguém sabe como fazer?
Att,
Sensacional!
Nas novas versões é só selecionar a Pre-Configuração Active Directory que ele já faz os filtros pra você e da tudo certinho.
Show!
Para que está com erro de Ldap não instalado no PHP, segue tutorial de como instalar ele no windows! É o mesmo que postei no fórum do google! Se vc instalou em um servidor windows vc precisa ativar a extensão ldap nas extensões variáveis do sistema. Para isso você precisa ter o apache instalado ( pois nele que está a extensão que você precisa, ldap etc). Com um usuário administrador vai la com o botão direito no “meu computador”, ou pelo painel de controle sistema gt; Vá em propriedades do sistema gt; Avançado gt; Variáveis de ambiente gt; em variaveis do sistema localize ” Patch” gt; clique duas vezes pra editar gt; no fim da linha escrita ( nao apague nada) coloque um ; e o diretório onde está seu php ( Exemplo-gt; ;C:\php ) . No caso ficaria assim a linha mais ou menos : %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\xampp\php gt; De um ok salve e feche tudo e reinicie a maquina! Teste novamente depois disso! Abraço!
Vinicius verifica se existe outro php.ini na sua instalação e faça a mesma coisa. Outra coisa é procurar se realmente existe a DLL.
Thiago rodei o glpi no windows mas nao consigo integrar com AD.
Instalei em um server(windows) o pacotão mysql php apache depois
instalei GLPI para administração de chamados
mas estou com o seguinte problema:
Quero sincronizar usuarios com o servidor do AD (micro$oft).
O programa está implementado para tal suporte, mas o PHP não.
sou leigo em php e necessito instalar a extensão ldap no bixinho.
O que eu já fiz:
-alterei o php.ini tirando o comentario da extensão ldap.
-verefiquei os pacotes das extensões e está tudo lá
eu gostaria de saber é como
faço para o ldap integrar com php.
Caro,
Muito bom o artigo. Já havia colocado o sistema para funcionar integrado com apenas uma entidade, no entanto, não consegui realizar por entidades. Existe a possibilidade de se realizar a autenticação no AD em uma entidade e em outra entidade usar a autenticação da base local do GLPI?
Tem como fazer autenticação utilizando SSO (Single Sing On) com o Karberos do Windows? Ou seja reaproveitar o logon feito no computador para não precisar autenticar na interface do GLPI.
@Cristiano: A importação dos usuários funcionou perfeitamente porém não consigo abrir chamados, sempre aparece um erro de falha de segmentação: [Tue Jun 04 15:50:58 2013] [notice] child pid 14398 exit signal Segmentation fault.
Já tentei de tudo, todas as soluções que passaram na internet e o erro permanece o mesmo “A extensão LDAP não esta instalado em seu PHP”
@Cristiano: Cópiar esses feicheiros ( “php_ldap.dll”, “ssleay32.dll” e “libeay32.dll”) pra onde?
@a href=”#comment-1154″ rel=”nofollow”vinicius/a:
Olá Vinicius.
Estou com um problema parecido com o seu em relação ao GLPI conforme postado por você.
Boa Tarde,
“Gostaria de saber se voce pode me ajudar, estou com um problema aqui na importação dos usuarios AD, tou usando o GLPI 0.83 e já olhei varios tutoriais , é o seguinte eu configuro o Diretorio LDAP tudo certo, ai eu testo fala que foi testa com sucesso no servidor e tudo mais, mas quando eu vo importar os usuarios ele fala que nao incontrou nenhum como se nao tivesse achado, e simplesmente nao vai.
Gostaria de saber se podia me ajudar , to usando o AD 2008 server”
Estou tendo o mesmo problema. Você conseguiu resolver o problema?
Se puder me ajudar te agradeço!
Valeu!!!
Bom dia Thiago, tudo bem?
Parabéns pelo post, esta excelente! Tenho uma dúvida, consegui configurar o ldap certinho, importei meus usuários e ta tudo legal, porém quando eu desativo um usuário do LDAP ele não desativa no GLPI, tem como setar para desativar no glpi quando sincronizar os usuários com o servidor ldap?
