LDAP, AD et UO drôle de ménage à 3

Demes · 2011-12-15 17:01:55

Bonjour à tous !

Je suis entrain de configurer mon GLPI sur un serveur windows 2008 R2.

J'en suis à la phase critique de l'importation de mes utilisateurs et groupes dans l'optique d'avoir un GLPI identique à mon AD pour la gestion des tickets.

Voici à quoi ressemble mon AD :
dc=local
|
dc=lantest
/ \
ou=Compta ou=Info
/ \ / \
ou=PC ou=User ou=PC ou=User

Et je souhaiterai que dans mon GLPI les entités soit les UO et que mes utilisateurs et PC se mettent automatiquement dans leurs UO respectives grâce aux systèmes de règles. ( pas la peine de mettre les PC dans l'uo PC et user dans l'uo User vu que GLPI fait la differences entre les 2 ).

J'ai donc un problèmes : Quand j'importe mes users par LDAP, je ne peux pas me servir des UO comme valeurs de tri, que les groupes ( Administrateur du domaine etc .. ).

C'est assez embêtant sachant que si je devais faire un schéma de mes groupes cela ressembleraient plus à une toile d’araignée que à des branches si vous voyez ce que je veux dire .. Un user peut tres bien être dans 2 groupes alors qu'il ne peut être que dans une UO ..

Si vous savez comment faire .. Merci d'avance

berserker · 2011-12-19 11:23:53

Bonjour,

Il faut en fait créer une annuaire LDAP par entité / OU, avec comme basedn le chemin complet de l'OU en question (Compta ou Info chez vous).

De ce fait chaque utilisateur sera dans la bonne OU.

Attention néanmoins, si vous migrer un utilisateur d'une OU à une autre, il ne sera pas migré automatiquement dans GLPI d'une OU à une autre !

Demes · 2011-12-19 15:15:06

Ok, merci pour la réponse

Mais du coup si j'ai 15 UO ... il faut que j'enregistre 15 annuaire LDAP différents dans la partie "Configuration" "Authentification" ?

Demes · 2011-12-20 11:56:54

Il est pas possible de modifier quelques parts les champs de règle/synchro ldap pour qu'il identifie le "ou=" comme un groupe ?

berserker · 2011-12-20 13:23:02

Non, d'autant plus que soit on défini un LDAP à l'entité racine, soit une par entité enfant.

Une solution envisageable serait de créer le LDAP au niveau de l'entité racine, puis de définir des profils et donc des droits sur les différentes entités en fonction de groupe utilisateur regroupant tous les utilisateurs de tel ou tel OU.

Je risque d'avoir à faire ça chez le client ou j'ai justement mes 15 LDAP pour un même Active Directory car ils veulent globaliser certains accès entre entités ...

remi · 2011-12-20 14:31:57

Il est possible de le faire avec 1 seul annuaire
Définir l'OU dans la fiche de l'entité

Et une règle du genre

Critere => extraction de l'UO
DN vérifie regex

Action
Entité depuis information LDAP

Demes · 2011-12-20 15:14:58

Merci pour vos 2 réponses !

J'ai essayé ta méthode remi, mais je ne suis pas sur d'avoir bien compris, du coup j'ai fais comme ça :

- J'ai crée une entité nommé "test", qui est aussi une OU dans mon annuaire. ( ce qui correspond pour toi à" Définir l'OU dans la fiche de l'entité" ? )
- Je suis ensuite aller dans "règle d'affection d'habilitation à un utilisateur".
- J'ai crée une nouvelle regle "test UO".
- J'ai crée dedans un nouveau critère ( grâce au petit + ).
- Je lui ai mis comme option OU=test,DC=lantest,DC=local
- Comme vérification du critère j'ai mis "l'expression régulière" " " un blanc pour à quoi c'est égal ( c'est la ou je seche )
- J'ai comme Action "Entité assigné test".

Et ... Il me trouve mon utilisateur abcd qui est bien dans l'OU test ... mais il me la met dans l'entité racine, et quand je force la synchro il me la met ensuite dans aucune entité ...

Je ne sais pas trop ou aller du coup .. ?

PS : La basedn de mon annulaire LDAP est la racine "DC=lantest,DC=local"

Encore merci du coup de main est désolé pour mes questions

remi · 2011-12-20 15:21:29

Il faudrait un vidage de la fiche LDAP d'un utilisateur (disponible en mode debug, dans l'onglet "debug" de la fiche d'un utilisateur importé)

Le critère portegra sur le DistinguisedName qui doit ressembler à un truc du genre uid=toto,OU=test,DC=lantest,DC=local
donc : /(OU=.*)$/

Règle : affecter depuis résultat regex : #0

Et dans la fiche de l'entité, mettre OU=test,DC=lantest,DC=local (champ information LDAP)

Demes · 2011-12-20 15:54:06

Zut ça marche pas Il me semble que je me suis pas raté pourtant ..

Le DN de mon utilisateur est en effet dans le genre que tu as dis : cn=abcd,ou=test,dc=lantest,dc=local (je fais des études de réseaux donc ça je comprends)

Donc après je comprends que l'on va vouloir comparer le DN de l'utilisateur qu'on va exporté avec le critère que l'on va renseigner .. mais pourquoi ce critere est /(OU=.*)$/ .. aucune idée ! J'ai pas fais assez de dev pour comprendre ... encore moins le regex = #o ( regex = "expression régulière vérifie" c'est ça ? ).
On ne peut pas faire un genre de if ( $DN_user="cn="*",ou=test,dc=lantest,dc=local") alors on le met dans tel entité ?

