Configurer des Groupes AD dans GLPI

macgor · 2007-11-28 18:32:13

Bonjour

Je sais que le sujet a déjà été traité de nombreuses fois, mais je n'ai pas trouvé la bonne réponse, alors je me permet de remettre un post :

Le contexte :

GLPI 0.7RC3 / Xampp (Sur plateforme windows, installé via OCS) --> Je n'ai pas encore activé la liaison entre les 2.

Ma liaison avec mon Active Directory fonctionne parfaitement bien, j'ai importé des users dans GLPI sans probleme, le systeme de ticket m'envoi des mails... bref, c'est quasi le bonheur hormis les groupes AD.

Config de la liaison LDAP (AD sous windows 2000)
Nom : Nom_du_controleur / LDAP Port : 389
Serveur : 192.168.1.4 / rootdn : CN=glpi,CN=Users,DC=toto,DC=fr
Basedn : DC=toto,DC=fr / filtre de connexion : (&(objectClass=user))
Champ de login : samaccountname / Utiliser TLS : Non

Config Appartenance à des groupes
Type de recherche : Dans les utilisateurs
Attribut utilisateur indiquant ses groupes : memberof
Filtre pour la recherche dans les groupes : objectClass=user
Attribut des groupes contenant les utilisateurs : member
Utiliser le DN pour la recherche : Non

Config de la Liaison GLPI/LDAP
Nom de famille : sn / Prenom : givename
Commentaires : rien / Email : mail
Téléphone : telephonenumber / Téléphone 2 : homephone
Portable : mobile

Voici ce que je renseigne quand je veux créer un groupe :

Nom : support

Dans les utilisateurs
Attribut utilisateur indiquant ses groupes : menberof
Valeur LDAP : CN=support,CN=Users,DC=toto,DC=fr

Dans les groupes
DN du groupe: CN=support,CN=Users,DC=netlogon,DC=fr

Donc ma question est : "Ou est mon erreur ???", "Quel paramètre dois je modifier pour faire fonctionner cela ?"

Question subsidiaire : Lorsque la configuration d'un groupe est correctement faite, les utilisateurs qui appartiennent a ce groupe, sont automatiquement ajouter dans celui-ci (s'ils existent dans GLPI) ? Non ???

Last edited by macgor (2007-11-28 19:12:32)

macgor · 2007-11-28 18:36:10

Ps : J'ai déjà consulté ces articles entre autre....

http://glpi-project.org/forum/viewtopic.php?id=5031

http://www.glpi-project.org/forum/viewtopic.php?id=7264

WIKI

wawa · 2007-11-28 18:48:02

essayez de ne pas remplir "DN du groupe" pour voir

macgor · 2007-11-28 19:10:22

Je viens de faire le test en créant un nouveau groupe, rien ne change...

Je peux ajouter manuellement les users dans mon groupe, mais ils ne se positionne pas automatiquement dedant.

Tous mes users AD sont dans USER (CN par defaut), je n'ai pas configuré d'OU particulière.

J'avoue ne pas trop comprendre mon erreur...Snif

cmaechnet · 2007-11-30 12:11:27

As-tu vérifié que l'utilisateur configuré dans GLPI pour accéder à ton AD a bien les droits pour lire la propriété memberOf sur les objets Users ?

Utilise ADSIEdit pour le vérifier et le modifier si nécessaire.
Tu peux aussi utiliser ldp pour le vérifier.

macgor wrote:

Dans les groupes
DN du groupe: CN=support,CN=Users,DC=netlogon,DC=fr

Comme cela t'a été signalé plus haut par wawa, tu n'as pas besoin de remplir ce champ

macgor wrote:

Question subsidiaire : Lorsque la configuration d'un groupe est correctement faite, les utilisateurs qui appartiennent a ce groupe, sont automatiquement ajouter dans celui-ci (s'ils existent dans GLPI) ? Non ???

Oui et si les utilisateurs sont déjà présents dans GLPI, toute modification sur l'AD est prise en compte par GLPI lors de la connexion suivante de l'utilisateur. Les infos de l'AD sont donc importées à chaque connexion.