Estou quebrando a cabeça aqui e não consegui fazer ainda.
Obrigado pela força!
Abraços
Thiago,
observei que, se os usuarios estiverem amarrados a máquina no AD, eu n consigo me autenticar com esse usuario que foi importado para o glpi.
Dá o seguinte erro:
Impossivel se conectar ao diretório LDAP.
O que fazer?
Thiago,
Ao descomentar a linha LDAP no ini do php não consegue mais iniciar o apacher, só da erro.
voce sabe como resolver? Windows 2008 + GLPI
Boa noite,
Depois de quebrar a cabeça para sincronizar os usuários do LDAP do servidor de Email do Zimbra consegui a solução.
Contexto:
Configurava o diretório LDAP do GLPI e testava a conexão e recebia a mensagem: Testado com sucesso (Servidor principal : dominio.inf.br), mas quando tentava importar os usuários não encontrava nenhum.
Então os dados da configuração ficaram:
Nome : dominio.inf.br
Servidor padrão : Sim
Ativo : Sim
Servidor : ldap://mail.dominio.inf.br
Porta LDAP (padrão=389):
Filtro da conexão :(objectclass=*)
Basedn : ou=people,dc=dominio,dc=inf,dc=br
//Aqui é o pulo do gato (Você precisa específicar o usuario admin com “uid=admin” do email conforme a senha do campo “Pass”)
rootdn (para conexão não anônima) :uid=admin,ou=people,dc=dominio,dc=inf,dc=br
Pass (para conexão não anônima) : senha do admin (uid=admin)
Campo de Login : uid
É isso ai, depois de informar correto o rootdn funcionou corretamente.
Espero ter ajudado
Teria como autenticar automático? Sem que o usuário necessite colocar senha pra acessar o GLPI?
@a href=”#comment-1224″ rel=”nofollow”Thiago Passamani/a:
Ribeiro vc reiniciou os serviços ou o servidor?
Boa tarde, Thiago
Fui lá na pasta PHP, localizei o php.ini e descomentei a extensão php_ldap.
Salvei e reiniciei o GLPI, mesmo assim continua com a mensagem – “A extensão LDAP não esta instalado em seu PHP
Impossivel usar LDAP como fonte externa de comunicação” ou seja, não consegui!
Eu utilizo o Windows Server 2008 R2 e o GLPI 0.83.6, ambos em servidores diferentes… é necessário colocar no mesmo servidor? tenho que coloca esse php.ini no servidor também?
Ajuda aí por favor…
Humberto o GLPI marca ele no banco de dados como excluído, porém duas informações estão lá ainda. Entre na tabela do GLPI chamada glpi_users ou glpi_useres (0.83.4) e procure a coluna is_deleted e mude para zero ( 0 ) no usuário que precisa. Veja se funciona e me fala.
Olá Tiago, estou enfrentando a seguinte situação: Fiz a importação dos usuários e grupos do servidor LDAP, tudo funcionou perfeitamente, mas acabei excluindo um usuário que não era o que realmente eu queria excluir, e quando tentei novamente importar ele não localiza de jeito nenhum. Tentei de tudo que é jeito e nada. Pode me auxiliar ?
Vinicius envia as configurações do GLPI (LDAP) para o meu email. contato[ at ]thiagopassamani.com.br
Boa Tarde,
Gostaria de saber se voce pode me ajudar, estou com um problema aqui na importação dos usuarios AD, tou usando o GLPI 0.83 e já olhei varios tutoriais , é o seguinte eu configuro o Diretorio LDAP tudo certo, ai eu testo fala que foi testa com sucesso no servidor e tudo mais, mas quando eu vo importar os usuarios ele fala que nao incontrou nenhum como se nao tivesse achado, e simplesmente nao vai.
Gostaria de saber se podia me ajudar , to usando o AD 2008 server
Obrigado
Cristiano Obrigado pela contribuição.
Galera achei a resposta pra minha pergunta hahuauhauh
Segue abaixo!
