You are not logged in.
Bonjour,
J'ai installer Glpi (version 0.91) sur un serveur linux (ubuntu), Mysql et apache
J'ai 3 entités
|-- Root
|-- Entité 01 (concerne le personnel)
|-- Entité 02 (élève et enseignant)
J'ai mis en place l'authentification externe (Shibboleth) pour la connexion des utilisateurs.
Je ne dispose pas de base LDAP ainsi qu'Active directory en local. La base LDAP qui me sert pour authentifier mes utilisateurs est gérer par un autre centre qui ne permet pas qu'on se connecte sur l'annuaire.
J'ai réussi a mettre en place l'authentification via le portail. Mais je me retrouve confronter a un problème au sujet de l'attribution des habilitations et des profils des utilisateurs.
Lorsque qu'un utilisateur se connect sur le portail, une fois la demande valider par fournisseur d'identité, j'ai bien le compte de l'utilisateur qui est crée dans glpi (dans le cas si il n'est pas présent). J'ai bien les informations comme le nom, prénom, uid.... qui sont enregistrer.
Malgré les règles dans "Règles d'affectation d'habilitations à un utilisateur", impossible d'affecter automatiquement "Entités (Profil)", "Profil par défaut" et "Entité par défaut"
A savoir que lors de l'authentification externe, le serveur shibboleth renvoie également la catégorie de l'individu (administratif, élève, enseignant).
J'ai crée 3 règles....une pour l'administratif, une pour les élèves et la dernier pour les enseignants.
Pour chacune des règles j'ai crée pour critère
Voici ma règle enseignant:
Critère Condition Motif
personneltype contient enseignant
Identifiant ne contient pas eleve
Champs Type d'action Valeur
Profils Assigner post-only
Entité Assigner Root \ Entité 01 \ Entité 02
Voici ma règle élève:
Critère Condition Motif
personneltype ne contient pas enseignant
Identifiant contient eleve
Champs Type d'action Valeur
Profils Assigner post-only
Entité Assigner Root \ Entité 01 \ Entité 02
Voici ma règle administratif:
Critère Condition Motif
personneltype ne contient pas enseignant
Identifiant ne contient pas eleve
Champs Type d'action Valeur
Profils Assigner post-only
Entité Assigner Root \ Entité 01
Malgré toute les tests des moteur de règles, que j'ai pue effectuer, je n'arrive pas a ce que les comptes qui sont crée reçoive l’habilitation définir dans les moteurs des règles.
Je lance une bouteille a la mer dans l'espoir qu'un membre de la communauté a une petite idée pour m'aider a comprendre voir trouver ce qui ne va pas.
Merci a tous.
Offline
Pouvez-vous donner un exemple de compte utilisateur (son identifiant) ?
CentOS 6.5 - CentOS 7.x
PHP 5.6 - PHP 7.x - MySQL 5.6 - MariaDB 10.2 + APC + oOPcache
GLPI from 0.72 to dev version
Certifiée ITIL (ITV2F, ITILF, ITILOSA)
Offline
Bonjour,
Pour information, les informations sont transmises via une authentification externe Shibboleth
J'ai une variable qui renvoie personneltype (administratif / enseignant), categorie (eleve / personnel)
Un compte élève :
Identifiant = prénom.nom.eleve
personneltype =
categorie = eleve
Un compte enseignant :
Identifiant = prénom.nom
personneltype = enseignant
categorie = personnel
Un compte administratif :
Identifiant = prénom.nom
personneltype = administratif
categorie = personnel
Dans configuration > Intitulés > Règles d'affectation d'habilitations à un utilisateur
J'ai rajouter personneltype et categorie
J'ai également tenter dans les règles d'affectation "Object Class" sans succès
Merci d'avance
Offline
Pour le compte élève, votre règle n'est pas correcte d'après vos informations.
Si le champ personneltype est vide il faut prendre le critère n'existe pas OU ne contient pas enseignant.
De plus, si le personneltype est clairement défini, je vous conseille de prendre le critère EST (plus rapide).
Vos règles sont-elles bien actives ?
Avez-vous d'autres règles définies après ces 3 là ?
CentOS 6.5 - CentOS 7.x
PHP 5.6 - PHP 7.x - MySQL 5.6 - MariaDB 10.2 + APC + oOPcache
GLPI from 0.72 to dev version
Certifiée ITIL (ITV2F, ITILF, ITILOSA)
Offline
Bonjour yllen,
J'ai 3 règles actif.
