> Tech > Définir l’extension

Définir l’extension

Tech - Par iTPro - Publié le 24 juin 2010
email

  En premier lieu, il faut créer l'objet attributeSchema dF-HR-BadgeNum ber. Vous devez définir les caractéristiques de cet attribut au moyen d'autres attributs associés. (Voir " Diving into the AD Schema " pour l'explication détaillée de cet agencement quelque peu confus, ainsi qu'une liste des attributs obligatoires et facultatifs.) Vous avez

Définir l’extension

déjà  déterminé le contenu de l’attribut attributeID, qui contient l’OID de l’objet, l’attribut cn, qui contient le CN de l’objet, et l’attribut IDAPDisplayName, qui contient le LDAP display name de l’objet. Pour l’exemple badge-number, les autres attributs importants sont ceux qui définissent la syntaxe, la gamme, le statut d’indexation, le type de valeur (valeur unique ou multivaleur), la GUID (globally unique ID) et l’état de publication GC (Global Catalog) du nouvel objet. L’attribut attributeSyntax définit la syntaxe. La nature de l’information que l’on veut stocker dans l’attribut (une chaîne, un nombre, par exemple) détermine sa syntaxe.

  Les attributs rangeLower et rangeUpper définissent la gamme, laquelle détermine la taille minimale et maximale de l’attribut (pour les attributs qui utilisent la syntaxe chaîne) ou la valeur (pour les attributs qui utilisent la syntaxe numérique). Les attributs de gamme ne précisent pas de longueur fixe ; ils définissent plutôt les règles qu’applique l’AD quand il définit une valeur d’attribut. Par conséquent, vous pouvez simplement changer les règles pour raccourcir ou allonger facilement la gamme. L’attribut searchFlags définit le statut d’indexation du nouvel objet attributeSchema. Si vous voulez qu’une application puisse effectuer des opérations de recherche LDAP en utilisant le nouvel attribut comme mot clé, il faut indexer le nouvel attribut pour accélérer l’opération de recherche.

  Cependant, sachez que le système prend plus de temps pour créer des instances d’objet à  partir de classes avec de nombreux attributs indexés. Ainsi, vous ne devez indexer un nouvel attribut que quand vous êtes certain qu’il fera l’objet de fréquentes opérations de recherche.

  L’attribut isSinglevalued définit si un attribut est monovaleur ou multivaleur. Dans le cas de l’objet badge-number DogFood, le nouvel objet attributeSchema sera monovaleur parce que chaque employé n’a qu’un numéro de badge. L’attribut schemaIDGUID spécifie le GUID de l’objet. Pour générer la valeur schemaIDGUID, on peut utiliser l’outil Uuidgen (uuidgen.exe) du Microsoft Platform Software Development Kit (SDK). La génération manuelle d’un GUID garantit que la nouvelle classe ou attribut aura un attribut schemaIDGUID identique sur diverses installations de forêt d’AD, ce qui facilite des références homogènes à  l’objet. (Si l’on ne précise pas cet attribut, l’AD créera automatiquement un GUID pour le nouvel objet. Toutefois, si l’on crée l’attribut dans différentes installations de forêt, la valeur schemaIDGUID sera différente dans chaque installation.)

  L’attribut isMemberOfPartial AttributeSet définit si le nouvel objet attributeSchema se répliquera sur le GC. Il faut publier un attribut vers le GC quand on veut que l’attribut soit disponible dans toute la forêt (et pas seulement dans le domaine dans lequel vous créez un objet utilisateur.) Toutefois, dans d’autres cas, il vaut mieux ne pas répliquer sur le GC. Comme l’indexation, la publication d’attributs vers le GC crée un trafic de réplication supplémentaire. De plus, quand on définit l’attribut isMemberOfPartialAttributeSet pour publier le nouvel objet dans le GC, on démarre une synchronisation complète de tous les GC dans la forêt d’AD. Dans le cas d’une énorme forêt avec beaucoup de GC, la synchronisation entraîne un trafic de réplication massif sur le réseau. (Pour plus d’informations sur ce comportement documenté, voir l’article Microsoft,  » How to Modify Attributes That Replicate to the Global Catalog  » à  http://support.microsoft.com/support/kb/articles/q248/ 7/17.asp.)

  Après avoir collecté les informations nécessaires pour définir le nouvel attribut, vous êtes prêt à  créer votre extension de schéma dans l’AD de test. A première vue, l’outil le plus évident à  utiliser pour modifier le schéma est le snap-in Microsoft Management Console (MMC) Active Directory Schema, qui donne accès à  la boîte de dialogue Create New Attribute. Mais, je ne recommande pas d’utiliser ce snapin pour créer le nouvel objet. La boîte de dialogue n’expose pas tous les attributs que vous pourriez souhaiter définir pour l’extension de schéma (schemaIDGUID est manquant par exemple). De plus, vous devez entrer manuellement l’OID de l’extension dans le snap-in au risque de taper un numéro erroné. Plus important, après avoir testé l’extension sur le système de test, vous devez réentrer l’information dans le snap-in du système de production, au risque de commettre une erreur que vous aviez évitée pendant le test.

  Je recommande plutôt d’utiliser un script pour modifier le schéma sur votre système de test. Vous pourrez ensuite utiliser le même script sur les systèmes de production, ou utiliser simplement l’outil LDAP Data Interchange Format Data Exchange (Ldifde) de Win2K Server pour transférer l’extension perfectionnée sur votre AD de production. (Si vous persistez quand même à  utiliser le snap-in pour modifier le schéma, soyez conscients des problèmes potentiels.)

Téléchargez gratuitement cette ressource

Cybersécurité sous contrôle à 360°

Cybersécurité sous contrôle à 360°

Avec Cloud in One, les entreprises ne gagnent pas uniquement en agilité, en modernisation et en flexibilité. Elles gagnent également en sécurité et en résilience pour lutter efficacement contre l’accroissement en nombre et en intensité des cyberattaques. Découvrez l'axe Cybersécurité de la solution Cloud In One.

Tech - Par iTPro - Publié le 24 juin 2010