“(&(objectClass=user)(objectCategory=person)(userAccountControl:! 1.2.840.113556.1.4.803:=2)))”
Thiago outra duvida e no caso da importação dos Grupos do AD qual o filtro que devemos utilizar?
Cristiano nunca tive que fazer isso, mas é uma outra forma de fazer.
@Thiago Passamani: Na realidade tive que ir um pouco mais alem do que descomentar a linha informada.
Para galera segue os passo a +:
1.Descomentar linha “extension=php_ldap.dll” nos ficheiros em “C:\xampp\php\php.ini” e “C:\xampp\php\php5.ini“;
2.Adicionar nas variáveis de sistema em “Control Panel > System > Advanced > Environment Variables”.
Seleccionar a variável de sistema “Path” e adicionar caminho onde se encontra o ficheiro “php.ini” e “php5.ini” (ex: C:\xampp\php).
Inserir nova variável “PHPRC” e inserir caminho da directoria onde está o “php.ini”;
3.Copiar ficheiros “php_ldap.dll”, “ssleay32.dll” e “libeay32.dll”.
Cristiano se for Linux tem que instalar o php5-ldap e se for Windows tem que liberar no php.ini a extensão ;extension=php_ldap.dll
@Thiago Passamani:
Amigo Thiago, tem mais alguma coisa a ser feita para resolver esta msg “A extensão LDAP não esta instalado em seu PHP” já descomentei a linha q vc informou e reiniciei o servidor?
Clever que bom que conseguiu.
@Thiago Passamani: Maravilha, resolvi alterando na tabela do DB. Muito obrigado. Clever.
@Thiago Passamani:
não de 170 usuarios só 5 funcionam pelo que eu vi no DB os que funcionam ele inseriu dados na coluna senha os que não acessam não tem nada.
Valdicir todos os usuários estão com esse problema?
Daee galera segui o tutorial, consegui importar os usuarios tudo certo, mas quando vou tentar logar com o usuario do AD ele diz que é invalido. o que poderia ser? ja forcei sincronização ja removi até do banco e adicionei denovo mas não funciona.
olá, tem alguma forma de automatizar a importação dos usuário do AD e importar apenas os users ativos ?
Obrigado.
Bom Dia Thiago,
Fiz a atualização do GLPI para a versão 0.83.2 porém o campo onde fazia sincronimo ou adicionar em um Link LDAP na versão 0.83 não aparece na versão 0.83.1 e 0.83.2, deixando apenas a opção de criar um usuario manualmente.
Voce pode me dar uma ideia do que pode ser ou é algo da versão do GLPI?
Fico no aguardo
Att,
André Guebarra
Clever existe sim, no banco de dados existe uma tabela (glpi_users ou glpi_useres, pode mudar conforme a versão), procure a coluna is_deleted (0 = ativo / 1 = deletado ) e is_actived (0 = desativado / 1 = ativo). Veja se isso resolve seu problema.
@Thiago Passamani: Obridado Thiago por ter respondido. Eu pesquisei por usuários ativos e inativos. todos os meus 43 usuários estão ativos. mas esses que quero “importar” nao aparece nessa lista de usuários. será que no banco de dados do glpi faz uma “marca” no usuário uma vez importado e ai nao permite mais fazer a importação novamenteo??
Clever o GLPI já importou os usuários, porém está marcado como desativado ou excluído. Faça uma pesquisa no usuários e ative-o novamente.
Olá Thiago,
configurei meu glpi pra sincronizar e funcionou perfeito. importei alguns usuários para teste e exclui eles aqui do glpi. agora quero importá-los novamente mas quando vou em importar novos usuarios e busco por este usuario, ele nao aparece para ser importado novamente. Faz alguma idéia do que seja??
Igor qual mensagem?
@Thiago Passamani:
O meu esta acontecendo isso Thiago. Estou com ambiente Xampp em Windows e deu as mesangems que você citou. O que fazer?
Alef o filtro usado foi o que está no tutorial?? Você importou os usuários para o GLPI?? É necessário que acessa a área dos usuários e clique em “Link LDAP” e importe os usuários novos.
