You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

#1 2018-03-07 12:38:28

Memora
Member
From: Bordeaux
Registered: 2008-06-18
Posts: 42

Problème règles d'affectation d'habilitations à un utilisateur

Bonjour,

J'ai installer Glpi (version 0.91) sur un serveur linux (ubuntu), Mysql et apache

J'ai 3 entités

|-- Root
    |-- Entité 01 (concerne le personnel)
        |-- Entité 02 (élève et enseignant)


J'ai mis en place l'authentification externe (Shibboleth) pour la connexion des utilisateurs.
Je ne dispose pas de base LDAP ainsi qu'Active directory en local. La base LDAP qui me sert pour authentifier mes utilisateurs est gérer par un autre centre qui ne permet pas qu'on se connecte sur l'annuaire.

J'ai réussi a mettre en place l'authentification via le portail. Mais je me retrouve confronter a un problème au sujet de l'attribution des habilitations et des profils des utilisateurs.
Lorsque qu'un utilisateur se connect sur le portail, une fois la demande valider par fournisseur d'identité, j'ai bien le compte de l'utilisateur qui est crée dans glpi (dans le cas si il n'est pas présent). J'ai bien les informations comme le nom, prénom, uid.... qui sont enregistrer.
Malgré les règles dans "Règles d'affectation d'habilitations à un utilisateur", impossible d'affecter automatiquement "Entités (Profil)", "Profil par défaut" et "Entité par défaut"

A savoir que lors de l'authentification externe, le serveur shibboleth renvoie également la catégorie de l'individu (administratif, élève, enseignant).

J'ai crée 3 règles....une pour l'administratif, une pour les élèves et la dernier pour les enseignants.
Pour chacune des règles j'ai crée pour critère
Voici ma règle enseignant:
Critère     Condition         Motif
personneltype    contient        enseignant
Identifiant    ne contient pas        eleve

Champs    Type d'action    Valeur
Profils    Assigner    post-only
Entité    Assigner    Root \ Entité 01 \ Entité 02

Voici ma règle élève:
Critère     Condition         Motif
personneltype    ne contient pas        enseignant
Identifiant    contient        eleve

Champs    Type d'action    Valeur
Profils    Assigner    post-only
Entité    Assigner    Root \ Entité 01 \ Entité 02

Voici ma règle administratif:
Critère     Condition         Motif
personneltype    ne contient pas        enseignant
Identifiant    ne contient pas        eleve

Champs    Type d'action    Valeur
Profils    Assigner    post-only
Entité    Assigner    Root \ Entité 01

Malgré toute les tests des moteur de règles, que j'ai pue effectuer, je n'arrive pas a ce que les comptes qui sont crée reçoive l’habilitation définir dans les moteurs des règles.
Je lance une bouteille  a la mer dans l'espoir qu'un membre de la communauté a une petite idée pour m'aider a comprendre voir trouver ce qui ne va pas.

Merci a tous.

Offline

#2 2018-03-12 12:20:24

yllen
GLPI-DEV
From: Sillery (51)
Registered: 2008-01-14
Posts: 15,273

Re: Problème règles d'affectation d'habilitations à un utilisateur

Pouvez-vous donner un exemple de compte utilisateur (son identifiant) ?


CentOS 6.5 - CentOS 7.x
PHP 5.6 - PHP 7.x - MySQL 5.6  - MariaDB 10.2 + APC + oOPcache
GLPI from 0.72 to dev version
Certifiée ITIL (ITV2F, ITILF, ITILOSA)

Offline

#3 2018-03-13 16:08:28

Memora
Member
From: Bordeaux
Registered: 2008-06-18
Posts: 42

Re: Problème règles d'affectation d'habilitations à un utilisateur

Bonjour,

Pour information, les informations sont transmises via une authentification externe Shibboleth
J'ai une variable qui renvoie personneltype (administratif / enseignant), categorie (eleve / personnel)

Un compte élève :
Identifiant = prénom.nom.eleve
personneltype =
categorie = eleve

