Automatisation de la classification des objets dans l'AD
Disponible à partir d'EOLE 2.7.2 et pré-installé sur Scribe >= 2.8.1, le paquet eole-ad-dc-ou permet de créer automatiquement une structure d'unités organisationnelles[1] et de définir des règles de classification des nouveaux objets sur les modules Scribe en mode AD et les contrôleurs de domaine Seth.
Par défaut, lors de la création d'un utilisateur, y compris via les procédures d'importation automatisées, l'objet AD est créé dans CN=Users,<realm>.
De même, à l'intégration d'un ordinateur, la fiche AD est créé dans CN=Computers,<realm>.
L'ensemble des utilisateurs et des ordinateurs se retrouvent ainsi dans ces 2 conteneurs AD.
La création de GPO[2] utilisateur peut être réalisée en utilisant les filtres par groupe mais, ce n'est pas la pratique la plus courante. Il est plus facile d'associer une GPO avec un Unité Organisationnelle.
Le paquet eole-ad-dc-ou permet de générer une organisation (niveaux, classes, personnes, machines, salles, ...) sous forme d'une arborescence d'OU.
Une fois l'arborescence créée, l'ensemble des utilisateurs/ordinateurs présents dans le conteneur par défaut seront analysés et classés selon les règles indiquées.
Installation du paquet
S'il n'est pas déjà présent, le paquet s'installe à l'aide de la commande suivante :
apt-eole install eole-ad-dc-ou
Une fois le paquet installé, de nouvelles variables sont disponibles dans l'interface de configuration du module.
Configuration dans gen_config.
Le paramétrage d'UO personnalisées se fait dans l'onglet GPO
activer_ad_ou : permet d'activer la création automatique d'une arborescence d'UO
activer_ad_schedule : permet d'exécuter la commande de classement chaque jour (si des nouveaux utilisateurs sont ajoutés, ils seront automatiquement classés dans leurs UO)
activer_ad_ou_classifier : Activer le classement automatique des utilisateurs et ordinateurs vers une arborescence d'UO
ad_ou_names : Il s'agit de la liste des OU. Pour chaque OU, il faut saisir :
- ad_ou_names_X :
Nom de l'UO personnalisée.
Les espaces sont autorisés lors de la saisie.
Le caractère '/' permet de créer une UO sous une autre UO. Exemple "MON UO/Ma sous UO".
- ad_ou_classifier_X
aucun : ne déplace aucun objet
membreDe : déplace les personnes appartenant au groupe renseigné dans le champ ad_ou_group_X dans une UO personnalisée.
membreDeENT : déplace les personnes appartenant au groupe renseigné et les répartis dans des sous-UO Niveau (attribut "Meflcf") et Classe (attribut "Divcod") de l'UO personnalisée.
ordinateur : déplace les ordinateurs dans l'UO personnalisée.
ordinateur_par_classe : ne déplace que les ordinateurs et les répartissant dans des sous OU en fonction de leurs noms.
- ad_ou_group_X
Facultatif, groupe auquel doit appartenir l'objet pour être sélectionné.
Exemple :
Avec ad_ou_group="professeurs" : prof-1 sera sélectionné, eleve-1 non
Avec ad_ou_group="eleves" : eleve-1 sera sélectionné, prof-1 non
Avec ad_ou_group="" : pas de filtre, tous seront sélectionnés.
- ad_ou_pattern_X
Dans cette zone, vous pouvez saisir une règle de filtrage sur le NOM de l'objet.
Cette règle de filtrage est une expression régulière[3] (REGEX).
Dans le cas d'un classifier ordinateur_par_classe l'expression régulière doit comporter un groupement. Le groupement est symbolisé par des parenthèses. Ce groupement servira à déterminer les noms des classes qui deviendront des sous-UO de l'UO personnalisée.
Exemple :
* ad_ou_pattern="PC" : tous les éléments contenant "PC" seront sélectionnés. Ainsi, PC-123456 sera sélectionné, MONPC-001 aussi, mais CDI-001 non et DESKTOP-ZPCLE non plus.
* ad_ou_pattern="" : pas de filtre ==> tous seront sélectionnés.
# Cas particulier classifier ordinateur_par_classe et expression avec groupement
Un groupement d'expression régulière est délimité par des parenthèses.
Le groupement peut contenir qu'un seul groupe : (PC).
Le groupement peut contenir plusieurs groupes, ils sont alors séparés par un pipe "|" (AltGr+6) : (PC|AUTRE).
* ad_ou_pattern="(PC|TECHNO|CDI)" : les UO PC, TECHNO et CDI seront crées. Les ordinateurs contenant "PC" dans leur nom seront placés dans l'UO "PC", ceux contenant "TECHNO" dans l'UO "TECHNO", idem pour "CDI" vers "CDI".