Parabens, aqui funcionou + o -, quando testo o servidor diz “Testado com sucesso (Servidor principal : SERVAD01)”, mais noa consigo acessar os usuarios do AD. preciso de ajuda Urgente vlw.
Jean tenta olhar os Logs veja se tem algo bloqueando.
@Thiago Passamani:
Thiago. Bom dia.
Estou enfrentando o mesmo problema, gostaria do seu auxilio, todas as vezes que ativo o extensão_ldap no php.ini meu apache não sobe.
estou usando o Xampp.
Grato
Rodrigo você precisa liberar no arquivo do php.ini dentro do diretorio Xampp/Php e retire o “;” do [code];extension=php_ldap.dll[/code] e salve e reinicie o servidor.
Aurelio não sei te informar, pois nunca trabalhei com OpenLdap. Pode ser que mude a questão da conexão e/ou os filtros.
Thiago, estou com o problema fala que o
O módulo LDAP do seu PHP não se está instalado
Como faço para instalar este modulo, estou utilizando o xampp,.
parabéns pelo tutorial, gostaria de saber se esse mesmo procediomento, serve para o openldap no linux.
Obrigado.
Você está usando os mesmos filtros?
Olá fiz as configuração que vocês falou mais quando vou importar os usuário aparece menhum usuário a ser importado ?
Att.
Vagner Silva
Helton tente apenas (&(objectClass=user)(objectCategory=person))
@Thiago Passamani:
Basedn: dc=nomedodominio, dc=com, dc=br
Pesquisar filtros para usuários: (& (samaccountname=*) (&(objectClass=user)(objectCategory=person)))
Esta assim porem não acha nada. =/
Verifica o filtro que está sendo feito.
A tela de Cadastro do Ad é diferente da que esta aqui no site, a do site tem mais informações, cadatrei todas as que me apareceu e ele me deu a mensagem: Testado com sucesso (Servidor principal : mondelli.local), porem na hora que vou inportar não vem nada
Consegui fazer funcionar, na verdade apenas faltava reiniciar o servidor apos a instalação co pacote php5-ldap.
Boa Tarde, instalei o GLPI em um Debian 6.0.3 com php5 em modo texto e não consigo fazer a integração com o meu AD que esta no Windows 2008, ele apresenta a mensagem “A extensão LDAP não esta instalado em seu PHP”, já instalei o lapd atravez do comando #aptitude install lapd, não fiz nenhuma configuração nele, já reiniciei o servidor e mesmo assim a mensagem continua aparecendo.
O que devo fazer para funcionar correstamente?
@Thiago Passamani:
Olá Thiago!
Estamos precisando utilizar a segunda opção pois só alunos são mais de 1200, e fica inviável fazer tudo manualmente! No entanto estou sem um norte para iniciar a implementação! Me disseram que existe uma possibilidade de fazer o AD gravar os atributos em um banco SQL, o que facilitaria a implementação! Porém não existe muita fonte de pesquisa nesta área!
Grato!
Paulo no GLPI existe duas opções cadastro do usuário manualmente sem utilizar a ligação com o AD e a outra opção é usar o AD para conexão. Nesse caso creio que teria que fazer uma grande implementação.
Boa tarde!
Muito bom o material! Com certeza irei utilizar para fazer nossa implementação!
Gostaria de saber se alguem tem alguma solução para criar um formulário no AD, de forma que o próprio usuário interessado cadastre no servidor restanto apenas ativarmos o usuário! “Seria quase que o inverso da importação mencionada neste artigo”
[]s!
@Thiago Passamani: Ok Thiago!
Obrigado pela informação.
Cristiano o filtro certo é (&(objectClass=user)(objectCategory=person)), já com relação a usuários desativado não conheço. Sei que o GLPI atualiza o status do usuário quando ele está desativado conforme a configuração feita.
@Thiago Passamani: Thiago, o filtro para pegar os usuarios é esse:
(& (&(objectClass=user)(objectCategory=person)))
Gostaria de saber se existe um filtro para pegar apenas os usuários que estão ativos no AD, existe algum filtro para isso?
