Официальная документация:
- Установка системы GLPI (скачать pdf / EN и скачать pdf / RU)
- Настройка системы GLPI (скачать pdf / EN)
Первые действия после установки GLPI
Шаг 1: Удаление файла и каталога «install»
После успешной установки GLPI системы, следует удалить каталог и файл запуска автонастройки и установки.
- Удаление каталога с его содержимым (…/glpi/install/):
rm -r /путь_к_каталогу/glpi/install/
Данная команда rm -r удаляет каталог рекурсивно (со всем его содержимым). Убедитесь, что у вас есть права на выполнение этой команды в указанном каталоге. - Удаление файла (…/glpi/install/install.php):
rm /путь/к/каталогу/glpi/install/install.php
Данная команда rm удаляет указанный файл. Также убедитесь, что у вас есть права на выполнение этой команды в указанном каталоге.
Шаг 2: Редактирование стандартных пользователей
Первым делом необходимо авторизоваться в системе используя стандартного пользователя и пароль (glpi/glpi). Далее следует переименовать всех стандартных пользователей, созданных после установки и сменить им пароли.
Переходим в Главное меню > Администрирование > Пользователи , выбираем из списка пользователя и осуществляем все необходимые действия.
! Примечание
Рекомендуется не удалять стандартных пользователей!
Если после смены имени пользователя и пароля возникли сложности, или пароль был утерян, можно воспользоваться данной инструкцией: Сброс пароля учетной записи…
Шаг 3: Проверка параметров системы
В данной статье имеется только общая информация о настройках, поэтому подразумевается, что вы накатили систему с учетом всех требований и рекомендаций. Если имеются ошибки или замечания, идем гуглить/яндексить – «Лёлик все пропало, как починить ГЛПИ?» или «Бен ай нид хелп…».
Переходим Главное меню > Настройки > Общие и далее в меню слева выбираем Система.
Смотрим везде ли зеленые галочки:
Если имеются восклицательные знаки, ищем информацию и принимаем решение критично это в нашем случае или нет…
Информация о настройках: Организации, Профили, Группы, Пользователи
Настройки «Организации»
Главное меню > Администрирование > Организации (Entities)
Официальная документация:
https://glpi-user-documentation.readthedocs.io/fr/latest/modules/administration/entities.html
Понятие организации является ключевым в системе GLPI. Схожее с иерархией или подразделением внутри компании, оно позволяет на одном экземпляре GLPI изолировать наборы, организованные иерархически. Выбранный термин нейтрален, чтобы адаптироваться к различным информационным системам.
Единственный экземпляр (или установка) GLPI, состоящий из нескольких организаций, позволяет объединить общие данные и правила. Использование организаций позволяет создать довольно жесткую изоляцию между организационными подразделениями.
Сегментация на организации может иметь несколько целей:
- Изоляция активов каждого подразделения для ограничения видимости активов для групп или пользователей.
- Изоляция активов клиентов.
- Воспроизведение существующей иерархии каталога (LDAP, Active Directory и других…).
Использование организаций очень полезно для компании с иерархическим управлением и когда сотрудники должны иметь доступ к активам в зависимости от подразделения, к которому они принадлежат.
После создания организации в GLPI, инвентаризация активов, пользователи, профили и служба поддержки становятся зависимыми от организаций: компьютер может быть назначен организации, заявка может быть создана в организации, профили и разрешения могут быть специфичными для организаций… Автоматическое назначение организации для пользователей и активов возможно благодаря управлению правилами.
Пример: организации внутри компании
EM
|------|------|
EA EB
| | | |
EA1 EA2 EB1 EB2
Материнская организация (EM, или названная Корневая сущность (Root Entity) в GLPI) имеет двух дочерних организаций (EA и EB), которые в свою очередь имеют по два подразделения (EA1, EA2 для EA, EB1, EB2 для EB). Каждая организация имеет доступ к своим активам и дочерним организациям:
- EM имеет доступ к своим активам, а также ко всем активам всех организаций.
- EA имеет доступ к своим активам, а также к активам EA1 и EA2.
- EA1 имеет доступ только к своим собственным активам.
Пользователь может быть привязан к нескольким организациям (сущностям) с разными правами в каждой из них, причем эти права могут быть унаследованы в подсущностях или не унаследованы. Например, пользователь сможет создавать инциденты только в пределах своей подсущности, и эти инциденты будут относиться только к объектам в той же подсущности.
В противоположность этому, пользователь, которому предоставлены более широкие права, сможет просматривать все объекты, инциденты и другие элементы во всех сущностях, в которых его права применимы.
По умолчанию GLPI имеет одну общую сущность, названную “Корневая сущность” (Root Entity). Эту сущность можно переименовать по желанию пользователя.
