Groupe & LDAP ... et le retrait ?

emgenet · 2006-11-17 22:23:58

Bonsoir, après diverses essais, mon intégration dans les groupes marche enfin nickel. Mine de rien obligé de revoir une partie de l'AD, sinon on avait le pbm de la personne avec Toulouse et Paris. Mais comme nous sommes en haut, nous avons refait pour que cela colle à GLPI sans pour autant tout exploser (en gros on a crée une ou générique dans laquelle on a redescendu l'arborescence, GLPI ayant en basedn cette ou générique !).

Enfin, je ne suis pas la pour ca, je viens de tester et un truc me perturbe, je me met dans un groupe, le groupe étant OK dans GLPI, je suis inscrit dans ce groupe. Par contre, je me retire de ce groupe, je suis toujours présent dans GLPI). QQ'un aurait une idée, ou j'ai mis le doit sur qq'chose ?

Sur ce, bon WE à tous.

MoYo · 2006-11-18 12:49:45

Pourquoi vous avez été obligé de modifier votre LDAP ?

Je ne comprend pas trop votre probléme sur l'histoire des groupes.

emgenet · 2006-11-18 13:54:19

Bien si, nous avions les OU d'utilisateurs à la racine de l'AD. Comme notre AD reprend notre organigramme ca marche bien. Par contre on n'avait pas de 'niveau 0'. Donc je ne pouvait pas mettre d'OU initiale dans le basedn, mais juste le DC=toto,DC=XX. J'ai donc créer une OU "utilisateurs" en rebasculant l'organigramme dedans. dans le basdn, j'ai aujourd'hui le OU=utilisateurs,DC=toto,DC=XX et je peux maintenant intégrer les groupes.

Si vous ne comprenez pas, cette façon de faire vient de certaine réponse présentes sur le forum, j'ai peur d'un coup

Sinon, pour le retrait, maintenant que l'ajout marche ?

MoYo · 2006-11-18 16:17:58

Attendez que je comprenne : en spécifiant DC=toto,DC=xx les utilisateurs doivent quand meme pouvoir se connecter non ?
Et pour la recherche dans les groupes si vous avez les infos dans les données de l'utilisateur (je crois que c'est le cas dans l'AD) ca ne doit pas poser de problème.

L'auth LDAP / AD va surement évoluer vers une solution plus compatible avec les divers systèmes.

emgenet · 2006-11-18 16:34:08

oui, oui, ils pouvaient (et peuvent toujours ) se connecter,

J'avais juste un souci avec les groupe et l'import depuis un LDAP de nouveaux utilisateurs (j'avais lu ceci : http://glpi-project.org/forum/viewtopic.php?id=4784 et d'autres)

Donc en gros, à aujourd'hui ca marche pour la création, mais pas pour la supression d'un lien user/groupe si le user est enlevé d'un groupe dans l'AD, il n'est pas enlevé dans GLPI.

Last edited by emgenet (2006-11-18 16:34:25)

MoYo · 2006-11-18 16:36:46

Normalementil devrait l'etre au moment de son prochain login.

emgenet · 2006-11-18 18:31:32

C'est le pourquoi de mon post, je voulait savoir si bug ou si mauvaise config de mon coté ou si un peu des 2

Je refais des tests dans la soirée et vous tiens au courant.

emgenet · 2006-11-18 22:05:27

Je confirme.... pas de suppression de l'utilisateur dans le groupe.

Je te donne donc 1. Ma config LDAP. 2. Ma config du groupe test 3.Ce que je fais.

