Classes d'objets et propriétés
Chaque type d'objet eDirectory est défini par une classe d'objet. Par exemple, Utilisateur et Organisation sont des classes d'objets. Chaque classe d'objet possède certaines propriétés. Un objet Utilisateur, par exemple, possède un nom de login, un mot de passe, un nom de famille et beaucoup d'autres propriétés.
Le schéma définit les classes et les propriétés des objets, ainsi que les règles d'endiguement (tel conteneur peut contenir tels objets). Un schéma de base est livré avec eDirectory. Vous pouvez l'étendre ; les applications que vous utilisez, également. Pour plus d'informations sur les schémas, reportez-vous à Schéma.
Les objets Conteneur contiennent d'autres objets et sont utilisés pour diviser l'arborescence en branches, alors que les objets Feuille représentent les ressources réseau.
Liste des objets
Les tableaux suivants présentent les classes d'objets eDirectory. Des services supplémentaires permettent de créer dans eDirectory de nouvelles classes d'objets qui ne sont pas listées ci-dessous. En outre, certaines classes peuvent ne pas être disponibles dans tous les systèmes d'exploitation des serveurs hébergeant eDirectory.
Classes d'objets Conteneur eDirectory
|
Arborescence |
Représente le premier élément de votre arborescence. Pour plus d'informations, reportez-vous à Arborescence. |
|
Pays (C) |
Désigne les pays couverts par votre réseau et organise les autres objets Annuaire au sein de ces pays. Pour plus d'informations, reportez-vous à Pays. |
|
Conteneur de licences (LC) |
Créé automatiquement quand vous installez un certificat de licence ou quand vous créez un certificat avec compteur à l'aide de la technologie NLS (Novell Licensing Services). Lorsqu'une application utilisant les NLS est installée, elle ajoute un objet Conteneur de licences à l'arborescence et un objet Feuille Certificat de licence à ce conteneur. |
|
Organisation (O) |
Vous permet d'organiser d'autres objets dans l'annuaire. L'objet Organisation est situé un niveau en dessous de l'objet Pays (si vous utilisez ce dernier). Pour plus d'informations, reportez-vous à Organisation. |
|
Unité organisationnelle (OU) |
Vous permet d'organiser d'autres objets dans l'annuaire. L'objet Unité organisationnelle est situé un niveau en dessous de l'objet Organisation. Pour plus d'informations, reportez-vous à Unité organisationnelle. |
|
Domaine (DC) |
Vous permet d'organiser d'autres objets dans l'annuaire. L'objet Domaine peut être créé sous l'objet Arborescence ou sous les objets Organisation, Unité organisationnelle, Pays et Localité. Pour plus d'informations, reportez-vous à Domaine. |
Classes d'objets Feuille eDirectory
|
Serveur AFP |
Représente un serveur AppleTalk* Filing Protocol qui fonctionne comme un noeud sur votre réseau eDirectory. En général, il fait également office de routeur NetWare vers plusieurs ordinateurs Macintosh* et de serveur AppleTalk pour ces mêmes ordinateurs. |
|
Alias |
Pointe vers l'emplacement réel d'un objet dans l'annuaire. Tout objet situé à un emplacement donné de l'annuaire peut également apparaître ailleurs dans l'annuaire par le biais d'un alias. Pour plus d'informations, reportez-vous à Alias. |
|
Application |
Représente une application réseau. Les objets Application simplifient les tâches administratives telles que l'assignation de droits, la personnalisation de scripts de login et le lancement d'applications. |
|
Ordinateur |
Représente un ordinateur au sein du réseau. |
|
Assignation de répertoire |
Fait référence à un répertoire du système de fichiers. Pour plus d'informations, reportez-vous à Assignation de répertoire. |
|
Groupe |
Permet d'attribuer un nom à une liste d'objets Utilisateur de l'annuaire. Vous pouvez assigner des droits au groupe, plutôt que de le faire pour chacun des utilisateurs qui le composent. Ces droits sont alors répercutés sur chaque utilisateur du groupe. Pour plus d'informations, reportez-vous à Groupe. |
|
Certificat de licence |
S'emploie avec la technologie NLS pour installer les certificats de licence du produit en tant qu'objets dans la base de données. Des objets Certificat de licence sont ajoutés au conteneur Produit sous licence lorsqu'une application reconnaissant la technologie NLS est installée. |
|
Rôle organisationnel |
Définit un poste ou un rôle au sein d'une organisation. |
|
File d'attente d'impression |
Représente une file d'attente d'impression du réseau. |
|
Serveur d'impression |
Représente un serveur d'impression du réseau. |
|
Imprimante |
Représente un périphérique d'impression du réseau. |
|
Profil |
Représente un script de login utilisé par un groupe d'utilisateurs qui doivent partager les commandes d'un script de login commun. Les utilisateurs ne doivent pas nécessairement se trouver dans le même conteneur. Pour plus d'informations, reportez-vous à Profil. |
|
Serveur |
Représente un serveur exécutant un système d'exploitation. Pour plus d'informations, reportez-vous à Serveur. |
|
Modèle |
Représente les propriétés standard des objets Utilisateur qui peuvent être appliquées aux nouveaux objets Utilisateur. |
|
Inconnu |
Représente un objet pour lequel iManager ne possède pas d'icône spécifique. |
|
Utilisateur |
Représente les utilisateurs de votre réseau. Pour plus d'informations, reportez-vous à Utilisateur. |
|
Volume |
Représente un volume physique au sein du réseau. Pour plus d'informations, reportez-vous à Volume. |
Classes d'objets Conteneur
Arborescence
Le conteneur Arborescence, anciennement appelé [Racine], est créé lorsque vous installez eDirectory pour la première fois sur un serveur de votre réseau. En tant que conteneur le plus élevé de l'arborescence, il contient en général des objets Organisation, Pays ou Alias.
