Automatisation de la classification des objets dans l'AD

Disponible à partir d'EOLE 2.7.2 et pré-installé sur Scribe >= 2.8.1, le paquet eole-ad-dc-ou permet de créer automatiquement une structure d'unités organisationnelles[1] et de définir des règles de classification des nouveaux objets sur les modules Scribe en mode AD et les contrôleurs de domaine Seth.

Par défaut, lors de la création d'un utilisateur, y compris via les procédures d'importation automatisées, l'objet AD est créé dans CN=Users,<realm>.

De même, à l'intégration d'un ordinateur, la fiche AD est créé dans CN=Computers,<realm>.

L'ensemble des utilisateurs et des ordinateurs se retrouvent ainsi mélangés dans ces 2 conteneurs AD.

La création de GPO[2] utilisateur peut être réalisée en utilisant les filtres par groupe mais, ce n'est pas la pratique la plus courante.

Le paquet eole-ad-dc-ou permet de décrire une organisation (niveaux, classes, personnes, machines, salles, ...) sous forme d'une arborescence d'OU.

Une fois l'arborescence créée, l'ensemble des utilisateurs/ordinateurs présents dans le conteneur par défaut seront analysés et répartis selon les règles.

Installation du paquet

S'il n'est pas déjà présent, le paquet s'installe à l'aide de la commande suivante :

apt-eole install eole-ad-dc-ou

Une fois le paquet installé, de nouvelles variables sont disponibles dans l'interface de configuration du module.

Configuration dans genConfig

  • activer_ad_ou : permet d'activer la création automatique d'une arborescence d'UO

  • activer_ad_ou_classifier : Activer le classement automatique des utilisateurs et ordinateurs vers une arborescence d'UO

  • ad_ou_names : Il s'agit de la liste des OU. Pour chaque OU, il faut saisir :

  • ad_ou_names :

C'est le nom de l'OU

Les espaces sont autorisés lors de la saisie

Le caractère '/' permet de créer une OU sous une autre OU

  • ad_ou_classifier

aucun : ne déplace aucun objet

membreDe : ne déplace que les personnes appartenant au group

membreDeENT : ne déplace que les objets appartenant au group et les répartis par Niveau (divoc) et Classe (Melcf)

ordinateur : ne déplace que les ordinateurs

ordinateur_par_classe : ne déplace que les ordinateurs et les répartissant dans des sous OU

  • ad_ou_group

Suivant ad_ou_classifier, vous pouvez saisir le group auquel doit appartenir l'objet pour être selectionné

Ex.

Avec ad_ou_group="professeurs" : prof-1 sera sélectionné, eleve-1 non

Avec ad_ou_group="eleves" : eleve-1 sera sélectionné, prof-1 non

Avec ad_ou_group="" : pas de filtre ==> tous seront sélectionnés.

  • ad_ou_pattern

Dans cette zone, vous pouvez saisir une règle de filtrage sur le NOM de l'objet

Ex.

Avec ad_ou_pattern="PC" : PC-123456 sera sélectionné, CDI-001 non, DESKTOP-ZPCLE non plus

Avec ad_ou_pattern="CDI" : CDI-001 sera sélectionné, PC-123456 non, DESKTOP-ZPCLE non plus

Avec ad_ou_pattern="DESKTOP" : DESKTOP-ZPCLE sera sélectionné, CDI-001 non, PC-123456 non plus

Avec ad_ou_pattern="" : pas de filtre ==> tous seront sélectionnés.

Exemples de règles

Exemple

Exemple de classement sur un Scribe

Exemple

Exécution du script de classement

Exécution automatique

Le classement est appliqué :

  • à chaque instance ou reconfigure ;
  • toutes les nuits (si Exécuter le traitement toutes les nuits est à oui).

Exécution depuis l'EAD3

À partir d'EOLE 2.8.1, si la création automatique d'une arborescence d'UO a été activée dans l'interface de configuration du module, il est possible de lancer l'exécution du script de classification des objets dans l'AD directement depuis l'EAD3.

L'action Classer les nouveaux utilisateurs et ordinateurs par OU est disponible dans la catégorie Gestion AD.

L'action propose tout simplement d'exécuter le traitement en cliquant sur le bouton.

La fin du traitement est indiquée par une fenêtre qui s'affiche en bas à gauche de l'écran.

Exécution manuelle

Pour forcer l'exécution du traitement, il est possible d'exécuter la commande suivante :

/usr/share/eole/postservice/24-ad-ou