Configuration de la synchronisation des données

Cette section comprend les rubriques de configuration suivantes :


Intégration du pilote DirXML pour domaine NT et du pilote DirXML pour Exchange

IMPORTANT:  si vous utilisez le pilote NT et le pilote Exchange, effectuez la procédure suivante :

Le pilote DirXML pour domaine NT et le pilote DirXML pour Exchange peuvent tous deux créer des utilisateurs dans le domaine. Pour éviter tout conflit, il est possible de configurer un mécanisme à l'aide des règles Identity Manager.

Le pilote DirXML pour domaine NT dispose d'un attribut Utilisateur appelé DirXML-NTAccountName. Cet attribut contient un attribut DomainName/UserName. La boîte aux lettres Exchange et les objets distants doivent associer cette valeur à un compte de domaine. Pour que cette association s'effectue correctement, la valeur contenue dans DirXML-NTAccountName doit être placée dans l'attribut MailBox de Assoc-NT-Account. Il ne faut pas oublier que les noms d'attributs sont soumis à la distinction majuscules/minuscules.

  1. À l'aide du script DirXML, modifiez la règle de création de l'objet Abonné existante pour le pilote Exchange (ou créez une nouvelle règle), afin qu'un nouvel objet MailBox ne soit pas créé sauf si l'attribut DirXML-NTAccountName est renseigné.

  2. Vérifiez que l'attribut DirXML-NTAccountName se trouve dans le filtre Éditeur du pilote DisXML pour domaine NT et dans le filtre Abonné du pilote DirXML pour Exchange.

  3. Redémarrez ces deux pilotes.


Flux de données dans les pilotes pour domaine NT et pour Exchange 5.5

Les modifications présentées dans Intégration du pilote DirXML pour domaine NT et du pilote DirXML pour Exchange garantissent le flux de contrôle suivant :

  1. Un utilisateur est créé dans eDirectory.
  2. Une requête de création est confiée au pilote DirXML pour domaine NT. L'événement de création du pilote DirXML pour Exchange se heurte à un véto en raison de l'absence de l'attribut DirXML-NTAccountName.
  3. Le pilote DirXML pour domaine NT crée le compte NT et renvoie le nom de ce compte à l'attribut DirXML-NTAccountName.
  4. Le pilote DirXML pour Exchange est maintenant averti. Il crée la boîte aux lettres et l'associe aux informations du compte NT stockées dans l'annuaire NDS.

NOTE:  bien que les exemples utilisent DirXML-NTAccountName comme attribut eDirectory pour contenir les informations de compte NT, vous pouvez choisir n'importe quel attribut qui vous conviendrait mieux.


Filtrage des objets Utilisateur non-utilisateur

Le registre NT effectue le suivi des données utilisateur et de certaines données non-utilisateur. Par exemple, les informations sur les objets Poste de travail apparaissent en tant qu'objets Utilisateur dans le Gestionnaire des utilisateurs NT. Ces informations sont synchronisées avec celles d'eDirectory, sauf si vous les filtrez à l'aide d'une feuille de style. La feuille de style suivante peut être utilisée dans la transformation de l'événement pour garantir que seuls les véritables objets utilisateur sont synchronisés.

	 		<xsl:template match="node()|@*"> 
			 	 							<xsl:copy> 
	 					 	 	 <xsl:apply-templates select="node()|@*"/> 
	 			 </xsl:copy> 
	 	</xsl:template> 						 	<!-- Test for Non-User user objects like workstations that have a $ in the 
		 	name -->	 	 		<xsl:template match="add[@class-name='User']|modify[@class 
				 	 	 	 name='User']|sync[@class-name='User']"> 
	 	 	 	 	 	 			<xsl:choose> 
	 	 	 	 	 	 	 	 		 			<xsl:when test="contains(@src-dn,'$')"/> 
	 	 	 	 	 	 	 	 	 				<xsl:otherwise> 
	 	 	 	 	 	 	 	 	 	 	 	 	 				<xsl:copy> 
	 	 	 	 	 	 	 	 	 	 	 	 	 	 						 	 	 <xsl:apply-templates select="node() | @*"/> 
	 	 	 	 	 	 	 	 	 	 	 	 	 					</xsl:copy> 
	 	 	 	 	 	 	 	 	 	 				</xsl:otherwise> 
	 	 	 	 	 	 	 			</xsl:choose> 
	 	 	</xsl:template> 
</xsl:stylesheet>

Synchronisation des informations sur les groupes

Le pilote permet de synchroniser les informations sur les groupes dans les attributs utilisateur détenant des informations sur les membres de ces groupes ainsi que dans les objets Groupe eux-mêmes.

Cette fonctionnalité permet de voir à quels groupes l'utilisateur appartient, que ce soit dans eDirectory ou dans NT.