Un compte enseignant :
Identifiant = prénom.nom
personneltype = enseignant
categorie = personnel

Un compte administratif :
Identifiant = prénom.nom
personneltype = administratif
categorie = personnel

Dans configuration > Intitulés > Règles d'affectation d'habilitations à un utilisateur
J'ai rajouter personneltype et categorie

J'ai également tenter dans les règles d'affectation "Object Class" sans succès
Merci d'avance

Offline

#4 2018-03-15 14:03:52

yllen
GLPI-DEV
From: Sillery (51)
Registered: 2008-01-14
Posts: 15,273

Re: Problème règles d'affectation d'habilitations à un utilisateur

Pour le compte élève, votre règle n'est pas correcte d'après vos informations.
Si le champ personneltype est vide il faut prendre le critère n'existe pas OU ne contient pas enseignant.

De plus, si le personneltype est clairement défini, je vous conseille de prendre le critère EST (plus rapide).

Vos règles sont-elles bien actives ?
Avez-vous d'autres règles définies après ces 3 là ?


CentOS 6.5 - CentOS 7.x
PHP 5.6 - PHP 7.x - MySQL 5.6  - MariaDB 10.2 + APC + oOPcache
GLPI from 0.72 to dev version
Certifiée ITIL (ITV2F, ITILF, ITILOSA)

Offline

#5 2018-03-15 16:33:27

Memora
Member
From: Bordeaux
Registered: 2008-06-18
Posts: 42

Re: Problème règles d'affectation d'habilitations à un utilisateur

Bonjour yllen,

J'ai 3 règles actif.
Pour le compte élève les critères sont :
Opérateur logique : et

Critères :
Identifiant    finir par    eleve

Actions :
Profils        Assigner        post-only
Entité         Assigner        Root \ Entité 01 \ Entité 02


Pour le compte enseignant les critères sont :
Opérateur logique : et

Critères :
Identifiant    ne contient pas        eleve
personneltype    contient        enseignant

Actions :
Profils    Assigner    post-only
Entité     Assigner    Root \ Entité 01 \ Entité 02
Actif       Assigner    Oui


Pour le compte administratif les critères sont :
Opérateur logique : et

Critères :
Identifiant    ne contient pas        eleve           
personneltype    contient        administratif

Actions :
Profils    Assigner    post-only
Entité     Assigner    Root \ Entité 01
Actif       Assigner    Oui

J'ai une dernière règle crée par défaut par Glpi qui est par contre non actif.

Autre question, les informations renvoyer par Shibboleth via le "remote_user", les valeurs sont renvoyer sont préciser la variable. Si je en critère je mets "Object Class" contient "la valeur rechercher" il cherchera dans toute la variable si elle est bien présent?

Un grand merci pour votre aide.

Offline

#6 2018-03-27 16:42:31

Memora
Member
From: Bordeaux
Registered: 2008-06-18
Posts: 42

Re: Problème règles d'affectation d'habilitations à un utilisateur

Bonjour,
J'ai procéder à des tests "Règles d'affectation d'habilitations à un utilisateur"
Quand je test via le moteur de règles avec les différents cas possible d'utilisateur, le résultat des règles sont correct.
Lorsque je procéder à un test réels pour se connecter, l'habilitation a pour valeur "Entité racine" avec pour profils "post-only".
J'arrive pas à ce qu'il affect a la place de l'Entité racine, l'entité "Entité 02" (pour les élevés et enseignants) et "Entité 01" pour l'administratif.

