GLPI-omaisuusrekisteri ja tukijärjestelmän asentaminen Windows Serveriin + konfigurointia

Nämä kuvakaappaukset otettu Windows Server 2025-käyttöjärjestelmässä.

Tässä esimerkissä GLPI asennetaan Windows Serveriin, joka on yhdistetty AD-ympäristöön.

Tässä esimerkissä myös lisäämme LDAP-kirjautumisen (järjestelmään voidaan kirjautua AD-tunnuksilla), profiilisäännöt ja deployaamme koneisiin GLPI Agent-ohjelman (kerää koneista, ohjelmista ja laitteista tietoa, GPO/Intune).

Tässä esimerkissä AD-ympäristömme root domain name on ad.mummeliini.fi ja konfiguroimme GLPI:n osoitteeseen glpi.mummeliini.fi.

Tämän lisäksi konfiguroimme GLPI:n käyttämään LDAPs:ia eli suojattua LDAP:ia ja tämän lisäksi konfiguroimme GLPI:n toimimaan suojatulla HTTPS-yhteydellä.

HUOM! Tässä esimerkissä konfiguroimme GLPI:n toimimaan VAIN sisäisesti. HTTPS-sertifikaatti ei siis ole julkinen! Eikä pelkästään näitä ohjeita seuraamalla saa GLPI:tä toimimaan ulkoisesti!

Yleensähän GLPI on asennettuna Linuxilla pyörivään palvelimeen, mutta teemme sen nyt Windowsille. Varmistakaahan junnut että lisenssit ovat kunnossa tai teette sen evaluationilla. Ette lähde piratisoimaan.

KÄYTÄTHÄN OHJEESSA OLEVIA LATAUSLINKKEJÄ! UUSIMMAT MYSQL/PHP VERSIOT EIVÄT TOIMI WINSERVERIN/GLPI:N KANSSA!

Varmista, että kone on liitetty domainiin. Muuta ei tarvitse tehdä.

Ohjeet Windows Serverin asentamiseen, Ohjeet AD-ympäristön konfigurointiin, Ohjeet Root CA-palvelimen konfigurointiin (nämä tulee pian)

1. Lisätään palvelimeen Web Server (IIS) rooli ja CGI. Ei tehdä vielä tässä vaiheessa mitään konfiguraatioita siellä.
2. Asennetaan MySQL-tietokantapalvelin ja konfiguroidaan se.
   1. Latauslinkki: https://dev.mysql.com/downloads/file/?id=536789
   2. Asennamme MySQL:in moodilla Server Computer. Älä täppää Luo Sakila-tietokanta tai Luo World-tietokanta.
   3. MySQL-käyttäjien luominen ei ole tarpeen, sillä he eivät ole ne käyttäjät, jotka kirjautuvat GLPI:in
3. Asennetaan PHP ja konfiguroidaan se. HUOM! Älä tee kohtaa 6, jos et aio ottaa käyttöön HTTPS:ää (sinulla ei esim ole CA-palvelinta).
   1. Latauslinkki: https://windows.php.net/downloads/releases/php-8.3.17-nts-Win32-vs16-x64.zip
   2. Pura ladattu ZIP-kansio. Tee C-juureen kansio PHP ja siirrä puretun kansion sisältö luomaasi kansioon.
   3. Tämä palvelin on tuotantokäyttön eikä testausta varten. Tästä syystä etsi PHP-kansiosta tiedosto php.ini-production ja ota siitä osa -production pois. Tämän jälkeen avaa tiedosto tekstieditorilla, vaikka Notepadilla.
   4. Etsi tiedostosta laajennukset (extensions) ja ota käyttöön seuraavat laajennukset ottamalla puolipiste ; pois niiden alusta (PAKOLLISET): curl, fileinfo, gd, intl ja mysqli.
   5. Nämä laajennukset ovat vapaaehtoisia (niiden käyttöönottoa suositellaan, muttei se ole välttämätöntä. Joitakin niistä vaaditaan ekstraominaisuuksia varten): bz2, ldap (tässä esimerkissä pakollinen), mbstring, exif, openssl ja zend_extension=opcache.
   6. Turvakonfiguraatiot! Aseta session.cookie_secure = on (ja ota puolipiste pois), aseta session.cookie_httponly = on ja aseta session.cookie_samesite = Strict.
4. Asennetaan URL-rewrite moduuli. Et tarvitse tätä, jos et halua konfiguroida GLPI:tä mahdollisimman turvallisesti. Riittää, että asennat, ei tarvitse tehdä konfiguraatioita
   1. Latauslinkki (x64): https://download.microsoft.com/download/1/2/8/128E2E22-C1B9-44A4-BE2A-5859ED1D4592/rewrite_amd64_en-US.msi
5. Asennetaan GLPI interwebsistä. Tehdään muutama asia ennen sen siirtämistä wwwroot-kansioon. Vaihe 3 on periaatteessa vapaaehtoinen (eli siis jos et halua konfiguroida GLPI:tä mahdollisimman turvallisesti, jätä tekemättä)
   1. Latauslinkki: https://github.com/glpi-project/glpi/releases/download/10.0.18/glpi-10.0.18.tgz
   2. Lataa ja pura tämä kansio
   3. Turvallisuuden lisäämiseksi emme tule myöhemmin asettamaan GLPI-sivun juureksi C:\inetpub\wwwroot vaan C:\inetpub\wwwroot\public.
      Nyt meidän pitää konfiguroida tämä niin, että järjestelmä osaa kerätä tietoa muualtakin kuin public-hakemistosta.
      Tehdään web.config-tiedosto. Avaa vaikkapa Notepad ja liitä seuraava:
      

