Chapitre 3 Exploitation
3.1 Importation d'un LDAP existant
3.1.1 LDAP Posix
La commande ./wsh.php --api=nu_importldap
permet d'importer les utilisateurs
et les groupes d'un serveur LDAP de type Posix conformément au paramétrage
applicatif définit.
Utilisation :
$ ./wsh.php --api=nu_importldap
Options :
--onlygroups=Y|N
- Permet de n’importer que les groupes et pas les utilisateurs (défaut
N
).
3.1.2 LDAP Active Directory
La commande ./wsh.php --api=nu_importldap_ad
permet d'importer les
utilisateurs et les groupes d'un serveur LDAP de type Active Directory
conformément au paramétrage défini.
Utilisation :
$ ./wsh.php --api=nu_importldap_ad
Options :
--onlygroups=Y|N
- Permet de n'importer que les groupes et pas les utilisateurs (défaut
N
). --verbose=Y|N
- Augmente le niveau de verbosité (défaut
N
). --dryrun=Y|N
- Décrit les opérations qui auraient été effectués sans importer ni modifier
aucun utilisateur ou groupe Dynacase (i.e. mode de test)(défaut
N
).
3.2 Rafraîchissement par rapport au LDAP
Deux commandes wsh
permettent de mettre à jour les utilisateurs et groupes
réseaux à partir des données du LDAP.
- Pour les utilisateurs :
$ ./wsh.php --api=refreshDocuments --famid=LDAPUSER --method=refreshFromLDAP
- Pour les groupes :
$ ./wsh.php --api=refreshDocuments --famid=LDAPGROUP --method=refreshFromLDAP
Exemple :
$ ./wsh.php --api=refreshDocuments --famid=LDAPGROUP --method=refreshFromLDAP 7 documents to refresh using refreshFromLDAP method 7)propriétaires créateurs de la stratégie de groupe (use refreshFromLDAP)Doc171923 6)administrateurs du schéma (use refreshFromLDAP)Doc171923 5)Admins du domaine (use refreshFromLDAP)Doc171923 4)Administrateurs de l'entreprise (use refreshFromLDAP)Doc171923 3)Administrateurs (use refreshFromLDAP)Doc171923 2)Utilisa. du domaine (use refreshFromLDAP)Doc171923 1)Utilisateurs (use refreshFromLDAP)Doc171923
3.3 Mapping attributs LDAP et Dynacase
Lors de la création d'un utilisateur réseau (ou du rafraîchissement de sa
fiche), les attributs LDAP sont importés dans les attributs Dynacase en suivant
une table de correspondance qui est spécifiée dans le fichier
networkuser.ods
, dans l'onglet LDAP.
On y définit des associations entre un attribut LDAP et son équivalent Dynacase.
Par exemple, le numéro de téléphone (attribut Dynacase US_PHONE
) est
pris à partir de l'attribut LDAP telephoneNumber
pour les objets LDAP qui
héritent du schéma inetOrgPerson
:
LDAPMAP;LDAPUSER;telephoneNumber;US_PHONE;inetOrgPerson;1
Pour charger son propre « mapping », en complément de celui définit dans
networkuser.ods
, on pourra créer un fichier CSV (ou ODS) et y définir ses
règles de correspondance, et importer ce fichier comme on importe une
définition de famille.
Pour modifier, ou supprimer une entrée, il faudra manipuler directement la table
docattrldap
en base de données (qui a la même structure que le fichier
LDAPMAP décrit ci-dessus :
SELECT * FROM docattrldap; UPDATE docattrldap SET ldap_attribute = 'someOtherPhoneNumber' WHERE freedom_attribute = 'US_PHONE'; […]
3.4 Paramétrage des modes sécurisées NU_LDAP_MODE
Le paramètre NU_LDAP_MODE
permet de spécifier la connexion en mode sécurisée
(SSL ou TLS) avec le serveur LDAP ou Active Directory.
La gestion de la demande et de la vérification du certificat du serveur par le client est paramétrable par le fichier de configuration standard de la bibliothèque OpenLDAP :
- voir section
TLS OPTIONS
de la documentation de "ldap.conf"