Filtrage utilisateurs LDAP Snipe-IT : Guide pratique Active Directory 2025

Table des matières

Open Table des matières

1️⃣ Prérequis
2️⃣ Objectif du filtre LDAP
🔐 Bonnes pratiques de sécurité pour le filtrage LDAP
- Cas d’usage avancés du filtrage LDAP
- 🔍 Explication du filtre
4️⃣ Tester le filtre LDAP
- Commande <a href="https://cyberinstitut.fr/utiliser-ldapsearch-guide-debutants/">ldapsearch</a> pour tester

1️⃣ Prérequis

Avant de commencer, assurez-vous d’avoir :

Un serveur LDAP/Active Directory accessible depuis Snipe-IT.
Les identifiants d’un compte ayant les permissions suffisantes pour interroger l’AD.
Snipe-IT correctement configuré avec la connexion LDAP active.

2️⃣ Objectif du filtre LDAP

Un bon filtrage utilisateurs LDAP Snipe-IT vous permettra de :

Synchroniser uniquement les utilisateurs actifs.
Exclure les comptes désactivés.
Ne récupérer que les utilisateurs appartenant à certains groupes.
Exclure les utilisateurs dont l’adresse userPrincipalName se termine par un domaine spécifique (ex. @exemple.ad).

🔐 Bonnes pratiques de sécurité pour le filtrage LDAP

Le filtrage utilisateurs LDAP Snipe-IT ne se limite pas à exclure des comptes. C’est aussi une question de sécurité cruciale pour votre infrastructure.

Erreurs de sécurité courantes :

Utiliser un compte administrateur pour la liaison LDAP (gros risque !)
Ne pas tester les filtres avant la mise en production
Oublier de monitorer les logs de synchronisation

Recommandations expertes :

Créez un compte de service dédié avec permissions minimales
Testez toujours vos filtres avec ldapsearch avant application
Activez les logs détaillés pendant la phase de test
Documentez vos filtres pour faciliter la maintenance

Cas d’usage avancés du filtrage LDAP

Voici des exemples concrets de filtrage utilisateurs LDAP Snipe-IT :

&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(ou=<em>Externe</em>))(memberOf=CN=IT-Assets,OU=GROUPS,DC=exemple,DC=ad)

&(objectCategory=person)(objectClass=user) (!(userAccountControl:1.2.840.113556.1.4.803:=2)) (!(userPrincipalName=*@exemple.ad)) (|(memberof=CN=Groupe1,OU=GROUPS,DC=exemple,DC=ad) (memberof=CN=Groupe2,OU=GROUPS,DC=exemple,DC=ad) (memberof=CN=Groupe3,OU=GROUPS,DC=exemple,DC=ad))

🔍 Explication du filtre

&( … ) : Combine plusieurs conditions avec un ET logique.
(objectCategory=person) : Sélectionne uniquement les utilisateurs et pas les groupes ou ordinateurs.
(objectClass=user) : Garantit que seuls les comptes utilisateurs sont pris en compte.
(!(userAccountControl:1.2.840.113556.1.4.803:=2)) : Exclut les comptes désactivés.
(!(userPrincipalName=*@exemple.ad)) : Exclut les utilisateurs dont l’UPN finit par @exemple.ad.
(|(memberof=CN=Groupe1,OU=GROUPS,DC=exemple,DC=ad)… ) : Ne synchronise que les utilisateurs appartenant à au moins un des groupes spécifiés.

4️⃣ Tester le filtre LDAP

Avant d’ajouter le filtre dans Snipe-IT, testez-le avec ldapsearch sous Linux ou via l’outil LDAP Admin sous Windows.

Commande `<a href="https://cyberinstitut.fr/utiliser-ldapsearch-guide-debutants/">ldapsearch</a>` pour tester

ldapsearch -x -h AD_SERVER -D "cn=Utilisateur,dc=exemple,dc=ad" -W -b "dc=exemple,dc=ad" \
  "(&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=*@exemple.ad)))"