option synchronisation LDAP

barbichel · 2024-09-18 13:28:48

Bonjour,

J'ai vu qu'il était possible de faire une synchronisation et import automatique des utilisateurs LDAP grâce à la commande :

bin/console glpi:ldap:synchronize_users

Mais il y a une option que je ne trouve pas.

En effet via la page "importation de nouveaux utilisateurs" il est possible de modifier la BaseDN en plus du filtre et de cibler plus précisément que celui configurer sur l'annuaire LDAP.

Or je n'ai pas l'impression que cela soit possible via cette commande.

Si quelqu'un a la solution, je suis preneur.

Merci d'avance.

Cordialement,

lecortex · 2024-09-18 13:55:20

Si vous sélectionner vos utilisateurs dans glpi vous pouvez synchroniser via une action de masse.

barbichel · 2024-09-18 14:18:41

Bonjour,

Merci pour votre retour, mais l'idée serait de faire cette action en automatique toutes les nuits via crontab.

lecortex · 2024-09-18 14:22:49

Je comprend mieux, je n'utilise pas cette fonctionnalité.

Pour mon information quel est le but de faire cette synchro tous les jours ?

barbichel · 2024-09-18 14:55:58

Pour deux raisons:

la première : nous mettons les utilisateurs dans des groupes en fonction de leur service (pour un meilleur suivi des tickets et sortir des stats par service). le but à terme c'est de mettre l'utilisateur automatiquement dans le bon groupe via un attribut utilisateur sur l'AD. (en ce moment je le fait à la main quand un nouvel utilisateur est importé de l'AD ou qu'il change de service ...)

la deuxième : les utilisateurs sont automatiquement importés à leur première connexion sur GLPI, mais beaucoup nous appels directement sans passé par GLPI, et quand nous voulons leur attribuer le ticket, ils ne sont pas dans la liste. Sur les versions 9.x il était possible de faire cette import via la création de ticket, mais plus en 10.x. Ce qui agace fortement les personnes en charge de la création de ticket. Cela permettrais d'importer automatiquement les nouveaux utilisateurs toutes les nuits.

J'espère avoir été clair dans les explications

lecortex · 2024-09-18 16:02:48

barbichel wrote:

Pour deux raisons:
la première : nous mettons les utilisateurs dans des groupes en fonction de leur service (pour un meilleur suivi des tickets et sortir des stats par service). le but à terme c'est de mettre l'utilisateur automatiquement dans le bon groupe via un attribut utilisateur sur l'AD. (en ce moment je le fait à la main quand un nouvel utilisateur est importé de l'AD ou qu'il change de service ...)

Je gère automatiquement l'attribution des groupe Glpi via mes groupes dans l'ad ce qui effectivement plus simple et rapide mais demande pas mal de paramétrage dans glpi (création des grouples, profils, gabarit,règles,...)

la deuxième : les utilisateurs sont automatiquement importés à leur première connexion sur GLPI, mais beaucoup nous appels directement sans passé par GLPI, et quand nous voulons leur attribuer le ticket, ils ne sont pas dans la liste. Sur les versions 9.x il était possible de faire cette import via la création de ticket, mais plus en 10.x. Ce qui agace fortement les personnes en charge de la création de ticket. Cela permettrais d'importer automatiquement les nouveaux utilisateurs toutes les nuits.

Je comprend effectivement vos besoins, avez-vous regardé sur cette page : https://glpi-install.readthedocs.io/fr/ … -line.html la section "Synchronisation LDAP"

barbichel · 2024-09-18 17:02:45

lecortex wrote:

Je gère automatiquement l'attribution des groupe Glpi via mes groupes dans l'ad ce qui effectivement plus simple et rapide mais demande pas mal de paramétrage dans glpi (création des grouples, profils, gabarit,règles,...)

Mais si une personne change de groupe après son arrivée, GLPI prend la modification automatiquement ?

lecortex wrote:

Je comprend effectivement vos besoins, avez-vous regardé sur cette page : **** "Synchronisation LDAP"

Oui, mais rien trouvé malheureusement sur le changement de BaseDN.

lecortex · 2024-09-18 17:48:38

barbichel wrote:

Mais si une personne change de groupe après son arrivée, GLPI prend la modification automatiquement ?

