Interconnexion Active Directory – OpenLDAP avec MIIS / FIM
Ce post a pour but de décrire comment faciliter la synchronisation d’annuaire Active Directory et OpenLDAP afin d’assurer la consistance de l’information entre ces deux annuaires (unicité des données). MIIS ou maintenant FIM peut être utilisé (moteur de synchronisation pratiquement identique). L’exemple ci-dessous peut être adapté afin de synchroniser d’autres sources de données (base de données…) entre elles.
Ce post ne décrit pas l’installation de MIIS / FIM mais se focalise sur l’implémentation de la synchronisation d’annuaire Active Directory avec OpenLDAP. Une fois MIIS /FIM synchronisation installé, il faut suivre les étapes suivantes :
- Configurer la « metaverse » : le but est de créer un objet de type « person » qui va être utilisé pour consolider les données entre OpenLDAP et Active Directory.
- Créer et exécuter les « management agent » Active Directory et OpenLDAP afin de synchroniser et propager les informations. Le « management Agent » OpenLDAP n’étant pas natif à MIIS, il faut soit le créer soit importer un MA existant. De nombreux projets de synchronisation ont été mis en place avec OpenLDAP et des MA sont disponibles sur Internet (SourceForge et autres sites communautaires). Dans le cadre de l’exemple, le MA de SourceForge est utilisé. L’avantage de ce MA est que le code est disponible. Il peut donc être enrichi et compléter en fonction du besoin.
EXEMPLE DE CONFIGURATION DE LA METAVERSE
Etape 1 Se diriger vers Start | All Programs | Microsoft Identity Integration Server | Identity Manager. |
|
 |
Etape 2 Cliquer sur MetaverseDesigner. |
 |
Etape 3 Sélectionner person et sélectionner Copy Object Type. |
 |
Etape 4 Entrer le nom de l’objet et cliquer sur OK. |
CREATION DU MA AD
Etape 1 Se diriger vers Start | All Programs | Microsoft Identity Integration Server | Identity Manager. |
|
 |
Etape 2 Cliquer sur Management Agents. |
Etape 3 Sélectionner Create. |
|
 |
Etape 4 Dans la liste déroulante, sélectionner le MA AD puis cliquer sur Next. |
 |
Etape 5 Entrer les informations pour se connecter à la base AD puis cliquer sur Next. |
 |
Etape 6 Sélectionner la partition XXXX et cliquer sur Next. |
Etape 7 Sélectionner user et cliquer sur Next. |
|
 |
Etape 8 Sélectionner les attributs à utiliser (cn, givenname, samacountname,mail…) puis cliquer sur Next. |
 |
Etape 9 Cliquer sur Next. |
 |
Etape 9 Cliquer sur Next. |
 |
Etape 10 Sélectionner le chemin de synchronisation entre la metaverse et le connector space puis cliquer sur Next. |
 |
Etape 11 Cliquer sur Next. |
 |
Etape 12 Cliquer sur OK. |
EXEMPLE DE CREATION DU MA OPENLDAP
Etape 1 Se diriger vers Start | All Programs | Microsoft Identity Integration Server | Identity Manager. |
|
 |
Etape 2 Cliquer sur Management Agents. |
Etape 3 Sélectionner Create. |
|
 |
Etape 4 Dans la liste déroulante, sélectionner le MA OpenLDAP préalablement installé, entrer les informations du MA puis cliquer sur Next. |
 |
Etape 5 Entrer les informations pour se connecter à la base OpenLdap puis cliquer sur Next. |
 |
Etape 6 Entrer les informations liées à la base OpenLdap et cliquer sur Next. |
 |
Etape 7 Laisser les attributs par défaut et cliquer sur Next. |
 |
Etape 8 Entrer tous les attributs associée à un utilisateur dans OpenLdap puis cliquer sur Next. |
 |
Etape 9 Pour chaque objet à utiliser (inetOrgPerson, account, posixaccount,sambaaccount, personne, person…) lister les attributs que l’on souhaite utiliser puis cliquer sur Next. |
 |
Etape 10 Laisser la configuration des filtres par défaut puis cliquer sur Next. |
 |
Etape 11 Sélectionner les objets (inetOrgPerson, account, posixaccount,sambaaccount, personne, person…) et créer une projection sur ConsolidationUSer pour chaque objet puis cliquer sur Next. |
 |
Etape 12 D2finit les règles de correspondances entre les attributs des objets vers les attributs de l’objet de la metaverse puis cliquer sur Next. |
 |
Etape 13 Sélectionner Make them disconnectors puis cliquer sur Next. |
 |
Etape 14 Cliquer sur OK. |
EXEMPLE DE CREATION DE LA FONCTIONALITE DE PROVISIONNING
Etape 1 Se diriger vers Start | All Programs | Microsoft Identity Integration Server | Identity Manager. |
|
 |
Etape 2 Cliquer sur Management Agents. |
 |
Etape 3 Dans l’onglet Tools, sélectionner Options. |
 |
Etape 4 Sélectionner Enable Metaverse rules extension et Enable Provisionining Rules Extension puis cliquer sur Create Rules Extension Project… |
 |
Etape 5 Cliquer sur OK. |
Try Dim connectedMA As ConnectedMA connectedMA = mventry.ConnectedMAs("Active Directory") If connectedMA.Connectors.Count < 1 Then Dim myContainer As String myContainer = "OU=UtilisateursWindows7,DC=gov,DC=pf" Dim myRDN As String myRDN = "CN=" & mventry("samAccountName").Value Dim myDN As ReferenceValue myDN = connectedMA.EscapeDNComponent(myRDN).Concat(myContainer) Dim csEntry As CSEntry If (mventry.ObjectType.Equals("ConsolidationUtilisateurs")) Then csEntry = connectedMA.Connectors.StartNewConnector("user") csEntry.DN = myDN csEntry.CommitNewConnector() End If Catch myEx As Exception Throw myEx End Try |
Etape 6 Dans Visual Studio copié le code dans la fonction provisionning et complier la dll. |
EXEMPLE D’ EXECUTION DU MA OPENLDAP ET AD
Pour ce faire, suivre la procédure suivante :
- Sélectionner le MA OpenLDAP
- Cliquer sur « Configure Run Profiles », puis « New Profile »
Nom du profil |
Traitement |
FI |
Full Import |
FS |
Full Synchronzation |
FIFS |
Full Import and full synchronzation |
Pour ce faire suivre la procédure suivante :
- Sélectionner le MA AD·
- Cliquer sur « Configure Run Profiles », puis « New Profile »
Nom du profil |
Traitement |
E+DI |
Export+Export d’une log (fichier d’export export.xml) Delta Import |
FS |
Full Synchronzation |
FIFS |
Full Import and Full Synchronzation |