PLAN DE MIGRATION GLPI EN DMZ
1. Déplacement du serveur GLPI
| Éléments | Avant | Après (en DMZ) |
|---|---|---|
| IP GLPI | 192.168.20.3 (réseau SRV) | 192.168.30.3 (réseau DMZ) |
| Nom DNS | glpi.comptaplus.loc | glpi.comptaplus.loc (inchangé) |
2. Mise à jour DNS (Active Directory)
| Action | Détail |
|---|---|
Modifier l’enregistrement A glpi | Remplacer 192.168.20.3 par 192.168.30.3 dans la zone DNS comptaplus.loc. |
| Commandes | ipconfig /flushdns sur serveur et postes. |
3. Modification de la GPO GLPI-Agent
PAS DE MODIFICATION de l'agent car déployer par gpo avec le FQDN
| Action | Détail |
|---|---|
| GPO Regedit | Vérifier/modifier la valeur server → https://glpi.comptaplus.loc/plugins/fusioninventory/front/inventory.php. |
| Avantage | Tous les agents GLPI se reconnectent automatiquement sans toucher aux fichiers locaux. |
4. Configuration OPNsense (Firewall et NAT)
🔸 Interface LAN ➔ DMZ (accès internes)
| Source | Destination | Port(s) | Protocole | Rôle |
|---|---|---|---|---|
| LAN net (192.168.10.0/24) | GLPI (192.168.30.3) | 443 (HTTPS) | TCP | Accès Web utilisateurs |
| LAN net | GLPI | 80, 443 | TCP | Accès Agents GLPI |
🔸 Interface DMZ ➔ SRV (pour LDAPS)
| Source | Destination | Port(s) | Protocole | Rôle |
|---|---|---|---|---|
| GLPI (192.168.30.3) | DC01/DC02 (192.168.20.x) | 636 (LDAPS) | TCP | Authentification Active Directory |
🔸 Interface WAN ➔ DMZ (exposition Internet)
| NAT | Règle NAT WAN vers GLPI |
|---|---|
| Redirection WAN IP ➔ 192.168.30.3:443 |
| Firewall | Règle WAN 443 autorisé |
|---|---|
| Source : * | Destination : 192.168.30.3:443 (NAT) |
5. Test et Validation
| Test | Commande | Objectif |
|---|---|---|
| Résolution DNS | nslookup glpi.comptaplus.loc | IP 192.168.30.3 attendue |
| Accès HTTPS interne | Naviguer vers https://glpi.comptaplus.loc depuis LAN | |
| Accès HTTPS externe | Naviguer via IP publique ou FQDN Internet | |
| Test Agent GLPI | glpi-agent --debug --no-fork sur un poste |
🧠 Points de vigilance
🔒 Vérifier que SSL (HTTPS) est fonctionnel (certificat valide ou certificat autorisé).
🔥 Rappel : aucun accès DMZ ➔ LAN sauf règles explicitement définies.
📡 Prévoir de sécuriser l'accès public (fail2ban, WAF, restriction IP si besoin).
⏱ Penser à synchroniser l’heure (
NTP) pour éviter les erreurs SSL/LDAP.
🏁 Finalisation
| Étape | Fait ? |
|---|---|
| Déplacement GLPI sur IP DMZ | ⬜ |
| Mise à jour enregistrement DNS | ⬜ |
| Application de la GPO Regedit sur tous les postes | ⬜ |
| Mise en place des règles OPNsense (LAN, DMZ, WAN) | ⬜ |
| Tests de résolution DNS et HTTPS | ⬜ |
| Tests de communication Agent GLPI | ⬜ |
| Publication Internet sécurisée (si besoin) | ⬜ |
🔥 En résumé
Ton GLPI sera :
Accessible depuis ton LAN sécurisé,
Accessible depuis Internet en HTTPS,
Capable de faire du LDAPS avec ton AD,
Les agents continueront de pousser automatiquement leur inventaire via la GPO Regedit.