Synchroniser 2 foêts AD à l'aide d'IIFP: Help

Fermé
CGR15121 - 12 mars 2012 à 12:34
evilcairn Messages postés 415 Date d'inscription mardi 24 août 2010 Statut Membre Dernière intervention 25 juillet 2017 - 20 mars 2012 à 22:38
Bonjour à tous,

Je cherche actuellement à synchroniser 2 AD de 2 forêts distinctes à l'aide du logiciel IIFP (Identity Integration Feature Pack) qui référence les données Active Directory sous forme d'une base de données Microsoft SQL.
-
En fait, je cherche plus à synchroniser les utilisateurs d'une AD vers une autre.
AD source : GBR
AD cible : GLB
-
Objectif :
GBR users ------> GLB users
-
D'après ce que j'ai compris du fonctionnement d'IIFP, les données des AD sont importées vers un CS (Connector Space), puis regroupées dans le MV (Metaverse) avant d'être exportées vers l'AD de son choix.
Le MV (Metaverse) étant la base de données regroupant toutes les infos.
-
import :AD GBR ---> CV GBR ---> MV <--- CV GLB <---AD GLB
export :AD GBR <--- CV GBR <--- MV ---> CV GLB --->AD GLB
-
Au préalable, il faut avoir configurer les Management Agents :
1/ renseigner les infos de l'AD et un compte admin du domaine en question
2/ sélectionner les objets à synchroniser (users,group,contact)
3/ sélectionner les attributs que l'on veut synchroniser
4/ mettre des filtres s'il l'on veut (ex: si l'attribut City=Paris, on ne synchronise pas les utilisateurs de Paris)
5/ configurer les règles de jointure et de projection (la je ne comprend pas trop et j'aurais besoin d'explication svp)
6/ le flow des attributs (le sens d'export ou d'import)
7/ deprovisionning : on choisit de supprimer ou non les éléments une fois exportés
8/ extensions
-
pour le moment, j'arrive à importer les objets dans le metaverse mais je n'arrive pas à les exporter dans une AD ou l'autre.
Il faudrait également configurer quelque chose au niveau des options de IIFP:
- Enable metaverse rules extensions,
- sélectionner un fichier DLL
A priori, il faudrait peut être utiliser un script pour exporter les éléments mais je n'ai trouvé aucune documentation claire à ce sujet...
-
Si quelqu'un pouvait m'éclairer quand au fonctionnenent de ce logiciel? surtout la partie (join and projection rules et l'export vers une AD).
-
En vous remerciant par avance
A voir également:

1 réponse

evilcairn Messages postés 415 Date d'inscription mardi 24 août 2010 Statut Membre Dernière intervention 25 juillet 2017 110
12 mars 2012 à 22:27
Bonjour,

Je pense que tu parles de la partie sous Data Source Object.

Selectionne sAMAccountName sous Data Source attribute:
Puis Sous Metaverse attribue: uid

Add confirme et tu auras la boite de dialogue Join Rule for User

Puis Projection Rule > Metaaverse object type > person et ok .

Tu auras une fenêtre avec 2 mapping group sous le DSOT user.

Puis la suite Mapping Type : Direct , Flow Direction Import blablabla.

Me semble que j'avais trouvé un bonne doc sur le sujet : (hop retrouvée)

http://www.google.com/...


Me rappelle simplement que y'avais 2/3 petites diff mais le document était à jour.

Enjoy
1
Bonjour,

Merci beaucoup pour votre réponse.
J'avais effectivement déjà parcouru ce document et en le relisant ligne par ligne, j'ai réussi à synchroniser mes utilisateurs de l'AD source vers l'AD cible. :)

J'ai également compris que la création de users du domaine source vers le domaine cible passe obligatoirement par un script (provisionning rules extensions).

Une dernière interrogation cependant :
- j'ai une relation d'approbation entre mes 2 domaines : relation externe bidirectionnelle non transitive (et filtrage SID désactivé)
- je migre les utilisateurs et mots de passe grace à ADMT
- je synchronise les utilisateurs et leurs attributs quand il y a des modifications grâce à IIFP

- j'ai vu un peu partout qu'il était possible de synchroniser les mots de passe grace à IIFP SANS relation d'approbation ET AVEC l'outil PCNS
- mon cas : puis-je synchroniser également les mots de passe via IIFP AVEC UNE relation d'approbation mais SANS PCNS (car il modifie le schéma AD et je n'ai pas les droits pour le faire)...

En vous remerciant à nouveau de votre aide
0
evilcairn Messages postés 415 Date d'inscription mardi 24 août 2010 Statut Membre Dernière intervention 25 juillet 2017 110
19 mars 2012 à 22:31
Il est bien évident que tu peux faire ce schéma de translation avec l'outil ADMT Password mais dans ton cas je pense que la contrainte :

- nombres utilisateurs élevés
- changement des passes utilisateurs non linéaires.

mais ADMT password fait une bête copie complète ... dans ton cas ça peut être très très lourd (et surtout pas très sécurisant).
IIFP le fait , tu peux choisir d'intégrer seulement les modifs . Le souci comme tu dis est que PCNS modifie le schéma AD mais c'est hélas la meilleure solution , si tu peux avoir le droit de modif le schéma ton combat est gagné d'avance et l'outil te fera une très faible conso de ressources .

VOilà , le combo IIFP+PCNS si tu peux est presque une obligation dans ton schéma directeur de projet ... à toi de faire valoir la nécessité de tes droits.
0
Merci à nouveau pour cette réponse.

J'ai réussi à avoir les droits de modifier le schéma du domaine source.
- Je vais donc installer PCNS sur le DC du domaine source.
- IIFP est installé sur le DC du domaine cible (y-a-t-il une importance à installé iifp côté source ou cible?)

Dans la doc Microsoft (http://technet.microsoft.com/en-us/library/cc720654(v=ws.10).aspx#bkm2), il est indiqué qu'il faut installé et configuré SPN.
Setspn.exe -a <user defined named for target MIIS 2003 server>/<fully qualified domain name of the server running MIIS 2003>\<domain\user name of the MIIS 2003 service account>

Je ne comprend pas vraiment cette étape... Il faut installé SPN sur le domaine cible ou source?

En vous remerciant à nouveau
0
evilcairn Messages postés 415 Date d'inscription mardi 24 août 2010 Statut Membre Dernière intervention 25 juillet 2017 110
20 mars 2012 à 22:38
Sauf erreur oui ça permet l'échange des keys Kerberos via un power user. Ca évite aussi NTLM ... C'est sauf erreur obligatoire avec SQL serveur ou certains protocoles qui ont du mal à communiquer via AD.
Et c'est sur la source normalement, tu pointes le user cible qui aura droit de venir prendre la clé. mais je peux me tromper ça fait un moment que j'ai pas vu cette partie . Et toujours bon courage ^^
0