Pour synchroniser les informations sur les groupes :

  1. Vérifiez que les groupes à synchroniser portent bien le même nom dans eDirectory et dans NT.

    Par exemple, si vous souhaitez synchroniser les informations sur les groupes pour le groupe NT global, Utilisateur du domaine, vous devez créer un objet Groupe appelé Utilisateur du domaine dans eDirectory.

  2. Créez une association DirXML entre le groupe NT et le groupe eDirectory.

    1. Dans iManager, sélectionnez Administration eDirectory > Modifier l'objet.

    2. Parcourez le groupe eDirectory à synchronisez, puis cliquez sur OK.

    3. Cliquez sur l'onglet DirXML puis sur Ajouter.

      La boîte de dialogue Ajouter une association apparaît.

    4. Spécifiez le pilote DirXML pour NT dans le champ Objet Pilote d'intégration.

    5. Saisissez le nom du groupe NT dans le champ ID d'objet associé, en utilisant des majuscules selon la syntaxe suivante :

      \DOMAINNAME\GROUPNAME

    6. Cliquez sur OK.

      La nouvelle association apparaît dans la page Associations.

  3. Modifiez la règle d'assignation de schéma pour assigner les attributs NT UserLocalGroups et UserGlobalGroups aux attributs eDirectory.

    1. Cliquez sur Gestion DirXML > Présentation, puis sélectionnez l'ensemble de pilotes contenant le pilote DirXML pour NT.

    2. Cliquez sur le pilote pour ouvrir la page Présentation du pilote.

    3. Double-cliquez sur la règle d'assignation de schéma pour assigner les nouveaux attributs.

      Vous pouvez assigner les attributs NT à n'importe quel attribut de chaîne à valeurs multiples. UserGlobalGroups est généralement assigné à l'attribut GroupMembership.

  4. Si vous acheminez les données de NT vers eDirectory, double-cliquez sur l'icône Filtre de l'objet Éditeur et ajoutez les nouveaux attributs.

  5. Si vous acheminez les données depuis eDirectory, double-cliquez sur l'icône Filtre de l'objet Abonné et ajoutez les nouveaux attributs.

  6. Cliquez sur OK.

    La synchronisation des informations du groupe commence lorsque le pilote est redémarré et une modification vers les informations sur les utilisateurs est opérée.

    NOTE:  si vous utilisez le Gestionnaire d'utilisateurs pour modifier les valeurs de l'attribut d'adhésion du groupe sans effectuer de modification sur les autres données, la mise à jour n'est pas immédiatement synchronisée. Les modifications seront synchronisées la prochaine fois que l'utilisateur NT se reconnectera ou lorsque les données de l'objet Utilisateur seront modifiées.


Modification de l'emplacement des objets Utilisateur à l'aide de règles de placement

Modifiez les règles de placement des objets Abonné et Éditeur pour faire correspondre le conteneur eDirectory au nom du domaine NT que vous avez configuré. Les règles de placement sont créées lorsque vous importez l'exemple de fichier de configuration du pilote.

Pour modifier les règles de placement :

  1. Dans iManager, sélectionnez Gestion DirXML > Présentation.

  2. Sélectionnez l'ensemble de pilotes qui contient le pilote, puis cliquez sur l'icône du pilote.

    La présentation du pilote s'affiche. Les règles peuvent être modifiées ici.

  3. Double-cliquez sur la règle de placement à modifier et apportez les modifications appropriées.

IMPORTANT:  toutes les règles de placement doivent utiliser la syntaxe à barre oblique.


Modification des attributs synchronisés à l'aide des filtres Éditeur et Abonné

  1. Dans iManager, sélectionnez Gestion DirXML > Présentation.

  2. Sélectionnez l'ensemble de pilotes qui contient le pilote, puis cliquez sur l'icône du pilote.

    La présentation du pilote s'affiche. Les règles peuvent être modifiées ici.

  3. Double-cliquez sur l'icône de filtre et ajoutez ou supprimez les attributs appropriés.

    Sélectionnez les attributs utilisateur eDirectory avec lesquels vous souhaitez effectuer la synchronisation.

    Le pilote prend en charge l'objet Utilisateur du domaine. Dans l'objet Utilisateur, le pilote prend en charge les attributs accessibles en utilisant la structure de données USER_INFO_3 à l'aide des API NetUser.

    Le tableau suivant liste les attributs pris en charge.

    IMPORTANT:  n'oubliez pas que les noms d'attribut sont soumis la distinction majuscules/minuscules.

    Attribut du pilote Nom USER_INFO_3 Type de données Description

    Name

    usri3_name

    LPWSTR

    Spécifie le nom du compte utilisateur. Ce nom ne peut pas dépasser la valeur UNLEN.