Définition
L'objet Arborescence représente le sommet de votre arborescence.
Utilisation
L'objet Arborescence est utilisé pour les assignations universelles de droits. Du fait de l'héritage, les assignations de droits que vous effectuez sur l'objet Arborescence (cible) sont appliquées à tous les objets de l'arborescence. Pour plus de détails, reportez-vous à Droits eDirectory. Par défaut, l'ayant droit [Public] dispose du droit Parcourir et l'administrateur, du droit Superviseur, sur l'objet Arborescence.
Propriétés importantes
L'objet Arborescence possède une propriété Nom, qui correspond au nom d'arborescence que vous avez indiqué lors de l'installation du premier serveur. Le nom d'arborescence est indiqué dans la hiérarchie de iManager.
Organisation
Un objet Conteneur Organisation est créé lorsque vous installez pour la première fois eDirectory sur un serveur de votre réseau. En tant que conteneur le plus élevé après l'objet Arborescence, il contient généralement des objets Unité organisationnelle et Feuille.
L'objet Utilisateur Admin est créé par défaut dans votre premier conteneur Organisation.
Définition
En principe, l'objet Organisation représente votre entreprise. Vous pouvez toutefois créer d'autres objets Organisation sous l'objet Arborescence. Cela se fait couramment pour les réseaux qui couvrent des zones géographiques distinctes, ou en cas de fusion d'entreprises avec des arborescences eDirectory distinctes.
Utilisation
L'utilisation que vous faites des objets Organisation de votre arborescence dépend de la taille et de la structure de votre réseau. Si le réseau est petit, il est conseillé de stocker tous les objets Feuille sous un seul objet Organisation.
Pour les réseaux plus importants, vous pouvez créer des objets Unité organisationnelle sous l'objet Organisation afin de faciliter la recherche et la gestion des ressources. Par exemple, vous pouvez créer des objets Unité organisationnelle pour chacun des services ou chacune des divisions de votre entreprise.
Pour un réseau couvrant plusieurs sites, vous avez intérêt à créer, sous l'objet Organisation, un objet Unité organisationnelle pour chacun des sites. Ainsi, si vous disposez (ou prévoyez de disposer) de suffisamment de serveurs pour effectuer la partition de l'annuaire, vous pouvez le faire de manière logique, en respectant les limites des sites.
Pour simplifier le partage des ressources de l'entreprise (les imprimantes, les volumes ou les applications, par exemple), créez les objets correspondants (objet Imprimante, objet Volume, objet Application, etc.) sous l'Organisation.
Propriétés importantes
Les propriétés les plus utiles pour l'objet Organisation sont indiquées ci-dessous. Seule la propriété Nom est requise. Pour obtenir la liste complète des propriétés d'un objet Organisation, sélectionnez ce dernier dans iManager. Pour afficher une description de chaque page de propriétés, cliquez sur Aide.
- Nom
Généralement, la propriété Nom correspond au nom de votre entreprise. Vous pouvez bien sûr raccourcir le nom afin de le simplifier. Par exemple, si votre entreprise s'appelle Chaussures et Compagnie, vous pouvez utiliser Chaussures+Cie.
Le nom de l'objet Organisation est intégré au contexte pour tous les objets qui lui sont subordonnés.
- Script de login
La propriété Script de login contient les commandes exécutées par les objets Utilisateur situés immédiatement sous l'objet Organisation. Ces commandes sont exécutées lorsqu'un utilisateur se logue.
Unité organisationnelle
Vous pouvez créer des objets Unité organisationnelle (OU) pour subdiviser l'arborescence. Les unités organisationnelles sont créées à l'aide de iManager sous une organisation, un pays ou une autre unité organisationnelle.
Elles peuvent contenir d'autres unités organisationnelles, ainsi que des objets Feuille tels que des objets Utilisateur et Application.
Définition
En principe, l'objet Unité organisationnelle représente un service qui englobe un groupe d'objets ayant besoin d'accéder les uns aux autres. L'exemple typique est un groupe d'objets Utilisateur, ainsi que les objets Imprimante, Volume et Application dont ces utilisateurs ont besoin.