Offline

#7 2018-04-04 18:32:33

yllen
GLPI-DEV
From: Sillery (51)
Registered: 2008-01-14
Posts: 15,273

Re: Problème règles d'affectation d'habilitations à un utilisateur

Il faudrait avoir les valeurs exactes envoyées à la connection (il y a peut être un problème de casse)


CentOS 6.5 - CentOS 7.x
PHP 5.6 - PHP 7.x - MySQL 5.6  - MariaDB 10.2 + APC + oOPcache
GLPI from 0.72 to dev version
Certifiée ITIL (ITV2F, ITILF, ITILOSA)

Offline

#8 2018-04-05 11:24:16

Memora
Member
From: Bordeaux
Registered: 2008-06-18
Posts: 42

Re: Problème règles d'affectation d'habilitations à un utilisateur

Bonjour,

J'ai tous reprise de zéro

Arborescence de mes entités:
|-- Entité racine
    |-- Entité 01 (concerne le personnel)
    Dans "information avancées" "Information de l'outil d'inventaire (TAG) représentant l'entité" et "Information de l'annuaire LDAP représentant l'entité" j'ai mis "cna"
        |-- Entité 02 (élève et enseignant)
    Dans "information avancées" "Information de l'outil d'inventaire (TAG) représentant l'entité" et "Information de l'annuaire LDAP représentant l'entité" j'ai mis "naq"


Un compte élève : 
Identifiant = prénom.nom.eleve
personneltype =
categorie = eleve
supannEtablissement = {autre}naq

Un compte enseignant : 
Identifiant = prénom.nom
personneltype = enseignant
categorie = personnel
supannEtablissement = {autre}naq

Un compte administratif : 
Identifiant = prénom.nom
personneltype = administratif
categorie = personnel
supannEtablissement = {autre}naq


Règles d'affectation d'habilitations à un utilisateur

Administratif
Critères:
Critère    Condition    Motif
(LDAP) CnamCategorie    expression rationnelle vérifie    /(personnel)/
(LDAP) supannEtablissement    expression rationnelle vérifie    /(naq)$/
Identifiant    ne contient pas    eleve
(LDAP) CnamPersonnelType    expression rationnelle vérifie    /(administratif)/
Action:
Champs    Type d'action    Valeur
Profils    Assigner    post-only
Entité    Assigner    Entité racine > Entité 01
Récursif    Assigner    Oui
Actif    Assigner    Oui

Eleve
Critères:
Critère    Condition    Motif
(LDAP) CnamCategorie    expression rationnelle vérifie    /(eleve)/
(LDAP) supannEtablissement    expression rationnelle vérifie    /(naq)$/
Identifiant    expression rationnelle vérifie    /(.auditeur)$/
Action:
Champs    Type d'action    Valeur
Entité depuis TAG    Assigner valeur depuis expression rationnelle    #1
Profils    Assigner    post-only
Actif    Assigner    Oui

Enseignant
Critères:
Critère    Condition    Motif
(LDAP) CnamPersonnelType    expression rationnelle vérifie    /^(enseignant)/
(LDAP) CnamCategorie    expression rationnelle vérifie    /(personnel)/
(LDAP) supannEtablissement    expression rationnelle vérifie    /(naq)$/
Identifiant    ne contient pas    auditeur
Action:
Champs    Type d'action    Valeur
Profils    Assigner    post-only
Entité depuis TAG    Assigner valeur depuis expression rationnelle    #2
Actif    Assigner    Oui

Pour chaque règles j'ai tester avec différentes valeurs correspondant au vrai valeur que renvoie la connexion, le résultat est bien à "Oui"
Le dernier test est le "Tester le moteur de règles"  (global) avec différentes valeurs correspondant au vrai valeur que renvoie la connexion, le résultat est également à "Oui"
Pour information la règles "Root" n'est pas actif.

Encore merci yellen de ton aide.

Offline

#9 2018-04-11 15:28:14

Memora
Member
From: Bordeaux
Registered: 2008-06-18
Posts: 42

Re: Problème règles d'affectation d'habilitations à un utilisateur

Bonjour,

petit up.

Offline

#10 2018-05-28 10:59:55

Memora
Member
From: Bordeaux
Registered: 2008-06-18
Posts: 42

Re: Problème règles d'affectation d'habilitations à un utilisateur

Bonjour,

Je relance ce post.

Merci

Offline

Board footer

Powered by FluxBB