You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 3 Next »

  • PLAN DE MIGRATION GLPI EN DMZ

    1. Déplacement du serveur GLPI




    IP GLPI192.168.20.3 (réseau SRV)192.168.30.3 (réseau DMZ)
    Nom DNSglpi.comptaplus.locglpi.comptaplus.loc (inchangé)

    2. Mise à jour DNS (Active Directory)



    Modifier l’enregistrement A glpiRemplacer 192.168.20.3 par 192.168.30.3 dans la zone DNS comptaplus.loc.
    Commandesipconfig /flushdns sur serveur et postes.

    3. Modification de la GPO GLPI-Agent

    PAS DE MODIFICATION de l'agent car déployer par gpo avec le FQDN



    GPO RegeditVérifier/modifier la valeur server  https://glpi.comptaplus.loc/plugins/fusioninventory/front/inventory.php.
    AvantageTous les agents GLPI se reconnectent automatiquement sans toucher aux fichiers locaux.

    4. Configuration OPNsense (Firewall et NAT)

    🔸 Interface LAN ➔ DMZ (accès internes)






    LAN net (192.168.10.0/24)GLPI (192.168.30.3)443 (HTTPS)TCPAccès Web utilisateurs
    LAN netGLPI80, 443TCPAccès Agents GLPI

    🔸 Interface DMZ ➔ SRV (pour LDAPS)






    GLPI (192.168.30.3)DC01/DC02 (192.168.20.x)636 (LDAPS)TCPAuthentification Active Directory

    🔸 Interface WAN ➔ DMZ (exposition Internet)



    Redirection WAN IP ➔ 192.168.30.3:443



    Source : *Destination : 192.168.30.3:443 (NAT)

    5. Test et Validation




    Résolution DNSnslookup glpi.comptaplus.locIP 192.168.30.3 attendue
    Accès HTTPS interneNaviguer vers https://glpi.comptaplus.loc depuis LAN
    Accès HTTPS externeNaviguer via IP publique ou FQDN Internet
    Test Agent GLPIglpi-agent --debug --no-fork sur un poste

    🧠 Points de vigilance

    • 🔒 Vérifier que SSL (HTTPS) est fonctionnel (certificat valide ou certificat autorisé).

    • 🔥 Rappel : aucun accès DMZ ➔ LAN sauf règles explicitement définies.

    • 📡 Prévoir de sécuriser l'accès public (fail2ban, WAF, restriction IP si besoin).

    • ⏱ Penser à synchroniser l’heure (NTP) pour éviter les erreurs SSL/LDAP.

    🏁 Finalisation



    Déplacement GLPI sur IP DMZ
    Mise à jour enregistrement DNS
    Application de la GPO Regedit sur tous les postes
    Mise en place des règles OPNsense (LAN, DMZ, WAN)
    Tests de résolution DNS et HTTPS
    Tests de communication Agent GLPI
    Publication Internet sécurisée (si besoin)

    🔥 En résumé

    Ton GLPI sera :

    • Accessible depuis ton LAN sécurisé,

    • Accessible depuis Internet en HTTPS,

    • Capable de faire du LDAPS avec ton AD,

    • Les agents continueront de pousser automatiquement leur inventaire via la GPO Regedit.

  • No labels