Au niveau le plus élevé des objets Unité organisationnelle, chacun de ces objets peut représenter un site particulier du réseau (connecté aux autres sites par une liaison WAN).
Utilisation
L'utilisation que vous faites des objets Unité organisationnelle de votre arborescence dépend de la taille et de la structure de votre réseau. Si le réseau est petit, vous n'aurez sans doute pas besoin de créer des objets Unité organisationnelle.
Pour les réseaux plus importants, vous pouvez créer des objets Unité organisationnelle sous l'objet Organisation afin de faciliter la recherche et la gestion des ressources. Par exemple, vous pouvez créer des objets Unité organisationnelle pour chacun des services ou chacune des divisions de votre entreprise. N'oubliez pas que la méthode d'administration la plus simple consiste à réunir dans l'objet Unité organisationnelle les objets Utilisateur et les ressources qu'ils emploient le plus souvent.
Pour les réseaux couvrant plusieurs sites, vous pouvez créer, sous l'objet Organisation, un objet Unité organisationnelle pour chacun des sites. Ainsi, si vous disposez (ou prévoyez de disposer) de suffisamment de serveurs pour effectuer la partition de l'annuaire, vous pouvez le faire de manière logique, en respectant les limites des sites.
Propriétés importantes
Les propriétés les plus utiles pour l'objet Unité organisationnelle sont indiquées ci-dessous. Seule la propriété Nom est requise. Pour obtenir la liste complète des propriétés d'un objet Unité organisationnelle, sélectionnez ce dernier dans iManager. Pour afficher une description de chaque page de propriétés, cliquez sur Aide.
- Nom
Généralement, la propriété Nom correspond au nom du service (ou de la division). Vous pouvez bien sûr raccourcir le nom afin de le simplifier. Par exemple, si votre service s'appelle Comptabilité Fournisseurs, vous pouvez le raccourcir en entrant simplement CF.
Le nom de l'objet Unité organisationnelle est intégré au contexte pour tous les objets qui lui sont subordonnés.
- Script de login
La propriété Script de login contient les commandes exécutées par les objets Utilisateur situés immédiatement sous l'objet Unité organisationnelle. Ces commandes sont exécutées lorsqu'un utilisateur se logue.
Pays
Vous pouvez créer des objets Pays directement sous l'objet Arborescence à l'aide de iManager. Les objets Pays sont facultatifs. Ils sont requis uniquement en cas de connexion à certains annuaires globaux X.500.
Définition
L'objet Pays représente l'identité politique de la branche correspondante de l'arborescence.
Utilisation
Le plus souvent, les administrateurs ne créent pas d'objet Pays, même si le réseau couvre plusieurs pays. En effet, ce type d'objet ne fait qu'ajouter un niveau superflu à l'arborescence. Vous pouvez créer un ou plusieurs objets Pays sous l'objet Arborescence, en fonction de la nature multinationale de votre réseau. Les objets Pays ne peuvent contenir que des objets Organisation.
Si vous ne créez pas d'objet Pays et constatez par la suite que vous en avez besoin, vous pouvez alors en ajouter un à l'arborescence.
Propriétés importantes
L'objet Pays possède une propriété Nom composée de deux lettres. Chaque objet Pays porte un nom qui correspond à un code à deux lettres standard, comme par exemple US, UK ou FR.
Domaine
Vous pouvez créer des objets Domaine directement sous l'objet Arborescence à l'aide de iManager. Vous pouvez également en créer sous des objets Organisation, Unité organisationnelle, Pays et Emplacement.
Définition
L'objet Domaine représente des composants DNS. Les objets Domaine vous permettent d'utiliser l'emplacement DNS des enregistrements de ressources de type service (DNS SRV) afin de localiser des services dans votre arborescence.
À l'aide d'objets Domaine, une arborescence peut être structurée comme suit :
DS=Novell.DC=Provo.DC=USA
Dans cet exemple, tous les sous-conteneurs sont des domaines. Vous pouvez également utiliser des objets Domaine dans une arborescence mixte. Exemple :
DC=Novell.O=Provo.C=USA
Ou
OU=Novell.DC=Provo.C=USA
En règle générale, l'objet Domaine le plus élevé correspond à l'objet Arborescence dans son intégralité et contient tous les sous-domaines. Par exemple, ordinateur1.novell.com pourrait être représenté comme suit dans une arborescence : DC=ordinateur1.DC=novell.DC=com. Les domaines vous offrent un moyen plus générique d'élaborer une arborescence eDirectory. Si tous les conteneurs et sous-conteneurs sont des objets DC, les utilisateurs n'ont pas besoin de mémoriser les objets C, O ou OU lorsqu'ils recherchent des objets.
Utilisation
Les arborescences NetWare 4 et 5 ne peuvent pas comporter d'objets Domaine à leur sommet. Avec NetWare 4 et 5, l'objet Serveur NCP peut être placé dans un conteneur Organisation, Pays, Unité organisationnelle ou Localité, mais pas dans un conteneur Domaine. Avec NetWare 6, il vous est cependant possible de placer des objets Domaine au sommet de l'arborescence et l'objet Serveur NCP, dans un conteneur Domaine.
