Droits sur Entités : Utilisateurs, Groupes, Profils

BMO · 2009-07-27 12:31:20

Bonjour,
Suite à mon précédent post sur l'organisation des Entités, je souhaite pourvoir traiter les droits des utilisateurs sur ces entités.
Comme vous avez pu vous en rendre compte, l'organisation de mon entreprise n'est pas simple.
Il faut différencier les services de l'organigramme qui ont le budget associé à leur parc de machine et les équipes d'administrateurs informatique qui peuvent avoir plusieurs parcs de services sous leur responsabilité.

J'ai choisi de créer des entités pour représenter les services et des groupes pour représenter les équipes informatiques.

Service1
Dep11
Dep12
Service2
Dep21
Dep22
Dep23
Service3
Service4

Une équipe informatique A peut avoir, par exemple, la responsabilité du parc Dep11 & du parc Dep23.

J'ai une connexion à un LDAP Active-Directory. Je récupère tous les utilisateurs ainsi que les groupes définissant les équipes d'administrateurs.
Pour simplifier la configuration dans GLPI, tous les utilisateurs et les groupes sont importés dans l'entité racine avec récursivité sur les sous entités.

J'ai créé un profil 'aucun-droit' en plus des profils (post-only, normal, admin, super-admin)

Je souhaite définir les droits suivants:
(Note, je n'utilise pas le module Helpdesk)
1- tous les utilisateurs qui n'ont pas d'accès à la console: Entité racine (R) - profil aucun-droit
2- Les autres utilisateurs, proviennent des groupes AD.
Un groupe doit pouvoir avoir accès en profil admin sur une ou plusieurs entité.

Mes problèmes:
1- La règle d'importation des utilisateurs avec profil aucun-droit est appliquée à tous les utilisateurs, y compris à ceux qui sont dans des groupes administrateur. Quel est le moyen de régler ce point?

2- Je ne peux pas avoir une règle d'affectation 'entité et droits' qui affecte un groupe d'administrateur sur plusieurs entités. Est-ce possible?
Faut-il créer une règle par entité?

3- Conséquence du 2- je suis obligé d'affecter, utilisateur par utilisateur, la liste des entités dont il a la charge. C'est un travail considérable et qui n'est plus dynamique comme avec les groupes.
Est-ce que j'utilise correctement les règles d'affectation?

Merci pour vos réponses.
Cordialement,
BMO

Last edited by BMO (2009-07-27 12:33:04)

yllen · 2009-07-27 13:19:04

BMO wrote:

1- La règle d'importation des utilisateurs avec profil aucun-droit est appliquée à tous les utilisateurs, y compris à ceux qui sont dans des groupes administrateur.

Il faut savoir que le moteur de règles traitent toutes les règles et ne s'arrête pas à la première qui match.
C'est peut être juste l'ordre des règles à modifier.

BMO wrote:

2- Je ne peux pas avoir une règle d'affectation 'entité et droits' qui affecte un groupe d'administrateur sur plusieurs entités.

vous pouvez créer une règle d'affectation d'entité et de droits qui affecte plusieurs entités.
En critère, il faudrait mettre votre groupe LDAP

BMO · 2009-07-27 14:05:40

Merci pour ces détail Yllen,
Concernant l'ordre des règles, j'avais effectivement pensé à une modification de l'ordre mais je ne trouve pas où le modifier.
A quel endroit puis-je y accéder?
Pour les 'Règles d'affectation d'une machine à une entité', il est possible de gérer l'ordre dans le tableau qui liste les règles. Ce n'est pas le cas dans le tableau des 'Règles d'affectation d'entité et de droits'.
Est-une erreur?
merci,
BMO.

Last edited by BMO (2009-07-27 14:48:07)

BMO · 2009-07-27 15:10:45

Yllen a écrit: vous pouvez créer une règle d'affectation d'entité et de droits qui affecte plusieurs entités. En critère, il faudrait mettre votre groupe LDAP

J'ai beau tourner la règle dans tous les sens, je n'arrive pas à ajouter plus d'une entité.

