locked
synchroniser users&password Active Directory via IIFP sans PCNS RRS feed

  • Question

  • Bonjour à tous,

    Je cherche actuellement à synchroniser 2 AD de 2 forêts distinctes à l'aide du logiciel IIFP (Identity Integration Feature Pack) qui stocke les données Active Directory sous forme d'une base de données Microsoft SQL.

    *Ma question :
    j'ai lu un peu partout qu'il était possible de synchroniser les mots de passe grace à IIFP SANS relation d'approbation ET AVEC l'outil PCNS.
    - mon cas : puis-je synchroniser également les mots de passe via IIFP AVEC UNE relation d'approbation mais SANS PCNS (car il modifie le schéma AD lors de son installation et je n'ai pas les droits pour le faire)...

    *Point de situation de mon infra :
    2 AD dans 2 forêts différentes
        (AD source : GBR)            (AD cible : GLB)

    existance d'une relation d'approbation entre les 2 domaines : relation externe bidirectionnelle non transitive (et filtrage SID désactivé)
        (AD source : GBR) <--------> (AD cible : GLB)

    migration des utilisateurs et des mots de passe grace à l'outil ADMT = OK
        (AD source : GBR) --ADMT---> (AD cible : GLB)

    synchronisation des utilisateurs et certains attributs grace à l'outil IIFP = OK
        (AD source : GBR) ---IIFP---> (AD cible : GLB)

    *Objectif IIFP:
    Je cherche à synchroniser les utilisateurs et surtout leurs mots de passe d'une AD vers une autre.
        (Users AD source) ---IIFP---> (Users AD cible)

    *Ce que j'ai compris d'IIFP :
    fonctionnement d'IIFP, les données des AD sont importées vers un CS (Connector Space), puis regroupées dans le MV (Metaverse) avant d'être exportées vers l'AD de son choix.
    Le MV (Metaverse) étant la base de données regroupant toutes les infos.

    import :AD GBR ---> CV GBR ---> MV <--- CV GLB <--- AD GLB
    export :AD GBR <--- CV GBR <--- MV ---> CV GLB ---> AD GLB

    Au préalable, il faut avoir configurer les Management Agents d'IIFP :
    1/ renseigner les infos de l'AD et un compte admin du domaine en question
    2/ sélectionner les objets à synchroniser (users,group,contact)
    3/ sélectionner les attributs que l'on veut synchroniser
    4/ mettre des filtres s'il l'on veut (ex: si l'attribut City=Paris, on ne synchronise pas les utilisateurs de Paris)
    5/ configurer les règles de jointure et de projection :
       -la règle de jointure permet de créer un seul connecteur à un utilisateur dans le metaverse
         ex: J.Smith est un utilisateur du domaine A (id=J.Smith), du domaine B (id=John.Smith) et de la base de données RH (id=JSM380)
             Pour qu'il n'y ait qu'un seul J.Smitch de créer dans le métaverse, il faut un attribut de jointure (le plus souvent "sAMAccountname" est joint à "uid")
       -la projection permet de créer un objet dans le metaverse s'il n'était pas présent auparavant
    6/ le flow des attributs (le sens d'export ou d'import)
    7/ deprovisionning : on choisit de supprimer ou non du metaverse les éléments une fois exportés
    8/ extensions (les scripts d'extensions sont nécessaires pour créer de nouveaux objets dans le domaine cible)
       -si un utilisateur est présent dans le domaine A et dans le domaine B, il sera synchronisé
       -si un utilisateur est nouvellement créé dans le domaine A, il n'apparaitra pas dans le domaine B, sauf si on spécifie un script d'extension à IIFP

    (j'ai trouvé ces infos ici:
    http://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&cts=1331587270761&ved=0CE4QFjAD&url=http%3A%2F%2Finfo.izzy.org%2FTechnical%2FDocument%2520Library%2FMIIS%2F2-3%2520Configuring%2520IIFP%2520to%2520Sync%2520User%2520Attributes.doc&ei=wWheT9T6BoKviQfEipnDDQ&usg=AFQjCNGczuQ1v0lRhGkUk2JjrObm7yjH2A

    En vous remerciant de votre aide

    mardi 13 mars 2012 15:00

Réponses

  • Bonjour,

    Merci pour votre réponse. Avec ADMT, je dois migrer le mot de passe de tous mes utilisateurs régulièrement en fait car je ne peux pas savoir lesquels ont modifié leur mot de passe... Sur un grand nombre d'utilisateur, cela va représenter une action assez lourde.

    IIFP me permettrait de ne migrer que les mots de passe qui ont été modifés.

    J'ai réussi à avoir la possibilité de modifier le schéma du domaine source. Je vais donc pouvoir installé PCNS sur ce domaine et à priori, ca devrait suffir puisque je fais une migration dans un seul sens.

    En vous remerciant pour votre aide.

    • Marqué comme réponse Florin Ciuca lundi 19 mars 2012 15:28
    jeudi 15 mars 2012 14:01

Toutes les réponses

  • Bonsoir,

    pourquoi ne pas utiliser ADMT pour ne synchroniser QUE le mot de passe (avec l'option ADMT PASSWORD) ?

    A+


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info

    mercredi 14 mars 2012 22:58
  • Bonjour,

    Merci pour votre réponse. Avec ADMT, je dois migrer le mot de passe de tous mes utilisateurs régulièrement en fait car je ne peux pas savoir lesquels ont modifié leur mot de passe... Sur un grand nombre d'utilisateur, cela va représenter une action assez lourde.

    IIFP me permettrait de ne migrer que les mots de passe qui ont été modifés.

    J'ai réussi à avoir la possibilité de modifier le schéma du domaine source. Je vais donc pouvoir installé PCNS sur ce domaine et à priori, ca devrait suffir puisque je fais une migration dans un seul sens.

    En vous remerciant pour votre aide.

    • Marqué comme réponse Florin Ciuca lundi 19 mars 2012 15:28
    jeudi 15 mars 2012 14:01
  • J'ai réussi à avoir les droits de modifier le schéma du domaine source.
    - Je vais donc installer PCNS sur le DC du domaine source.
    - IIFP est installé sur le DC du domaine cible (y-a-t-il une importance à installé iifp côté source ou cible?)

    -DC source- ----> -DC cible- 
    -PCNS----- ----> -IIFP ?----
    -SPN ?----- ----> -SPN ?---

    Dans la doc Microsoft (http://technet.microsoft.com/en-us/l....10).aspx#bkm2), il est indiqué qu'il faut installé et configuré SPN.
    Setspn.exe -a <user defined named for target MIIS 2003 server>/<fully qualified domain name of the server running MIIS 2003>\<domain\user name of the MIIS 2003 service account>

    Je ne comprend pas vraiment cette étape... Il faut installé SPN sur le domaine cible ou source?

    PCNS envoie la notification de changement de mot de passe vers le SPN? Je ne comprend pas vraiment...

    En vous remerciant à nouveau

    mardi 20 mars 2012 16:40