Процессы могут различаться в зависимости от сущности, поэтому сущности могут иметь делегированное управление (разрешение “Сущности” в профиле). Это разрешение должно предоставляться ограниченному числу пользователей, которые будут ответственными за полное управление сущностью.
При использовании GLPI в режиме с множеством сущностей, управление некоторыми параметрами конфигурации может различаться в каждой сущности.
Настройки «Профили пользователей»
Официальная документация:
https://glpi-user-documentation.readthedocs.io/fr/latest/modules/administration/profiles/profiles.html
Профиль играет центральную роль в настройке GLPI: профиль – это ключ к предоставлению разрешений пользователям и к обеспечению безопасности и изоляции данных.
Профиль ассоциируется с:
- пользователем
- организацией (организациями), рекурсивно или динамически.
Для того чтобы разрешения можно было передавать дочерним сущностям, профиль должен быть ассоциирован рекурсивно.
! Что нужно сделать
Старая версия: чтобы передать права, связанные с этим профилем, всем дочерним объектам зарегистрированного объекта, необходимо рекурсивно связать профиль. В этом весь принцип рекурсии.
Разные профили могут быть ассоциированы с одним и тем же пользователем, основываясь на сущностях и вне зависимости от отношения между этими сущностями: это может быть достигнуто путем добавления профиля к пользователю для каждой сущности, где профиль пользователя должен отличаться.
По умолчанию, в GLPI заранее зарегистрированы 7 профилей:
- Супер-Админ: Этот профиль имеет все разрешения! .. предупреждение: если профиль супер-админа удален или если упрощенный интерфейс ассоциирован с этим профилем, доступ к конфигурации GLPI может быть утрачен навсегда.
- Админ: У этого профиля есть права администрирования для всей GLPI. Некоторые ограничения применяются к нему на уровне настройки правил, сущностей, а также других элементов, которые могут изменить поведение GLPI.
- Супервайзер: Этот профиль включает элементы профиля Техник, добавляя элементы, позволяющие управлять командой и ее организацией (распределение заявок и др.).
- Техник: Этот профиль соответствует профилю сотрудника по обслуживанию, имеющему доступ на чтение к инвентаризации и к службе поддержки для обработки заявок.
- Горячая линия: Этот профиль соответствует профилю, который мог быть назначен для горячей линии; он позволяет открывать заявки и отслеживать их, но не обслуживать их, как это может делать Техник.
- Наблюдатель: У этого профиля есть разрешение на чтение всех данных инвентаризации и управления. В части помощи он может открыть заявку или быть ей назначен, но не управлять этим разделом (назначать заявку, отбирать заявку…).
- Самообслуживание: Этот профиль наиболее ограничен. Он также единственный, у которого есть другой интерфейс – упрощенный интерфейс, в отличие от стандартного интерфейса. Однако он может создавать заявку, добавлять комментарий, консультировать FAQ или бронировать актив. Этот профиль устанавливается по умолчанию.
Описание разрешений
После создания профиля будет возможно устанавливать разрешения на различные функциональности GLPI. Семь вкладок, соответствующих различным меню GLPI, становятся доступными для управления этим набором разрешений и описаны ниже.
Различные разрешения объекта перечислены в строке с его названием. Для активации разрешения соответствующая галочка должна быть установлена, и наоборот, для удаления разрешения галочка должна быть снята.
! Предупреждение
Разрешения нельзя вывести из других разрешений; например, чтобы иметь возможность изменять объект, также должно быть предоставлено разрешение на чтение.
Разрешения после миграции: При миграции переносятся старые разрешения полностью, независимо от целей, и активируют соответствующие значения в новой системе. Разрешение на запись в предыдущей версии преобразуется в чтение, обновление, создание, удаление и очистку для большинства объектов и затем должно быть уточнено, если это необходимо. Для других разрешения группируются по объекту, например, разрешения FAQ — это разрешения объекта База Знаний.
Некоторые разрешения стандартизированы для всех объектов:
- Чтение: позволяет отображать объект, часто это разрешение также отображает объект или нет в различных меню.
- Обновление: позволяет отображать данные объекта.
- Создание: позволяет создать новый элемент типа объекта.
- Удаление: позволяет переместить объект в корзину. Если разрешение отсутствует, это означает, что объект не имеет корзины.
- Очистка: удаляет объект из корзины и, следовательно, навсегда из базы данных. Разрешения могут поэтому быть уточнены между временным удалением (помещение в корзину) и постоянным удалением (очистка корзины).
- Чтение заметок: позволяет отображать вкладку Заметки, если объект ее имеет.
- Обновление заметок: позволяет изменить содержание заметки или удалить ее.