    (Peut être défini via une règle de création.)

    usri3_password

    LPWSTR

    Spécifie le mot de passe de l'utilisateur. Sa longueur ne peut pas dépasser la valeur PWLEN.

    PasswordAge

    usri3_password_age

    DWORD

    Lecture seule. Spécifie le nombre de secondes écoulées depuis la dernière modification des mots de passe.

    PrivilegeLevel

    usri3_priv

    DWORD

    Spécifie le niveau de privilège de l'utilisateur : Invité, Utilisateur ou Administrateur.

    HomeDirectory

    usri3_home_dir

    LPWSTR

    Pointe sur une chaîne Unicode* qui contient le chemin d'accès au répertoire privé de l'utilisateur. La chaîne peut être vide. La chaîne ne peut pas dépasser la valeur PATHLEN. L'objet Abonné, lors d'un événement d'ajout, crée le dossier spécifié par le chemin comme dossier partagé par tous, s'il n'existe pas encore.

    Comment

    usri3_comment

    LPWSTR

    Pointe sur une chaîne Unicode qui contient un commentaire. La chaîne peut être vide. Le commentaire ne peut pas dépasser 1 024 caractères.

    Flags

    usri3_flags

    DWORD

    Contient des valeurs qui déterminent plusieurs fonctions. Voir la documentation USER_INFO_3.

    LogonDisable

    usri3_flags

    LPWSTR TRUE ou FALSE

    Représente un octet dans les usri_flags correspondant à UF_ACCOUNTDISABLE. Le compte de l'utilisateur est désactivé.

    PasswordChange

    usri3_flags

    LPWSTRTRUE ou FALSE

    Représente un octet dans les usri_flags correspondant à UF_PASSWD_CANT_CHANGE. L'utilisateur ne peut pas changer le mot de passe si cette valeur est TRUE.

    PasswordRequired

    usri3_flags

    LPWSTRTRUE ou FALSE

    Représente un octet dans les usri_flags correspondant à PASSWD_NOTREQ. Aucun mot de passe n'est requis.

    ScriptPath

    usri3_script_path

    LPWSTR

    Pointe sur une chaîne Unicode spécifiant le chemin du script de login de l'utilisateur. La chaîne peut être vide. La chaîne ne peut pas dépasser la valeur PATHLEN.

    AuthorizationFlags

    usri3_auth_flags

    DWORD

    Lecture seule. Spécifie un entier long non signé qui contient des valeurs spécifiant les privilèges de l'utilisateur.

    FullName

    usri3_full_name

    LPWSTR

    Pointe sur une chaîne Unicode qui contient le nom complet de l'utilisateur. Cette chaîne peut être vide ou comporter jusqu'à 1 024 caractères.

    UserComment

    usri3_usr_comment

    LPWSTR

    Pointe sur une chaîne Unicode qui contient un commentaire de l'utilisateur. Cette chaîne peut être vide ou comporter jusqu'à 1 024 caractères.

    AppParams

    usri3_parms

    LPWSTR

    Lecture seule. Chaîne Unicode utilisée par les produits Microsoft*.

    Workstations

    usri3_workstations

    LPWSTR

    Pointe sur une chaîne Unicode qui contient les noms des postes de travail à partir desquels l'utilisateur peut ouvrir une session. Cette chaîne peut être vide ou comporter jusqu'à 1 024 caractères.

    LastLogon

    usri3_last_logon

    DWORD

    Lecture seule. Spécifie à quel moment s'est produit le dernier login. La valeur est stockée sous la forme du nombre de secondes écoulées depuis le 1er janvier 1970, à 00:00:00.

    LastLogoff

    usri3_last_logoff

    DWORD

    Spécifie à quel moment s'est produite la dernière fermeture de session. La valeur est stockée sous la forme du nombre de secondes écoulées depuis le 1er janvier 1970, à 00:00:00.

    AccExpires

    usri3_acct_expires

    DWORD

    Spécifie quand le compte expirera. La valeur est stockée sous la forme du nombre de secondes écoulées depuis le 1er janvier 1970, à 00:00:00. La valeur TIMEQ_FOREVER indique que le compte n'expire jamais. Le pilote assigne cette valeur à celle recherchée par eDirectory.

    MaxStorage

    usri3_max_storage

    DWORD

    Spécifie la quantité maximale d'espace disque que l'utilisateur peut utiliser. Utilisez USER_MAXSTORAGE_UNLIMITED pour utiliser tout l'espace disque disponible.

    UnitsPerWeek

    usri3_units_per_week

    DWORD

    Lecture seule. Spécifie le nombre d'unités de temps de longueur égale dans lesquelles la semaine est divisée.

