You are not logged in.
Bonjour.
J'ai configuré GLPI avec une liaison LDAP sur un AD : aucun problème, l'importation des groupes et des utilisateurs se fait sans problème sauf que le groupe primaire d'un utilisateur n'est jamais associé dans GLPI, pour les groupes secondaires aucun problème.
Évidement pas de chance : dans mon infrastructure, la notion de groupe qui est importante est bien le groupe primaire de l'utilisateur...
Une idée ?
D'avance merci.
Offline
bonjour,
c'est quoi la différence entre groupe primaire et groupe secondaire ? ça se traduit comment dans votre AD ?
Offline
Pardon car je n'ai pas été très exacte : prenons le cas de mon compte sur l'AD :
je suis membre des groupes suivants :
- Admins du domaine
- Service informatique (groupe principal)
- Utilisateur du domaine
- ....
GLPI importe bien tous les groupes, mais ne parviens pas à m'associer au groupe informatique (qui est mon groupe principale). Cette notion est configurable dans les propriétés de l'objet, section "Membre De" avec le bouton "Définir le groupe principale"
Offline
dans votre AD, c'est quoi la différence entre un groupe et un groupe principal ? c'est la même classe ?
ils sont stockés au même endroit ou pas ?
svp postez moi votre conf LDAP et les DN des groupes qu'on puisse y voir plus clair
Offline
OK alors en explorant les informations LDAP à la main, je constate qu'effectivement le groupe primaire n'est pas présent dans les attributs memberOf de l'utilisateur ou dans Member du groupe.
Explication de Microsoft ici http://support.microsoft.com/kb/275523
Pour le récupérer il faut donc passer par l'attribut PrimaryGroupID du l'utilisateur et faire l'association avec le GID du groupe.
Visiblement ce cas de figure n'est pas géré par GLPI, c'est au programme dans une prochaine version ?
Offline
oui donc doit pouvoir s'en sortir autrement je pense, essayez ça :
Type de recherche : utilisateurs + groupes
Attribut utilisateur indiquant ses groupes : PrimaryGroupID
Filtre pour la recherche dans les groupes : (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Attribut des groupes contenant les utilisateurs : member
Utiliser le DN pour la recherche : oui
On va aller chercher l'appartenance en regardant, dans l'objet user, le groupe primaire, et l'appartenance aux autres groupes en regardant le member dans l'objet groupe
Offline
Non cela ne fonctionne pas, mais attention je ne suis pas sur que vous avez compris que dans l'attribut PrimaryGroupID on trouve un entier qui est le numéro du groupe principale (son GID)
Offline
hum... non ça va pas marcher alors
vous pouvez poster ici la tête (en LDAP svp) d'un objet groupe primaire ?
Offline
En fait c'est un objet groupe classique.
Chaque utilisateur a un groupe principale (généralement "Utilisateur du Domaine") et peut avoir d'autres groupes secondaires.
Sauf que sur un AD, le groupe principale n'est pas présent dans la propriété MemberOf de l'utilisateur, mais par contre on peut trouver le GID du groupe principale dans la propriété PrimaryGroupId (mais attention ce n'est pas un CN, mais un GID).
C'est aussi vrai dans l'objet du groupe en question. C'est à dire que dans l'objet Groupe "Utilisateur du Domaine" à la propriété "member" on ne trouvera pas les utilisateurs qui ont ce groupe en principal... mais juste les utilisateurs qui sont membre de ce groupe ET qui ne l'on pas en groupe principal...
Offline
je comprends bien ce que vous me dites, mais je vous demander de me faire un export ldif d'un groupe primaire et de me le mettre sur ce post, j'ai besoin de ça pour me faire une idée de comment le traiter
Offline
ce que je pige pas, c'est qu'une fois avoir récup le GID, je fais comment une recherche LDAP pour avoir le groupe associé ??
ça me semble du spécifique AD, donc je vois pas comment je pourrais penser un jour à l'inclure dans glpi...
Offline
bon j'ai rencontré le même pb sur un samba
l'astuce :
- faut rechercher dans les users
- créer un groupe et chercher dans PrimaryGroupID
- mettre comme valeur celle du groupe (l'identifiant)
ça doit marcher
Offline