1. Config de LDAP

LDAP configuration
Hote LDAP : IP du DC ayant le plus de rôles.
LDAP Port : 389
Basedn : OU=Utilisateurs,DC=TOTO,DC=XX
rootdn : cn=readldap,cn=users,dc=toto,dc=xx
Pass : Password de readldap
Filtre de connexion :
Champ de login : samaccountname
Utiliser TLS : Non

Appartenance à des groupes
Type de recherche : Dans les utilisateurs
Attribut utilisateur indiquant ses groupes : memberof
Filtre pour la recherche dans les groupes :
Attribut des groupes contenant les utilisateurs :

Liaisons GLPI/LDAP
realname : sn
firstname : givenname
location :
email : mail
phone : telephonenumber
phone2 : homephone
mobile : mobile

2. Config du groupe test

Nom : reseaux
Dans les utilisateurs
Attribut utilisateur indiquant ses groupes : memberof
Valeur LDAP : CN=totogroupe,OU=Direction des Systèmes d'Information,OU=Utilisateurs,DC=XXXX,DC=XX
Dans les groupes
DN du groupe :

3. Ce que je fais
- Tu a compris que totogroupe est le groupe de test dans l'AD qui s'appelle reseaux dans GLPI.
- Mon utilisateur ne fait pas partis dans l'AD dur groupe totogroupe.
- Je me connect à GLPI et je n'intégre pas le groupe reseaux, normal !
- Je me déconnect de GLPI.
- Je met mon utilisateur dans le groupe totogroupe dans l'AD.
- Je me connect à GLPI et je vérifie mon intégration dans le groupe reseaux. OK ca marche.
- Je me déconnect de GLPI.
- Je retire mon utilisateur du groupe totogroupe dans l'AD.
- Je me connect à GLPI et je vérifie que mon user ne fasse plus pertie du groupe reseaux. Ca ne marche pas, il est toujours là !

Je pense que là, je ne peux pas donner plus de précisions.

Merci d'avance.

Last edited by emgenet (2007-04-01 09:23:40)

MoYo · 2006-11-18 23:20:59

Je viens de faire le même genre de chose et je n'ai aucun problème...

emgenet · 2006-11-19 09:34:54

Un petit indice quand même, ou vaut-t-il mieux attendre la 0.7 si elle a une config particuliere pour les indentification externe ?

Au fait elle sort quand ?

(non non, on ne s'énerve pas, si je veux qu'elle sorte plus vite j'ai qu'a apprendre le php et prendre ma truelle.... )

emgenet · 2006-11-21 22:20:30

bonsoir,

un petit point.

1. J'ai changé le nom du groupe dans glpi, il s'appelle désormais comme le groupe de l'AD.

2.J'ai tout essayé, même de mettre le groupe en question à la racine de l'AD et mon compte à la racine de l'AD. Et bien rien n'y fait, quand je me met dans le groupe, j'entre dans le groupe dans glpi, quand je me retire du groupe dans l'AD, je n'en sort pas dans glpi.

J'ai bien confiance que ca marche chez vous (tsmr, Moyo,...), mais le souci c'est que pas de mode débug, puisque c'est pendant le login, quelqu'un aurait-t-il une idée, car je sèche, et je dois avouez on est dans un domaine que je ne métrise pas forcément .

MoYo, t'aurais pas un petit truc où écrire dans un log ce qui pourrait se passer ? Au moins en test pendant midi ou le soir.

Merci d'avance à tous.

Last edited by emgenet (2006-11-21 22:20:48)

MoYo · 2006-11-21 23:13:57

a part faire des echos pour voir ce qu'il récupère au moment de la mise à jour des groupes je vois pas trop

emgenet · 2006-11-22 08:45:52

Et comment je pourrais faire ca ? les print se trouverais alors sur le serveur ou sur le poste en local ?

MoYo · 2006-11-22 08:53:34

les print se ferait au sein de votre navigateur.
C'est la seule méthode de débugging PHP que je connaisse.

Une autre solution serait de pouvoir taper sur votre AD pour que l'on puisse faire les tests nous même.

emgenet · 2006-11-22 23:32:30

Pour la seconde solution, même si je suis admin tout plein de pouvoir chez nous, le M. Sécurité va pas être d'accord

Et donc pour les prints, tu aurais une idée pour sortir ce qui se passe ? S'il faut modifier du code, en me disant ce qu'il faut écrire et ou, ca je saurais faire, mais sinon je suis toujours au niveau n-2 en php (vous allez finir par le savoir ) Peut-etre dans l'année prochaine si du temps se dégage !

