topic [Résolu] Problème de synchronisation LDAP in Alfresco Archive

[Résolu] Problème de synchronisation LDAP

3snet — Wed, 16 Jun 2010 11:43:02 GMT

Bonjour à tous,J’ai installé la version 3.3 Community, j’ai configuré le lien LDAP pour l’utilisation de l’authentification vie Active Directory (AD) (voir fichier de config).Lorsque j’essai de me connecte avec un login qui se trouve dans AD, j’ai les résultats suivants :1. Si j’utilise l’attribut «

Re: [Résolu] Problème de synchronisation LDAP

lucky — Thu, 17 Jun 2010 09:39:16 GMT

Bonjour,
J'ai eu un problème plus ou moins similaire, essayez de modifier :

ldap.authentication.userNameFormat=%s‍

par

ldap.authentication.userNameFormat=%s@mondomaine.com‍

De mon coter ca a marcher.

Re: [Résolu] Problème de synchronisation LDAP

3snet — Thu, 17 Jun 2010 10:40:01 GMT

Merci pour la réponse.
J'ai essayé ce paramètre mais le résultat est le même.

Cordialement.

Re: [Résolu] Problème de synchronisation LDAP

lucky — Thu, 17 Jun 2010 11:39:30 GMT

Ok, voila le fichier ldap-ad que j'utilise


ldap.authentication.active=true
ldap.authentication.allowGuestLogin=true
ldap.authentication.userNameFormat=%s@mondomaine.fr
ldap.authentication.java.naming.factory.initial=com.sun.jndi.ldap.LdapCtxFactory
ldap.authentication.java.naming.provider.url=ldap://monserveur.mondomaine:389
ldap.authentication.java.naming.security.authentication=simple
ldap.authentication.escapeCommasInBind=false
ldap.authentication.escapeCommasInUid=false
ldap.authentication.defaultAdministratorUserNames=Administrateur
ldap.synchronization.active=true
ldap.synchronization.java.naming.security.principal=Administrateur@modomaine.fr
ldap.synchronization.java.naming.security.credentials=monmotdepasse
ldap.synchronization.queryBatchSize=1000
ldap.synchronization.attributeBatchSize=1000
dap.synchronization.groupQuery=(objectclass\=group)
ldap.synchronization.groupDifferentialQuery=(&(objectclass\=group)(!(modifyTimestamp<\={0})))
ldap.synchronization.personQuery=(&(objectclass\=user)(userAccountControl\:1.2.840.113556.1.4.803\:\=512))
ldap.synchronization.personDifferentialQuery=(&(objectclass\=user)(userAccountControl\:1.2.840.113556.1.4.803\:\=512)(!(modifyTimestamp<\={0})))
ldap.synchronization.groupSearchBase=ou\=OU,dc=mondomaine,dc=fr
ldap.synchronization.userSearchBase=ou\=OU,dc=mondomaine,dc=fr
ldap.synchronization.modifyTimestampAttributeName=modifyTimestamp
ldap.synchronization.timestampFormat=yyyyMMddHHmmss'.0Z'
ldap.synchronization.userIdAttributeName=sAMAccountName
ldap.synchronization.userFirstNameAttributeName=givenName
ldap.synchronization.userLastNameAttributeName=sn
ldap.synchronization.userEmailAttributeName=mail
ldap.synchronization.userOrganizationalIdAttributeName=company
ldap.synchronization.defaultHomeFolderProvider=userHomesHomeFolderProvider
ldap.synchronization.groupIdAttributeName=cn
ldap.synchronization.groupDisplayNameAttributeName=displayName
ldap.synchronization.groupType=group
ldap.synchronization.personType=user
ldap.synchronization.groupMemberAttributeName=member
ldap.synchronization.enableProgressEstimation=true
‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

Pratiquement tout est par défaut, j'ai juste modifié les lignes suivantes :


ldap.authentication.userNameFormat=%s@mondomaine.fr
ldap.authentication.java.naming.provider.url=ldap://monserveur.mondomaine:389
ldap.authentication.java.naming.security.authentication=simple
ldap.authentication.defaultAdministratorUserNames=Administrateur
ldap.synchronization.java.naming.security.principal=Administrateur@modomaine.fr
ldap.synchronization.java.naming.security.credentials=monmotdepasse
ldap.synchronization.groupSearchBase=ou\=OU,dc=mondomaine,dc=fr
ldap.synchronization.userSearchBase=ou\=OU,dc=mondomaine,dc=fr
‍‍‍‍‍‍‍‍‍‍

Je pense que a la place de Administrateur on peut utiliser n'importe quel compte Admin du schéma mais j'ai pas essayer…

Re: [Résolu] Problème de synchronisation LDAP

3snet — Wed, 23 Jun 2010 13:29:04 GMT

Bonjour,

J'ai fais la même chose, mais je n'arrive toujours pas à importer autre chose que le nom de l'utilisateur (pas d'email ni telephone, ni rien d'autre d'ailleurs).
Sauf que je n'utilise pas pas un compte adminitrateur pour la variable : ldap.synchronization.java.naming.security.principal.

Est-ce-que c'est obligatoire ?

NB. : le compte importé est non modifiable. Donc on ne peut pas ajouter l'email ou le téléphone !

merci d'avance.

Bien cordialement

Re: [Résolu] Problème de synchronisation LDAP

lucky — Wed, 23 Jun 2010 13:44:08 GMT

Bonjour,
Je ne pense pas que Administrateur soit obligatoire, un compte admin du schéma windows (si on parle bien d'active directory et pas d'un ldap tiers) devrais suffire je crois…
Mais a fin de test, ça serais pas mal d'essayer avec Administrateur…
Sinon il faut vérifier le nom des propriétés, par défaut le champ d'adresse mail d'un AD s'appelle mail, c'est ce qu'on va chercher ici :


ldap.synchronization.userEmailAttributeName=mail
‍‍‍

Si le champ par défaut est vide mais que vous avez créer un autre champ appeler email par exemple où vous enregistrez les adresses mail, il faut transformer la ligne comme ceci :


ldap.synchronization.userEmailAttributeName=email
‍‍‍

Es ce que l'authentification fonctionne?

Re: [Résolu] Problème de synchronisation LDAP

3snet — Thu, 24 Jun 2010 14:51:54 GMT

Merci pour la réponse.

Oui l'authentification fonctionne, mais l'import ne se fait que pour le nom et pas las autres données du compte utilisé.

Merci

Re: [Résolu] Problème de synchronisation LDAP

lucky — Thu, 24 Jun 2010 15:25:30 GMT

Bonjour,
Si le fichier ldap-ad.properties est correct et que l'authentification fonctionne, c'est que le soucis est très probablement dans le nom des attributs des comptes.
Tout d'abord, es ce que vous avez avec le compte Administrateur ?


ldap.authentication.defaultAdministratorUserNames=Administrateur
ldap.synchronization.java.naming.security.principal=Administrateur@modomaine.fr
‍‍‍‍

Pour vérifier le nom des attributs de l'AD, j'utilise ADSEDIT mais il faut faire attention a ne rien changer car cet outil permet de modifier n'importe quel morceau de l'ad sans vérifications …
J'ouvre ADSEDIT.msc sur mon serveur AD
Je me connecte sur DOMAIN
Je browse mes OU jusqu'a arriver sur un user (n'importe lequel..)
Je fait un clic droit et propriété sur mon user (en principe il est de la forme CN= Prenom NOM)
Je cherche dans la liste l'attribut qui correspond a l'adresse mail (chez moi : mail)

Voila, vous pouvez vérifier que vous mappez corectement les attributs comme ça.
En espérant vous avoir aider.