      ---

      <?xml version="1.0" encoding="UTF-8"?>
      <configuration>
      <system.webServer>
      <rewrite>
      <rules>
      <rule name="Rewrite to GLPI" stopProcessing="true">
      <match url="^(.*)$" />
      <conditions>
      <add input="{REQUEST_FILENAME}" matchType="IsFile" ignoreCase="false" negate="true"/ >
      </conditions>
      <action type="Rewrite" url="index.php" appendQueryString="true" />
      </rule>
      </rules>
      </rewrite>
      </system.webServer>
      </configuration>

      ---

      Tallenna tämä tiedosto nimellä web.config (VARMISTA ETTÄ SAVE AS TYPE ON ASETETTU ALL FILES!) ja tallenna se sinne public-kansioon.
   4. Siirrä nyt koko ladatun GLPI-kansion sisältö kansioon C:\inetpub\wwwroot.
   5. GLPI tarvitsee wwwroot-kansioon oikeudet. Valitse wwwroot-kansio hiiren oikealla, valitse Properties > Security. Lisää Everyone ja anna sille täydet oikeudet - Full access.
6. Tässä vaiheessa varmista, että GLPI-palvelimeesi on asennettu tekemäsi Root CA-sertifikaatti! Jos et ole vielä tehnyt sitä, esittelyosiossa on linkki niihin ohjeisiin (en ole vielä niitä tehnyt).
7. Nyt luomme sertifikaatin, että GLPI toimii HTTPS-yhteydellä. Älä tee, jos et halua HTTPS:ää.
   1. Avaa sertifikaattipalvelimella certtmpl.msc ja etsi sieltä malli Web Server. Valitse hiiren oikealla, valitse Properties > Security. Lisää GLPI-konekäyttäjä (eli siis hae GLPI-palvelimen nimellä) ja anna sille Enroll-oikeudet.
   2. GLPI-palvelimessa avaa mmc. File > Add/Remove Snap-in... > Certificates > Add > Computer account. > Finish > OK.
   3. Valitse Certificates (Local Computer). Valitse hiiren oikealla Personal > All Tasks > Request New Certificate...
   4. Next > Next > Click here to configure settings.
   5. Subject name: Common name: glpi.mummeliini.fi > add ja alternative name: DNS: glpi.mummeliini.fi > add > OK > täppää Web Server > Enroll.
8. Tässä vaiheessa lisätään DNS-konfiguraatio tälle glpi.mummeliini.fi osoitteelle. Se tehdään DC tai DNS-palvelimella, kummalla DNS rooli nyt sattuu olemaan asennettuna.
   1. Avaa DNS > palvelimen nimi > Forward Lookup Zones > New Zone... > Next > Next > Next > glpi.mummeliini.fi > Next > Finish.
      • Teemme näin siksi, koska jos tekisimme uuden zonen mummeliini.fi ja lisäisimme sinne glpi-host recordin, emme pääsisi muihin mummeliini.fi sivuihin, kuten mummeliini.fi, jotain.mummeliini.fi tai mummeliini.fi/jotain.
   2. Valitse luotu zone > hiiren oikealla tyhjään kohtaan > New Host (A or AAAA) > jätä nimi tyhjäksi ja kirjoita palvelimen IP-osoite IP-kenttään > Add Host.
9. Siirytään nyt takaisin GLPI-palvelimelle. Tässä vaiheessa joudumme tekemään pienen kikkakolmosen, että GLPI suostuu käyttämään LDAPS:ia. Älä tee, jos et käytä LDAPS:ia.
   1. Tee C-juureen kansio openldap ja sen sisään kansio sysconf.
   2. Nyt avaa Notepad, kirjoita siihen TLS_REQCERT never ja tallenna se sysconf-kansioon nimellä ldap.conf (varmista taas että save as type on asetetu all files).