    LogonHours

    usri3_logon_hours

    PWORD

    Le pilote assigne cette valeur à une chaîne d'octets qui spécifie les périodes de login autorisées d'un compte pour chaque jour de la semaine avec une précision d'une demi-heure.

    BadPasswordCnt

    usri3_bad_pw_count

    DWORD

    Lecture seule. Spécifie le nombre de fois que l'utilisateur a tenté de se loguer au compte à l'aide des mots de passe incorrect.

    NumLogons

    usri3_num_logons

    DWORD

    Lecture seule. Compte le nombre de fois où l'utilisateur a réussi à se loguer à ce compte.

    LogonServer

    usri3_logon_server

    LPWSTR

    Lecture seule. Pointe sur une chaîne Unicode qui contient le nom du serveur auquel sont envoyées les demandes de login.

    CountryCode

    usri3_country_code

    DWORD

    Spécifie le code de pays pour la langue choisie par l'utilisateur.

    CodePage

    usri3_code_page

    DWORD

    Spécifie la page de codes pour la langue choisie par l'utilisateur.

    UserID

    usri3_user_id

    DWORD

    Lecture seule. Spécifie l'ID relatif (RID) de l'utilisateur.

    PrimaryGroupID

    usri3_primary_group_id

    DWORD

    Spécifie l'ID relatif (RID) du groupe global primaire de l'utilisateur.

    Profile

    usri3_profile

    LPWSTR

    Spécifie un chemin d'accès au profil de l'utilisateur. Cette valeur peut être une chaîne vide, un chemin local absolu ou un chemin UNC. La longueur de cette chaîne ne peut pas dépasser la valeur PATHLEN.

    HomeDirDrive

    usri3_home_dir_drive

    LPWSTR

    Spécifie la lettre d'unité assignée au répertoire privé de l'utilisateur à des fins de login.

    PasswordExpired

    usri3_password_expired

    DWORD

    Détermine si le mot de passe de l'utilisateur a expiré. Utilisez la valeur zéro si le mot de passe n'a pas expiré et une valeur différente de zéro s'il a expiré.

    Bien que cet attribut soit pris en charge, il ne faut pas oublier que l'attribut eDirectory appelé Heure d'expiration des mots de passe est utilisé pour définir la date d'expiration d'un mot de passe, en choisissant une date et une heure antérieures à la date actuelle plutôt qu'en définissant une valeur égale ou non à zéro.

    Cela signifie que ces attributs ne sont pas facilement assignés les uns aux autres.

    Le pilote prend également en charge les attributs UserGlobalGroups et UserLocalGroups, accessibles par l'intermédiaire de l'API NetUserGroup.

    Le tableau suivant liste les attributs pris en charge.

    Attribut du pilote Type de données Description

    UserGlobalGroups

    LPWSTR

    Attribut à plusieurs valeurs qui contient les groupes globaux auxquels l'utilisateur appartient.

    UserLocalGroups

    LPWSTR

    Un attribut à plusieurs valeurs qui contient les groupes locaux auxquels l'utilisateur appartient.

Requête sur GlobalGroup ou LocalGroup

Vous pouvez effectuer une requête sur des objets GlobalGroup ou LocalGroup, bien qu'il ne soit pas possible que les synchroniser sur les canaux Éditeur ou Abonné.

Cette requête prend en charge les attributs suivants :

La requête aboutira si la classe de recherche (SearchClass) est GlobalGroup ou LocalGroup et si une des propositions suivantes est vraie :

Cette fonctionnalité peut être utilisée pour synchroniser GlobalGroups ou LocalGroups d'une manière indirecte. Par exemple, à l'aide d'une feuille de style, vous pouvez configurer le pilote pour qu'il leur applique la requête lorsque vous migrez des utilisateurs, et que les objets Groupes correspondants soient créés dans eDirectory. L'attribut MemberOf d'un utilisateur NT peut ainsi autoriser un utilisateur à devenir membre de groupes correspondants dans eDirectory (cela peut fonctionner sans ajout de feuille de style). Si vous voulez que GlobalGroups et LocalGroups restent en miroir dans eDirectory à l'aide de cette méthode, vous devez migrer les nouveaux groupes régulièrement, selon que des groupes sont ajoutés ou supprimés dans NT.

Dans l'exemple de configuration du pilote, cette fonctionnalité est utilisée si vous choisissez l'option Droits basés sur les rôles ; vous pouvez ainsi affecter un utilisateur à un groupe de type GlobalGroup ou un LocalGroup dans NT en tant que droit. (L'utilisation de droits basés sur le rôle est une décision prise lors de la conception du système. Avant de choisir cette option, reportez-vous à Using Role-Based Entitlements (Comment utiliser les droits basés sur le rôle) , dans le manuel Novell Nsure Identity Manager 2 Administration Guide (Guide d'administration de Novell Nsure Identity Manager 2).)