Scénario #21258
Mis à jour par Gilles Grandgérard il y a plus de 6 ans
h3. Exigences
Sur un module Seth, un administrateur peut demander la création des utilisateurs, groupes, OU depuis la base de donnée AAF en mode complet ou delta
h3. Fonctionnalités
* il faut configurer le modèle de 'correspondance' configuration de l'AD
** topelevel: tous les objets vont dans la racine de l'AD (cas général actuel : les users et les groups vont dans *@dn=CN=toto,CN=Users,<realm>@* )
** eole: tous les objets vont dans une OU calculée (ex: *@ad_ou_destination='CN=Users{{aaf.uai}},CN=Etab{{aaf.uai}}'@*, le CN est calculé par concaténation de *@dn="CN=toto"+%%ad_ou_destination+"<realm>"@*. la variable *@ad_ou_destination@* est à définir dans le dico)
** autres: mapping spécifique (nom script python ?)
* Les objets à mapper sont :
- établissement => organizationalUnit
- serviceacadémique => organizationalUnit
- group (options) => group
- classe => group
- eleve => sambaSamAccount
- responsable => pas de mapping = pas de compte dans le Seth (voir: attribut de l'éléve)
- enseignant => user
- nonEnseignantEtab => user
* Décision prises :
- l'initialisation de l'AD peut se faire avec la procédure 'aaf-complet'. Mais, ensuite, tout rechargement en mode complet se fait en 'aaf-majComplet'
- Il est nécessaire d'utiliser le LDAP Samba. (pas de ldbadd/ldbmodify des fichiers sur le DC)
- les attributs de la base de données font référence.
- il faut définir l'attribut 'pivot' pour la synchronisation : id ?
- le rechargement d'un fichier complet ne détruit pas tous les comptes,OUs, groups existant. il faut les mettre à jour
- Le traitement des "home" utilisateurs n'est pas dans le périmètre de ce scénario
- La "suppression" d'un élève se fait par transfert dans "trash". La purge auto de 180jours nettoiera l'objet à ce moment. Ceci est nécessaire à la réplication AD. (Attention: au conflit de 'sn') Création d'OU si besoin
* exemple d'utilisation:
1 dans la bd, nous avons un élève Toto en 3eme1 dans le collège rne=0001, le compte a été crée dans le Seth sous l'OU=0001 avec le sn=toto, objectGUID=1234-5678-...
2 début septembre, l'académie recharge le fichier AAF complet
3 lors de la synchronisation, nous retrouvons l’élevé toto mais en 2nd1 du lycée rne=002
4 le compte de toto avec le objectGUID=1234-5678-... est mis à jour. le DN change donc de postion en OU=002, sn=toto, et les groupes changes
5 potentiellement, le même objet AD sera gardé tant que l’Élève sera dans la même académie
h3. Critères d’acceptation
* Sur un seth, configurer les variables dans genconfig.
* reconfigure
* lancer la ligne de commande *@import-aaf <fichieraaf.xml>@*
h3. Points d'attention
A faire en binôme !
Sur un module Seth, un administrateur peut demander la création des utilisateurs, groupes, OU depuis la base de donnée AAF en mode complet ou delta
h3. Fonctionnalités
* il faut configurer le modèle de 'correspondance' configuration de l'AD
** topelevel: tous les objets vont dans la racine de l'AD (cas général actuel : les users et les groups vont dans *@dn=CN=toto,CN=Users,<realm>@* )
** eole: tous les objets vont dans une OU calculée (ex: *@ad_ou_destination='CN=Users{{aaf.uai}},CN=Etab{{aaf.uai}}'@*, le CN est calculé par concaténation de *@dn="CN=toto"+%%ad_ou_destination+"<realm>"@*. la variable *@ad_ou_destination@* est à définir dans le dico)
** autres: mapping spécifique (nom script python ?)
* Les objets à mapper sont :
- établissement => organizationalUnit
- serviceacadémique => organizationalUnit
- group (options) => group
- classe => group
- eleve => sambaSamAccount
- responsable => pas de mapping = pas de compte dans le Seth (voir: attribut de l'éléve)
- enseignant => user
- nonEnseignantEtab => user
* Décision prises :
- l'initialisation de l'AD peut se faire avec la procédure 'aaf-complet'. Mais, ensuite, tout rechargement en mode complet se fait en 'aaf-majComplet'
- Il est nécessaire d'utiliser le LDAP Samba. (pas de ldbadd/ldbmodify des fichiers sur le DC)
- les attributs de la base de données font référence.
- il faut définir l'attribut 'pivot' pour la synchronisation : id ?
- le rechargement d'un fichier complet ne détruit pas tous les comptes,OUs, groups existant. il faut les mettre à jour
- Le traitement des "home" utilisateurs n'est pas dans le périmètre de ce scénario
- La "suppression" d'un élève se fait par transfert dans "trash". La purge auto de 180jours nettoiera l'objet à ce moment. Ceci est nécessaire à la réplication AD. (Attention: au conflit de 'sn') Création d'OU si besoin
* exemple d'utilisation:
1 dans la bd, nous avons un élève Toto en 3eme1 dans le collège rne=0001, le compte a été crée dans le Seth sous l'OU=0001 avec le sn=toto, objectGUID=1234-5678-...
2 début septembre, l'académie recharge le fichier AAF complet
3 lors de la synchronisation, nous retrouvons l’élevé toto mais en 2nd1 du lycée rne=002
4 le compte de toto avec le objectGUID=1234-5678-... est mis à jour. le DN change donc de postion en OU=002, sn=toto, et les groupes changes
5 potentiellement, le même objet AD sera gardé tant que l’Élève sera dans la même académie
h3. Critères d’acceptation
* Sur un seth, configurer les variables dans genconfig.
* reconfigure
* lancer la ligne de commande *@import-aaf <fichieraaf.xml>@*
h3. Points d'attention
A faire en binôme !