Désolé je me rends compte que je suis lourd mais le fais de pas comprendre et que ça marche pas m'enerve è_é

remi · 2011-12-20 15:59:12

Oui tu peux faire un règle

Critere : DN contient "ou=test,dc=lantest,dc=loca"
Action : Affecter entité = "test"

Ma proposition, à base de regex, permettait d'avoir une règle générique pour toutes les entitiés

berserker · 2011-12-20 16:07:49

Tiens je connaissais pas cette technique Oo

Je vais l'essayer ça résoudra surement mon problème de multiple serveur LDAP qui saute avec le SSO ...

Demes · 2011-12-20 16:14:10

Je viens de test la regle que tu viens de dire et ça marche ! J'aurai pu y penser plutôt en faites mais j'avais pas vu ( ou pris le temps de voir ) qu'on pouvait mettre contient et pas juste egale ..
Pour ta toute première, c'est un niveau trop haut pour moi ( au faites je me demandais .. tu as eu un cursus dev plutôt ? )

Demes · 2011-12-21 18:21:52

Une dernière question du coup !

J'ai des utilisateurs dont je ne veux pas ( du style ceux dans l'UO compte desactivé, ou les comptes qui sont dans des UO dont je ne veux pas ), existe t'il un moyen que lors de l'importation, tous les utilisateurs qui ne correspondent à aucune de mes regles d'affectation soit automatiquement mis dans une entité bien précise ?

Par exemple, j'importe 200 utilisateurs, la dedans j'en ai 20 qui sont dans des UO pour lesquels je n'ai pas fais de regles, dans mon cas actuel ils finissent dans l'entité racine, n'est il pas possible qu'ils soit automatiquement basculés ( par une regle donc ) dans une autre entité ( poubelle par exemple ? ) si ils ne correspondent à aucune autres regles ?

C'est du details donc si ce n'est pas possible c'est pas grave bien sur

Merci pour tous encore une fois !

Edit : J'ai trouvé une éventuelle solution mais je n'arrive pas à la mettre en place => Changer l'entité par défaut ! A ce moment la les utilisateurs qui passent à travers mes règles iront dans l'entité par défaut que j'aurai modifié au préalable et qui serait "Poubelle" !
Parce que j'avoue que l'idée qu'un utilisateur qui n'a aucune raison de se connecter à glpi se retrouve dans l'entité racine ( donc au dessus de toutes mes autres entités ) me gène un peu ..

Last edited by Demes (2011-12-22 10:32:38)

Demes · 2011-12-22 15:15:59

Encore mieux maintenant !

Je me rends compte que mon authentification marche pas !

J'arrive à importer mes 200 utilisateurs de l'AD, mais quand je veux m'identifier il me dit mot de passe erroné .. pourtant la liaison avec LDAP est bonne ?
Y a quelques choses à config que j'ai pas vu ( pour que le mot de passe soit de l'AD ) ?

Demes · 2011-12-22 16:26:04

Je m'auto répond pour mes 2 questions :

Pour que les utilisateurs qui ne verifient aucunes régles ne finissent pas dans l'entité principale => Il suffit d'aller dans Authentification > Configuration Authentification > Ajouter un utilisateur sans habilitation depuis l'annuaire LDAP > NON

Pour mon probleme de mot de passe il faut aller dans l'AD et verifier sur l'utilisateur par 1 clic droit Propriétés => Compte > se connecter à > autoriser le serveur AD

Ce n'est peut être pas les bonnes solutions mais du moins ça a l'air de fonctionner ? ( surtout la deuxieme )

Last edited by Demes (2011-12-22 16:39:03)

Forum GLPI-Project

Announcement

#1 2011-12-15 17:01:55

LDAP, AD et UO drôle de ménage à 3

#2 2011-12-19 11:23:53

Re: LDAP, AD et UO drôle de ménage à 3

#3 2011-12-19 15:15:06

Re: LDAP, AD et UO drôle de ménage à 3

#4 2011-12-20 11:56:54

Re: LDAP, AD et UO drôle de ménage à 3

#5 2011-12-20 13:23:02

Re: LDAP, AD et UO drôle de ménage à 3

#6 2011-12-20 14:31:57

Re: LDAP, AD et UO drôle de ménage à 3

#7 2011-12-20 15:14:58

Re: LDAP, AD et UO drôle de ménage à 3

#8 2011-12-20 15:21:29

Re: LDAP, AD et UO drôle de ménage à 3

#9 2011-12-20 15:54:06

Re: LDAP, AD et UO drôle de ménage à 3

#10 2011-12-20 15:59:12

Re: LDAP, AD et UO drôle de ménage à 3

#11 2011-12-20 16:07:49

Re: LDAP, AD et UO drôle de ménage à 3

#12 2011-12-20 16:14:10

Re: LDAP, AD et UO drôle de ménage à 3

#13 2011-12-21 18:21:52

Re: LDAP, AD et UO drôle de ménage à 3

#14 2011-12-22 15:15:59

Re: LDAP, AD et UO drôle de ménage à 3

#15 2011-12-22 16:26:04

Re: LDAP, AD et UO drôle de ménage à 3

Board footer