Versions Compared

Old Version 12

changes.mady.by.user Johnny

Saved on

compared with

New Version Current

changes.mady.by.user Johnny

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • Nouvelle vm en dmz 192.168.30.3
  • user srvglpisrv
  • installer nginx
  • configuration nginx avec reverse proxy

...

  • GLPI reste installé sur ton serveur actuel SRV (192.168.20.3) dans le LAN
    (Pas besoin de tout réinstaller).

    • Tu ne

  • Ne déplaces pas GLPI physiquement (ça évite de tout casser côté LDAP/BD/GLPI).

  • Tu ajoutes Ajoutes un reverse proxy dans ta DMZ (ex: 192.168.30.3) qui publie GLPI vers l’extérieur.

  • Aucune ouverture directe du LAN vers le WAN.

...

Annexe 1 : Crée un certificat avec ADCS (pour un serveur web)

transférer le fichier base 64 :

...



  • Code Block
    # Aller dans le dossier de config Nginx
cd /etc/nginx/sites-available/

# Créer un nouveau fichier pour GLPI
sudo nano glpi.conf
    Code Block
      GNU nano 7.2                                                                                         /etc/nginx/sites-available/glpi.conf                                                                                                  ##
##  Reverse-proxy GLPI – DMZ (192.168.30.2)
##  Accès WAN : https://10.192.0.249
##  Backend   : http://192.168.20.3
##

# ───────────────────────────────
#  1) Redirection HTTP  →  HTTPS
# ───────────────────────────────
server  server {
    listen      80  default_server;
    server_name _;                          # accepte n’importe quel Host ou IP
    return 301 https://$host$request_uri;
}

# ───────────────────────────────
#  2) Bloc HTTPS « catch-all »
# ───────────────────────────────
server {
    listen      443 ssl default_server;
    server_name _  glpi.comptaplus.loc;     # IP 10.192.0.249 + FQDN interne

    # ←  fichiers auto-signés (générés avec SAN = IP   [+ DNS si tu veux])
    ssl_certificate     /etc/nginx/ssl/cert.pem;
    ssl_certificate_key /etc/nginx/ssl/key.pem;

    # Harden SSL (basique)
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;

    # Headers de sécurité
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-Frame-Options "DENY" always;
    add_header X-XSS-Protection "1; mode=block" always;

    # ── Reverse-proxy ──────────────────────────────────────────────
    location / {
        proxy_pass https://192.168.20.3;           # HTTP interne (terminaison TLS ici)
        proxy_set_header Host              $host;
        proxy_set_header X-Real-IP         $remote_addr;
        proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}
  • Code Block
    # Créer un lien symbolique dans sites-enabled
sudo ln -s /etc/nginx/sites-available/glpi.conf /etc/nginx/sites-enabled/

# Tester la configuration Nginx pour être sûr qu’il n’y a pas d'erreurs
sudo nginx -t

# Recharger Nginx pour appliquer la nouvelle config
sudo systemctl reload nginx



 Ici ton  Ici  Nginx en DMZ reçoit les requêtes HTTPS et renvoie proprement vers ton vers  le serveur GLPI interne.

Sur OPNsense (pare-feu) :

...