Instalacja i konfiguracja systemu do zarządzania zasobami

Arkusz w Excelu z numerami seryjnymi laptopów działa do mniej więcej trzydziestego urządzenia. Potem zaczyna się chaos: licencja Office opłacana za osobę, która odeszła pół roku temu, laptop „gdzieś u Marka z marketingu”, brak danych do audytu. System do zarządzania zasobami IT (ITAM, ang. IT Asset Management) rozwiązuje ten problem, bo daje jedno źródło prawdy o sprzęcie, oprogramowaniu i licencjach. W tym przewodniku pokażę Ci nie tylko czym jest ITAM, ale przede wszystkim jak go zainstalować i skonfigurować krok po kroku — na konkretnym, darmowym oprogramowaniu, które możesz postawić w domowym labie jeszcze dziś.

Czym jest system ITAM i czym różni się od ITSM

ITAM to oprogramowanie, które śledzi cały cykl życia zasobu IT — od zakupu, przez przypisanie do pracownika i codzienne użycie, po wycofanie i utylizację. „Zasób” to nie tylko laptop. To także serwery, sprzęt sieciowy, monitory, telefony, a po stronie cyfrowej: licencje, subskrypcje SaaS i konta w chmurze.

Często mylone są dwa pojęcia, więc rozdzielmy je raz na zawsze:

• ITAM odpowiada na pytania: co mamy, kto tego używa, gdzie to jest i czy ma aktualną licencję? Chodzi o ewidencję i kontrolę majątku.
• ITSM (zarządzanie usługami IT) to obsługa zgłoszeń — helpdesk, tickety, incydenty. Odpowiada na pytanie „nie działa mi drukarka, kto to naprawi?”.

W praktyce te światy się przenikają. Większość poważnych narzędzi (np. GLPI, Jira Service Management, OXARI) łączy bazę zasobów z systemem zgłoszeń, a sercem całości jest CMDB (Configuration Management Database) — baza, która przechowuje zasoby i, co ważniejsze, relacje między nimi. To dzięki niej widzisz, że awaria jednego switcha położy pięć stanowisk w księgowości.

Po co Ci ITAM — konkretne korzyści, nie hasła

Zanim coś instalujesz, warto wiedzieć, co realnie zyskujesz. Cztery rzeczy, które ITAM robi lepiej niż arkusz:

• Jedno źródło prawdy. Koniec z trzema wersjami listy sprzętu w trzech działach. Każdy zasób ma znanego właściciela, lokalizację i status.
• Optymalizacja kosztów. System pokaże Ci licencje opłacane „w próżni” i sprzęt, który nadaje się do wymiany. To bezpośrednia oszczędność — przestajesz płacić za narzędzia, których nikt nie używa.
• Bezpieczeństwo i zgodność. Przy odejściu pracownika automatycznie odbierasz dostępy i sprzęt. Masz dzienniki audytowe pod SOC 2, a w Polsce — pod dyrektywę NIS2 i ustawę o KSC, które wprost wymagają ewidencji i nadzoru nad aktywami informatycznymi.
• Planowanie budżetu. Widzisz, czemu kończy się gwarancja i licencja, zanim Cię to zaskoczy. Inwentaryzacja zasobów to zresztą prawny obowiązek każdej organizacji.

Wybór oprogramowania ITAM — co jest na rynku

Narzędzia dzielą się z grubsza na komercyjne SaaS i otwarte (open source), które stawiasz na własnym serwerze. Krótki przegląd tego, co spotkasz najczęściej:

• GLPI — darmowe, open source, najpopularniejsze do nauki i w mniejszych firmach. Łączy ITAM z helpdeskiem. Na nim oprę instrukcję poniżej.
• Snipe-IT — otwarte, lekkie, skupione czysto na ewidencji sprzętu i licencji. Świetne na start, jeśli nie potrzebujesz ticketów.
• NinjaOne / Atera — komercyjne platformy RMM (zdalne zarządzanie) z modułem ITAM. Rozliczenie zwykle za urządzenie (NinjaOne) lub za technika (Atera).
• Jira Service Management — wybór, jeśli firma już siedzi w ekosystemie Atlassian. Plan darmowy dla małych zespołów, płatne wersje za użytkownika.
• OXARI, LOG Plus — polskie systemy ITAM/ITSM, mocno nastawione na zgodność z NIS2 i KSC, z agentami i CMDB.

Ceny narzędzi komercyjnych zwykle nie są podane na stronie wprost (typowy model „poproś o demo”), zależą od liczby urządzeń lub użytkowników i potrafią się zmieniać — traktuj każdą widełkę jako orientacyjną i sprawdzaj u producenta. Do nauki nic nie pobijesz darmowym GLPI, więc na nim pokażę pełną instalację.

Instalacja systemu ITAM krok po kroku (GLPI na Ubuntu)

GLPI to aplikacja w PHP, która działa na klasycznym stosie LAMP (Linux + Apache + MySQL/MariaDB + PHP). Załóżmy świeży Ubuntu 24.04 LTS. Całość zajmuje kilkanaście minut.

