Roteiro Técnico para Implementação do GLPI: Da Arquitetura do Servidor à Segurança Pós-Instalação

A implementação do GLPI (Gestionnaire Libre de Parc Informatique), quando executada com rigor técnico, transcende a simples instalação de um software. Trata-se da construção de uma plataforma de governança de TI robusta, cujo desempenho e segurança são diretamente proporcionais à qualidade de sua fundação. Este artigo propõe uma dissecação técnica do processo de deployment, abordando desde a configuração do stack de servidor até as diretivas de segurança pós-instalação que são, em minha visão, inegociáveis. O objetivo é fornecer um guia pragmático para administradores de sistemas que buscam não apenas instalar, mas arquitetar uma instância do GLPI otimizada e segura.

Fase 1: Arquitetura e Pré-requisitos do Ambiente (Stack LAMP/LEMP)

A performance do GLPI está intrinsecamente ligada à infraestrutura subjacente. A escolha de um stack LAMP (Linux, Apache, MySQL/MariaDB, PHP) ou LEMP (Linux, Nginx, MySQL/MariaDB, PHP) é o primeiro ponto de decisão. Minha preferência pende para o LEMP em ambientes de produção devido à sua eficiência na gestão de conexões concorrentes, mas ambos são plenamente suportados.

1. Sistema Operacional: Uma distribuição Linux de servidor estável é fundamental. Recomendo Debian 12 "Bookworm" ou Ubuntu Server 22.04 LTS, devido ao amplo suporte da comunidade e ciclos de vida longos.

2. Servidor Web:

3. Nginx (Recomendado): A configuração exige a criação de um server block específico para o GLPI, com diretivas para o processamento de PHP via php-fpm. É crucial configurar corretamente a diretiva try_files para garantir que as requisições sejam roteadas adequadamente para o index.php do GLPI, viabilizando o uso de URLs amigáveis.

4. Apache2: A configuração é mais direta, utilizando o mod_php ou PHP-FPM. É imprescindível habilitar o módulo mod_rewrite e configurar um arquivo .htaccess (ou diretivas no VirtualHost) que permita ao GLPI gerenciar suas próprias rotas.

5. Banco de Dados: MariaDB 10.6+ ou MySQL 8.0+ são as escolhas canônicas. A etapa de configuração do banco de dados não deve ser subestimada. É imperativo criar um usuário e um schema dedicados exclusivamente para a aplicação GLPI, seguindo o princípio do menor privilégio.

Exemplo de comando SQL para criação do banco de dados e usuário:

CREATE DATABASE glpidb CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
CREATE USER 'glpi_user'@'localhost' IDENTIFIED BY 'uma_senha_forte_e_segura';
GRANT ALL PRIVILEGES ON glpidb.* TO 'glpi_user'@'localhost';
FLUSH PRIVILEGES;

A utilização do utf8mb4 é vital para garantir o suporte a um range completo de caracteres, evitando problemas de codificação.

1. Intérprete PHP: O GLPI 10.x exige PHP 8.1 ou superior. A instalação não se resume ao pacote php-core. Uma série de extensões são mandatórias para o funcionamento pleno da aplicação. A consulta à documentação oficial é sempre a melhor prática, mas a lista essencial inclui: php-curl, php-gd, php-intl, php-ldap, php-mbstring, php-mysqli, php-xml, php-xmlrpc, php-zip, php-apcu. A ausência de qualquer uma dessas extensões resultará em falhas durante a verificação de pré-requisitos do instalador.

Fase 2: Processo de Instalação e Configuração do Schema

Com o ambiente devidamente provisionado, o processo de instalação do GLPI pode ser iniciado.

• Download e Permissões: Obtenha o pacote de instalação mais recente do site oficial do GLPI Project. Descompacte o arquivo no diretório raiz do seu servidor web (ex: /var/www/html/glpi). A etapa seguinte é crítica para a segurança e funcionalidade: ajustar as permissões de arquivo. O servidor web (ex: www-data) precisa de permissão de escrita em diretórios específicos para conseguir gerenciar arquivos, cache e logs.

# Exemplo para um servidor Debian/Ubuntu com Apache/Nginx
chown -R www-data:www-data /var/www/html/glpi
find /var/www/html/glpi -type d -exec chmod 755 {} \;
find /var/www/html/glpi -type f -exec chmod 644 {} \;

É crucial que o diretório files (onde ficam os anexos) e config tenham as permissões corretas para escrita pelo servidor web.

• Instalador Web: Acesse a URL do seu GLPI via navegador. O instalador web guiará pelo processo, que inclui:
• Verificação de Requisitos: O instalador validará se todas as extensões PHP e permissões de diretório estão corretas. Qualquer falha aqui deve ser corrigida antes de prosseguir.
• Conexão com o Banco de Dados: Utilize as credenciais do usuário e o nome do banco de dados criados na Fase 1. O instalador então criará todo o schema necessário, tabelas e relações.
• Inicialização: A instalação é finalizada e as contas de usuário padrão são apresentadas.

Fase 3: Hardening e Configurações Pós-Instalação

Uma instalação bem-sucedida é apenas o início. A configuração de segurança é uma fase não opcional.

• Remoção do Instalador: A primeira ação deve ser deletar o diretório install. O GLPI exibirá um alerta de segurança proeminente até que isso seja feito.

rm -rf /var/www/html/glpi/install

• Alteração de Senhas Padrão: Altere imediatamente as senhas dos quatro usuários padrão criados: glpi, tech, normal, e post-only. Manter senhas padrão é uma vulnerabilidade severa.

• Configuração do Cron: O GLPI depende de tarefas agendadas para executar ações assíncronas como coleta de e-mails, execução de regras de negócio e envio de notificações. A configuração incorreta do cron é a causa mais comum de uma instância "lenta" ou "que não funciona". A abordagem recomendada é configurar um cronjob no sistema operacional que execute o script cron.php a cada minuto. Exemplo de entrada no crontab:

# Adicionar usando o comando crontab -e
* * * * * /usr/bin/php /var/www/html/glpi/front/cron.php &>/dev/null

Após configurar o cron do sistema, a configuração de "Ações Automáticas" dentro do GLPI deve ser alterada de GLPI (modo interno) para CLI (modo via linha de comando).

• Habilitar SSL/TLS: Configure um certificado SSL/TLS (via Let's Encrypt, por exemplo) no seu servidor web para forçar o tráfego HTTPS. Transmitir credenciais e dados de inventário sobre HTTP é uma falha de segurança primária.

• Configuração de Notificações por E-mail: Configure um servidor SMTP na seção de Notificações para que o GLPI possa enviar alertas e e-mails de forma confiável, em vez de depender da função mail() do PHP, que é frequentemente bloqueada ou marcada como spam.

A execução meticulosa destas três fases garante não apenas uma instância funcional do GLPI, mas uma plataforma segura, performática e confiável, pronta para se tornar o pilar central da sua estratégia de ITSM e ITAM.

Referências Técnicas

• Documentação Oficial de Instalação do GLPI:
  https://glpi-install.readthedocs.io/en/latest/

• Pré-requisitos do Servidor GLPI:
  https://glpi-install.readthedocs.io/en/latest/prerequisites.html

• Documentação PHP - Instalação de Extensões:
  https://www.php.net/manual/en/extensions.php

• Documentação MariaDB - CREATE USER / GRANT:
  https://mariadb.com/kb/en/create-user/
  https://mariadb.com/kb/en/grant/