Pour le compte élève les critères sont :
Opérateur logique : et
Critères :
Identifiant finir par eleve
Actions :
Profils Assigner post-only
Entité Assigner Root \ Entité 01 \ Entité 02
Pour le compte enseignant les critères sont :
Opérateur logique : et
Critères :
Identifiant ne contient pas eleve
personneltype contient enseignant
Actions :
Profils Assigner post-only
Entité Assigner Root \ Entité 01 \ Entité 02
Actif Assigner Oui
Pour le compte administratif les critères sont :
Opérateur logique : et
Critères :
Identifiant ne contient pas eleve
personneltype contient administratif
Actions :
Profils Assigner post-only
Entité Assigner Root \ Entité 01
Actif Assigner Oui
J'ai une dernière règle crée par défaut par Glpi qui est par contre non actif.
Autre question, les informations renvoyer par Shibboleth via le "remote_user", les valeurs sont renvoyer sont préciser la variable. Si je en critère je mets "Object Class" contient "la valeur rechercher" il cherchera dans toute la variable si elle est bien présent?
Un grand merci pour votre aide.
Offline
Bonjour,
J'ai procéder à des tests "Règles d'affectation d'habilitations à un utilisateur"
Quand je test via le moteur de règles avec les différents cas possible d'utilisateur, le résultat des règles sont correct.
Lorsque je procéder à un test réels pour se connecter, l'habilitation a pour valeur "Entité racine" avec pour profils "post-only".
J'arrive pas à ce qu'il affect a la place de l'Entité racine, l'entité "Entité 02" (pour les élevés et enseignants) et "Entité 01" pour l'administratif.
Offline
Il faudrait avoir les valeurs exactes envoyées à la connection (il y a peut être un problème de casse)
CentOS 6.5 - CentOS 7.x
PHP 5.6 - PHP 7.x - MySQL 5.6 - MariaDB 10.2 + APC + oOPcache
GLPI from 0.72 to dev version
Certifiée ITIL (ITV2F, ITILF, ITILOSA)
Offline
Bonjour,
J'ai tous reprise de zéro
Arborescence de mes entités:
|-- Entité racine
|-- Entité 01 (concerne le personnel)
Dans "information avancées" "Information de l'outil d'inventaire (TAG) représentant l'entité" et "Information de l'annuaire LDAP représentant l'entité" j'ai mis "cna"
|-- Entité 02 (élève et enseignant)
Dans "information avancées" "Information de l'outil d'inventaire (TAG) représentant l'entité" et "Information de l'annuaire LDAP représentant l'entité" j'ai mis "naq"
Un compte élève :
Identifiant = prénom.nom.eleve
personneltype =
categorie = eleve
supannEtablissement = {autre}naq
Un compte enseignant :
Identifiant = prénom.nom
personneltype = enseignant
categorie = personnel
supannEtablissement = {autre}naq
Un compte administratif :
Identifiant = prénom.nom
personneltype = administratif
categorie = personnel
supannEtablissement = {autre}naq
Règles d'affectation d'habilitations à un utilisateur
Administratif
Critères:
Critère Condition Motif
(LDAP) CnamCategorie expression rationnelle vérifie /(personnel)/
(LDAP) supannEtablissement expression rationnelle vérifie /(naq)$/
Identifiant ne contient pas eleve
(LDAP) CnamPersonnelType expression rationnelle vérifie /(administratif)/
Action:
Champs Type d'action Valeur
Profils Assigner post-only
Entité Assigner Entité racine > Entité 01
Récursif Assigner Oui
Actif Assigner Oui
Eleve
Critères:
Critère Condition Motif
(LDAP) CnamCategorie expression rationnelle vérifie /(eleve)/
(LDAP) supannEtablissement expression rationnelle vérifie /(naq)$/
Identifiant expression rationnelle vérifie /(.auditeur)$/
Action:
Champs Type d'action Valeur
Entité depuis TAG Assigner valeur depuis expression rationnelle #1
Profils Assigner post-only
Actif Assigner Oui
Enseignant
Critères:
Critère Condition Motif
(LDAP) CnamPersonnelType expression rationnelle vérifie /^(enseignant)/
(LDAP) CnamCategorie expression rationnelle vérifie /(personnel)/
(LDAP) supannEtablissement expression rationnelle vérifie /(naq)$/
Identifiant ne contient pas auditeur
Action:
Champs Type d'action Valeur
Profils Assigner post-only
Entité depuis TAG Assigner valeur depuis expression rationnelle #2
Actif Assigner Oui
Pour chaque règles j'ai tester avec différentes valeurs correspondant au vrai valeur que renvoie la connexion, le résultat est bien à "Oui"
Le dernier test est le "Tester le moteur de règles" (global) avec différentes valeurs correspondant au vrai valeur que renvoie la connexion, le résultat est également à "Oui"
Pour information la règles "Root" n'est pas actif.
Encore merci yellen de ton aide.
Offline
Bonjour,
petit up.
Offline
Bonjour,
Je relance ce post.
Merci
Offline