Krok 1: Przygotowanie serwera

Zainstaluj serwer WWW, bazę i PHP z wymaganymi rozszerzeniami:

• sudo apt update && sudo apt upgrade -y
• sudo apt install -y apache2 mariadb-server php php-mysql php-curl php-gd php-intl php-mbstring php-xml php-zip php-bz2 php-ldap libapache2-mod-php

Rozszerzenia php-ldap, php-curl i php-mbstring nie są opcjonalne — bez nich integracja z Active Directory i import danych nie zadziała.

Krok 2: Baza danych

Zabezpiecz MariaDB poleceniem sudo mysql_secure_installation, a następnie utwórz bazę i użytkownika:

• CREATE DATABASE glpidb CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
• CREATE USER 'glpiuser'@'localhost' IDENTIFIED BY 'silne_haslo';
• GRANT ALL PRIVILEGES ON glpidb.* TO 'glpiuser'@'localhost';
• FLUSH PRIVILEGES;

Krok 3: Pobranie i wgranie GLPI

Ściągnij najnowsze wydanie z GitHuba, rozpakuj do katalogu Apache i nadaj uprawnienia. Pliki wydania mają nazwę z numerem wersji (glpi-X.X.X.tgz), więc wpisz aktualny numer ze strony wydań projektu — poniżej przykład dla wersji 10.0.18:

• cd /var/www/html && sudo wget https://github.com/glpi-project/glpi/releases/download/10.0.18/glpi-10.0.18.tgz
• sudo tar -xzf glpi-10.0.18.tgz
• sudo chown -R www-data:www-data /var/www/html/glpi

Ze względów bezpieczeństwa GLPI 10 zaleca, by katalogi files/ i config/ leżały poza katalogiem publicznym serwera WWW — w produkcji zajmiesz się tym przez zmienne środowiskowe i osobny VirtualHost wskazujący na glpi/public.

Krok 4: Konfiguracja przez kreator

Zrestartuj Apache (sudo systemctl restart apache2) i wejdź w przeglądarce na http://adres-serwera/glpi. Kreator przeprowadzi Cię przez wybór języka, sprawdzenie wymagań, podanie danych bazy i jej inicjalizację.

Krytyczny krok po instalacji: zmień domyślne hasła. GLPI tworzy konta testowe (m.in. glpi/glpi jako administrator i tech/tech) — pozostawienie ich to zaproszenie dla atakującego. Usuń też plik install/install.php.

Konfiguracja: od pustej bazy do działającej ewidencji

Świeża instalacja to puste pudełko. Teraz nadajesz mu strukturę. Kolejność, która oszczędza późniejszego bałaganu:

1. Encje (Entities). Odwzoruj strukturę organizacji — oddziały, lokalizacje, działy. To pierwsza decyzja, bo do encji przypina się wszystko inne.
2. Lokalizacje i grupy. Zdefiniuj budynki, piętra, pokoje oraz grupy techników. Dzięki temu raport „co stoi w serwerowni B” zajmuje sekundę.
3. Profile i uprawnienia. Ustaw role: kto tylko czyta, kto edytuje zasoby, kto obsługuje zgłoszenia. Nie daj wszystkim profilu Super-Admin.
4. Typy i modele zasobów. Skonfiguruj słowniki: producentów, modele laptopów, statusy (w użyciu, w naprawie, wycofany).
5. Integracja z LDAP/Active Directory. W Konfiguracja → Uwierzytelnianie → LDAP podajesz adres kontrolera domeny, BaseDN i konto serwisowe. Użytkownicy logują się danymi domenowymi, a Ty nie tworzysz kont ręcznie.

Po tym etapie możesz dodać pierwszy zasób ręcznie, by sprawdzić, czy wszystko trzyma się kupy. Ale dodawanie setek urządzeń klikaniem mija się z celem — od tego jest automatyczna inwentaryzacja.

Automatyczne zbieranie danych: agenci i skanowanie sieci

Tu ITAM przestaje być cyfrowym arkuszem, a staje się systemem. Dane o sprzęcie zbierasz na dwa sposoby:

Agent na stacjach roboczych

Do GLPI używa się GLPI Agent (następca FusionInventory). Instalujesz go na komputerach z Windows, macOS lub Linux — działa jako usługa systemowa i w tle raportuje konfigurację sprzętową, zainstalowane oprogramowanie i numery seryjne. W konfiguracji agenta podajesz tylko adres serwera, np. server=http://glpi.firma.local/front/inventory.php. Agenta na setki maszyn rozprowadzisz przez GPO w domenie Windows albo skryptem.

Po stronie serwera włączasz natywną inwentaryzację w Konfiguracja → Inwentaryzacja. Od tego momentu każdy nowy laptop z agentem sam pojawia się w bazie wraz z RAM, dyskiem, listą programów i licencji — bez Twojego udziału.