AttentionNommage des objets et filtrage.
Il faut faire attention au nom que l'on donne aux objets comme les groupes et les ordinateurs ainsi qu'aux filtres (expression régulière) que l'on définit. Par exemple, il ne faut pas nommer les ordinateurs avec un nom comportant plusieurs éléments du groupe d'expression régulières.
Si l'on définit ad_ou_pattern="(PC|TECHNO|CDI)", il ne faut pas nommer les ordinateur "PC-CDI-00X" ou "CDIPC-00X" par exemple. Dans ce cas, le filtrage et le classement des ordinateurs par sous-UO aura des effets inattendus.
AttentionSensibilité à la casse (min/MAJ)
Les champs de sélection de groupes et de règle de filtrage sont sensibles à la casse, c'est à dire que les minuscules et les majuscules ont une importance, sont considérées différemment. Par exemple "ad_ou_pattern=pc" ne fonctionnera pas si l'objet à classer contient "PC".
Exemple membreDeENT (UO par niveau "Meflcf" et sous-UO par classe "Divcod")
Exemple "(PC|TECHNO|CDI)"
Exemples de règles
Exemple
no | ad_ou_names | ad_ou_classifier | ad_ou_group | ad_ou_pattern | Comportement attendu |
1 | Utilisateurs du Domaine | aucun | Création OU sans classification | ||
2 | Professeurs/Utilisateurs du Domaine m | membreDe | professeurs | Tous les professeurs vont dans l'OU OU=Professeurs,OU=Utilisateurs du Domaine,<realm> | |
3 | Administratifs/Utilisateurs du Domaine | membreDe | administratifs | Tous les administratifs vont dans l'OU OU=Administratifs,OU=Utilisateurs du Domaine,<realm> | |
4 | Eleves/Utilisateurs du Domaine | membreDe | eleves | Tous les éleves vont dans l'OU OU=Eleves,OU=Utilisateurs du Domaine,<realm> | |
5 | Ordinateurs du Domaine | aucun | Création OU sans classification | ||
6 | Equipements fixes/Ordinateurs du Domaine | ordinateur | DESKTOP- | Tous les ordinateurs dont le nom contient 'DESKTOP-' vont dans l'OU OU=Equipements fixes,OU=Ordinateurs du Domaine,<realm> | |
7 | Equipements mobiles/Ordinateurs du Domaine | ordinateur | LAPTOP- | Tous les ordinateurs dont le nom contient 'LAPTOP-' vont dans l'OU OU=Equipements fixes,OU=Ordinateurs du Domaine,<realm> | |
8 | CLASSE MOBILE 1/Equipements mobiles/Ordinateurs du Domaine | aucun | Création OU simple (aucun élément n'y est classé) : OU=CLASSE MOBILE 1,OU=Equipements fixes,OU=Portables du Domaine,<realm> | ||
9 | CLASSE MOBILE 2/Equipements mobiles/Ordinateurs du Domaine | aucun | Création OU simple (aucun élément n'y est classé) : OU=CLASSE MOBILE 2,OU=Equipements fixes,OU=Portables du Domaine,<realm> | ||
10 | SALLE DE COURS/Equipements fixes/Ordinateurs du Domaine | ordinateur_par_classe | (SVT|HIS|TEST) | Sous l'OU OU=SALLE DE COURS,OU=Equipements fixes,OU=Ordinateurs du Domaine,<realm>, une arborescence est crée automatiquement avec le groupe REGEX. Dans cet exemple, la regex permet de filtrer 3 début de nom SVT ou HIS ou TEST. Tous les ordinateurs sont déplacé dans leurs OU respectivent : OU=SVT,OU=SALLE DE COURS,OU=Equipements fixes,OU=Ordinateurs du Domaine,<realm> OU=HIS,OU=SALLE DE COURS,OU=Equipements fixes,OU=Ordinateurs du Domaine,<realm> OU=TEST,OU=SALLE DE COURS,OU=Equipements fixes,OU=Ordinateurs du Domaine,<realm> | |
11 | SALLE DES PROFESSEURS/Equipements fixes/Ordinateurs du Domaine | aucun | Création OU sans classification | ||
12 | MULTIMEDIA/Equipements fixes/Ordinateurs du Domaine | aucun | Création OU sans classification | ||
13 | TECHNOLOGIE/Equipements fixes/Ordinateurs du Domaine | ordinateur | TEC | Tous les ordinateurs dont le nom contient 'TEC' vont dans l'OU OU=TECHNOLOGIE,OU=Equipements fixes,OU=Ordinateurs du Domaine,<realm> | |