Tu peux peut-être aller voir ce topic pour améliorer ton filtre si besoin :

macgor · 2007-11-30 14:59:12

Mum, merci de ces précisions !

J'utilisais deja ADSI, mais du coup, re question : Comment vérifier que mon user GLPI a bien les droits sur le membreOF des autres users de l'AD ?

J'ai fais ceci : J'ai édité les propriétés de mon user GLPI, au niveau de memberof (dans ADSI), il n'y avait aucune valeur.... Mum étrange... cela coincide avec ce qui est dit plus haut ..

Alors j'ai rajouté ceci comme valeur : CN=Users,CN=Builtin,DC=toto,DC=fr

Je vais testé voir si ca marche de suite ..

EDIT : Bon, lol, j'avais pas essayé d'appuyer sur OK, pour valider la modif ..! Me voula devant un beau message :

L'accès à l'attribut n'est pas autorité car l'attribut appartient au Gestionnaire des comptes de sécurité (SAM)...

Mum en meme temps, ca parait logique .. Je vais chercher ailleurs..

Last edited by macgor (2007-11-30 15:02:12)

cmaechnet · 2007-11-30 16:23:09

Va voir ce topic :
http://glpi-project.org/wiki/doku.php?id=fr:ldap

Je sais que tu l'as lu et relu mais j'ai ajouté des infos à la fin qui vont peut-être te servir.

macgor · 2007-11-30 23:39:05

Je viens de faire comme tu l'as précisé... merci d'ailleurs .. Mais a priori, toujours pas de changement. J'ai essayé en modifiant un groupe et en ajoutant un nouveau...

Il ne se passe rien .. Je ne comprends pas, je dois avoir un problème dans ma config à l'AD mais je vois pas trop ou...

Si quelqu'un a une idée lumineuse ^^ ..

ngros · 2007-12-03 13:24:36

Salut,

j'essaie d'installer GLPI dans ma boite,

j'ai vérifé ma config, j'ai la même que toi et
bien entendu j'ai le même problème que toi.

Mes utilisateur AD sont connu, ils se connectent sans problème,
Mais pas moyen de récupérer leurs info AD ni de les affecter à un groupe ..

Pourtant l'utilisateur GLPI est Admin du domaine (aux Grands maux les grands remèdes)

je me joins à toi pour réclamer de l'aide ...

Help ..

cmaechnet · 2007-12-03 15:28:09

macgor :
Ton domaine s'appelle apparemment netlogon
Je viens de relire ta config et je vois quelque chose qui pourrait être gênant mais surtout qui est inutile :

macgor wrote:

Config Appartenance à des groupes
Type de recherche : Dans les utilisateurs
Attribut utilisateur indiquant ses groupes : memberof
Filtre pour la recherche dans les groupes : objectClass=user
Attribut des groupes contenant les utilisateurs : member

Pourquoi remplis-tu les 2 derniers champs. Tu ne recherches que dans les utilisateurs, ils sont donc inutiles.

Par ailleurs, je ne travaille pas avec la version 0.7RC3 mais seulement avec la 0.68.3-2 et je ne comprends pas à quoi sert le champ Serveur.

ngros :
Il semble bizarre que tu aies la même config que macgor alors que tu ne retournes aucune info de ton AD avec un compte admin du domaine. Tu devrais décrire ta config, cela te permettra sûrement de voir ton erreur si tu en as une et de donner envie aux autres de te répondre. Tu ne fournis pas beaucoup d'éléments pour qu'on puisse éventuellement trouver une solution.

Last edited by cmaechnet (2007-12-03 17:33:09)

ngros · 2007-12-03 16:20:59

Re,

hé bien je ne voulais pas pourrir le post de Macgor, avec une config de + et qu'on me réponde en direct dessus, alors que le problème était le même ...

Bref, après avoir re re re re re lu ma config,
hé bien il y avait une majuscule qui s'était glissée dans mes params un i I voilà ...
Bref, gaffe à la casse
les groupes fonctionnent, et mes params aussi

cmaechnet · 2007-12-03 17:34:21

Content que tu aies trouvé ton erreur...

A toi macgor!

macgor · 2007-12-07 16:02:48

Bon j'ai beau lire et relire ma config, j'ai modifié comme précisé ci-dessus, toujours rien ..