MoYo · 2006-11-23 00:53:58

via le forum c'est quasi impossible delai trop important.

emgenet · 2006-11-23 16:14:12

Par l'IRC je veux bien... le seul souci, pas d'IRC au boulot, et IRC à la maison mais dès que je lance le VPN pour accéder au boulot (test sur l'AD) je vire l'IRC !

Ca va etre chaud, mais je vais essayer d'emprunter un portable du boulot, sur mon psoste IRC, sur le portable VPN et c'est gagné

Je vous tiens au courant.

tsmr · 2006-11-23 16:19:00

et il ne peuvent pas au boulot t'ouvrir 6667 juste le temps des tests ?

emgenet · 2006-12-03 16:37:26

Salut tout le monde,

vu avec Moyo, l'IRC en même temps que le VPN c'est OK de chez moi . Par contre du boulot, en ce moment je doit faire à peu près presque 10H/jour pour finir un truc avant la fin de la semaine du 14/15, je vais donc etre moins dispo pour régler ce pbm. Je m'y remets juste après.

(J'ai un autre souci, mais j'ouvre un autre post )

encore merci pour tout.

Jeff · 2007-02-07 12:16:25

Bonjour,

Moi j'ai une question pour toi emgenet

2. Config du groupe test

Nom : reseaux
Dans les utilisateurs
Attribut utilisateur indiquant ses groupes : memberof
Valeur LDAP : CN=totogroupe,OU=Direction des Systèmes d'Information,OU=Utilisateurs,DC=CG08,DC=AD
Dans les groupes
DN du groupe :

A quoi correspond OU=Direction des Systèmes d'Information ? Et elle est dans OU=utilisateurs?

Cordialement.

emgenet · 2007-02-07 13:23:10

Je t'avoue que j'ai un peu abandonner ce post car j'attends la 0.7 pour voir. Car ce n'est pas aujourd'hui un souci bloquant et la manque de temps fais que je préfère attendre.

Pour la question c'est Oui.

Jeff · 2007-02-07 14:35:22

Ok merci

emgenet · 2007-09-01 11:37:16

Je remonte ce post, qu'il faudrait peut-etre passer dans le beta-test de la 0.7. Voila ce que je fait :

Mon compte fait partie d'un groupe, le groupe est correctement mis dans glpi

Nom: Production
Dans les utilisateurs:
Attribut utilisateur indiquant ses groupes: memberof
Valeur LDAP: CN=reseaux,OU=Groupes,...OU=Ard,DC=CGXX,DC=XX
Dans les groupes:
DN du groupe:

1. Mon compte AD est dans le groupe reseaux. Au login dans glpi, j'entre bien dans le groupe Production de GLPI.
2. Je retire mon compte AD du groupe reseaux. Au login, mon compte dans GLPI reste dans le groupe Production.
3. Je retire à la main mon compte du groupe Production, je me re-log et là, mon compte GLPI n'entre pas dans le groupe Production, c'est bien que le lien avec l'AD marche bien.
4. Je remet mon compte AD dans le groupe reseaux, et au log suivant dans GLPI, j'entre dans le groupe Production.

Est-ce que quelqu'un a le même phénomène, pour info je l'ai en 0.68.3 et en beta test 0.7.

Merci d'avance.

