1.2 Classes et propriétés des objets

Chaque type d'objet eDirectory est défini par une classe d'objet. Par exemple, Utilisateur et Organisation sont des classes d'objets. Chacune des classes d'objets possède des propriétés particulières. Un objet Utilisateur, par exemple, possède un prénom, un nom et beaucoup d'autres propriétés.

Le schéma définit les classes et les propriétés des objets, ainsi que les règles d'endiguement (autrement dit, quels sont les objets que tel conteneur peut contenir). eDirectory est livré avec un schéma de base que vous, ou les applications que vous utilisez, pouvez étendre. Pour plus d'informations sur les schémas, reportez-vous à la Section 1.4, Schéma.

Les objets Conteneur contiennent d'autres objets et permettent de diviser l'arborescence en branches ; les objets Feuille représentent quant à eux les ressources réseau.

1.2.1 Liste des objets

Les tableaux suivants présentent les classes d'objet eDirectory. Des services supplémentaires peuvent créer dans eDirectory de nouvelles classes d'objet qui ne sont pas listées ci-dessous.

Classes d'objet Conteneur eDirectory

Icône dans iManager

Objet Conteneur (abréviation)

Description

Arborescence

Représente le premier élément de votre arborescence. Pour plus d'informations, reportez-vous à la section Arborescence.

Pays (C)

Désigne les pays (« Countries » en anglais) couverts par votre réseau et organise les autres objets d'annuaire au sein de ces pays. Pour plus d'informations, reportez-vous à la section Country.

Conteneur de licences (LC)

Créé automatiquement lorsque vous installez un certificat de licence ou que vous créez un certificat avec compteur à l'aide de la technologie NLS (NetIQ Licensing Services). Lorsqu'une application utilisant les NLS est installée, elle ajoute un objet Conteneur de licences à l'arborescence et un objet Feuille Certificat de licence à ce conteneur.

Organisation (O)

Vous permet d'organiser d'autres objets dans l'Annuaire. L'objet Organisation se trouve un niveau plus bas que l'objet Pays (si vous utilisez l'objet Pays). Pour plus d'informations, reportez-vous à la section Organisation.

Unité organisationnelle (OU)

Vous aide à organiser de manière plus précise les autres objets dans l'Annuaire. L'objet Unité organisationnelle se trouve un niveau plus bas que l'objet Organisation. Pour plus d'informations, reportez-vous à la section Unité organisationnelle.

Domaine (DC)

Vous aide à organiser de manière plus précise les autres objets dans l'Annuaire. L'objet Domaine peut être créé sous l'objet Arborescence ou sous les objets Organisation, Unité organisationnelle, Pays et Lieu. Pour plus d'informations, reportez-vous à la section Domaine.

Classes d'objet Feuille eDirectory

Icône dans iManager

Objet Feuille

Description

Serveur AFP

Représente un serveur AppleTalk* Filing Protocol qui fonctionne comme un noeud sur votre réseau eDirectory. En général, il joue également le rôle de routeur vers plusieurs ordinateurs Macintosh* et de serveur AppleTalk pour ces mêmes ordinateurs.

Alias

Pointe vers l'emplacement réel d'un objet dans l'Annuaire. Tout objet situé à un emplacement donné de l'Annuaire peut également apparaître ailleurs dans l'Annuaire par le biais d'un alias. Pour plus d'informations, reportez-vous à la section Alias.

Application

Représente une application réseau. Les objets Application simplifient les tâches administratives telles que l'assignation de droits, la personnalisation des scripts de connexion et le lancement des applications.

Ordinateur

Représente un ordinateur du réseau.

Assignation de répertoire

Fait référence à un répertoire du système de fichiers. Pour plus d'informations, reportez-vous à la section Assignation de répertoire.

Groupe

Permet d'attribuer un nom à une liste d'objets Utilisateur de l'Annuaire. Vous pouvez assigner des droits au groupe plutôt qu'à chaque utilisateur. Les droits sont alors transférés à chaque utilisateur du groupe. Pour plus d'informations, reportez-vous à la section Groupe.

Certificat de licence

Utilisation avec la technologie NLS pour installer les certificats de licence du produit en tant qu'objets dans la base de données. Les objets Certificat de licence sont ajoutés au conteneur Produit sous licence lorsqu'une application reconnaissant la technologie NLS est installée.

Rôle organisationnel

Définit une position ou un rôle au sein d'une organisation.

File d'attente d'impression

Représente une file d'attente d'impression du réseau.

Serveur d'impression

Représente un serveur d'impression du réseau.

Imprimante 

Représente un périphérique d'impression du réseau.

Profil

Représente un script de connexion utilisé par un groupe d'utilisateurs qui ont besoin d'utiliser des commandes de script de connexion communes. Les utilisateurs ne doivent pas nécessairement se trouver dans le même conteneur. Pour plus d'informations, reportez-vous à la section Profil.

Serveur

Représente un serveur exécutant un système d'exploitation quelconque. Pour plus d'informations, reportez-vous à la section Serveur.

Modèle

Représente les propriétés standard de l'objet Utilisateur qui peuvent être appliquées aux nouveaux objets Utilisateur.

Inconnu

Représente un objet pour lequel iManager ne possède pas d'icône spécifique.