Obrigado.
@Thiago Passamani: Ok!
Ae Thiago, estou no seu aguardo para voce me auxiliar no problema de abertura de chamados no glpi vie e-mail. Te add ontem.
Obrigado.
Cristiano verifica o filtro que está sendo feito para pegar os usuários, ok?
Bom dia,
Para quem não esta conseguindo importar os usuários do AD, no meu caso, quando testava a conexão com o diretório LDAP estava normal, porém quando ia importar os usuários não pegava nada, dai quando retirei do Basedn o dc=br consegui pegar todos usuários. Espero ter ajudado.
Vlwss.
Anderson ainda não tem.
Boa tarde Thiago, muito bom o seu tutorial, consegui fazer funcionar o meu GLPI integrado com o AD, gostaria de saber se existe alguma maneira de configurar o GLPI para importar a lista de usuários do AD automaticamente?
Marcelo Costa você vai em “Configurar” > “Dropdowns” > “Ferramentas -> Categorias da base de conhecimento” e clique em pesquisar. Depois marque a categoria e abaixo tem um “campo select” selecione remover e clique no botão enviar.
Thiago , boa tarde.
Comigo funcionou tudo beleza, mas estou com dificuldades em deletar categorias da base de conhecimento, voce sabe como fzer isso?obrigado.
Alcebiades obrigado pelos os elogios. Referente a integração do AD e GLPI você precisa da extensão do LDAP no PHP liberado. No servidor Windows você precisa acessar o php.ini e liberar a extension=php_ldap.dll e no Linux é preciso instalar o pacote (Debian) php5-ldap.
Qualquer dúvida comente novamente.
Ola Thiago boa tarde,
Parabens pelo blog muito bacana, porem estou com uma duvida, estou tentando realizar a integração do meu AD com o GLPI porem a função Autenticações externas não esta habilitada para mim. Como faço para habilita-la?
Obrigado!
Boa noite!
Instalei a ultima versão do GLPI, utilizo o AD em um Windows Server SBS, fiz a configuração seguindo o tutorial acima porem dá sucesso quanto faço o teste de autendicação do LDAP mas quando vou importar os usuários não me traz nada, não aparece os usuários, alguem sabe o que fiz de errado?
Boa tarde meu camarada, fiz o tutorial a risca, faz comunicação blz.
aqui na empresa sao varios servidores de ad, so que todos atuam em um unico controlador de dominio, cada filial tem seu AD.
Ex. dominio.com.br , servidor01 , servidor02
como irei puxar os dados somente do servidor02? como irei realizar o filtro?
LOCAL DO SERVIDOR AD NO DOMINIO
DOMINIO.com.br/VOCE/GRUPO/05-ANDRE-MAC
GRATO DESDE JA
Natalia você quis dizer que é executado manualmente e se é possível fazer a importação automática, é isso? Se for ainda não é possível automatizar usando as “Ações” do GLPI, se não me engano está previsto para a próxima versão 0.83.
Ola Thiago, muito bom seu artigo. Estou com uma dúvida a respeito da importação de usuários. No meu servidor está autenticando e importando os usuários do LDAP, mas só faz isso automaticamente. É possível automatizar esta ação?
Valeu por compartilhar essa informação.
Thiago,parabéns pelo site,tudo muito bem explicado.
Gostaria de informar para aqueles que estão com problemas para sincronizar com o AD, que verifiquem o Basedn, o meu não estava sincronizado porque estava com minúsculo o dc,quando coloquei em maiúsculo o DC,funcionou perfeitamente.
Valeu, continuarei acompanhando o site.
@André qual o erro que está aparecendo?
Bom dia meu caramarada, muito bom o seu site. parabens!
estive fazendo a instalaçao do GLPI ta tudo certo com o OS tem umas 500 maquinas importadas, fiz o passo acima e sempre da erro ao importar meu glpi é 0.78.1, servidor com windows 2008 e AD versao 5.2.3790.3059. sempre da falha
teria como de dar uma luz:?
abração
@Alexander tente verificar qual é a ENTIDADE do usuário, pois ele pega essa informação para abrir o chamado.