Pour des installations plus anciennes de NetWare (telles que NetWare 4), lorsque vous préparez l'arborescence à une installation ou une mise à niveau vers NetWare 5 (ou une version ultérieure), le fichier nds500.sch est lancé automatiquement. Après l'installation du premier serveur dans l'arborescence, ce fichier étend le schéma afin que le conteneur Domaine puisse être créé à n'importe quel endroit et qu'il puisse contenir la plupart des objets Annuaire.
Classes d'objets Feuille
Serveur
Un objet Serveur est automatiquement créé dans l'arborescence chaque fois que vous installez eDirectory sur un serveur. La classe d'objet peut correspondre à n'importe quel serveur exécutant eDirectory.
Vous pouvez également créer un objet Serveur pour représenter un serveur de Bindery NetWare 2 ou NetWare 3.
Définition
L'objet Serveur représente un serveur qui exécute eDirectory ou un serveur de Bindery (NetWare 2 ou NetWare 3).
Utilisation
L'objet Serveur sert de point de référence pour les opérations de réplication. Un objet Serveur qui représente un serveur de Bindery vous permet de gérer les volumes du serveur à l'aide de iManager.
Propriétés importantes
L'objet Serveur possède, entre autres, une propriété Adresse réseau. La propriété Adresse réseau indique le protocole et le numéro d'adresse du serveur. Ces informations sont utiles pour rechercher d'éventuels problèmes au niveau des paquets.
Pour obtenir la liste complète des propriétés d'un objet Serveur, sélectionnez ce dernier dans iManager. Pour afficher une description de chaque page de propriétés, cliquez sur Aide.
Volume
Lorsque vous créez un volume physique sur un serveur, un objet Volume est automatiquement créé dans l'arborescence. Par défaut, le nom de l'objet Volume est le nom du serveur suivi d'un caractère de soulignement et du nom du volume physique (par exemple, SERVEUR_SYS).
Les objets Volume sont pris en charge sous NetWare uniquement. Les partitions d'un système de fichiers UNIX ne peuvent pas être gérées à l'aide d'objets Volume.
Définition
Un objet Volume représente un volume physique d'un serveur, qu'il s'agisse d'un disque accessible en écriture, d'un CD-ROM ou d'un autre support de stockage. L'objet Volume de eDirectory ne contient pas d'informations sur les fichiers et répertoires du volume. Pour accéder à ces informations, utilisez iManager. Les informations concernant les fichiers et les répertoires sont enregistrées dans le système de fichiers lui-même.
Utilisation
Dans iManager, cliquez sur l'icône Volume pour gérer les fichiers et les répertoires du volume considéré. iManager fournit les informations relatives au volume, comme l'espace disque disponible, l'espace correspondant aux entrées de répertoire et les statistiques de compression.
Vous pouvez également créer des objets Volume dans l'arborescence pour les volumes NetWare 2 et NetWare 3.
Propriétés importantes
Outre les propriétés Nom et Volume hôte, requises, il existe d'autres propriétés Volume importantes.
- Nom
Nom de l'objet Volume dans l'arborescence. Ce nom correspond par défaut au nom du volume physique. Vous pouvez toutefois le remplacer.
- Serveur hôte
Serveur sur lequel réside le volume.
- Version
Version NetWare ou eDirectory du serveur qui héberge le volume.
- Volume hôte
Nom du volume physique. Le nom de l'objet Volume ne doit pas obligatoirement refléter le nom du volume physique. Par conséquent, cette propriété est nécessaire pour associer l'objet Volume au volume physique.
Utilisateur
Un objet Utilisateur est requis pour se loguer. Lorsque vous installez le premier serveur dans une arborescence, un objet Utilisateur appelé Admin est créé. Loguez-vous la première fois en tant qu'utilisateur Admin.
Vous pouvez appliquer les méthodes suivantes pour créer ou importer des objets Utilisateur :
Définition
Un objet Utilisateur représente une personne qui utilise le réseau.
Utilisation
Nous vous conseillons de créer des objets Utilisateur pour toutes les personnes qui ont besoin d'utiliser le réseau. Bien que vous puissiez gérer les objets Utilisateur individuellement, il est plus rapide de procéder comme suit :
- Servez-vous d'objets Modèle afin de définir des propriétés par défaut pour la plupart des objets Utilisateur. L'objet Modèle est automatiquement appliqué aux objets Utilisateur que vous créez (mais non aux objets Utilisateur existants).
- Créez des objets Groupe pour gérer des groupes d'utilisateurs.
- Assignez des droits en utilisant les objets Conteneur comme ayants droit si vous souhaitez que ces droits soient appliqués à tous les objets Utilisateur du conteneur.