Utilisateur

Représente les utilisateurs de votre réseau. Pour plus d'informations, reportez-vous à la section Utilisateur.

Volume

Représente un volume physique du réseau. Pour plus d'informations, reportez-vous à la section Volume.

1.2.2 Classes des objets Conteneur

Arborescence

Icône de l'objet Arborescence Le conteneur Arborescence, anciennement appelé [Root], est créé lorsque vous installez eDirectory pour la première fois sur un serveur de votre réseau. En tant que conteneur le plus élevé de l'arborescence, il contient en général des objets Organisation, Pays ou Alias.

Objet Arborescence ‑ Définition

L'objet Arborescence représente le sommet de l'arborescence.

Utilisation

L'objet Arborescence est utilisé pour les assignations universelles de droits. Du fait de l'héritage, les assignations de droits que vous effectuez sur l'objet Arborescence (cible) sont appliquées à tous les objets de l'arborescence. Reportez-vous à la Section 1.9, Droits eDirectory. Par défaut, l'ayant droit [Public] dispose du droit Parcourir et l'administrateur du droit Superviseur sur l'objet Arborescence.

Propriétés importantes

  • L'objet Arborescence possède une propriété Nom, qui correspond au nom d'arborescence que vous avez indiqué lors de l'installation du premier serveur. Le nom d'arborescence est indiqué dans la hiérarchie d'iManager.

  • Le nom de l'arborescence ne peut pas dépasser 32 caractères.

Organisation

Icône de l'objet Organisation Un objet Conteneur Organisation est créé lorsque vous installez pour la première fois eDirectory sur un serveur de votre réseau. En tant que conteneur le plus élevé après l'objet Arborescence, il contient généralement des objets Unité organisationnelle et Feuille.

L'objet Utilisateur dénommé Admin est créé par défaut dans votre premier conteneur Organisation.

Objet Organisation - Définition

En principe, l'objet Organisation représente votre entreprise, mais vous pouvez créer d'autres objets Organisation sous l'objet Arborescence. Cela se fait couramment pour des réseaux qui représentent des régions géographiques distinctes, ou pour des entreprises qui ont fusionné et qui possèdent des arborescences eDirectory distinctes.

Utilisation

La manière dont vous utilisez les objets Organisation de votre arborescence dépend de la taille et de la structure de votre réseau. Si le réseau est petit, il est conseillé de stocker tous les objets Feuille sous un seul objet Organisation.

Pour des réseaux plus importants, vous pouvez créer des objets Unité organisationnelle dans l'objet Organisation pour faciliter la localisation et la gestion des ressources. Par exemple, vous pouvez créer des objets Unité organisationnelle pour chacun des services ou chacune des divisions de votre entreprise.

Pour les réseaux couvrant plusieurs sites, vous devez créer, dans l'objet Organisation, un objet Unité organisationnelle pour chacun des sites. Ainsi, si vous disposez (ou prévoyez de disposer) de suffisamment de serveurs pour effectuer la partition de l'Annuaire, vous pouvez le faire de manière logique, en respectant les limites des sites.

Pour simplifier le partage des ressources de l'entreprise (telles que les imprimantes, les volumes ou les applications), créez les objets correspondants sous l'Organisation.

Propriétés importantes

Les propriétés les plus utiles pour l'objet Organisation sont précisées ci-après. Seule la propriété Nom est requise. Pour obtenir la liste complète des propriétés d'un objet Organisation, sélectionnez un objet de ce type dans iManager. Pour afficher une description de chaque page de propriétés, cliquez sur Aide.

  • Nom

    En règle générale, la propriété Nom est identique au nom de votre entreprise. Vous pouvez bien sûr le raccourcir dans un souci de simplicité. Par exemple, si le nom de votre entreprise est Société TUVWXYZ, vous pouvez utiliser l'abréviation YourCo.

    Le nom de l'objet Organisation est intégré au contexte pour tous les objets qui lui sont subordonnés.

  • Script de connexion

    La propriété Script de connexion contient les commandes qui sont exécutées par les objets Utilisateur situés immédiatement sous l'objet Organisation. Ces commandes sont exécutées lorsqu'un utilisateur se connecte.

  • Le nom de l'organisation peut contenir 64 caractères.

Unité organisationnelle

Icône de l'objet Unité organisationnelle Vous pouvez créer des objets Conteneur Unité organisationnelle (OU) pour subdiviser l'arborescence. Les unités organisationnelles sont créées à l'aide d'iManager sous une organisation, un pays ou une autre unité organisationnelle.

Les objets Unité organisationnelle peuvent contenir d'autres objets de ce type et des objets Feuille, tels que Utilisateur et Application.

Objet Unité organisationnelle - Définition

En principe, l'objet Unité organisationnelle représente un service, qui contient un groupe d'objets ayant besoin d'accéder les uns aux autres. L'exemple typique est un groupe d'objets Utilisateur, ainsi que les objets Imprimante, Volume et Application dont ils ont besoin.

Au niveau le plus élevé des objets Unité organisationnelle, chacun de ces objets peut représenter un site particulier du réseau (connecté aux autres sites par une liaison WAN).

