Association des groupes primaire Active Directory et des utilisateurs

vieux · 2008-11-25 12:06:59

Bonjour.

J'ai configuré GLPI avec une liaison LDAP sur un AD : aucun problème, l'importation des groupes et des utilisateurs se fait sans problème sauf que le groupe primaire d'un utilisateur n'est jamais associé dans GLPI, pour les groupes secondaires aucun problème.

Évidement pas de chance : dans mon infrastructure, la notion de groupe qui est importante est bien le groupe primaire de l'utilisateur...

Une idée ?

D'avance merci.

wawa · 2008-11-25 12:08:16

bonjour,
c'est quoi la différence entre groupe primaire et groupe secondaire ? ça se traduit comment dans votre AD ?

vieux · 2008-11-25 12:13:52

Pardon car je n'ai pas été très exacte : prenons le cas de mon compte sur l'AD :
je suis membre des groupes suivants :
- Admins du domaine
- Service informatique (groupe principal)
- Utilisateur du domaine
- ....

GLPI importe bien tous les groupes, mais ne parviens pas à m'associer au groupe informatique (qui est mon groupe principale). Cette notion est configurable dans les propriétés de l'objet, section "Membre De" avec le bouton "Définir le groupe principale"

wawa · 2008-11-25 12:19:16

dans votre AD, c'est quoi la différence entre un groupe et un groupe principal ? c'est la même classe ?
ils sont stockés au même endroit ou pas ?
svp postez moi votre conf LDAP et les DN des groupes qu'on puisse y voir plus clair

vieux · 2008-11-25 12:26:25

OK alors en explorant les informations LDAP à la main, je constate qu'effectivement le groupe primaire n'est pas présent dans les attributs memberOf de l'utilisateur ou dans Member du groupe.

Explication de Microsoft ici http://support.microsoft.com/kb/275523

Pour le récupérer il faut donc passer par l'attribut PrimaryGroupID du l'utilisateur et faire l'association avec le GID du groupe.

Visiblement ce cas de figure n'est pas géré par GLPI, c'est au programme dans une prochaine version ?

wawa · 2008-11-25 12:38:57

oui donc doit pouvoir s'en sortir autrement je pense, essayez ça :
Type de recherche : utilisateurs + groupes
Attribut utilisateur indiquant ses groupes : PrimaryGroupID
Filtre pour la recherche dans les groupes : (&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
Attribut des groupes contenant les utilisateurs : member
Utiliser le DN pour la recherche : oui

On va aller chercher l'appartenance en regardant, dans l'objet user, le groupe primaire, et l'appartenance aux autres groupes en regardant le member dans l'objet groupe

vieux · 2008-11-25 13:16:25

Non cela ne fonctionne pas, mais attention je ne suis pas sur que vous avez compris que dans l'attribut PrimaryGroupID on trouve un entier qui est le numéro du groupe principale (son GID)

wawa · 2008-11-25 13:21:03

hum... non ça va pas marcher alors
vous pouvez poster ici la tête (en LDAP svp) d'un objet groupe primaire ?

vieux · 2008-11-25 13:37:33

En fait c'est un objet groupe classique.

Chaque utilisateur a un groupe principale (généralement "Utilisateur du Domaine") et peut avoir d'autres groupes secondaires.

Sauf que sur un AD, le groupe principale n'est pas présent dans la propriété MemberOf de l'utilisateur, mais par contre on peut trouver le GID du groupe principale dans la propriété PrimaryGroupId (mais attention ce n'est pas un CN, mais un GID).

C'est aussi vrai dans l'objet du groupe en question. C'est à dire que dans l'objet Groupe "Utilisateur du Domaine" à la propriété "member" on ne trouvera pas les utilisateurs qui ont ce groupe en principal... mais juste les utilisateurs qui sont membre de ce groupe ET qui ne l'on pas en groupe principal...

wawa · 2008-11-25 13:43:16

je comprends bien ce que vous me dites, mais je vous demander de me faire un export ldif d'un groupe primaire et de me le mettre sur ce post, j'ai besoin de ça pour me faire une idée de comment le traiter

wawa · 2008-11-25 17:19:24

ce que je pige pas, c'est qu'une fois avoir récup le GID, je fais comment une recherche LDAP pour avoir le groupe associé ??
ça me semble du spécifique AD, donc je vois pas comment je pourrais penser un jour à l'inclure dans glpi...

wawa · 2008-12-20 22:52:25

bon j'ai rencontré le même pb sur un samba
l'astuce :
- faut rechercher dans les users
- créer un groupe et chercher dans PrimaryGroupID
- mettre comme valeur celle du groupe (l'identifiant)

ça doit marcher

Forum GLPI-Project

Announcement

#1 2008-11-25 12:06:59

Association des groupes primaire Active Directory et des utilisateurs

#2 2008-11-25 12:08:16

Re: Association des groupes primaire Active Directory et des utilisateurs

#3 2008-11-25 12:13:52

Re: Association des groupes primaire Active Directory et des utilisateurs

#4 2008-11-25 12:19:16

Re: Association des groupes primaire Active Directory et des utilisateurs

#5 2008-11-25 12:26:25

Re: Association des groupes primaire Active Directory et des utilisateurs

#6 2008-11-25 12:38:57

Re: Association des groupes primaire Active Directory et des utilisateurs

#7 2008-11-25 13:16:25

Re: Association des groupes primaire Active Directory et des utilisateurs

#8 2008-11-25 13:21:03

Re: Association des groupes primaire Active Directory et des utilisateurs

#9 2008-11-25 13:37:33

Re: Association des groupes primaire Active Directory et des utilisateurs

#10 2008-11-25 13:43:16

Re: Association des groupes primaire Active Directory et des utilisateurs

#11 2008-11-25 17:19:24

Re: Association des groupes primaire Active Directory et des utilisateurs

#12 2008-12-20 22:52:25

Re: Association des groupes primaire Active Directory et des utilisateurs

Board footer