   3. KÄYNNISTÄ NYT PALVELIN UUDELLEEN!
10. Huhhuh, mikä urakka! Nyt avataan IIS Manager.
    1. Valitse palvelimesi > Handler Mappings.
    2. Actions-osiosta paina Add Module Mapping...
    3. Request path: *.php
       Module: FastCgiModule
       Executable: C:\PHP\php-cgi.exe
       Name: vaikka FastCgiModule tai PHP
       OK
       Yes!
    4. Sitten palvelinosiossa paina Default Document > Add... > Kirjoita index.php > OK!
    5. Poista nyt Sites-osiossa oleva Default Web Site (hiiren oikea > remove > yes tai valitse se listassa > actions > remove > yes).
    6. Nyt paina Sites-osiossa Add Website...
       1. Site name: GLPI
          Physical path: C:\inetpub\wwwroot\public
          Type: https
          IP address: All Unassigned
          Port: jätä 443:eksi
          Host: glpi.mummeliini.fi
          SSL certificate: valitse luomasi sertifikaatti, minulla se on glpi.mummeliini.fi
          OK!
    7. Luomassasi sivussa valitse Edit Site-osiossa oleva Bindings... > Add > (jätä http, All Unassigned, 80) ja kirjoita hostnamesi, minulla glpi.mummeliini.fi. Kun lisäämme tämän bindingin, meidän ei tarvitse kirjoittaa https://glpi.mummeliini.fi, pelkkä glpi.mummeliini.fi riittää.
11. Nyt vihdoinkin avaa selaimessasi GLPI, ja aloitetaan asennus. Minä kirjoitan että glpi.mummeliini.fi.
    1. Kieleksi saa suomen.
    2. Lue lisenssi jos jaksat, hyväksy, mene eteenpäin
    3. Järjestelmä tsekkaa onko kaikki kondiksessa. Jos olet noudattanut ohjeita prikulleen (ja oikein), näet kaiken hyväksyttynä.
    4. SQL Server: localhost, user: root, salasana on se minkä asetit MySQL:in asennuksessa.
    5. Annetaan GLPI:n luoda uusi tietokanta, kirjoitetaan siihen vaikka että glpi.
    6. Otetaan käyttötietotäppä pois vaan
    7. JA VALMIS! GLPI ON ASENNETTU! Voit kirjautua sisään oletus superadmin käyttäjällä glpi (salasana: glpi).
12. Kuten etusivulla näet varoituksen, poista tiedosto C:\inetpub\wwwroot\install\install.php ja vaihda oletuskäyttäjien salasana/deaktivoi ne.
13. Juuriyksikön nimen voi vaihtaa mm. firman nimeksi Ylläpito > Yksiköt.

LDAP-kirjautumisen käyttöönotto

Seuraa näitä ohjeita, jos haluat, että GLPI:hin voi kirjautua AD-tunnuksilla.

1. Asetukset > Kirjautuminen > LDAP-hakemistot > Lisää.
2. Aluksi paina Esikonfiguraatiosta Active Directory. Jätä mainitsemattomat kohdat oletusarvoilleen. Sitten:
   Nimi: Mummeliini AD (esimerkki)
   Oletuspalvelin: Kyllä
   Aktiivinen: Kyllä
   Palvelin: ldaps://ad.mummeliini.fi (esimerkki). voit myös kirjoittaa ldaps://DC1, jossa DC1 on DC-palvelimesi nimi. Jos laitat esim. ad.mummeliini.fi, GLPI käyttää saatavilla olevaa palvelinta. Jos DC1 on sammuksissa, ja palvelimeksi on asetettu DC1, palveluun ei voi kirjautua. MUISTA ldaps://-alku!
   Portti: 636
   Base DN: DC=ad,DC=mummeliini,DC=fi
   Use bind: Kyllä
   Juuri-DN: MUMMELIINI\Hallinta
   Salasana: järj. valvojan salasana
   Lisää!
3. Nyt voit kirjautua GLPI:hin AD-tunnuksilla!