Utilisation

La manière dont vous utilisez les objets Unité organisationnelle de votre arborescence dépend de la taille et de la structure de votre réseau. Si le réseau est petit, vous n'aurez sans doute pas besoin de créer des objets Unité organisationnelle.

Pour des réseaux plus importants, vous pouvez créer des objets Unité organisationnelle dans l'objet Organisation pour faciliter la localisation et la gestion des ressources. Par exemple, vous pouvez créer des objets Unité organisationnelle pour chacun des services ou chacune des divisions de votre entreprise. N'oubliez pas que les objets Utilisateur sont plus simples à administrer lorsque vous stockez également dans l'objet Unité organisationnelle les ressources qu'ils utilisent le plus souvent.

Pour les réseaux couvrant plusieurs sites, vous devez créer, dans l'objet Organisation, un objet Unité organisationnelle pour chacun des sites. Ainsi, si vous disposez (ou prévoyez de disposer) de suffisamment de serveurs pour effectuer la partition de l'Annuaire, vous pouvez le faire de manière logique, en respectant les limites des sites.

Propriétés importantes

Les propriétés les plus utiles pour l'objet Unité organisationnelle sont précisées ci-après. Seule la propriété Nom est requise. Pour obtenir la liste complète des propriétés d'un objet Unité organisationnelle, sélectionnez un objet de ce type dans iManager. Pour afficher une description de chaque page de propriétés, cliquez sur Aide.

  • Nom

    En règle générale, la propriété Nom est identique au nom du service. Vous pouvez bien sûr le raccourcir dans un souci de simplicité. Par exemple, si le nom du service dont vous dépendez est Comptabilité fournisseurs, vous pouvez utiliser l'abréviation CF.

    Le nom de l'objet Unité organisationnelle est intégré au contexte pour tous les objets qui lui sont subordonnés.

  • Script de connexion

    La propriété Script de connexion contient les commandes exécutées par les objets Utilisateur situés immédiatement sous l'objet Unité organisationnelle. Ces commandes sont exécutées lorsqu'un utilisateur se connecte.

  • Le nom de l'unité organisationnelle peut comporter 64 caractères.

Country

Icône de l'objet Pays Vous pouvez créer des objets Pays directement sous l'objet Arborescence à l'aide d'iManager. Les objets Pays sont facultatifs. Ils sont requis uniquement en cas de connexion à certains annuaires globaux X.500.

Objet Pays - Définition

L'objet Pays représente l'identité politique de sa branche dans l'arborescence.

Utilisation

Le plus souvent, les administrateurs ne créent pas d'objet Pays, même si le réseau couvre plusieurs pays, puisque ce type d'objet ne fait qu'ajouter un niveau inutile à l'arborescence. Vous pouvez créer un ou plusieurs objets Pays sous l'objet Arborescence, en fonction de la nature multinationale de votre réseau. Les objets Pays ne peuvent contenir que des objets Organisation.

Si vous ne créez pas d'objet Pays et que vous en ayez besoin par la suite, il vous suffit de modifier l'arborescence et d'y ajouter un objet de ce type.

Propriétés importantes

  • La propriété Nom de l'objet Pays se compose de deux lettres. Le nom des objets Pays est représenté par un code standard de deux lettres, comme US, FR ou DE.

  • Le nom du pays ne peut pas dépasser 2 caractères.

Domaine

Icône de Domaine Vous pouvez créer des objets Domaine directement sous l'objet Arborescence à l'aide d'iManager. Vous pouvez également en créer sous des objets Organisation, Unité organisationnelle, Pays et Lieu.

Définition

L'objet Domaine représente des composants DNS. Les objets Domaine vous permettent d'utiliser l'emplacement DNS des ressources de type service (DNS SRV) afin de localiser des services dans votre arborescence.

À l'aide d'objets Domaine, une arborescence peut être structurée comme suit :

DS=Novell.DC=Provo.DC=USA

Dans cet exemple, tous les sous-conteneurs sont des domaines. Vous pouvez également utiliser des objets Domaine dans une arborescence mixte. Exemple :

DC=Novell.O=Provo.C=USA

Ou

OU=Novell.DC=Provo.C=USA

En règle générale, l'objet Domaine le plus élevé correspond à l'objet Arborescence global et contient tous les sous-domaines. Par exemple, ordinateur1.novell.com pourrait être représenté comme suit dans une arborescence : DC=ordinateur1.DC=novell.DC=com. Les domaines vous offrent un moyen plus générique d'élaborer une arborescence eDirectory. Si tous les conteneurs et sous-conteneurs sont des objets DC, les utilisateurs n'ont pas besoin de mémoriser les objets C, O ou OU lorsqu'ils recherchent des objets.

Utilisation

Le nom du domaine peut comporter 64 caractères.

1.2.3 Classes des objets Feuille

Serveur

Icône de l'objet Serveur Un objet Serveur est automatiquement créé dans l'arborescence chaque fois que vous installez eDirectory sur un serveur. La classe d'objet peut correspondre à n'importe quel serveur qui exécute eDirectory.

Objet Serveur - Définition

L'objet Serveur représente un serveur exécutant eDirectory ou un serveur de Bindery.