Boa Thiago.
Estou testando a nova versao 0.80 e me deparei com o seguinte caso:
criei uma entidade XPTO e nela criei uma regra “Authorizations assignment rules” que tem o seguinte
criterio: E-mail contendo “blablabla” and (LDAP)Organization é “blabla”
ação: entidade = XPTO
perfil = normal
recursivo = sim
no teste da regra, funciona 100%.
Ja quando importo os usuarios, sempre cai na entidade raiz e nunca na entidade que a regra especifica. Pega a regra padrao.
mas a regra padrao eu deletei.
se ja viu este problema nesta versao me da uma luz.
grande abraço e parabens peos posts.
@Rafael Carvalho tenta Sincronizar usuários já importados.
Parabéns pelas informações Thiago, mais cara estou com um probleminha, estava com a versão 0.72 mais com muitos usuários que não existiam mais no AD e o GLPI não estava sincronizando estas informações, então acabei excluindo todos sem fazer o bkp de segurança e agora não consigo mais importar as usuário nem na versão mais nova 0.78.3 sempre aparece que “Nenhum usuário a ser importado” consegui pegar a base do antigo importando e atualizando as tabelas, mais os usuários do LDAP nada. Uso 2003 R2 com OU classificando os grupos de acesso.
Desde já agradeço.
@Fabio procure o arquivo “php.ini” e ache a extensão php_ldap e desmarque ela
Patrão, não consegui startar o processo de sincronismo com AD, acabei de instalar o GLPI, mas qd clico em Configurar >> autenticaçao >>
teho essa mensagem:
A extensão LDAP não esta instalado em seu PHP
Impossivel usar LDAP como fonte externa de comunicação
Olá @thiago! Estou com o mesmo problema com o pessoal.
Estou com o usuário igual a administrador@dominio mas não estou conseguindo importar os usuários.
Gostaria de um pequeno auxílo.
Obrigado!
Att.,
Alex de Figueiredo
@Thiago e @ Denis grato pela ajuda. Ainda não tive tempo de testar pois apareceram outras demandas mas assim que puder posto o resultado. Denis estou usando a mesma versão de GLPI que a sua mas qual a versão de OCS está usando? Baixei e instalei a última disponível no site do projeto.
@Andre Freire e @Denis: Toda vez que pergunto qual é a versão do AD, pois cada um entende o rootdn de uma forma. Essa forma usuario@dominio é do AD 2008, já no 2000 e 2003 pode ser dominio\usuario ou cn=usuario,dc=dominio.
BomDia,
O meu problema foi solucionado quando na opção: rootdn (para conexão não anônima) coloquei administrador@seudominio.com.br e a senha do administrador ou algum usuário com acesso á base do ad.
Após esta configuração sincronizou com o AD.
Boa tarde !
Edinaldo estou com o mesmo problema que você. Já encontrou alguma solução ?
@Denis agora que me toquei isso ai é só um Título e não uma opção. Você pode usar as opções “Sincronizar usuários já importados” ou “Importar novos usuários”, ok?
@Denis verifique se a extenção do LDAP está ativa no seu PHP e veja tambem se está exibindo a mensagem “A extensão LDAP não esta instalado em seu PHP” / “Impossivel usar LDAP como fonte externa de comunicação” na parte de “Autenticação” e me retorne, ok?
Boa Tarde,
Instalei a ultima versão do GLPI, até ai tudo bem, mas na opção administração -> usuário -> Link do diretório LDAP -> a opção “Importação em massa de usuários de um diretório LDAP” não está habilitada.
Já havia visto algo sobre este erro?
Agradeço desde já por sua ajuda.
