You are not logged in.

Announcement

 Téléchargez la dernière version stable de GLPI      -     Et vous, que pouvez vous faire pour le projet GLPI ? :  Contribuer
 Download last stable version of GLPI                      -     What can you do for GLPI ? :  Contribute

Pages: 1

#1 2010-08-06 10:26:38

arnault38
Member
From: Grenoble - FRANCE
Registered: 2009-02-06
Posts: 79

Synchroniser l'état des comptes GLPI avec LDAP

Petite astuce pour que vos comptes GLPI passe à l'état inactif quand vous désactivez des utilisateurs dans Active Directory (idem pour tout type de LDAP je pense !)
Cela se passe dans les règles GLPI d'affectation d'entité et de droist.
Commencez par créer une nouvelle règle pour gérer l'état des comptes utilisateurs. Pensez à la mettre en Actif car la règle n'est pas activée par défaut.
Ensuite cliquez sur "Gestion des critères LDAP" et ajoutez un nouveau critère comme suit :

Nom : (LDAP)Etat du compte
Valeur LDAP: useraccountcontrol

Ensuite remplissez la règle comme suit :

Critère : (LDAP)Etat du compte
condition : Est
Motif : 514

Action : Actif
Type d'action : Assigner
Valeur : Non

La valeur du champ LDAP useraccountcontrol est à 514 quand le compte est désactivé et vaut 512 quand il est activé.

Il ne vous reste qu'à forcer la synchro des utilisateurs GLPI pour que leur état se mettent à jour par rapport à l'AD.

En espérant que ça serve à certains d'entre vous !

Last edited by arnault38 (2010-08-06 10:31:50)

Glpi : 9.1.2 (W2k12 Server - IIS)
OCS Inventory : 2.1.2, Agent 2.1.1.1 / )
120 ordinateurs, 25 imprimantes

Offline

#2 2010-10-12 17:35:48

dmartine1
Member
From: Quebec
Registered: 2008-09-14
Posts: 124

Re: Synchroniser l'état des comptes GLPI avec LDAP

Merci arnault38, petit post TRES intéressant, ça fait des lunes que nos techniciens nous demandaient cette fonction!

En complément d'information,  sur un Active Directory, on peut aussi avoir les valeurs 546 et 66050 qui sont des comptes inactifs.
66050 Désactivé, le mot de passe n'expire jamais
546 Désactivé,  mot de passe non requis
514 Désactivé, usager normal

Il faut aussi ne pas filtrer sur le useraccountcontrol lors de l'interrogation du LDAP.

Prod: GLPI 9.1.5 + OCS 2.3 + FI 9.1.1.1 (14000 postes, 1700 commutateurs, 24000 utilisateurs AD, 7 sites)
Ubuntu 16.04 Desktop/ VMWare / Applicatifs / Sgbd / PDF / ocsinventory-ng / data injection / room

Offline

#3 2010-10-12 17:40:25

wawa
GLPI-DEV
From: Montpellier / France
Registered: 2006-07-03
Posts: 6,019
Website

Re: Synchroniser l'état des comptes GLPI avec LDAP

merci pour ce post, effectivement c'est très intéressant

Offline

#4 2011-02-10 14:34:19

Eric26
Member
From: Valence (26)
Registered: 2007-02-17
Posts: 433
Website

Re: Synchroniser l'état des comptes GLPI avec LDAP

Bonjour,

Très intéressant ce topic mais j'ai des difficultés à appliquer cette astuce sur un GLPI 0.78.2. J'ai tenté d'adapter la procédure et je pense y être bien arrivé (création du nouveau critère, création de la règle avec critère et action) mais cela ne fonctionne pas (je suis sous un AD).

Pour l'heure, j'ai modifié la configuration de ma synchro LDAP pour que les utilisateurs supprimés dans mon AD soient désactivés dans GLPI (et non mis à la corbeille comme configuré par défaut). Cela fonctionne comme cela mais c'est embêtant pour les utilisateurs désactivés : Il n'est pas possible de les distinguer des utilisateurs réellement supprimés dans GLPI.

Si quelqu'un a une astuce pour cette astuce ( smile ), je prends !  wink

Amicalement,
Eric
-------------------------------------------------------------
Prod : GLPI 10.0.9 - Serveur IIS8.5 (w2012r2) - PHP 8.1.21 - MySql 5.7.11 -- Test : GLPI 10.0.9 - Serveur IIS8.5 (w2012r2) - PHP 8.1.21 - MySql 5.7.11

Offline

#5 2016-02-02 10:39:33

Kev01000
Member
Registered: 2016-02-02
Posts: 2

Re: Synchroniser l'état des comptes GLPI avec LDAP

Je me permets de déterrer ce sujet, qui m’intéresse mais en version 0.90 il n'y a plus le critère (LDAP) Etat du compte.

Merci d'avance.

Offline

#6 2016-02-02 15:05:17

orthagh
Administrator
From: TECLIB - CAEN
Registered: 2010-11-30
Posts: 662
Website

Re: Synchroniser l'état des comptes GLPI avec LDAP

Non mais le template par défaut pour créer une connexion à un AD contient le filtre suivant :

(&(objectClass=user)(objectCategory=person)([*]!(userAccountControl:1.2.840.113556.1.4.803:=2)[/*]))

La partie en gras permet justement d'exclure les compte désactivés de la recherche des utilisateurs dans l'annuaire.
L'entree d'aide chez microsoft correspondant à cette clef : https://support.microsoft.com/fr-fr/kb/269181

Offline

#7 2021-06-17 14:50:28

Sico31
Member
Registered: 2018-09-24
Posts: 596

Re: Synchroniser l'état des comptes GLPI avec LDAP

Deterrage en regle, les paramètres de cette règle ne semblent plus exister avec les version 9.XX de GLPI.
Du moins pas directement, il faut créer le critère useraccountcontrol qui n'existe pas dans GLPI à la base (ne pas oublier de remplir les 2 champs nom et contrôle pour qu'il ensuite disponible dans la liste déroulante du choix des critères)

Question complémentaire, quelle serait le controle à faire pour activer/desactiver un compte GLPI  sur la date d'expiration de ce compte AD ?

Last edited by Sico31 (2021-06-17 16:06:47)

Manger un castor, c'est sauver un arbre.
Quand on est mort, on ne sait pas qu'on est mort ; c'est pour les autres que c'est difficile. Quand on est con, c'est pareil !

Offline

Pages: 1

Board footer

Powered by FluxBB