Utilisation

L'objet Serveur joue le rôle de point de référence pour les opérations de réplication. Un objet Serveur qui représente un serveur de Bindery vous permet de gérer les volumes du serveur à l'aide d'iManager.

Propriétés importantes

L'objet Serveur possède entre autres une propriété Adresse réseau. Celle-ci indique le protocole et le numéro d'adresse du serveur. Elle est utile pour le dépannage au niveau des paquets

Pour obtenir la liste complète des propriétés d'un objet Serveur, sélectionnez un objet de ce type dans iManager. Pour afficher une description de chaque page de propriétés, cliquez sur Aide.

Volume

Icône de l'objet Volume Lorsque vous créez un volume physique sur un serveur, un objet Volume est automatiquement créé dans l'arborescence. Par défaut, le nom de l'objet Volume est le nom du serveur suivi d'un caractère de soulignement et du nom du volume physique (par exemple, VOTRESERVEUR_SYS).

Les partitions d'un système de fichiers Linux ne peuvent pas être gérées à l'aide d'objets Volume. Les objets Volume sont pris en charge uniquement sous OES Linux.

Objet Volume - Définition

Un objet Volume représente un volume physique d'un serveur, qu'il s'agisse d'un disque accessible en écriture, d'un CD-ROM ou d'un autre support d'archivage. L'objet Volume d'eDirectory ne contient pas d'informations sur les fichiers et répertoires du volume. Pour accéder à ces informations, utilisez iManager. Les informations concernant les fichiers et les répertoires sont stockées dans le système de fichiers.

Utilisation

Dans iManager, cliquez sur l'icône Volume pour gérer les fichiers et les répertoires de ce volume. iManager fournit des informations concernant le volume, notamment l'espace disque disponible, l'espace correspondant aux entrées de répertoire et les statistiques de compression.

Propriétés importantes

Outre les propriétés Nom et Serveur hôte, qui sont obligatoires, les objets Volume ont d'autres propriétés importantes.

  • Nom

    Il s'agit du nom de l'objet Volume de l'arborescence. Par défaut, le nom de cet objet est tiré du nom du volume physique, mais vous pouvez le modifier.

  • Serveur hôte

    Serveur sur lequel réside le volume.

  • Version

    Version eDirectory du serveur qui héberge le volume.

Utilisateur

Icône de l'objet Utilisateur Un objet Utilisateur est requis pour se connecter. Lorsque vous installez le premier serveur dans une arborescence, un objet Utilisateur dénommé Admin est créé. Connectez-vous la première fois en tant qu'utilisateur Admin.

Vous pouvez utiliser les méthodes suivantes pour créer ou importer des objets Utilisateur :

Objet Utilisateur - Définition

Un objet Utilisateur représente une personne sur le réseau.

Utilisation

Vous devez créer des objets Utilisateur pour toutes les personnes qui sont amenées à utiliser le réseau. Bien que vous puissiez gérer les objets Utilisateur individuellement, il est plus rapide de procéder comme suit :

  • Utilisez les objets Modèle pour définir les propriétés par défaut de la plupart des objets Utilisateur. L'objet Modèle est automatiquement appliqué aux objets Utilisateur que vous créez (mais non aux objets Utilisateur existants).

  • Créez des objets Groupe pour gérer les groupes d'utilisateurs.

  • Assignez des droits en utilisant les objets Conteneur comme ayants droit si vous souhaitez que ces droits soient appliqués à tous les objets Utilisateur du conteneur.

  • Sélectionnez plusieurs objets Utilisateur en maintenant la touche Maj ou Ctrl enfoncée tout en cliquant. Une fois les objets Utilisateur sélectionnés, vous pouvez changer les valeurs de leurs propriétés.

Propriétés importantes

Les objets Utilisateur peuvent posséder plus de 80 propriétés. Pour obtenir la liste complète des propriétés d'un objet Utilisateur, sélectionnez un objet de ce type dans iManager. Pour afficher une description de chaque page de propriétés, cliquez sur Aide.

Les propriétés Nom de connexion et Nom sont obligatoires. Ces propriétés, ainsi que les propriétés les plus utiles, sont répertoriées ci‑dessous.

  • Date d'expiration du compte vous permet de limiter la durée de vie d'un compte utilisateur. Après la date d'expiration, le compte est verrouillé et l'utilisateur ne peut plus se connecter.

  • Compte désactivé est une valeur générée par le système, qui indique que le compte est verrouillé. L'utilisateur ne peut donc plus se connecter. Le compte peut être verrouillé s'il a expiré ou si l'utilisateur a entré successivement trop de mots de passe incorrects.

  • Changement périodique du mot de passe obligatoire vous permet de renforcer la sécurité en demandant à l'utilisateur de changer son mot de passe après un certain laps de temps.

  • Adhésion aux groupes permet de lister tous les objets Groupe dont l'utilisateur est membre.

  • Dernière connexion est une propriété générée par le système, qui indique la date et l'heure auxquelles l'utilisateur s'est connecté pour la dernière fois.

  • Bien qu'elle soit obligatoire, la propriété Nom n'est pas utilisée directement par eDirectory. Les applications qui se servent de la base de noms eDirectory peuvent utiliser cette propriété, ainsi que d'autres propriétés d'identification, telles que Prénom, Titre, Emplacement et Numéro de télécopie.