- Sélectionnez plusieurs objets Utilisateur en maintenant la touche Maj ou Ctrl enfoncée tout en cliquant. Vous pouvez ainsi changer les propriétés en même temps pour tous les utilisateurs sélectionnés.
Propriétés importantes
Les objets Utilisateur possèdent plus de quatre-vingts propriétés. Pour obtenir la liste complète des propriétés d'un objet Utilisateur, sélectionnez ce dernier dans iManager. Pour afficher une description de chaque page de propriétés, cliquez sur Aide.
Les propriétés Nom de login et Nom doivent être renseignées. Ces propriétés, ainsi que certaines des propriétés les plus utilisées, sont présentées ci-dessous.
- Date d'expiration du compte vous permet de limiter la durée de vie d'un compte utilisateur. Le compte est verrouillé à la date d'expiration. L'utilisateur ne peut alors plus se loguer.
- Compte désactivé est une valeur générée par le système qui indique que le compte est verrouillé. L'utilisateur ne peut donc plus se loguer. Le compte peut être verrouillé s'il a expiré ou si l'utilisateur a entré successivement trop de mots de passe incorrects.
- Changement périodique du mot de passe obligatoire vous permet de renforcer la sécurité en demandant à l'utilisateur de changer son mot de passe après un certain laps de temps.
- Adhésion aux groupes permet de lister tous les objets Groupe dont l'utilisateur est membre.
- Répertoire privé indique le chemin d'accès d'un système de fichiers et d'un volume NetWare pour les fichiers de l'utilisateur. La plupart des administrateurs créent ce type de répertoire pour que les fichiers de travail d'un utilisateur puissent être stockés sur le réseau.
Le répertoire auquel cette propriété fait référence peut être créé automatiquement au moment de la création de l'objet Utilisateur.
- Dernier login est une propriété générée par le système, qui indique la date et l'heure auxquelles l'utilisateur s'est logué pour la dernière fois.
- Bien qu'elle soit requise, la propriété Nom n'est pas utilisée directement par eDirectory. Les applications qui se servent de la base de noms eDirectory peuvent utiliser cette propriété, ainsi que d'autres propriétés d'identification, telles que Prénom, Titre, Emplacement et Numéro de télécopie.
- Limiter connexions simultanées permet de définir le nombre maximal de sessions qu'un utilisateur peut ouvrir de façon simultanée sur le réseau.
- Nom de login est le nom indiqué par l'icône Utilisateur dans iManager. Il s'agit également du nom fourni par l'utilisateur lorsqu'il se logue.
eDirectory ne requiert pas que les noms de login soient uniques sur tout le réseau ; ils doivent seulement l'être dans chacun des conteneurs. Vous pouvez malgré tout décider d'avoir des noms de login uniques dans toute l'entreprise, afin de simplifier l'administration.
En général, le nom de login est une combinaison du nom et du prénom de l'utilisateur. Par exemple, JEANT ou JTHOMAS pour Jean Thomas.
- Script de login vous permet de créer des commandes de login spécifiques à un objet Utilisateur. Quand un utilisateur se logue, le script de login conteneur est exécuté en premier. Si l'objet Utilisateur a été ajouté à la liste des membres d'un objet Profil, le script de login de profil est ensuite exécuté. Ensuite, le script de login utilisateur est exécuté (le cas échéant).
Il est recommandé de placer la plupart des commandes de login dans des scripts de login conteneur pour gagner du temps. Vous pouvez modifier le script de login utilisateur pour gérer les exceptions aux besoins communs.
- Restrictions des heures de login vous permet de définir les heures et les jours de login autorisés pour l'utilisateur.
- Adresses réseau représente des valeurs générées par le système qui répertorient toutes les adresses IPXTM et/ou IP à partir desquelles l'utilisateur se logue. Ces valeurs sont utiles pour identifier les problèmes réseau au niveau des paquets.
- Exiger un mot de passe vous permet de déterminer si l'utilisateur doit fournir un mot de passe. D'autres propriétés liées à cette dernière permettent de définir des contraintes communes pour les mots de passe, notamment d'en limiter la longueur.
- Droits sur les fichiers et les répertoires indique toutes les assignations de droits effectuées pour cet utilisateur sur le système de fichiers NetWare. Vous pouvez également contrôler, à l'aide de iManager, les droits effectifs que possède un utilisateur sur des fichiers et des répertoires, y compris les droits hérités d'autres objets.
Groupe
Vous pouvez créer des objets Groupe pour faciliter la gestion d'ensembles d'objets Utilisateur.
Définition
Un objet Groupe représente un ensemble d'objets Utilisateur.
Utilisation
Les objets Conteneur permettent de gérer tous les objets Utilisateur du conteneur considéré, alors que les objets Groupe servent à gérer des sous-ensembles situés dans un ou plusieurs conteneurs.
Les objets Groupe servent principalement dans deux cas :
- Ils permettent d'allouer des droits à plusieurs objets Utilisateur en même temps.
