Synchronisation avec A.D.

flogoss · 2005-03-21 10:20:20

Bonjour,

Nous projetons d'utiliser GLPI en authentifiant les utilisateurs au travers d'un serveur A.D. sous M$ Win 2003. Existe-t-il un moyen de garder les mots de passe synchronisés entre le serveur A.D. et la base de données de GLPI ?

Merci d'avance

MoYo · 2005-03-21 10:37:08

GLPI ne stocke aucun mot de passe des différentes sources d'authentification externes pour des raisons évidentes de sécurité.
Il n'y a donc pas de synchronisation a faire pour que cela fonctionne.

flogoss · 2005-03-21 10:41:01

Merci pour la rapidité et la qualité de réponse. Est-il dès lors possible d'utiliser le protocole LDAPS (LDAP over SSL) ?

MoYo · 2005-03-21 10:51:31

Je n'ai jamais testé. Mais il doit suffir de spécifier comme serveur ldap quelquechose comme : ldaps://ldap.example.com/

flogoss · 2005-03-21 10:54:58

PHP est-il configuré avec le support SSL par défaut ou faut-il le recompiler ?

baaz · 2005-03-21 11:25:53

Je crois que quelqu'un à developpé un addon qui permet aux utilisateurs authentifiés sur AD de ne pas avoir a retaper leur login/mot de passe à l'arrivée sur GLPI.
C'est un addon pour IIS, et il ne sera pas intégré dans GLPI.

Je ne sais pas si l'auteur veut le distribuer publiquement ou non, j'essayerai de lui demander, mais il faut savoir que c'est faisable.

thoms · 2005-03-21 13:11:39

Je serais eventuellement interessé par cet addon.
Cela dit, je pense que c'est également faisable avec apache grace au module NTLM qui gère les authentification à la IIS.

mod_NTLM pour apache : http://modntlm.sourceforge.net/

Last edited by thoms (2005-03-21 13:12:22)

flogoss · 2005-03-21 13:34:02

Je suis également intéressé par cet add-on, s'il y a possibilité d'en développer un pour Apache.

thoms · 2005-03-21 13:51:17

Je pense que l'addon se contente d'utiliser une variable d'environement positionnée par IIS (user ou qqchose du genre) en partant du principe que c'est le serveur web qui gère l'authentification et pas le code PHP. Dans ce cas de figure, je pense que ce mode de fonctionnement peut etre interessant car cela permet de gerer un simili SSO au niveau du serveur. Si on utilise plusieur appli, pas besoin de se reloguer dans chacune d'elle. Dans le cas super spécifique de l'autentification 'à la IIS' (NTLM) les postes windows authentiés sur un domaine sont connectés d'office.

flogoss · 2005-03-21 14:02:31

Y aurait-il alors la possibilité de récupérer l'ID d'un poste directement en comparant son nom dans A.D. avec celui dans la base MySQL et ainsi éviter à la personne qui utilise l'application HelpDesk de rechercher l'ID de son poste en déclarant une panne ?

thoms · 2005-03-21 14:53:48

Techniquement, tout est possible.
Théoriquement on pourrait meme pré-remplir le formulaire du materiel en faisant un match avec l'adresse IP (si elle est renseignée).
On pourrait aussi envisager une liste déroulante dans laquelle on aurait le materiel dont le contact correspond au login.
Le problème c'est plus de coder et de proposer des modifications du code à l'équipe de developpement.

phil93 · 2005-04-15 16:01:14

ce qui serait intéressant c'est de récuperer les noms des postes inscrits dans AD ,, avec éventuellement le nom de du l'utilisateur du poste (onglet "gerer par" dans AD), après pour la config complète...., et ainsi avoir tous les postes,

nous débarquons dans GLPI et le déployons de ce mois-ci malgrè des envies de mieux il est tr-ès

dans un premier temps le mieux c'est de faire un export de ça et de le récuperer dans GLPI (si c'est possible)

ce qui est dommage c'est qu'il ne semble pas y avoir de lien entre la table des utilisateurs et celle des postes

Last edited by phil93 (2005-04-15 16:51:46)

MoYo · 2005-04-16 18:08:35

Pour le lien computer-user cela a été ajouté dans la 0.5 avec la notion de responsable technique.

