Historique de la page
Sv translation | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Principe de fonctionnementBlueMind permet d'importer et d'utiliser les utilisateurs et les groupes depuis un système Active Directory. L'import Active Directory est réalisé pour chaque domaine côté BlueMind de manière incrémentale. Les mots de passe des utilisateurs importés sont validés directement auprès de l'Active Directory. BlueMind ne stocke aucun mot de passe. Un nouvel utilisateur peut se connecter à un serveur BlueMind même s'il n'a pas encore été importé. Son compte BlueMind sera créé automatiquement si le processus d'authentification réussit. Le provisioning (création ou modification) d'un utilisateur ou d'un groupe depuis l'Active Directory vers BlueMind a donc lieu :
InstallationAfin d'accéder aux fonctionnalités de synchronisation avec un annuaire AD, il est nécessaire d'installer le plugin ad-import. Pour cela, se connecter sur le serveur et taper la commande suivante pour lancer l'installation du plugin :
Une fois l'installation terminée, redémarrer le composant bm-core à l'aide de la commande suivante :
ConfigurationConfiguration de la connection Active Directory
Configuration des rôles utilisateurLorsque BlueMind est configuré pour importer sa base utilisateur d'un Active Directory, BlueMind ne contrôle plus les règles de gestion des mots de passe. BlueMind ne peut pas écrire dans l'Active Directory et ne peut donc pas modifier le mot de passe Active Directory. Pour cette raison, il est nécessaire d'enlever aux utilisateurs importés de l'Active Directory l'accès aux interfaces de modification de mot de passe (qui agit sur le mot de passe BlueMind uniquement). Les interfaces de gestion des mots de passe sont accessibles via le rôle : Général → Modifier son mot de passe (voir Les roles : droits d acces et d administration)
Méthode de connexion Le plugin BlueMind pour Active Directory n'impose aucune contrainte particulière ou aucun schéma particulier. Il suffit d'indiquer les informations suivantes :
Par défaut, l'ensemble des utilisateurs et des groupes sont récupérés de l'Active Directory. Des filtres permettant d'interroger une partie de l'annuaire peuvent être configurés, en configurant les informations suivantes :
Un dernier paramètre permet d'indiquer le groupe de segmentation du domaine. L'outil permet de vérifier directement si l'annuaire est bien accessible et l'accès bien configuré. Fonctionnement de l'outil de synchronisationComptes utilisateursLe plugin pour Active Directory fonctionne de 3 façons complémentaires :
L'import global parcourt l'intégralité des utilisateurs et groupes de l'Active Directory (en tenant compte de la racine AD et des filtres) et les importe dans BlueMind. Ceux qui n'existent pas sont créés, ceux qui existaient déjà sont modifiés si nécessaire. L'import incrémental fonctionne de la même façon, mais uniquement en parcourant les utilisateurs modifiés depuis le dernier import. Enfin, l'import à l'authentification recherche l'utilisateur dans l'Active Directory lorsqu'il n'est pas connu dans BlueMind ; s'il le trouve, il l'importe et l'authentifie sur l'Active Directory pour lui donner accès immédiatement à BlueMind. État d'un compteLes comptes importés d'un Active Directory respectant le filtre LDAP configuré sont automatiquement activés. A l'inverse, ils peuvent être suspendus ou supprimés dans l'Active Directory afin que l'accès à la messagerie leur soit interdit. Un utilisateur supprimé dans l'Active Directory est simplement suspendu dans BlueMind. Synchronisation Active Directory planifiéeImport incrémentalA l'installation du plugin Active Directory, BlueMind crée une tâche planifiée dont le but sera de synchroniser à intervalles réguliers les bases utilisateurs et groupes auprès de l'Active Directory. L'import incrémental ne traite que les données qui ont été créées, supprimées ou modifiées depuis le dernier import. Comme indiqué la copie d'écran suivante, la tâche planifiée peut être :
Suivi des tâches planifiéesL'écran de suivi des tâches planifiées permet de vérifier la bonne exécution de celles-ci. La copie d'écran suivante montre ainsi les tâches de synchronisation réalisées, leur date d'exécution et le résultat de l'opération : Mapping Active Directory - BlueMindAttributs des utilisateurs
Attributs des groupes
Attribution des droitsÀ partir de BlueMind 3.5, l'accès aux applications passe par la gestion des rôles qui sont attribués aux utilisateurs. L'import AD ne gérant pas les rôles, les utilisateurs n'en ont donc aucun une fois qu'ils ont été importés et n'accèdent pas aux applications (webmail, contacts, calendrier). La façon la plus simple et efficace de gérer cela est de passer par les groupes :
Par la suite, pour les nouveaux utilisateurs, il suffira de les affecter à ce(s) groupe(s) afin de leur attribuer les rôles souhaités. Forcer ou corriger un UIDL'UID d'un utilisateur peut être renseigné ou corrigé dans la fiche d'administration de l'utilisateur dans BlueMind. Pour cela, se rendre dans la console d'administration > Annuaires > Entrées d'annuaire > choisir la fiche de l'utilisateur > onglet Maintenance : renseigner le champ ExternalID avec l'UID de l'utilisateur dans l'AD puis enregistrer.
|
...