Skanowanie sieci dla urządzeń bez agenta

Drukarki, switche, routery czy macierze nie przyjmą agenta. Te wykrywasz przez SNMP. Konfigurujesz zakresy IP do skanowania (np. 192.168.1.0/24) i poświadczenia SNMP, a system zwraca listę urządzeń w sieci z nazwą, adresem i dostępnością. Konektor drukarkowy potrafi dodatkowo ściągać liczniki wydruków i poziom tonerów — przydatne do rozliczeń.

W środowiskach z wirtualizacją dokładasz konektory do VMware vCenter lub Hyper-V, które importują maszyny wirtualne jako zasoby i wiążą je z fizycznymi hostami w CMDB.

Zarządzanie cyklem życia zasobu i oprogramowaniem

Mając dane, zarządzasz tym, co cały ITAM ma robić. Proces sprowadza się do czterech powtarzalnych zadań:

• Inwentaryzacja — rzeczywisty stan: liczba, rodzaj, lokalizacja, wartość, osoba odpowiedzialna.
• Monitorowanie — bieżący wgląd w stan i alerty o wygasających gwarancjach i licencjach.
• Serwisowanie — rejestr napraw, konserwacji i wymian.
• Planowanie — na bazie historii awarii i wieku sprzętu szacujesz budżet na wymiany.

Osobno warto wskazać SAM (Software Asset Management) — moduł zarządzania licencjami. To on porównuje liczbę zakupionych licencji z liczbą faktycznych instalacji wykrytych przez agenta. Jeśli masz 50 licencji Adobe, a agent widzi 63 instalacje — system Cię ostrzeże, zanim zrobi to audytor producenta. Ustaw automatyczne powiadomienia o kończących się subskrypcjach, żeby nie odnawiać niczego po terminie ani na ślepo.

Automatyzacja, raporty i integracje

Dojrzała konfiguracja oznacza, że system pracuje za Ciebie. Co warto włączyć na końcu:

• Reguły automatyzacji — np. nowy zasób z określonej puli IP sam dostaje status i lokalizację; mail do działu zakupów, gdy gwarancja kończy się za 30 dni.
• Powiązanie z helpdeskiem — zgłoszenie awarii laptopa od razu linkuje się z jego kartą w CMDB, więc technik widzi historię urządzenia bez szukania.
• Raporty i dashboardy — wartość majątku IT, sprzęt po gwarancji, niewykorzystane licencje. W GLPI rozbudowane zestawienia robi wtyczka raportowa lub bezpośrednie zapytania SQL do bazy.
• Mapa relacji — graficzny widok zależności w CMDB pozwala od razu ocenić, co padnie, gdy padnie konkretny serwer.

Najczęstsze błędy przy wdrożeniu

Czego unikać, jeśli to Twój pierwszy ITAM:

• Pozostawienie domyślnych haseł (glpi/glpi) i nieusunięcie instalatora — najczęstsza dziura w wystawionych GLPI.
• Brak struktury encji na starcie — przebudowa hierarchii przy tysiącu zasobów to dramat.
• Ręczne dodawanie sprzętu zamiast agenta — dane szybko się rozjeżdżają z rzeczywistością.
• Ignorowanie SAM — sprzęt liczą wszyscy, a kara za niezgodność licencji potrafi przewyższyć koszt całego wdrożenia.

FAQ — najczęstsze pytania o systemy ITAM

Jaki system ITAM wybrać na początek nauki?

GLPI lub Snipe-IT — oba są darmowe i open source. GLPI daje pełen pakiet (ITAM + helpdesk + CMDB), Snipe-IT jest prostszy i czysto ewidencyjny. Postawisz je w wirtualnej maszynie lub kontenerze Docker w kilkanaście minut.

Czym różni się ITAM od CMDB?

ITAM to cały proces i oprogramowanie do zarządzania zasobami przez ich cykl życia. CMDB to baza danych w środku systemu, która przechowuje zasoby i relacje między nimi. Innymi słowy: CMDB jest fundamentem, ITAM jest budynkiem.

Czy ITAM jest wymagany prawnie?

Sama inwentaryzacja zasobów to obowiązek każdej organizacji, a przepisy o cyberbezpieczeństwie — dyrektywa NIS2 i polska ustawa o KSC — wprost wymagają ewidencji i nadzoru nad aktywami IT. Konkretne narzędzie nie jest narzucone, ale bez systemu spełnienie tych wymogów przy większej skali jest praktycznie niewykonalne.

Jak ITAM zbiera dane o komputerach?

Na dwa sposoby: przez agenta instalowanego na stacjach roboczych (Windows, macOS, Linux), który raportuje sprzęt i oprogramowanie, oraz przez skanowanie sieci po SNMP dla urządzeń bez agenta — drukarek, switchy, routerów.

Ile kosztuje system do zarządzania zasobami IT?

Rozwiązania open source jak GLPI czy Snipe-IT są darmowe (płacisz tylko za serwer i swój czas). Komercyjne SaaS rozliczają się zwykle za urządzenie albo za użytkownika/technika, a ceny rzadko bywają jawne — najczęściej trzeba poprosić o wycenę. Stawki się zmieniają, więc zawsze potwierdzaj aktualny cennik u producenta.

Krzysztof Fronczak