Quel que soit le critère que je prends, je ne peux ajouter qu'une entité.
Une fois l'entité sélectionnée dans Cation, la liste déroulante ne me propose plus que les Actions profils, récursif et actif.

Y a t-il un autre moyen.

merci bien,
BMO

wawa · 2009-07-27 15:14:11

créer une autre règle ?

BMO · 2009-07-27 15:45:25

Wawa,
En créant une autre règle on peut effectivement associer le même groupe à une autre entité.

Comment fait on pour:
1- rejouer la règle sur les groupes de GLPI?

2- Comment faire pour changer l'ordre de lancement des règles?

Merci bien.
BMO

wawa · 2009-07-27 15:48:01

1 - on ne joue pas une règle sur un groupe mais sur des utilisateurs. Forcez la synchro sur vos utilisateurs
2 - c'est écrit en haut de la liste de règle : le moteur joue toutes lres règles,donc pas besoin de gérer l'ordre de celles-ci

BMO · 2009-07-28 14:48:21

Bonjour Wawa,
Au bout du compte, j'ai traité mon problème de la façon suivante:
1- Création de ma structure d'entité représentant les différents services,
2- Création des groupes pour chaque équipe d'administrateurs
3- Création d'une règle par entité pour l'affectation du groupe associé.
(plusieurs entités peuvent avoir le même groupe d'administrateurs, mais il faut une règle par entité)

Par contre, 'Forcer la synchronisation' sur des utilisateurs déjà importés ne fait pas rejouer les règles pour ces utilisateurs. Je suis obligé de supprimer ces utilisateurs et de les réimporter.
Avez-vous une explication?

Existe t-il une documentation sur le fonctionnement des règles? J'ai vu qu'il y a eu la même demande aujourd'hui sur un autre post.
Je veux bien alimenter cette doc si on me fourni des éléments techniques pour sa réalisation.
Merci bien.
Cordialement,
BMO.

yllen · 2009-07-28 16:16:18

Vous avez la doc sur les règles ici : http://www.glpi-project.org/wiki/doku.p … ion#regles

p.s. : il faut vraiment que la rencontre entre nos 2 organismes puissent enfin avoir lieu

BMO · 2009-07-29 10:15:16

Merci bien Yllen,

J'ai travaillé sur ces règles et je commence à y voir plus clair.
Je teste deux types de structures d'entité afin de traiter au mieux la complexité de notre organisation.
Les règles fonctionnent mais ne s'appliquent qu'au premier import d'utilisateurs.
En forçant la synchronisation, elles ne sont pas rejouées.

Merci pour votre proposition de rencontre. Je vous ai répondu directement sur votre messagerie sur ce point.
Cordialement,
BMO

BMO · 2009-07-29 15:08:55

[résolu]

Forum GLPI-Project

Announcement

#1 2009-07-27 12:31:20

Droits sur Entités : Utilisateurs, Groupes, Profils

#2 2009-07-27 13:19:04

Re: Droits sur Entités : Utilisateurs, Groupes, Profils

#3 2009-07-27 14:05:40

Re: Droits sur Entités : Utilisateurs, Groupes, Profils

#4 2009-07-27 15:10:45

Re: Droits sur Entités : Utilisateurs, Groupes, Profils

#5 2009-07-27 15:14:11

Re: Droits sur Entités : Utilisateurs, Groupes, Profils

#6 2009-07-27 15:45:25

Re: Droits sur Entités : Utilisateurs, Groupes, Profils

#7 2009-07-27 15:48:01

Re: Droits sur Entités : Utilisateurs, Groupes, Profils

#8 2009-07-28 14:48:21

Re: Droits sur Entités : Utilisateurs, Groupes, Profils

#9 2009-07-28 16:16:18

Re: Droits sur Entités : Utilisateurs, Groupes, Profils

#10 2009-07-29 10:15:16

Re: Droits sur Entités : Utilisateurs, Groupes, Profils

#11 2009-07-29 15:08:55

Re: Droits sur Entités : Utilisateurs, Groupes, Profils

Board footer