Groupes Active Directory
Bonjour,
Je ne dois pas être très doué (et mon niveau en anglais ne m'aide pas bcp) mais je n'arrive pas à récupérer les groupes de mon Active Directory dans Nuxeo. L'importation des utilisateurs fonctionne correctement. J'ai créé un fichier default-ldap-groups-directory-bundle.xml à l'aide de https://github.com/nuxeo/nuxeo-services/blob/master/nuxeo-platform-directory/nuxeo-platform-directory-ldap/examples/default-ldap-groups-directory-bundle.xml que j'ai placé à coté de celui des utilisateurs.
J'ai rajouté les paramètres de connexion au ldap, l'ou contenant les groupes a récupérer… Et je ne vois pas du tout
<server name="default">
<ldapUrl>ldap://xx.xx.xx.xx:389</ldapUrl>
<bindDn>cn=xxx,cn=Users,dc=xx,dc=xx</bindDn>
<bindPassword>xxx</bindPassword>
</server>
<searchBaseDn>ou=Groupes,ou=xx,dc=xx,dc=xx</searchBaseDn>
<creationBaseDn>ou=Groupes,ou=xx,dc=xx,dc=xx</creationBaseDn>
Le reste est resté par défaut.
 |
sylecomte Lecomte
Member (140) 1 2 1 |
04/30/2013 ( History) |
La référence doit être cohérente avec la déclaration du directory référencé.
Si vous avez déclaré <directory name="groupDirectory">, alors il faut référencer groupDirectory. Et réciproquement.
 |
Julien Carsique
DevTools Team manager (19.2K) 4 7 7 |
05/07/2013 ( History) |
Effectivement, après avoir fait du ménage dans mes fichiers .xml, j'arrive bien à obtenir les groupes de mon AD ! Merci beaucoup ! Par contre, deux petites questions :
J'ai bien les groupes, mais je ne récupères pas les membres des groupes, est ce normal ?
Dans les groupes locaux, il y a un groupe "powerusers" et "administrators" que j'aurais aimé récupérer pour attribuer des droits à certaines personnes, mais je ne les vois pas, est normal ?
De plus, je viens de m'apercevoir que je ne peux rien modifier dans mes groupes, lors que j'essaie, j'ai un message d'erreur ds le fichier log :
2013-05-14 11:38:32,518 DEBUG [org.nuxeo.ecm.directory.ldap.LDAPSession] LDAPSession.updateEntry(DocumentModelImpl(Nom du Groupe, path=null, title=Nom du Groupe)): LDAP modifyAttributes dn='CN=Nom du Groupe,OU=Groupes,OU=XXX,DC=XXX,DC=local' mod_op='REPLACE_ATTRIBUTE' attr='{grouplabel=grouplabel: Test}' [LDAPSession '-6744193536373030782' for directory groupLdapDirectory]
2013-05-14 11:38:32,533 ERROR [javax.enterprise.resource.webcontainer.jsf.application] org.nuxeo.ecm.directory.DirectoryException: updateEntry failed: [LDAP: error code 16 - 00000057: LdapErr: DSID-0C090B8A, comment: Error in attribute conversion operation, data 0, v1db1
Pour les membres des groupes, c'est probablement encore de la configuration à affiner mais il y a aussi des contraintes sur la manière dont est gérée l'appartenance d'un membre à un groupe dans le LDAP.
Je ne pense pas mais je laisserai d'autres personnes répondre à ma place. On est à cheval entre des problèmes techniques et des questions fonctionnelles.
Pour la dernière erreur, il faut faire un peu de recherche sur le net mais le message d'erreur (spécifique à votre LDAP) est plutôt explicite.
L'anglais, c'est pour mieux capitaliser les réponses et faciliter la recherche de réponses.
Avez-vous réussi à obtenir la liste des groupes via une requête LDAP indépendamment de Nuxeo (avec Apache Directory Studio par exemple).
Je ne trouve rien non plus dans les logs… Malgré avoir rajouté plus d'information….
Faut faire deux fichiers xml (un pour les utilisateurs et un pour les groupes) ou il faut n'en faire qu'un seul ?
J'ai toujours le même problème, personne n'a de piste ?
Le nombre de fichiers pour contribuer n'a pas d'importance mais c'est probablement plus facile à maintenir avec deux fichiers.
Pour vous aider, il faut absolument que vous arriviez à obtenir des logs en mode DEBUG, voire TRACE, depuis org.nuxeo.ecm.directory.ldap:
Voici des exemples de logs que vous devez obtenir :
Bonjour,
J'ai bien rajouter ce qui suit dans le fichier Log4J.
Et dans les logs j'ai ceci :
Et juste après, j'ai des tas de lignes qui se ressemble :
Avec subject qui est remplacé par users, locale, etc … Puis :
Mais rien de plus n'apparait quand je fais une recherche sur les groupes (recherche avec * ou avec le nom d'un groupe normalement existant dans l'AD)
Et dans celui là : http://doc.nuxeo.com/display/ADMINDOC/Using+a+LDAP+directory#UsingaLDAPdirectory-Debuginformation, il y a ceci :
Lorsque je mets <i>directory="groupLdapDirectory"</i> je ne me pas me connecter à Nuxeo <i>Connexion impossible à la base d'authentification </i>. Et quand je mets <i>directory="groupDirectory"</i> , je me connecte, mais je n'ai pas mes groupes dans Nuxeo… Je ne sais pas si c'est une bonne piste, je cherche…