- Ils permettent également d'entrer des commandes de script de login à l'aide de la syntaxe IF MEMBER OF.
Groupes statiques
Les groupes statiques permettent d'identifier les objets membres de manière explicite. Chaque membre est assigné explicitement à un groupe.
Ces groupes fournissent une liste statique des membres et assurent l'intégrité référentielle entre la liste des membres du groupe et les membres des attributs d'un objet. L'appartenance au groupe est gérée explicitement au moyen de l'attribut Membre.
Groupes dynamiques
Les groupes dynamiques utilisent une URL LDAP pour définir un ensemble de règles qui, une fois associées à des objets Utilisateur eDirectory, permettent de définir les membres du groupe. Les membres d'un groupe dynamique partagent un ensemble d'attributs communs, définis par le filtre de recherche spécifié dans l'URL. Pour plus d'informations sur le format d'URL de LDAP, reportez-vous à RFC 2255.
Les groupes dynamiques vous permettent de définir les critères que vous souhaitez utiliser lors de l'évaluation des appartenances à un groupe. Les membres du groupe sont évalués de manière dynamique par eDirectory (qui vous permet de les définir en termes de regroupement logique). eDirectory peut ainsi ajouter et supprimer automatiquement des membres d'un groupe. Cette solution, plus facilement adaptable, permet de réduire les coûts d'administration et peut compléter les groupes classiques dans LDAP pour offrir une flexibilité accrue.
eDirectory vous permet de créer un groupe dynamique lorsque vous souhaitez regrouper automatiquement des utilisateurs en fonction d'un attribut, ou lorsque vous souhaitez appliquer des listes de contrôle d'accès (ACL) à des groupes spécifiques qui contiennent des noms distinctifs (DN) correspondants. Vous pouvez, par exemple, créer un groupe qui inclut automatiquement tout DN possédant l'attribut Department=Marketing. Si vous appliquez un filtre de recherche pour Department=Marketing, la recherche renvoie un groupe comprenant l'ensemble des noms distinctifs (DN) possédant l'attribut Department=Marketing. Vous pouvez ensuite définir un groupe dynamique à partir du résultat de recherche obtenu au moyen de ce filtre. Tout objet Utilisateur ajouté à l'annuaire et correspondant au critère Department=Marketing est alors automatiquement ajouté au groupe. De la même façon, tout objet Utilisateur pour lequel la valeur de " Department " a été modifiée (ou tout objet Utilisateur supprimé de l'annuaire) est automatiquement supprimé du groupe.
Dans eDirectory, les groupes dynamiques sont créés par l'intermédiaire d'objets du type objectclass=dynamicGroup. Il est possible de convertir un groupe statique en groupe dynamique en associant une classe auxiliaire (dynamicGroupAux) à l'objet Groupe. L'attribut memberQueryURL est associé au groupe dynamique.
L'attribut dgIdentity pour l'objet Groupe dynamique peut prendre comme valeur le nom distinctif d'une entrée dont les références et les droits doivent être utilisés pour augmenter le nombre de membres dynamiques du groupe.
La gestion des groupes s'effectue au moyen de l'attribut memberQueryURL. Un attribut memberQueryURL type comporte un DN de base, une étendue, un filtre et une extension facultative. Le DN de base précise la base de recherche. L'étendue définit les niveaux sur lesquels doit porter la recherche sous la base. Le filtre permet de sélectionner des entrées spécifiques de l'étendue lors des recherches.
REMARQUE : afin de prendre en charge les exceptions à la liste créée par l'attribut memberQueryURL, les groupes dynamiques permettent aussi l'inclusion et l'exclusion explicite d'utilisateurs.
Les groupes dynamiques peuvent être créés et gérés via Novell iManager. Pour accéder aux tâches de gestion des groupes dynamiques, cliquez sur le rôle Groupes dynamiques dans la page Rôles et tâches.
Vous pouvez également utiliser des commandes LDAP pour gérer ces groupes. Les propriétés les plus utiles associées aux groupes dynamiques sont dgIdentity et memberQueryURL.
Propriétés importantes
Les propriétés les plus utiles de l'objet Groupe sont Membres et Droits sur les fichiers et les répertoires. Pour obtenir la liste complète des propriétés d'un objet Groupe, sélectionnez ce dernier dans iManager. Pour afficher une description de chaque page de propriétés, cliquez sur Aide.
- dgIdentity
Cette propriété indique le nom distinctif dont l'identité est utilisée par le groupe dynamique pour les authentifications au cours des recherches. L'identité doit figurer sur la même partition que le groupe dynamique. L'objet spécifié par dgldentity doit avoir les droits requis pour effectuer la recherche définie dans l'attribut memberQueryURL.
Par exemple, si la valeur de memberQueryURL est
"ldap:///o=nov??sub?(title=*)"
gldentity doit avoir les droits de lecture/comparaison sur l'intitulé d'attribut figurant sous le conteneur o=nov.