  • Limiter connexions simultanées permet de définir le nombre maximal de sessions qu'un utilisateur peut ouvrir de façon simultanée sur le réseau.

  • Nom de connexion est le nom affiché par l'icône Utilisateur dans iManager. C'est également le nom fourni par l'utilisateur lorsqu'il se connecte.

    Avec eDirectory, il n'est pas nécessaire que chaque nom de connexion soit unique sur tout le réseau ; il doit toutefois l'être dans chacun des conteneurs. Vous pouvez malgré tout décider d'étendre leur unicité à l'ensemble de l'entreprise pour en simplifier l'administration.

    En général, le nom de connexion est une combinaison du nom et du prénom de l'utilisateur. Par exemple, JEANT ou JTHOMAS pour Jean Thomas.

  • Script de connexion vous permet de créer des commandes de connexion spécifiques pour un objet Utilisateur. Lorsqu'un utilisateur se connecte, le script de connexion de conteneur est exécuté en premier. Si l'objet Utilisateur a été ajouté à la liste des membres d'un objet Profil, le script de connexion de profil est ensuite exécuté. Enfin, le script de connexion utilisateur est exécuté (le cas échéant).

    Il est recommandé de placer la plupart des commandes de connexion dans des scripts de connexion de conteneur pour gagner du temps. Vous pouvez éditer le script de connexion utilisateur pour gérer les exceptions aux besoins communs.

  • Restrictions des heures de connexion vous permet de définir les jours et les heures auxquels l'utilisateur peut se connecter.

  • La propriété Adresses réseau contient des valeurs générées par le système qui répertorient toutes les adresses IPX™ et/ou IP à partir desquelles l'utilisateur se connecte. Ces valeurs sont utiles pour résoudre les problèmes de réseau au niveau des paquets.

  • Exiger un mot de passe vous permet de déterminer si l'utilisateur doit fournir un mot de passe. D'autres propriétés apparentées vous permettent de définir des contraintes communes en ce qui concerne les mots de passe, par exemple leur longueur.

  • Droits sur des fichiers et des répertoires indique toutes les assignations de droits effectuées pour cet utilisateur sur le système de fichiers Vous pouvez également contrôler, à l'aide d'iManager, les droits effectifs que possède un utilisateur sur des fichiers et des répertoires, y compris les droits hérités d'autres objets.

Groupe

Icône de l'objet Groupe Vous pouvez créer des objets Groupe pour faciliter la gestion d'ensembles d'objets Utilisateur.

Objet Groupe - Définition

Un objet Groupe représente un groupe d'objets Utilisateur.

Utilisation

Les objets Conteneur permettent de gérer tous les objets Utilisateur du conteneur considéré, alors que les objets Groupe servent à gérer des sous-ensembles dans un ou plusieurs conteneurs.

Les objets Groupe servent principalement dans deux cas :

  • Ils vous permettent de concéder des droits simultanément à plusieurs objets Utilisateur.

  • Ils vous permettent d'entrer des commandes de script de connexion à l'aide de la syntaxe IF MEMBER OF.

Groupes statiques

Les groupes statiques permettent d'identifier les objets membres de manière explicite. Chaque membre est assigné explicitement à un groupe.

Ces groupes fournissent une liste statique des membres et assurent l'intégrité référentielle entre la liste des membres du groupe et les membres des attributs d'un objet. L'appartenance au groupe est gérée explicitement au moyen de l'attribut Membre.

Groupes dynamiques

Les groupes dynamiques utilisent une URL LDAP pour définir un ensemble de règles qui, si elles sont satisfaites par des objets Utilisateur eDirectory, déterminent les membres du groupe. Les membres d'un groupe dynamique partagent un ensemble d'attributs communs, définis par le filtre de recherche spécifié dans l'URL. Pour plus d'informations sur le format d'URL LDAP, reportez-vous au fichier RFC 2255.

Les groupes dynamiques vous permettent de définir les critères à utiliser lors de l'évaluation des adhésions à un groupe. Les membres du groupe sont évalués de manière dynamique par eDirectory, ce qui vous permet de les définir en termes de regroupement logique. eDirectory peut ainsi ajouter et supprimer automatiquement des membres d'un groupe. Cette solution, plus facilement adaptable, permet de réduire les coûts d'administration et peut compléter les groupes classiques dans LDAP pour offrir une flexibilité accrue.

eDirectory vous permet de créer un groupe dynamique lorsque vous souhaitez regrouper automatiquement des utilisateurs en fonction d'un attribut, ou lorsque vous souhaitez appliquer des listes de contrôle d'accès (ACL) à des groupes spécifiques qui contiennent des noms distinctifs (DN) correspondants. Vous pouvez, par exemple, créer un groupe qui inclut automatiquement tout DN possédant l'attribut Department=Marketing. Si vous appliquez un filtre de recherche pour Department=Marketing, la recherche renvoie un groupe comprenant l'ensemble des DN possédant l'attribut Department=Marketing. Vous pouvez ensuite définir un groupe dynamique à partir du résultat de la recherche obtenu au moyen de ce filtre. Tout objet Utilisateur ajouté à l'annuaire, qui satisfait au critère Department=Marketing est alors automatiquement ajouté au groupe. De la même façon, tout objet Utilisateur pour lequel la valeur de « Department » a été modifiée (ou tout objet Utilisateur supprimé de l'annuaire) est automatiquement supprimé du groupe.