14 | CDI/Equipements fixes/Ordinateurs du Domaine | ordinateur | CDI | Tous les ordinateurs dont le nom contient 'CDI' vont dans l'OU OU=CDI,OU=Equipements fixes,OU=Ordinateurs du Domaine,<realm> | |
15 | ULIS/Equipements fixes/Ordinateurs du Domaine | ordinateur | ULIS | Tous les ordinateurs dont le nom contient 'ULIS' vont dans l'OU OU=ULIS,OU=Equipements fixes,OU=Ordinateurs du Domaine,<realm> | |
16 | SEGPA/Equipements fixes/Ordinateurs du Domaine | ordinateur | SEGPA | Tous les ordinateurs dont le nom contient 'SEGPA' vont dans l'OU OU=SEGPA,OU=Equipements fixes,OU=Ordinateurs du Domaine,<realm> | |
17 | UPI/Equipements fixes/Ordinateurs du Domaine | ordinateur | UPI | Tous les ordinateurs dont le nom contient 'UPI' vont dans l'OU OU=UPI,OU=Equipements fixes,OU=Ordinateurs du Domaine,<realm> | |
18 | Power Users/Utilisateurs du Domaine | membreDe | Domain Users | Test | |
19 | Eleves/Utilisateurs du Domaine | membreDeENT | eleves | Uniquement sur Scribe Sous l'OU OU=Eleves,OU=Utilisateurs du Domaine,<realm>, une arborescence est crée avec les Niveau et Classe venant de l'ENT. Tous les éleves sont déplacer dans leur OU respectivent : OU=<Classe>,OU=<Niveau>,OU=Eleves,OU=Utilisateurs du Domaine,<realm> |
Exemple de classement sur un Scribe
Exemple
Origine | Destination | Pourquoi ? |
Administrator | CN=Administrator,CN=Users,<realm> | compte protégé, mas de mouvement |
prof1 | CN=prof1,OU=Professeurs,OU=Utilisateurs du Domaine,<realm> | prof1 est dans le groupe 'professeurs', donc règle no 2 |
c31e1 | CN=c31e1,OU=c31,OU=3eme,OU=Eleves,OU=Utilisateurs du Domaine,<realm> | c31e1 est dans le groupe 'eleves', donc règle no 19 |
prenom.eleve112 | CN=prenom.eleve112,OU=c31,OU=3eme,OU=Eleves,OU=Utilisateurs du Domaine,<realm> | prenom.eleve112 est dans le groupe 'eleves', donc règle no 19 |
CDI01 | CN=CDI01,OU=CDI,OU=Equipements fixes,OU=Ordinateurs du Domaine,<realm> | CDI01 est un ordinateur dont le nom commence par CDI, donc règle no 14 |
DESKTOP-01 | CN=DESKTOP-01,OU=Equipements fixes,OU=Ordinateurs du Domaine,<realm> | DESKTOP-01 est un ordinateur dont le nom commence par DESKTOP-, donc règle no 6 |
LAPTOP-01 | CN=LAPTOP-01,OU=Equipements mobiles,OU=Ordinateurs du Domaine,<realm> LAPTOP- | LAPTOP-01 est un ordinateur dont le nom commence par LAPTOP-, donc règle no 7 |
SRV02 | CN=SRV02,CN=Computers,<realm> | SRV02 est un ordinateur, mais il ne s'agit pas d'une Station windows, donc pas de mouvement |
SVT02 | CN=SVT02,OU=SVT,OU=SALLE DE COURS,OU=Equipements fixes,OU=Ordinateurs du Domaine,<realm> | SVT02 est une station windows, dont le nom commence par SVT, donc règle no 10 |
Exécution du script de classement
Exécution automatique
Le classement est appliqué :
- à chaque instance ou reconfigure ;
- toutes les nuits (si
Exécuter le traitement toutes les nuitsest àoui).
Exécution depuis l'EAD3
À partir d'EOLE 2.8.1, si la création automatique d'une arborescence d'UO a été activée dans l'interface de configuration du module, il est possible de lancer l'exécution du script de classification des objets dans l'AD directement depuis l'EAD3.
L'action Classer les nouveaux utilisateurs et ordinateurs par OU est disponible dans la catégorie Gestion AD.
L'action propose tout simplement d'exécuter le traitement en cliquant sur le bouton.
La fin du traitement est indiquée par une fenêtre qui s'affiche en bas à gauche de l'écran.
Exécution manuelle
Pour forcer l'exécution du traitement, il est possible d'exécuter la commande suivante :
/usr/share/eole/postservice/24-ad-ou