Настройки «Групп пользователей»
Вкладка «Группы» позволяет добавлять, изменять, удалять, искать, экспортировать группы.
Группы могут быть определены в иерархической структуре, чтобы облегчить навигацию и поиск.
Пример: группы
::
Управление > Подразделение > Сервис или Поддержка N3 > Сеть > LAN
Группы можно использовать несколькими способами для группировки пользователей по: * навыкам : для службы поддержки, например, сетевым специалистам или администраторам баз данных, * организационным группам : например, все компьютеры руководства или бухгалтерского отдела, а также набор лиц, которым быть уведомлены.
Для настройки этого поведения доступны следующие варианты: * Видно в заявке : запрашивающая группа и/или назначение в эту группу; * Можно получать уведомления : получатель уведомлений; * Может быть супервайзером : только по проекту ; * Может содержать : активы и/или пользователей.
В форме позиции доступны 2 понятия групп: * техническая группа , которая указывает, какая группа людей отвечает за актив (эквивалент группы технического менеджера) * группа , которая указывает, к какой группе объектов он принадлежит.
! Примечание
Техническая группа может разрешить автоматическое назначение заявки группе технических специалистов, категории заявок см. в главе: doc: Настройка раскрывающихся списков </modules/configuration/dropdowns/assistance.rst> . Аналогично его можно использовать в Бизнес-правилах для билетов .
! Информация
Если для всех параметров установлено значение «Нет» , группа не появится ни в одном списке выбора; это может быть полезно для группы, которая удалена и сохранена для истории, или для добавления пустых групп в иерархическую структуру.
Группа может иметь одного или нескольких супервизоров, эту концепцию затем можно использовать для уведомлений, например, для отправки электронного письма супервизору(ам) группы при открытии заявки, см. Управление уведомлениями .
Механизм делегирования позволяет пользователю объявлять инциденты не за себя, а за одного из членов этой группы.
Пример: делегирование
помощник, фиксирующий происшествия для всех лиц руководства
Понятия делегирования и супервайзера можно настроить во вкладке «Пользователи» (см. ниже).
Назначение группы пользователей либо статическое и выполняется с использованием интерфейса GLPI, либо динамическое, когда оно автоматически извлекается из каталога LDAP.
Группа прикрепляется к сущности, в которой она создана, и затем может быть видна в подсущностях.
Из списка групп группу можно импортировать из каталога LDAP с помощью кнопки ссылки на каталог LDAP, если используется внешняя аутентификация и в профиле предоставлены полномочия «Аутентификация и синхронизация». Распределение пользователей по группам будет автоматическим, см. Профили . Если настроено несколько каталогов, предлагается выбор между каталогами, в противном случае форма поиска доступна напрямую.
В зависимости от того, как вы ищете группы (см.: doc: Аутентификация пользователей из каталогов LDAP </modules/configuration/authentification/ldap> ), появляется фильтр поиска в группах и/или фильтр поиска пользователей : они позволяют уточнить список до быть импортированы. Если GLPI используется в нескольких объектах, необходимо выбрать целевой объект группы, а также его видимость в подобъектах.
! Примечание
Импортирующие группы нельзя фильтровать по объектам. Кроме того, отсутствует функция групповой синхронизации. Единственный способ обновить из каталога список участников группы — это повторная синхронизация пользователей, см. Импорт пользователей из внешнего источника .
! Предупреждение
При переходе с версии GLPI ниже 0.80 любое подключение вручную, ранее выполненное для группы из каталога LDAP, будет потеряно.
Настройки «Пользователей»
Управление пользователями позволяет добавлять, изменять, удалять, искать пользователей, а также импортировать и экспортировать список пользователей.
При необходимости можно деактивировать пользователя. Если деактивировано, пользователя больше нельзя будет выбрать в раскрывающемся меню для билетов или инвентаря, но он сохранит связанные элементы и билеты. Даты действия также могут определять временной интервал активности пользователя: учетная запись пользователя будет считаться активной только после даты начала и/или до даты окончания. Обе даты могут быть определены независимо.
Фотография может быть добавлена вручную или автоматически импортирована из каталога (см. Аутентификация пользователей с помощью LDAP ).
Имитировать
В целях отладки или администрирования учетная запись «суперадминистратора» (или любой профиль с правами настройки) может временно стать владельцем учетной записи другого пользователя, не зная его пароля. Для выполнения этого действия в верхней части пользовательской формы доступен значок.
Отметить:
- Специальный баннер будет отображаться постоянно, пока функция активна, и позволит вам выйти из этого режима.
- После выхода администратор восстановит свой сеанс в том виде, в котором он был до использования этой функции.
- История действий администратора будет отображаться со специальной пометкой: «пользователь (xxx) выдает себя за администратора (yyy)».
0 Комментариев