- dgTimeout
Cette propriété indique le délai maximal alloué à un serveur pour lire ou comparer un attribut Membre avant expiration. Lorsque ce délai est dépassé, l'erreur -6016 s'affiche.
- memberQueryURL
Cette propriété définit l'ensemble des règles qui correspondent aux attributs des membres du groupe.
memberQueryURL est un attribut à valeurs multiples, conformément à sa définition dans le schéma. Cependant, les serveurs eDirectory 8.6.1 n'utilisaient que la première valeur.
Par exemple :
Un administrateur crée un groupe dynamique possédant deux valeurs memberQueryURL :
"ldap:///o=nov??sub?cn=*"
"ldap:///o=org??sub?cn=*"
Les serveurs eDirectory 8.6.x utilisent "ldap:///o=nov??sub?cn=*" pour déterminer les membres du groupe. Ils acceptent plusieurs requêtes, mais ne lisent que la première.
Cette limitation n'existe plus dans eDirectory 8.7.3. Les serveurs eDirectory 8.7.3 déterminent les membres en fonction de l'ensemble des valeurs memberQueryURL. Ainsi, l'ensemble de membres correspond à la synthèse des membres obtenus à partir de chacune des valeurs de memberQueryURL.
Dans l'exemple ci-dessus, les membres résultants du groupe dynamique correspondent à l'ensemble des entrées pour lesquelles o=org et o=nov, et qui possèdent des valeurs cn.
- member
Cette propriété liste tous les objets du groupe. Les droits assignés à l'objet Groupe s'appliquent à tous les membres du groupe correspondant. L'ajout de valeurs à la propriété member d'un groupe dynamique entraîne l'ajout de membres statiques à ce groupe. Cela peut servir à inclure certains membres.
- excludedMember
Cette propriété indique les DN spécifiquement exclus de la liste d'appartenance à un groupe dynamique. Elle peut servir à constituer des listes d'exclusion pour les groupes dynamiques.
excludedMember s'emploie pour interdire à des DN de devenir des membres dynamiques d'un groupe dynamique.
Ainsi, un DN est un membre dynamique d'un groupe dynamique uniquement s'il a été sélectionné en fonction des critères définis dans memberQueryURL et s'il n'est pas spécifié dans excludedMember ou ajouté de manière explicite à uniqueMember ou member.
- staticMember
Cette propriété lit les membres statiques d'un groupe dynamique et détermine si un DN est un membre statique d'un groupe dynamique. staticMember permet de rechercher les groupes dynamiques dans lesquels un DN est un membre statique unique, ainsi que ceux ne comprenant que des membres dynamiques (sans aucun membre statique).
Pour l'ajouter aux groupes dynamiques existants, étendez le schéma à l'aide du fichier dgstatic.sch.
Mise à niveau de groupes dynamiques dans des bases de données antérieures à eDirectory 8.6.1
La mise en oeuvre de la fonctionnalité des groupes dynamiques fait appel à certaines valeurs stockées dans les objets Groupe dynamique, qui sont créées lorsqu'un groupe dynamique est créé localement ou reçu dans le cadre d'une synchronisation.
S'ils sont capables de contenir des groupes dynamiques, les serveurs plus anciens ne peuvent pas générer ces valeurs, puisque les groupes dynamiques ont été introduits avec eDirectory 8.6.1.
eDirectory 8.6.2 prévoit la mise à niveau automatique des objets Groupe dynamique d'une base de données antérieure à la version 8.6.1, afin que celle-ci corresponde à une base de données eDirectory 8.6.1.
Prise en charge d'autres syntaxes de memberQueryURL
L'attribut memberQueryURL peut contenir un filtre de recherche utilisé par le serveur eDirectory pour déterminer les membres d'un groupe dynamique.
Dans eDirectory 8.6.1, les syntaxes des attributs employés dans le filtre étaient limitées aux types de chaîne élémentaire suivants :
- SYN_CE_STRING
- SYN_CI_STRING
- SYN_PR_STRING
- SYN_NU_STRING
- SYN_CLASS_NAME
- SYN_TEL_NUMBER
- SYN_INTEGER
- SYN_COUNTER
- SYN_TIME
- SYN_INTERVAL
- SYN_BOOLEAN
- SYN_DIST_NAME
- SYN_PO_ADDRESS
- SYN_CI_LIST
- SYN_FAX_NUMBER
- SYN_EMAIL_ADDRESS
Dans eDirectory 8.7.3, les syntaxes d'attributs ci-dessous sont également reconnues pour une valeur memberQueryURL :
- SYN_PATH
- SYN_TIMESTAMP
- SYN_TYPED_NAME
Dans eDirectory 8.6.1 comme dans eDirectory 8.7.x, les syntaxes binaires telles que SYN_OCTET_STRING et SYN_NET_ADDRESS ne sont pas admises dans les filtres de recherche memberQueryURL.
Pour plus d'informations, reportez-vous à How to Manage and Use Dynamic Groups in Novell eDirectory (Gestion et utilisation des groupes dynamiques dans Novell eDirectory).