La question que je me pose, c'est en fait que dans ma structure d'AD, mes utilisateurs ne sont pas dans une OU, mais son dans le contenaire par defaut : USER

Du coup, je ne peux utiliser "ou", puisque quand je regarde avec "adsiedit.msc", je n'ai aucune valeur de renseigner.

Les groupes de mes utilisateurs sont dans la valeur memberOf (Logique), mais du coup, lorsque j'ajoute un groupe, dans Attribut utilisateur indiquant ses groupes, que dois je mettre ?

J'ai testé avec ou, memberOf, le nom du groupe (Support), mais rien...

Si quelqu'un a une idée supplémentaire ..

tsmr · 2007-12-07 16:32:43

Config qui marche normalement :

Config de la liaison LDAP (AD sous windows 2000)
Nom : Nom_du_controleur / LDAP Port : 389
Serveur : 192.168.1.4 / rootdn : CN=glpi,CN=Users,DC=toto,DC=fr
Basedn : DC=toto,DC=fr / filtre de connexion : (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Attribut des groupes contenant les utilisateurs : vide
Champ de login : samaccountname / Utiliser TLS : Non

Config Appartenance à des groupes
Type de recherche : Dans les utilisateurs
Attribut utilisateur indiquant ses groupes : memberof
Filtre pour la recherche dans les groupes : (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Attribut des groupes contenant les utilisateurs : vide
Utiliser le DN pour la recherche : Oui

Config de la Liaison GLPI/LDAP
Nom de famille : sn / Prenom : givenname
Commentaires : rien / Email : mail
Téléphone : telephonenumber / Téléphone 2 : homephone
Portable : mobile

Voici ce que je renseigne quand je veux créer un groupe :

Nom : support

Dans les utilisateurs
Attribut utilisateur indiquant ses groupes : memberof et pas menberof
Valeur LDAP : CN=support,CN=Users,DC=toto,DC=fr

Dans les groupes
DN du groupe: vide

macgor · 2007-12-12 14:57:13

Bon, après quelques Bugs dans ma config... j'ai supprimé ma base et je l'ai réinstallé.

J'ai suivi scrupuleusement les indications ci-dessus, et au miracle, l'ajout des utilisateurs dans les groupes fonctionne ..!

Un grand merci à tous pour votre patience ..

Je pense qu'a force de tripatouiller dans ma base, j'ai dû la corrompre et du meme coup, ma config ..

Bref, la ca fontionne parfaitement .. Merci a tous !

tsmr · 2007-12-12 15:00:22

cool. Merci pour ton retour et ton post de départ trés bien détaillé.

Forum GLPI-Project

Announcement

#1 2007-11-28 18:32:13

Configurer des Groupes AD dans GLPI

#2 2007-11-28 18:36:10

Re: Configurer des Groupes AD dans GLPI

#3 2007-11-28 18:48:02

Re: Configurer des Groupes AD dans GLPI

#4 2007-11-28 19:10:22

Re: Configurer des Groupes AD dans GLPI

#5 2007-11-30 12:11:27

Re: Configurer des Groupes AD dans GLPI

#6 2007-11-30 14:59:12

Re: Configurer des Groupes AD dans GLPI

#7 2007-11-30 16:23:09

Re: Configurer des Groupes AD dans GLPI

#8 2007-11-30 23:39:05

Re: Configurer des Groupes AD dans GLPI

#9 2007-12-03 13:24:36

Re: Configurer des Groupes AD dans GLPI

#10 2007-12-03 15:28:09

Re: Configurer des Groupes AD dans GLPI

#11 2007-12-03 16:20:59

Re: Configurer des Groupes AD dans GLPI

#12 2007-12-03 17:34:21

Re: Configurer des Groupes AD dans GLPI

#13 2007-12-07 16:02:48

Re: Configurer des Groupes AD dans GLPI

#14 2007-12-07 16:32:43

Re: Configurer des Groupes AD dans GLPI

#15 2007-12-12 14:57:13

Re: Configurer des Groupes AD dans GLPI

#16 2007-12-12 15:00:22

Re: Configurer des Groupes AD dans GLPI

Board footer