GLPI : importer les utilisateurs depuis un annuaire LDAP

L’import LDAP permet l’authentification et la synchronisation des comptes depuis un annuaire central.

Prérequis

• Profil Super-Admin.
• Un compte de service LDAP en lecture.
• Le module PHP ldap actif (php -m | grep ldap).

1. Déclarer l’annuaire

Menu Configuration → Authentification → Annuaires LDAP → + Ajouter.

• Nom : AD-Exemple.
• Serveur : ldap.exemple.fr, port 389 (ou 636 en LDAPS).
• BaseDN : DC=exemple,DC=fr.
• RootDN : CN=svc-glpi,OU=Services,DC=exemple,DC=fr.
• Mot de passe du compte de service.
• Champ de connexion : samaccountname pour Active Directory, uid pour OpenLDAP.

2. Tester la connexion

Bouton Tester en haut de la fiche annuaire. La réponse attendue est Test réussi.

3. Mapper les champs

Onglet Champs de l'utilisateur : associer Nom → sn, Prénom → givenname, Courriel → mail.

4. Importer les utilisateurs

Menu Administration → Utilisateurs → Liaison annuaire LDAP → Importation de nouveaux utilisateurs. Définir un filtre :

(&(objectClass=user)(objectCategory=person)(memberOf=CN=GLPI,OU=Groupes,DC=exemple,DC=fr))

Sélectionner les comptes et cliquer Importer.

5. Synchroniser automatiquement

L’action automatique synchronizeLdap met à jour les comptes liés. Forcer :

php bin/console glpi:ldap:synchronize_users -d AD-Exemple

Vérification

Les comptes importés apparaissent dans Administration → Utilisateurs avec la colonne Authentification à LDAP. Tester la connexion avec un compte annuaire.

Dépannage

• « Impossible de se connecter au serveur LDAP » : pare-feu sur 389/636, ou TLS mal configuré.
• Aucun résultat à l’import : filtre LDAP trop restrictif ; tester avec ldapsearch -x -H ldap://ldap.exemple.fr -D "..." -W -b "DC=exemple,DC=fr".
• Champs vides : mapping incorrect, vérifier les attributs réels avec ldapsearch.
• Doublons : champ de connexion non unique ; conserver samaccountname plutôt que cn.