Synchronisation LDAP-remontée des informations partielles

  • jambalak
  • Auteur du sujet
  • Nouveau membre
  • Nouveau membre
Plus d'informations
il y a 3 ans 11 mois #3158 par jambalak
Bonjour à tous.
Nous avons installé GRR version 3.4.1e sur un serveur sous CentOs 7. La synchronisation LDAP se fait bien d'après le test de connexion dans l'interface d'administration. Mais lorsqu'un utilisateur se connecte pour la première fois à GRR, la page my_account.php (voir pièce jointe) apparait avec l'identifiant de l'utilisateur uniquement. Les champs nom, prénom, mail ne sont pas remontés automatiquement. Est-ce normal ou il manque un paramètre quelque part?
Merci pour vos lumières.
Pièces jointes :

Connexion ou Créer un compte pour participer à la conversation.

  • Yan
  • Developpeur GRR
  • Developpeur GRR
Plus d'informations
il y a 3 ans 11 mois #3159 par Yan
Bonjour
À vrai dire, je ne sais pas trop, n’étant pas en mesure de tester.
Cependant il me semble que la remontée d’informations du LDAP est à paramétrer. Ce doit être dans la documentation.
Si vous parvenez à faire ce que vous voulez, ce serait sympa de nous faire un petit tuto.
Cordialement
YN

Connexion ou Créer un compte pour participer à la conversation.

  • jambalak
  • Auteur du sujet
  • Nouveau membre
  • Nouveau membre
Plus d'informations
il y a 3 ans 11 mois #3160 par jambalak
Pour info j'ai fait un tuto pour installer GRR sur CentOS 7:
site.devome.com/fr/kunena/aide-installat...ation-grr-sur-centos
Dans la configuration LDAP de GRR j'ai bien renseigné la correspondance entre les champs Active Directory et les attributs LDAP suivants:
Login: sAMAcountName
Prénom: givenName
Nom: sn
Mail: mail
Actuellement il n'y a que le login donc le sAMAcountName qui est indiqué automatiquement à la première inscription dans GRR. Je n'ai pas trouvé encore la bonne configuration à priori dans le fichier include/config_ldap.inc.php
Si vous avez des idées, je suis preneur.

Connexion ou Créer un compte pour participer à la conversation.

  • anteldan
  • Nouveau membre
  • Nouveau membre
Plus d'informations
il y a 3 ans 11 mois #3161 par anteldan
Bonjour,

Avez-vous essayé de requêter votre serveur LDAP depuis une console bash ?
Il y a peut-être des informations à préciser dans le chemin d'accès ("ou", "dc") ou dans les filtres ("objectclass=")

Cordialement,

Connexion ou Créer un compte pour participer à la conversation.

  • jambalak
  • Auteur du sujet
  • Nouveau membre
  • Nouveau membre
Plus d'informations
il y a 3 ans 11 mois #3162 par jambalak
Je suppose qu'il faut utiliser la commande ldapsearch, il faut juste trouver la bonne option!
Mais comme on est sur un serveur Apache sous CentOs7, n'y a t'il pas une directive Apache à ajouter? Je me pose la question car j'ai trouvé cette article sur le web:
www.server-world.info/en/note?os=CentOS_7&p=httpd&f=11
Votre avis?
Merci encore.

Connexion ou Créer un compte pour participer à la conversation.

  • anteldan
  • Nouveau membre
  • Nouveau membre
Plus d'informations
il y a 3 ans 11 mois #3163 par anteldan
Cela me semble plutôt être un système d'authentification pour accéder à certaines pages web, tout comme .htaccess qui se base sur un fichier, là l'authentification se fait par le biais du LDAP.

Si vous faites une requête ldapsearch qui ramène tous les champs des personnes, vous devriez pouvoir identifier ceux qui correspondent au nom et prénom. Et comme vous l'avez remarqué, les noms des champs sont sensibles aux majuscules.
N'avez-vous pas un autre moyen de connaître la structure et le contenu de votre annuaire ?

Connexion ou Créer un compte pour participer à la conversation.

  • jambalak
  • Auteur du sujet
  • Nouveau membre
  • Nouveau membre
Plus d'informations
il y a 3 ans 11 mois #3167 par jambalak
"N'avez-vous pas un autre moyen de connaître la structure et le contenu de votre annuaire ?"
Oui je connais la struture et le contenu de mon annuaire. Comme l'identification se fait avec Kerberos, il y a peut-être une configuration à faire dans ce domaine. Bizarrement, sur notre ancien serveur Windows avec Xampp, on n'avait pas ce problème. C'est surement dû à l'écosysteme CentOs.

Connexion ou Créer un compte pour participer à la conversation.

  • anteldan
  • Nouveau membre
  • Nouveau membre
Plus d'informations
il y a 3 ans 11 mois #3168 par anteldan
Je ne saisis pas à quel niveau se fait votre identification par Kerberos.

Je peux vous éclairer par rapport à ce que nous avons en place chez nous. Dans notre environnement, le nom de famille est "sn", le prénom est "givenName" et l'e-mail est "mail". Ce sont les champs que nous avons renseigné dans la page de config LDAP de GRR.
Et l'attribut de recherche dans l'annuaire est "uid".
Chemin d'accès dans l'annuaire (exemple anonymisé) : ou=people,dc=mon_nom_de_domaine,dc=fr
Filtre LDAP supplémentaire (exemple anonymisé) : (objectclass=mes_personnes)

Pour rechercher à la main les "dupond", je peux utiliser la commande suivante (notre serveur répond au LDAPS) :
$ ldapsearch -LLL -H ldaps://mon_serveur_ldap.fr -b ou=people,dc=mon_nom_de_domaine,dc=fr "(&(objectclass=mes_personnes)(sn=dupond)"

Je peux également m'identifier avec "id_manager" en rajoutant à ma commande ldapsearch :
-D cn=id_manager,dc=mon_nom_de_domaine,dc=fr -W

Si votre Apache nécessite une identification Kerberos pour interroger votre LDAP, j'orienterais mes recherches dans cette direction active-directory-wp.com/docs/Networking/...Apache_on_Linux.html

Ce que je ne peux pas savoir c'est pourquoi votre GRR arrive à récupérer l'identifiant dans la fiche utilisateur et pas les autres champs.
Désolé de ne pas pouvoir vous aider plus.

Connexion ou Créer un compte pour participer à la conversation.

  • jambalak
  • Auteur du sujet
  • Nouveau membre
  • Nouveau membre
Plus d'informations
il y a 3 ans 11 mois #3172 par jambalak
Merci pour toutes ces pistes de recherche!
Je reviendrais vers vous si je trouve la solution.
Merci encore.

Connexion ou Créer un compte pour participer à la conversation.

Modérateurs: Yan