Dans eDirectory, les groupes dynamiques sont créés par l'intermédiaire d'objets du type objectclass=dynamicGroup. Il est possible de convertir un groupe statique en groupe dynamique en associant une classe auxiliaire (dynamicGroupAux) à l'objet Groupe. L'attribut memberQueryURL est associé au groupe dynamique.

L'attribut dgIdentity pour l'objet Groupe dynamique peut prendre comme valeur le nom distinctif d'une entrée dont les références et les droits doivent être utilisés pour augmenter le nombre de membres dynamiques du groupe.

La gestion des groupes s'effectue au moyen de l'attribut memberQueryURL. Un attribut memberQueryURL type comporte un DN de base, une étendue, un filtre et une extension facultative. Le DN de base précise la base de recherche. L'étendue définit les niveaux sur lesquels doit porter la recherche sous la base. Le filtre permet de sélectionner des entrées spécifiques de l'étendue lors des recherches.

REMARQUE :afin de prendre en charge les exceptions à la liste créée par l'attribut memberQueryURL, les groupes dynamiques permettent aussi l'inclusion et l'exclusion explicite d'utilisateurs.

Il est possible de créer et de gérer des groupes dynamiques par le biais de NetIQ iManager. Pour accéder aux tâches de gestion de groupes, cliquez sur le rôle Groupes de la page Rôles et tâches.

Vous pouvez également utiliser des commandes LDAP pour gérer ces groupes. Les propriétés les plus utiles associées aux groupes dynamiques sont dgIdentity et memberQueryURL.

Propriétés importantes

Les propriétés les plus utiles de l'objet Groupe sont Membres et Droits sur des fichiers et des répertoires. Pour obtenir la liste complète des propriétés d'un objet Groupe, sélectionnez un objet de ce type dans iManager. Pour afficher une description de chaque page de propriétés, cliquez sur Aide.

  • dgAllowDuplicates

    Indique si les doublons sont autorisés ou non lors de l'impression de membres de groupes dynamiques. La valeur par défaut est TRUE.

  • dgIdentity

    Cette propriété indique le DN dont l'identité est utilisée par le groupe dynamique pour les authentifications au cours des recherches. L'identité doit figurer sur la même partition que le groupe dynamique. L'objet spécifié par dgldentity doit avoir les droits requis pour effectuer la recherche définie dans l'attribut memberQueryURL.

    Par exemple, si la valeur de memberQueryURL est 

    l"dap:///o=nov??sub?(title=*)

    dgldentity doit avoir les droits de lecture/comparaison sur l'intitulé d'attribut figurant sous le conteneur o=nov.

  • dgTimeout

    Cette propriété indique le délai maximal alloué à un serveur pour lire ou comparer un attribut member avant expiration. Lorsque ce délai est dépassé, l'erreur -6016 s'affiche.

  • memberQueryURL

    Cette propriété définit l'ensemble des règles qui correspondent aux attributs des membres du groupe.

    memberQueryURL est un attribut à valeurs multiples, conformément à sa définition dans le schéma. Cependant, les serveurs eDirectory 8.6.1 n'utilisaient que la première valeur.

    Par exemple :

    Un administrateur crée un groupe dynamique possédant deux valeurs memberQueryURL :

    l"dap:///o=nov??sub?cn=*

    l"dap:///o=org??sub?cn=*

    Les serveurs eDirectory 8.6.x utilisent l"dap:///o=nov??sub?cn=*" pour déterminer les membres du groupe. Ils acceptent plusieurs requêtes, mais ne lisent que la première.

    Cette limitation n'existe plus depuis eDirectory 8.7 et versions ultérieures. Les serveurs eDirectory déterminent les membres en fonction de l'ensemble des valeurs memberQueryURL. Ainsi, l'ensemble de membres correspond à la synthèse des membres obtenus à partir de chacune des valeurs de memberQueryURL.

    Dans l'exemple ci-dessus, les membres résultants du groupe dynamique correspondent à l'ensemble des entrées pour lesquelles o=org et o=nov, et qui possèdent des valeurs cn.

  • member

    Cette propriété liste tous les objets du groupe. Les assignations de droits effectuées sur un objet Groupe sont appliquées à tous les membres de ce groupe. L'ajout de valeurs à la propriété member d'un groupe dynamique entraîne l'ajout des membres statiques à ce groupe. Cela peut servir à inclure certains membres.

  • excludedMember

    Cette propriété indique les DN spécifiquement exclus de la liste d'adhésion à un groupe dynamique. Elle peut servir à constituer des listes d'exclusion pour les groupes dynamiques.

    excludedMember s'emploie pour interdire à des DN de devenir des membres dynamiques d'un groupe dynamique.

    Ainsi, un DN est un membre dynamique d'un groupe dynamique uniquement s'il a été sélectionné en fonction des critères définis dans memberQueryURL et s'il n'est pas spécifié dans excludedMember ou ajouté de manière explicite à uniqueMember ou member.

