JaliosXperience - Doublons de groupe après synchronisation LDAP

Post November 13, 2008 10:08 AM

Doublons de groupe après synchronisation LDAP

Bien le bonjour,

Nous sommes dans une problématique LDAP et notre façon de procéder va dépendre de ce que JCMS permet.

L’intranet que nous développons (avec JCMS 5.7.4) doit créer ses groupes à partir d’une structure externe qui organise ses groupes de façon hiérarchique.

Certains de ces groupes ont quelques fois le même nom. Ce qui n’est pas grave dans cette structure hiérarchique.

Cependant, en récupérant les groupes qui nous intéressent, on se retrouve avec des doublons puisqu’à priori JCMS se contente des noms bien que les DN LDAP sont différents.

Nous pensions du coup conserver cette hiérarchique en créant des sous groupes pour régler le problème … à condition que cela soit fait automatiquement.

Est-ce possible ? Ou existe-t-il une autre solution pour éviter les doublons ?

Raphaël Van Heers

Post November 13, 2008 10:57 AM

Re: Doublons de groupe après synchronisation LDAP

Rectification, JCMS créé correctement les sous-groupes mais signale quand même les doublons.

Exp: Warning sur mon groupe "Administration" enfant de "Métiers" Warning sur mon groupe "Administration" enfant de "Départements"

Jean-Emmanuel Roux

Post November 14, 2008 10:50 AM

Re: Doublons de groupe après synchronisation LDAP

Bonjour,

Merci pour cette remontée d'information. Il s'agit d'un bug que nous venons de saisir dans notre base sous la référence JCMS-1742.

Raphaël Van Heers

Post November 14, 2008 11:26 AM

Re: Doublons de groupe après synchronisation LDAP

Bonjour, merci pour votre réponse.

J’ai une autre question du coup.

Sachant que potentiellement la structure externe peut changer. (Changement du nom de groupe, réorganisation, …)

Afin de rester cohérence, je pensais après chaque synchronisation créer une liste des groupes JCMS obsolètes. Et pour chacun d’eux au moyen d’une moulinette remplacer les références de l’ancien groupe par celle du nouveau.

Est-ce une bonne solution ? Existe-t-il une meilleure ?

Olivier Jaquemet

Post November 19, 2008 5:13 PM

Re: Doublons de groupe après synchronisation LDAP

Bonjour,

Je ne suis pas sûr d'avoir bien saisi votre question. J'espère donc que les éléments ci-dessous y répondront...

Imaginons un groupe RH, avec le membre "John Smith" :

cn=rh,ou=Groups,dc=company,dc=com
displayName: Ressources Humaines
memberUid: johnsmith

Cas 1 : son nom change dans le LDAP, mais le dn est toujous le même :

cn=rh,ou=Groups,dc=company,dc=com
displayName: Département des Ressources Humaines
memberUid: johnsmith

JCMS fait automatiquement la modification, il n'y a qu'un seul groupe RH dans JCMS.

Cas 2 : son dn est complètement modifié

cn=DRH,ou=Groups,dc=company,dc=com
displayName: Département des Ressources Humaines
memberUid: johnsmith

Il ne s'agit plus du même groupe ! un dn est justement dans le LDAP pour servir d'identifiant unique.
JCMS se base sur le DN pour retrouver un groupe déjà synchronisé, conséquence : lors de sa prochaine connexion, johnsmith appartiendra au nouveau groupe, plus à l'ancien. C'est le comportement normal et attendu.

Si vous devez gérer ce genre de modification de structure, il faut intervenir dans le code (ouvert) de custom.LdapAuthenticationHandler afin de gérer la recherche d'un groupe non plus par son DN, mais par autre identifiant unique de votre connaissance...
cf utilisation de la méthode channel.getGroupFromDN(..) dans la classe ci-dessus. Je vous recommande alors le stockage de cette information supplémentaire dans une extradata.

Raphaël Van Heers

Post November 20, 2008 8:14 AM

Re: Doublons de groupe après synchronisation LDAP

Cela répond parfaitement à ma question. Merci beaucoup.