Alias
Vous pouvez créer un objet Alias qui fait référence à un autre objet de l'arborescence. Un objet Alias offre à un utilisateur un nom local pour un objet qui se trouve à l'extérieur de son conteneur.
Lorsque vous renommez un conteneur, vous pouvez créer un objet Alias à l'emplacement où il se trouvait, de façon à ce que l'alias pointe vers le nouveau nom. Ainsi, les postes de travail et les commandes de script de login qui font référence à des objets du conteneur peuvent toujours accéder à ces objets, même si le nom du conteneur n'a pas été mis à jour.
Définition
Un objet Alias représente un autre objet tel qu'un conteneur, un utilisateur ou tout autre objet de l'arborescence. Un objet Alias n'est pas doté de droits d'ayant droit. Tout droit d'ayant droit assigné à un objet Alias s'applique en réalité à l'objet qu'il représente. Cependant, l'objet Alias peut être la cible d'une assignation d'ayant droit.
Utilisation
Vous pouvez créer un objet Alias pour faciliter la résolution d'un nom. Étant donné qu'il est plus simple d'attribuer un nom aux objets du contexte actuel, il est conseillé de créer dans ce contexte des objets Alias se rapportant à des ressources situées en dehors de ce contexte.
Supposons, par exemple, que des utilisateurs se loguent et établissent un contexte actuel dans le conteneur Sud (comme le montre la Figure 5), mais qu'ils aient besoin d'accéder à l'objet File d'attente d'impression QualCoul dans le conteneur Nord.
Figure 5
Exemples de conteneurs
Vous pouvez créer un objet Alias dans le conteneur Sud, comme l'illustre la Figure 6.
Figure 6
Objet Alias dans un conteneur eDirectory
L'objet Alias pointe vers l'objet QualCoul d'origine ; la configuration de l'impression pour les utilisateurs implique donc un objet local.
Propriétés importantes
Les objets Alias possèdent une propriété dénommée Objet en alias, qui associe l'objet Alias à l'objet d'origine.
Assignation de répertoire
L'objet Assignation de répertoire pointe vers un chemin du système de fichiers du serveur. Il permet de faire plus simplement référence aux répertoires.
Si votre réseau n'inclut aucun volume NetWare, vous ne pouvez pas créer d'objets Assignation de répertoire.
Définition
Un objet Assignation de répertoire correspond à un répertoire de volume NetWare (tandis qu'un objet Alias représente un objet).
Utilisation
Vous pouvez créer un objet Assignation de répertoire pour faciliter l'assignation d'unités, en particulier dans les scripts de login. L'utilisation d'un objet Assignation de répertoire vous permet de limiter à un simple nom les chemins de système de fichiers complexes.
En outre, quand vous déplacez un fichier, il est inutile de modifier les scripts de login et les fichiers de traitement par lots pour qu'ils indiquent le nouvel emplacement. Il vous suffit de modifier l'objet Assignation de répertoire. Supposons, par exemple, que vous soyez en train de modifier le script de login du conteneur Sud (voir Figure 7).
Figure 7
Exemple de conteneur eDirectory
Une commande qui associe des unités au répertoire partagé sur le volume sys: se présente comme suit :
MAP N:=sys.North.:Partagé
Si vous avez créé l'objet Assignation de répertoire Partagé, la commande d'assignation est beaucoup plus simple :
MAP N:=Partagé
Propriétés importantes
L'objet Assignation de répertoire possède les propriétés suivantes :
- Nom
Permet d'identifier l'objet dans l'annuaire (par exemple, Partagé). Le nom est également utilisé dans les commandes MAP.
- Volume
La propriété Volume indique le nom de l'objet Volume désigné par l'objet Assignation de répertoire. Par exemple, Sys.Nord.YourCo.
- Chemin
Désigne le répertoire par un chemin d'accès à partir de la racine du volume. Par exemple, public\winnt\nls\english.
Profil
Les objets Profil vous aident à gérer les scripts de login.
Définition
Un objet Profil représente un script de login qui est exécuté après le script de login du conteneur et avant celui de l'utilisateur.
Utilisation
Créez un objet Profil si vous souhaitez que les commandes de script de login ne soient exécutées que pour certains utilisateurs. Les objets Utilisateur peuvent se trouver dans le même conteneur ou dans des conteneurs différents. Une fois l'objet Profil créé, vous devez ajouter les commandes à sa propriété Script de login. Transformez ensuite les objets Utilisateur en ayants droit de l'objet Profil, puis ajoutez ce dernier à leur propriété Profil de membre du groupe.
Propriétés importantes
L'objet Profil possède deux propriétés importantes :
- Script de login
La propriété Script de login contient les commandes que vous souhaitez exécuter pour les utilisateurs du profil.
- Droits sur les fichiers et les répertoires
Si le script de login contient des instructions de type INCLUDE, vous devez accorder à l'objet Profil des droits sur les fichiers inclus dans la propriété Droits sur les fichiers et les répertoires.