Crazysky · 2007-09-15 01:02:27

Je viens de faire la manipulation suivante :
1. Dans AD j'ajoute l'utilisateur User01 au groupe Groupe1
2. Je me connect avec User01 sur GLPI son profil est créer et il a bien rejoin le groupe Groupe1
3. J'enleve User01 de Groupe1 dans l'AD
4. Je me reconnect sur GLPI avec User01
5. Je constate que User01 reste lié a Groupe1 dans GLPI mais ne l'est plus dans AD

Pourtant j'ai éffectué un autre test, j'ai créer un groupe Groupe2 et ajouté User1 a Groupe2 dans AD. Sans supprimer User1 de GLPI (et donc joint à Groupe1 sur GLPI), lors de la prochaine connection, Groupe2 apparait dans la liste des groupes de User1 sur GLPI.
Il y a donc bien un check des Groupes de l'utilisateur a chaques connection ... cependant il n'y a pas de recherche si le groupe n'y est plus. Un oubli peu-etre ? (Si on suit la logique de verification des groupes de l'utilisateur)

PS : Merci pour ce forum bien complet, meme si j'ai passé 3h a comprendre comment tout fonction avec AD ... j'ai quand meme reussi. (Obligation d'avoir ADSIedit.msc pour eviter des heures de recherche pour rien, il fournit vraiment tous les DN)

GLPI 0.68.3 ; Windows Server 2003 R2 Entreprise ; Apache, PHP et MySQL (Version distribué avec EasyPHP 1.8.0.1)

emgenet · 2007-09-16 13:09:51

Et bien, voila, moi qui voulais faire un petit up ...

Apparement, je ne suis donc pas le seul, quelqu'un pourrait-il nous dire si notre fonctionnement est correct ou si les utilisateurs doivent effectivement disparaitre des groupes GLPI ?

Merci d'avance.

Forum GLPI-Project

Announcement

#1 2006-11-17 22:23:58

Groupe & LDAP ... et le retrait ?

#2 2006-11-18 12:49:45

Re: Groupe & LDAP ... et le retrait ?

#3 2006-11-18 13:54:19

Re: Groupe & LDAP ... et le retrait ?

#4 2006-11-18 16:17:58

Re: Groupe & LDAP ... et le retrait ?

#5 2006-11-18 16:34:08

Re: Groupe & LDAP ... et le retrait ?

#6 2006-11-18 16:36:46

Re: Groupe & LDAP ... et le retrait ?

#7 2006-11-18 18:31:32

Re: Groupe & LDAP ... et le retrait ?

#8 2006-11-18 22:05:27

Re: Groupe & LDAP ... et le retrait ?

#9 2006-11-18 23:20:59

Re: Groupe & LDAP ... et le retrait ?

#10 2006-11-19 09:34:54

Re: Groupe & LDAP ... et le retrait ?

#11 2006-11-21 22:20:30

Re: Groupe & LDAP ... et le retrait ?

#12 2006-11-21 23:13:57

Re: Groupe & LDAP ... et le retrait ?

#13 2006-11-22 08:45:52

Re: Groupe & LDAP ... et le retrait ?

#14 2006-11-22 08:53:34

Re: Groupe & LDAP ... et le retrait ?

#15 2006-11-22 23:32:30

Re: Groupe & LDAP ... et le retrait ?

#16 2006-11-23 00:53:58

Re: Groupe & LDAP ... et le retrait ?

#17 2006-11-23 16:14:12

Re: Groupe & LDAP ... et le retrait ?

#18 2006-11-23 16:19:00

Re: Groupe & LDAP ... et le retrait ?

#19 2006-12-03 16:37:26

Re: Groupe & LDAP ... et le retrait ?

#20 2007-02-07 12:16:25

Re: Groupe & LDAP ... et le retrait ?

#21 2007-02-07 13:23:10

Re: Groupe & LDAP ... et le retrait ?

#22 2007-02-07 14:35:22

Re: Groupe & LDAP ... et le retrait ?

#23 2007-09-01 11:37:16

Re: Groupe & LDAP ... et le retrait ?

#24 2007-09-15 01:02:27

Re: Groupe & LDAP ... et le retrait ?

#25 2007-09-16 13:09:51

Re: Groupe & LDAP ... et le retrait ?

Board footer