ATTENTION

La sécurité de GLPI-IPAM est conceptuellement validée. Cependant, elle n'a pas pu être pleinement validée sur plusieurs sites. Nous recherchons des sites de tests afin de valider sa mise en oeuvre effective.
C'est notamment pour diversifier les points de vue sur les contraintes sécuritaires liées aux systèmes IPAM.

Sécurité

Les serveurs DNS, DHCP et Radius sont généralement des éléments clefs dans la sécurité des réseaux. C'est pourquoi il faut être très vigilant à la sécurité du système sur lequel GLPI-IPAM est installé. Hormis pour l'installation des logiciels GLPI-IPAM, ISC-DHCP, ISC-Bindet FreeRadius et leur configuration, aucune intervention directe sur le serveur n'est requise.

Sécurité dans GLPI-IPAM

Le plugin repose sur le droit en écriture internet. C'est pourquoi il est fortement recommandé de restreindre le nombre d'utilisateurs ayant ce droit. Plus globalement, il faut être vigilent aux droits que l'on donne : un utilisateur ayant le droit de supprimer un ordinateur pourrait "supprimer" une entrée dans le serveur DNS ...

Conflit avec d'autres plugins

Utiliser d'autres plugins tels que [https://forge.indepnet.net/projects/massocsimport OCS-Import] ou [http://forge.fusioninventory.org/projects/fusioninventory-for-glpi Fusion Inventory] peuvent compromettre l'intégrité des données du DNS. En effet, ces derniers vont modifier les adresses IP des ordinateurs. D'une part, cette modification est basée sur les adresses inventoriées dans les ordinateurs. D'autre part, ces plugins ne tiennent pas compte des droits associés aux utilisateurs.
Donc, si involontairement ou volontairement un utilisateur a saisie une mauvaise adresse IP dans son ordinateur, elle ressortira dans le serveur DNS.

La solution est de demander à ces plugins de ne pas mettre à jours les informations réseau. Ainsi, la base de donnée des ordinateurs serait mise à jours pour tout ce qui concerne les composants. Mais les adresses IP et les adresses MAC sont gérées par les administrateurs du système.

Internet Monitor

Le plugin intègre un embryon de composant permettant de gérer le multi-entité. Il permet de déléguer une sous-partie d'un réseau ou d'un domaine internet (FQDN) à une entité fille. Comme il n'a pas été validé (cf. paragraphe ATTENTION ci-dessus), il a été désactivé par défaut.
Nous recherchons des sites pilotes pour valider les différentes politiques sécuritaires possibles.