phil93 · 2005-04-16 20:00:17

je viens de tester, effectivement on peut lier un user a un poste, mais que devient le terme "contact" ? s'agit-il de la personne chargée de superviser le poste ?
le terme responsable technique pourrait etre remplace par " attribué à" et différencier les users du type admin des autres

pour AD je crois qu'il y a confusion, dans l'onglet "géré par" on désigne a qui est attribué le poste, pas qui l'utilise physiquement (enfin je vois plutot ca comme ça), je pensais pouvoir lier le contact du poste a celle des users, et le responsable technique a celui des admin ou techniciens ou bien l'inverse

cela permet donc en se connectant sur l'OU postes de AD de récupérer les données des postes ,avec leur propriétaire. il y a un outil qui fait ca bien mais qui n'est pas terminé :powerAD,(voir chez google) il ne manque paq grand chose pour pouvoir le lier a glpi d'une facon pour d'une autre

phil93 · 2005-04-16 20:42:08

je continue ma découverte :

le "vrai" vu du coté user post-only c'est lors de la recherche, si le contact n'est pas son nom mais a celui de la personne de l'équipe technique, la recherche sur nom ne donnera rien il devra donc aller chercher le numéro de serie de son pc pour signaler l'incident. pas très pratique.

je vais regarder comment changer ce formulaire de recherche en conséquence.

phil93 · 2005-04-18 13:50:57

mea culpa, je n'avais pas assez fouillé

le contact est le nom de la personne a qui est attribuée le poste, le responsable technique est "le responsable technique" donc tout baigne.
je m'en veux d'avoir envisagé que vous puissiez faire de telles erreurs.

phil93 · 2005-04-18 13:55:09

toujours moi

j'ai bien interfacé GLPI et AD , ça marche sans pb, glpi est installé sur un serveur linux e-smithmais lorsque je récupère mes utilisateurs, leur nom est mal traduit s'il comporte un "c cédille" je récupère un "FranÃ§ois" a la place de "François".

Il s'agit probablement d'un pb de character-set , mais lequel ?

MoYo · 2005-04-18 16:53:45

hum hum .... bonne question.

je ne sais pas comment faire comprendre à l'AD d'utiliser un character set classique...
Il utilsie peut-etre l'UTF-8 mais je ne sais pas.

phil93 · 2005-04-18 20:19:45

j'ai un pb similaire avec SPIP, cela dit un collègue a fait un petit script de récupération de l'annuaire AD pour créer un trombinoscope, et là pas de pb. (il est très bien son truc d'ailleurs)

Forum GLPI-Project

Announcement

#1 2005-03-21 10:20:20

Synchronisation avec A.D.

#2 2005-03-21 10:37:08

Re: Synchronisation avec A.D.

#3 2005-03-21 10:41:01

Re: Synchronisation avec A.D.

#4 2005-03-21 10:51:31

Re: Synchronisation avec A.D.

#5 2005-03-21 10:54:58

Re: Synchronisation avec A.D.

#6 2005-03-21 11:25:53

Re: Synchronisation avec A.D.

#7 2005-03-21 13:11:39

Re: Synchronisation avec A.D.

#8 2005-03-21 13:34:02

Re: Synchronisation avec A.D.

#9 2005-03-21 13:51:17

Re: Synchronisation avec A.D.

#10 2005-03-21 14:02:31

Re: Synchronisation avec A.D.

#11 2005-03-21 14:53:48

Re: Synchronisation avec A.D.

#12 2005-04-15 16:01:14

Re: Synchronisation avec A.D.

#13 2005-04-16 18:08:35

Re: Synchronisation avec A.D.

#14 2005-04-16 20:00:17

Re: Synchronisation avec A.D.

#15 2005-04-16 20:42:08

Re: Synchronisation avec A.D.

#16 2005-04-18 13:50:57

Re: Synchronisation avec A.D.

#17 2005-04-18 13:55:09

Re: Synchronisation avec A.D.

#18 2005-04-18 16:53:45

Re: Synchronisation avec A.D.

#19 2005-04-18 20:19:45

Re: Synchronisation avec A.D.

Board footer