Profiilisäännöt

Haluamme nyt konfiguroida, että tietyillä käyttäjillä on tietyt oikeudet GLPI:ssä.

1. Ylläpito > Rules > Säännöt valtuuksien liittämiseksi > Lisää.
2. Nimi: anna nimi, aktiivinen: kyllä.
3. Olen itse tehnyt niin, että jos AD-käyttäjän titteli on Järjestelmänvalvoja, hänelle liitetään Super-Admin-profiili. Profiilien nimiä voi vaihtaa Ylläpito > Profiles. Jos titteli on Henkilökunta, saa käyttäjä Self-Service oikeudet. Jos titteli ei ole Henkilökunta eikä Järjestelmänvalvoja, oikeuksia ei liitetä eli liitetään profiili -----, ja käyttäjä ei voi kirjautua palveluun.

GLPI Agentin käyttöönotto

GLPI Agent on ohjelma, joka kerää tietoa koneesta, sen ohjelmista ja lisälaitteista. Deployataan se tietokoneisiin GPO:lla eli ryhmäkäytännöllä ja Microsoft Intunella (pilvipohjaisten koneiden hallinta).

Otetaan inventaario käyttöön GLPI:ssä, ylläpito > inventory > enable inventory. Voit myös valita oletustilaksi mm. Käytössä-tilan. Täten kun agentti haistaa koneen, sille asetetaan tilaksi Käytössä (luo uusi status plusnappulasta).

1. Asennuslinkki VBS-skripti, GPO: https://raw.github.com/glpi-project/glpi-agent/develop/contrib/windows/glpi-agent-deployment.vbs
2. Muuta tässä skriptissä SetupOptionissa palvelimesi osoite. Https/http, glpi.firmasi.fi.
Lisää AGENTMONITOR=1, jos haluat, että Agentin mukana asentuu interaktiivinen monitoriohjelma, jossa voi mm. pakottaa inventaarion tai luoda uuden tiketin. Se lisää myös kuvakkeen tehtäväpalkin ilmaisinalueelle eli system tray-alueelle.
3. Tallenna tämä skripti VBS-muodossa NETLOGON-kansioon, \\ad.mummeliini.fi\NETLOGON tai DC-palvelimella C:\Windows\SYSVOL\sysvol\ad.mummeliini.fi\scripts (sama asia).
4. Ryhmäkäytäntöeditorissa valitse se käytäntö, johon haluat Agentin liittää, valitse Computer Configuration > Policies > Windows Settings > Scritps (Startup/Shutdown). Lisää \\ad.mummeliini.fi\NETLOGON\glpi-agent-deployment.vbs.

1. Asennuslinkki: https://github.com/glpi-project/glpi-agent/releases/download/1.12/GLPI-Agent-1.12-x64.msi
2. Ei ole suositeltavaa miksata Win32 ja MSI asennustiedostoja Intunessa. Se voi tukkia Autopilotin. Jotenka jos sinulla on Win32-ohjelmia pakollisena, muutetaan GLPI Agent MSI .intunewin-asennustiedostoksi alla olevien ohjeiden mukaisesti.
• Lataa Microsoft Win32 Content Prep Tool: https://github.com/microsoft/Microsoft-Win32-Content-Prep-Tool/blob/master/IntuneWinAppUtil.exe lataa tuolta raakana.
• Sinulla on nämä kaksi tiedostoa nyt tod. näk. Ladatut tiedostot-kansiossa. Tee uusi kansio, vaikkapa agent, ja siirrä ladattu MSI-tiedosto sinne. Avaa IntuneWinAppUtil.exe.
• Source directory on nyt agent, asennustiedosto on GLPI-Agent-1.12-x64.msi ja emme aseta catalog-hakemistoa. Output-kansioksi aseta vaikkapa output.
• Kun on valmista, sinulla on .intunewin asennustiedosto output-kansiossa. Voit nyt lisätä sen Intunessa. Install command = msiexec /i "GLPI-Agent-1.12-x64.msi" /qn AGENTMONITOR=1 (jos haluaa Agent Monitorin) RUNNOW=1 SERVER='https://glpi.mummeliini.fi/'. Assignaa pakolliseksi, niin asentuu Autopilotin aikana.