🧱 1. Mise à jour DNS Active Directory
Étape Action 🛠 Ouvre dnsmgmt.mscsur ton DC✏️ PLAN DE MIGRATION GLPI EN DMZ
1. Déplacement du serveur GLPI
IP GLPI 192.168.20.3 (réseau SRV) 192.168.30.3 (réseau DMZ) Nom DNS Modifie l’entrée A glpi.comptaplus.locglpi.comptaplus.loc (inchangé) 2. Mise à jour DNS (Active Directory)
3. Modification📌 Modifier l’enregistrement A Remplacer 192.168.20.3 parglpiNouvelle IP = 192.168.30.3comptaplus.loc.(DMZ) 💡 Commandes Vide le cache DNS : ipconfig /flushdnssur serveur et postes .🧠 2. Mise à jour de la GPO
GLPI-AgentPAS DE MODIFICATION de l'agent car déployer par gpo avec le FQDN
pour les agents GLPI
Étape Action 📁 GPO avec clé Regedit : HKLM\Software\GLPI-Agent\server🌍 GPO Regedit Vérifier/modifier la valeurserver→Valeur : https://glpi.comptaplus.loc/plugins/fusioninventory/front/inventory.phpAvantage Tous les agents GLPI se reconnectent automatiquement sans toucher aux fichiers locaux. 4. Configuration OPNsense (Firewall et NAT)
🔸 Interface LAN ➔ DMZ (accès internes)
🧪 Tester un poste avec : glpi-agent --debug --no-fork🔄 Forcer la GPO : gpupdate /forcesur un poste🔐 3. Configuration des règles OPNsense
📍 Interface LAN ➜ DMZ (accès internes : agents + utilisateurs)
Source Destination Ports Description LAN netLAN net (192.168.10.0/24) GLPI (192.168.30.3443 (HTTPS) TCPTCP 80, 443 Accès Web utilisateursGLPI LAN netGLPI 80, 443 TCP Accès Agents GLPI 🔸 Interface DMZ ➔ SRV (pour LDAPS)
192.168.30.3TCP 62354 (optionnel) Port agent GLPI si utilisé 📍 Interface DMZ ➜ SRV (LDAPS vers Active Directory)
🔸Source Destination Port Description GLPI ( 192.168.30.3DC01/DC02 ( 192.168.20.1-2TCP 636 (LDAPS)TCPAuthentification Active DirectoryLDAP sécurisée 📍 Interface WAN
➔➜ DMZ (
expositionaccès Internet)
Type Détail NAT RedirectionWAN IP ➔➜ 192.168.30.3:443 Firewall Autoriser TCP 443 sur l’interface WAN (auto ou manuel) 📍 Interface DMZ ➜ WAN (si GLPI a besoin d’Internet)
5. Test et ValidationSource Destination Port(s) Description Source : * Destination :192.168.30.3*53, 443 DNS + MAJ, accès web externe 📍 Interface DMZ ➜ Accès SSH depuis PC_ADM
Source Destination Port Description 192.168.10.1 (PC_ADM)192.168.30.3TCP 22 Administration SSH du serveur GLPI 🧪 4. Vérifications à faire
Test Commande ou action Résolution DNS nslookup glpi.comptaplus.loc➔ doit donner attendue192.168.30.3Accès HTTPS interne Naviguer vers https://glpi.comptaplus.locdepuis LANAccès HTTPS externe Naviguer via IP publique ou FQDN InternetTest Agent GLPI glpi-agent --debug --no-fork🧠 Points de vigilance
🔒 Vérifier que SSL (HTTPS) est fonctionnel (certificat valide ou certificat autorisé).
🔥 Rappel : aucun accès DMZ ➔ LAN sauf règles explicitement définies.
📡 Prévoir de sécuriser l'accès public (fail2ban, WAF, restriction IP si besoin).
⏱ Penser à synchroniser l’heure (
NTP) pour éviter les erreurs SSL/LDAP.
🏁 Finalisation
Déplacement GLPI sur IP DMZ ⬜ Mise à jour enregistrement DNS ⬜ Application de la GPO Regedit sur tous les postes ⬜ Mise en place des règles OPNsense (LAN, DMZ, WAN) ⬜ Tests de résolution DNS et HTTPS ⬜ Tests de communication Agent GLPI ⬜ Publication Internet sécurisée (si besoin) ⬜ Accès Web https://glpi.comptaplus.locdepuis LAN et depuis InternetLDAPS Vérifie dans GLPI : connexion LDAP ➔ OK SSH ssh glpi@192.168.30.3depuis192.168.10.1✅ Optionnel : nettoyage
Action Pourquoi Supprimer ancienne règle vers 192.168.20.3GLPI n'est plus sur le réseau SRV Archiver l'ancienne conf GLPI Bonnes pratiques post-migration 🔥 En résumé
Ton GLPI sera :
Accessible depuis ton LAN sécurisé,
Accessible depuis Internet en HTTPS,
Capable de faire du LDAPS avec ton AD,
Les agents continueront de pousser automatiquement leur inventaire via la GPO Regedit.
Page History
Overview
Content Tools