Att,
Denis Queiroz
[…] Existe uma confusão muito grandes nos artigos que tenho encontrado nesse sentido e o melhor deles é http://www.thiagopassamani.com.br/glpi/integracao-glpi-e-ad-active-directory.html […]
@Edinaldo tente dessa forma administrador@isaebrasil
Boa tarde… primeiramente muito obrigado pelo retorno. O meu AD é um Windows 2008 SERVER R2 64Bits.
as configs do GLPI o.78.2:
NOME: ISAEBRASIL
SERVIDOR PADRÃO: Sim
PORTA: 389
SERVIDOR: o IP do AD 2008
FILTRO DA CONEXÃO: (&(objectClass=user)(objectCategory=person)(!userAccountControl: 1.2.840.113556.1.4.803:=2)))
BASEDN: DC=servidor01,DC=isaebrasil,DC=ctba
ROOTDN: cn=Administrador,CN=User,DC=isaebrasil,DC=ctba
PASS: a senha do administrador
CAMPO DE LOGIN: samaccountname
GRUPOS:
TIPO DE BUSCA: em usuários
FILTRO PARA PESQUISA EM GRUPOS: (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Usuários contendo seus grupos :: memberof
USARDN NA PESQUISA: sim
ENTIDADE:
Atributo que representa entidade : OU
Filtro de pesquisa para entidades : (objectclass=organizationalUnit)
INFORMAÇÕES AVANÇADAS:
USA TLS: Não
Como os alias do LDAP devem ser manipulados :: Nunca
FUSO Horário : GMT -3 Horas
USUÁRIOS:
SOBRENOME: SN
NOME: GIVENNAME
COMENTÁRIOS: INFO
E-MAIL: MAIL
Grato desde já pela ajuda!!!
@Edinaldo qual é a versão do seu AD? E se possivél post as configurações que você fez no seu GLPI, ok ?
Boa tarde. Estou usando o GLPI mais , 0.78.2, está sincronizado com o OCS e funcionando ok… ja tem 3 máquinas importadas… o que ta rolando é o LDAP… nao autentica…. o que posso estar fazendo de errado? está com todas as configurações certas… grato
@Jackson que bom que funcionou.
Cara,
Consegui colocando usuario@dominio
apesar das outras formas também autenticarem no teste o unico que funcionou foi esse
OBRIGADO
Muito bom poste, porém eu fiz todos os passos acima e com a atualização do 2008 e não consegui importar os usuarios.
O teste de conexão aparece como bem sucedido mas na hora de importar ele não importa
pode me dar uma luz ?
Ambiante XAMP windows 7 + AD Server 2008
De grande ajuda!!!
Valeu
Olá thiago.
Parabens pela documentação fiz todos os passos porem não importa os usuarios na versão 0,78 você pode nos ajudar?
abs
Ola Thiago, muito bom seu post, fiz tudo certo quando faço o teste com o meu AD ocorre tudo certo, mas quando vou importar os usuario o GLPI não localiza.
O que pode ser isso, tem alguma ideia
Fala Thiago, muito bom seu post, mas no meu caso nao funcionou, segui passo-a-passo os procedimentos o GLPI se comunica com meu AD mas nao traz os usuarios, vc sabe o porque ocorre isso, uso XAMPP, GLPI 0,78
Valew
[…] fiz uma alteração do post Integração GLPI e AD (Active Directory), para agilizar fiz um copy e paste dela aqui nesse post […]
@Joao carlos: Verificar no Root DN muda para usuario@dominio ou dominio\usuario ou cn=usuario, dc=dominio. Havia esquecido de salientar isso no post, estarei atualizando e espero ter ajudado.
Att,
Thiago Passamani.
cara eu viz conforme voce falo ,so que da falha no teste
porque ?
sera que porque meu AD e server 2008 ….
aguardo obrigado
t’s such a important site. fabulous, extraordinarily fascinating!!!
——-
Opony
Pozycjonowanie
opony
Great read! I want to see a follow up on this topic!!
Patti
Foi muito útil esse tutorial. Grato.
Paulo
@Paulo Wellington Ferreira do Rosário: Opa, que bom que gostou do post e espero que volte a fazer pesquisa no site. Até a próxima.
Simples e eficaz, dos que eu pesquisei, o unico da net que deu resultado.
Eternamente agradecido, to tentando a semanas integrar, e graças a esse tuto, to realizando esse projeto