  • staticMember

    Cette propriété lit les membres statiques d'un groupe dynamique et détermine si un DN est un membre statique d'un groupe dynamique. staticMember permet de rechercher les groupes dynamiques dans lesquels un DN est un membre statique unique, ainsi que ceux ne comprenant que des membres dynamiques (sans aucun membre statique).

    Pour l'ajouter aux groupes dynamiques existants, étendez le schéma à l'aide du fichier dgstatic.sch.

Mise à niveau de groupes dynamiques dans des bases de données antérieures à eDirectory 8.6.1

La fonctionnalité des groupes dynamiques exige certaines valeurs internes stockées dans les objets Groupe dynamique, qui sont créées lorsqu'un groupe dynamique est créé localement ou reçu dans le cadre d'une synchronisation.

S'ils sont capables de contenir des groupes dynamiques, les serveurs plus anciens ne peuvent pas générer ces valeurs, puisque les groupes dynamiques ont été introduits avec eDirectory 8.6.1.

eDirectory 8.6.2 prévoit la mise à niveau automatique des objets Groupe dynamique d'une base de données antérieure à la version 8.6.1, afin que celle-ci corresponde à une base de données eDirectory 8.6.1.

Prise en charge d'autres syntaxes de memberQueryURL

L'attribut memberQueryURL peut contenir un filtre de recherche utilisé par le serveur eDirectory pour déterminer les membres d'un groupe dynamique.

Dans eDirectory 8.6.1, les syntaxes des attributs employés dans le filtre étaient limitées aux types de chaîne élémentaire suivants :

  • SYN_CE_STRING

  • SYN_CI_STRING

  • SYN_PR_STRING

  • SYN_NU_STRING

  • SYN_CLASS_NAME

  • SYN_TEL_NUMBER

  • SYN_INTEGER

  • SYN_COUNTER

  • SYN_TIME

  • SYN_INTERVAL

  • SYN_BOOLEAN

  • SYN_DIST_NAME

  • SYN_PO_ADDRESS

  • SYN_CI_LIST

  • SYN_FAX_NUMBER

  • SYN_EMAIL_ADDRESS

Depuis eDirectory 8.7.3, les syntaxes d'attributs ci-dessous sont également reconnues pour une valeur memberQueryURL :

  • SYN_PATH

  • SYN_TIMESTAMP

  • SYN_TYPED_NAME

Dans eDirectory 8.6.1 comme dans eDirectory 8.7.x, les syntaxes binaires telles que SYN_OCTET_STRING et SYN_NET_ADDRESS ne sont pas admises dans les filtres de recherche memberQueryURL.

Pour plus d'informations, reportez-vous au document How to Manage and Use Dynamic Groups in NetIQ eDirectory (Gestion et utilisation des groupes dynamiques dans NetIQ eDirectory).

Groupes imbriqués

Les groupes imbriqués permettent de regrouper des groupes de manière plus structurée. L'attribut groupMember spécifie les groupes imbriqués dont les membres deviennent des membres imbriqués de l'objet Conteneur Groupe imbriqué. Les objets Groupe sont spécifiés statiquement dans l'attribut groupMember. Le groupe contenant d'autres groupes est appelé groupe conteneur et les groupes faisant partie de ce groupe sont appelés groupes contenus. eDirectory prend en charge l'imbrication de groupes tant statiques que dynamiques. L'imbrication peut comporter jusqu'à 200 niveaux.

IMPORTANT :Elle est prise en charge au sein du serveur local uniquement. Si un groupe contenu n'est pas présent sur le serveur local, ses membres ne sont pas répertoriés comme membres imbriqués du groupe conteneur.

Figure 1-4 Groupes imbriqués

Vous pouvez utiliser iManager ou les outils LDAP pour créer les groupes imbriqués.

Création de groupes imbriqués à l'aide des outils LDAP

Vous pouvez utiliser les outils LDAP pour créer les groupes imbriqués. Une nouvelle classe auxiliaire, nestedGroupAux, ainsi que la classe structurelle Groupe représentent un groupe imbriqué. Cette classe auxiliaire peut être ajoutée à l'objet Groupe statique existant pour le convertir en groupe imbriqué.

Le groupe conteneur et le groupe contenu doivent être des objets Groupe imbriqué. Si le groupe contenu est un groupe imbriqué (et uniquement dans ce cas), il peut renseigner l'attribut groupMembership (cet attribut ne fait pas partie d'un groupe statique) défini pour lui-même afin de spécifier le groupe conteneur. Si les groupes contenus ne sont pas du même type que le groupe conteneur, seuls les membres statiques du groupe contenu sont répertoriés comme membres imbriqués.

Vous pouvez utiliser des fichiers LDIF et les outils LDAP pour gérer ces groupes. Les propriétés les plus utiles associées aux groupes imbriqués sont groupMember et nestedConfig.

Création de groupes imbriqués avec iManager

Vous pouvez utiliser les plug-ins iManager pour créer un groupe imbriqué ou pour convertir un groupe statique en groupe imbriqué afin de l'associer à un autre groupe.

  1. Connectez-vous à iManager en tant qu'administrateur et sélectionnez Groupes > Créer un groupe dans le panneau de gauche pour créer un groupe statique. Par exemple, SG1.