Oui si la personne change de groupe dans l'active directory, lors de sa prochaine connexion sur glpi ses acces sont modifiés.

exemple :

Si utilisateur dans groupe active directory Gr_AD1 :

dans glpi créer groupe glpi_ad1 en configurant la Liaison annuaire LDAP avec le groupe Gr_ad1.

Dans mon cas chaque groupe a son profil, gabarit de ticket, . ce qui donne profi_ad1, gabarit_ad1, ...

Ensuite dans les règles dire si l'utilisateur est dans le groupe glpi_ad1 il faut lui appliqué le profil_ad1 , le lieu , ....

et dé que tu changera ton utilisateur de groupe dans l'ad de Gr_AD1 à Gr_AD2 par exemple , il récupère automatiquement à la connexion les règle paramétrées pour le nouveau groupe.

C'est certes chronophage au départ mais ensuite cela te permet un gestion plus fine des droits dans le temps.

barbichel · 2024-09-18 18:24:16

De ce que je viens de tester, la solution est quasiment identique pour la gestion des groupes GLPI, la différence c'est que je me base sur l'attribut "Service" sous l'onglet "organisation" dans la fiche user de l'AD et non sur un groupe AD.

Et effectivement le groupe glpi se met bien à jour à la connexion de l'utilisateur.

Mais ce qui me pousse à vouloir faire une synchro automatique, c'est que beaucoup d'utilisateurs passent encore par la voie "téléphone" et ne se connectent pas à GLPI ... ce qui ne met pas leur compte à jour lors d'un changement sur l'AD.

Après réflexion, et n'ayant pas trouvé de solution pour changer la BaseDN via la commande "console", je vais faire un filtre LDAP sur cette attribut "Service" sous l'onglet "organisation" (departement).

ce qui donnerait un script du genre :

bin/console glpi:ldap:synchronize_users -u -f (&(objectCategory=person)(objectClass=user)(department=*))
bin/console glpi:ldap:synchronize_users -c -f (&(objectCategory=person)(objectClass=user)(department=*))
bin/console glpi:ldap:synchronize_users -d 3

(surement a retravailler )

En tout cas merci pour cet échange.
Cordialement,

[EDIT]

Après quelques testes la bonne syntaxe est la suivante :

bin/console glpi:ldap:synchronize_users -u -s 1 -f objectCategory=person -f objectClass=user -f department=*
bin/console glpi:ldap:synchronize_users -c -s 1 -f objectCategory=person -f objectClass=user -f department=*
bin/console glpi:ldap:synchronize_users -s 1 -d 3

et pour automatiser le script :

echo yes | bin/console glpi:ldap:synchronize_users -u -s 1 -f objectCategory=person -f objectClass=user -f department=*
echo yes | bin/console glpi:ldap:synchronize_users -c -s 1 -f objectCategory=person -f objectClass=user -f department=*
echo yes | bin/console glpi:ldap:synchronize_users -s 1 -d 3

Cordialement,

Last edited by barbichel (2024-09-18 18:45:54)

lecortex · 2024-09-19 00:03:10

Merci pour le retour cela pourra aider d'autre personne !

Forum GLPI-Project

Announcement

#1 2024-09-18 13:28:48

option synchronisation LDAP

#2 2024-09-18 13:55:20

Re: option synchronisation LDAP

#3 2024-09-18 14:18:41

Re: option synchronisation LDAP

#4 2024-09-18 14:22:49

Re: option synchronisation LDAP

#5 2024-09-18 14:55:58

Re: option synchronisation LDAP

#6 2024-09-18 16:02:48

Re: option synchronisation LDAP

#7 2024-09-18 17:02:45

Re: option synchronisation LDAP

#8 2024-09-18 17:48:38

Re: option synchronisation LDAP

#9 2024-09-18 18:24:16

Re: option synchronisation LDAP

#10 2024-09-19 00:03:10

Re: option synchronisation LDAP

Board footer