> Tech > Scenario GalSync

Scenario GalSync

Tech - Par iTPro - Publié le 24 juin 2010
email

Contexte

Nous nous plaçons dans le cas (tout à fait imaginaire !) où nous souhaitons synchroniser deux forêts : exakis.org et microsoft. org. En toute logique, nous souhaitons que les comptes avec boite aux lettres d’une forêt se retrouvent en tant que contacts dans l’autre forêt Voir schéma

3

Mise en oeuvre

Une fois IIFP installé, il faut configurer un Management Agent par annuaire. Nous décrivons là, la configuration d’un MA. La procédure sera donc à répéter autant de fois que nécessaire. L’assistant d’un management agent GAL comporte 11 étapes en tout, mais nous allons voir que dans la plupart des cas, seules les 5 premières sont vraiment intéressantes.

Dans la console Identity Manager d’IIFP sélectionner l’interface de gestion des Management Agents :

Voir schéma 1

Dans la fenêtre Actions choisir l’option Create.

Dans l’éditeur des Management Agents, choisir Active Directory global address list (GAL) à partir de la liste disponible. Choisir un nom permettant d’identifier le MA créé. Voir Schéma 2

Dans la page Connect to an Active Directory forest renseigner le compte utilisé pour l’accès sur au domaine. Ce compte doit avoir les droits définis dans le chapitre précédent pour pouvoir valider cette étape. Voir schéma 3 Sur la page Configure Directory Partitions, dans la partie Select directory partitions, sélectionner la seule partition listée. Décocher dans un premier temps la case Sign and encrypt LDAP traffic.

Choisir l’option Containers et décocher toutes les OUs sous la partition principale.

Sélectionner les OUs à partir desquelles l’importation des objets sera réalisée (Contacts, Utilisateurs, Groupes de distribution)

Sélectionner les OUs utilisées comme destination des objets provenant de la forêt distante. Voir schéma 4 Sur la page Configure GAL, sous GAL container information, choisir Target.

Choisir l’option Container et sélectionner l’OU dans laquelle seront placés les objets provenant de la seconde forêt. Il est conseillé de choisir un conteneur vide pour placer les objets synchronisés.

Pour synchroniser des contacts avec la forêt distante, il est nécessaire de configurer une ou des OU sources contenant les contacts à synchroniser dans la seconde forêt (synchronisation de contacts à contacts)

Choisir Exchange configuration et cliquer sur Edit. Entrer le suffixe mail pour permettre la synchronisation de tous les utilisateurs et listes d’adresses présent dans l’organisation. Voir schéma 5

L’assistant de création du Management Agent peut maintenant être poursuivi et terminé sans autre modifications. Les étapes suivantes sont :

• Select Object Type : Permet de sélectionner les classes d’objet à synchroniser
• Select Attribute : Permet de sélectionner les attributs à synchroniser
• Configure Connector Filter : défini les filtres des synchronisations
• Join and Projection Rules : Défini sur quel attribut doit se faire la jointure et s’il doit y avoir projection
• Configure Attribute Flow : Défini les relations entre les attributs AD et les attributs du Metaverse.
• Configure Deprovisioning : Qu’arrive t il à un connector qui est déconnecté du metaverse ?
• Configure Extension: Référence vers l’assembly GALSync. dll

Vous prendrez soin de vérifier la cohérence des paramètres de configuration avec les besoins de synchronisation. La fenêtre Configure Attribute Flow est, de ce point de vue, particulièrement intéressante.

Activer le provisioning

Vérifier que le provisioning est actif : à partir du menu Tools et sélectionner Options.

Dans la partie Configure Extensions, cocher l’option Enable Metaverse Rules Extensions et vérifier que l’assembly d’extension est bien GALSync.dll.

Profils d’exécution

Les profils d’exécution des MAs sont créés automatiquement lorsque les Management

Agents sont initialisés.

Un scénario d’exécution classique consiste alors en un cycle d’imports et de synchronisations de tous les Management Agents puis un cycle d’exports. Ceci peut bien entendu se faire manuellement à partir de l’interface mais il est également très facile de ‘scripter’ et donc de ‘scheduler’ ces exécutions à intervalles réguliers. La fenêtre de définition des ‘Run Profiles’ permet de générer un script automatiquement (bouton ‘Script’ en bas de la fenêtre), mais les habitués du VBScript et du WMI préfèreront le rédiger eux-mêmes. En voici un exemple :

‘Déclaration des variables

Dim Locator, Service, MA_Exakis, MA_Microsoft

‘Initialisation WMI

Set Locator = CreateObject("WbemScripting.SWbemLocator")

Set Service = GetObject("winmgmts:root/MicrosoftIdentityIntegrationServer")

‘Initialisation des objets Management Agent Set MA_Exakis = Service.Get("MIIS_ManagementAgent.Name=’EXAKIS GAL MA’")

Set MA_Microsoft = Service.Get("MIIS_ManagementAgent.Name=’Microsoft.org GAL MA’")

‘Exécution des Imports/Synchro pour tous les MA MA_Exakis.Execute("Full Import and Full Synchronization")

MA_Microsoft.Execute("Full Import and Full Synchronization")

‘Exécution des exports pour tous les MA MA_Exakis.Execute("Export")

MA_Microsoft.Execute("Export")

Téléchargez gratuitement cette ressource

Endpoint Security : Etude IDC Enjeux & Perspectives

Endpoint Security : Etude IDC Enjeux & Perspectives

Quel est l'état de l'art des solutions de Endpoint Security et les perspectives associées à leur utilisation ? Comment garantir la sécurité des environnements sensibles en bloquant au plus tôt les cyber attaques sophistiquées, avant qu’elles n'impactent durablement vos environnements de travail ?

Tech - Par iTPro - Publié le 24 juin 2010