  2. Sélectionnez Administration de l'annuaire > Modifier un objet dans le panneau de gauche, puis recherchez et sélectionnez l'objet SG1.novell.

  3. Cliquez sur l'onglet Autre, puis sélectionnez Classe d'objet dans la liste Attributs non définis.

  4. Ajoutez la valeur nestedGroupAux à la Classe d'objet, puis cliquez sur OK et sur Appliquer.

  5. Sélectionnez Groupes > Créer un groupe dans le panneau de gauche, cochez la case Groupe imbriqué pour créer un groupe imbriqué portant le nom NG1, puis cliquez sur OK.

  6. Sélectionnez Groupes > Modifier un groupe dans le panneau de gauche, cochez la case Groupe imbriqué pour modifier le groupe imbriqué portant le nom NG1, puis cliquez sur OK.

  7. Pour modifier le groupe imbriqué, sélectionnez Groupes > Modifier un groupe, puis recherchez et sélectionnez NG1.novell.

  8. Pour associer un groupe statique à NG1, sélectionnez l'onglet Imbriqué > > Membre du groupe, puis recherchez et sélectionnez le groupe statique SG1.

  9. Cliquez sur Appliquer, puis sur OK pour convertir le groupe statique SG1 en groupe imbriqué NG1.

    Le groupe statique que vous avez converti en groupe imbriqué est désormais membre du groupe statique.

Pour vérifier les détails d'adhésion de SG1, sélectionnez Groupes > Modifier un groupe dans le panneau de gauche, puis SG1.novell. Sélectionnez l'onglet Imbriqué > Adhésion au groupe pour vérifier les informations d'adhésion au groupe statique en tant que NG1.novell.

Propriétés des groupes imbriqués

  • groupMember

    Par défaut, les membres d'un groupe imbriqué incluent tous les membres imbriqués. Par conséquent, la liste d'attributs de membres renvoie toujours tous les membres imbriqués, et l'assertion sur l'attribut de membre renvoie tous les objets Groupe imbriqué. Si la configuration est définie sur 1 (aucune imbrication), elle fait uniquement référence aux membres directs.

  • Group Membership

    L'attribut groupMembership spécifie le groupe auquel appartient cet objet (en général, un objet Utilisateur). Il est associé à la classe nestedGroupAux et contient le DN du groupe imbriqué dont ce groupe est membre. Lorsqu'il est associé à un objet Groupe, il indique le groupe imbriqué dont ce groupe est membre (plus particulièrement, un groupMember). Comme member et groupMember, l'attribut groupMembership répertorie tous les groupes imbriqués dont ce groupe affiche une valeur groupMembership via une relation imbriquée. La valeur nestedConfig s'applique également à l'attribut groupMembership. Pour les objets non membres du groupe, la valeur nestedConfig de groupes spécifiques est utilisée.

  • nestedConfig

    L'attribut nestedConfig définit la configuration de l'objet Groupe imbriqué. Les valeurs de configuration actuellement prises en charge sont 0 (imbrication du serveur local) et 1 (aucune imbrication). Par défaut, il imbrique toujours le serveur local. Si seules des valeurs directes telles que member, groupMember ou groupMembership doivent être répertoriées pour l'attribut, la configuration peut être définie sur 1.

  • excludedMember

    La valeur excludedMember fait partie de la classe nestedGroupAux, mais l'attribut n'est pas utilisé actuellement. Si un groupe inclut des classes de groupe imbriqué et de groupe dynamique, excludedMember s'applique uniquement aux membres dynamiques au niveau du groupe.

Opérations sur les groupes imbriqués

  1. Un groupe peut être membre d'un autre groupe via l'attribut groupMember. Pour ces deux groupes, tant contenus que conteneurs, la classe auxiliaire de groupe imbriqué doit être associée avec l'objet Groupe.

    dn: cn=finance,o=nov

    objectclass: group

    objectclass: nestedGroupAux

    groupMember: cn=accounts,o=nov

    member: cn=jim,o=nov

    dn: cn=accounts,o=nov 

    objectclass: group

    objectclass: nestedGroupAux

    member: cn=allen,o=nov

    member: cn=ESui,o=nov

    member: cn=YLi,o=nov

  2. La lecture de l'attribut de membre d'un groupe imbriqué entraîne également le renvoi des membres du groupe contenu si le groupe contenu et le groupe conteneur sont tous les deux présents localement sur le serveur : 

    dn: cn=finance,o=nov
member: cn=jim,o=nov
member: cn=allen,o=nov
member: cn=ESui,o=nov
member: cn=YLi,o=nov

    Il en va de même pour l'attribut groupMember.

  3. L'attribut réciproque de l'attribut de membres est groupMembership. Cela implique que pour l'objet Utilisateur cn=allen,o=nov, l'attribut groupMembership doit être renseigné avec le DN de groupe cn=accounts,o=nov. L'attribut groupMembership du groupe cn=accounts,o=nov doit être renseigné avec cn=finance,o=nov. À la lecture de l'attribut groupMembership de l'objet Utilisateur cn=allen,o=nov, les deux groupes sont renvoyés. 

    dn: cn=allen,o=nov
groupMembership: cn=accounts,o=nov
groupMembership: cn=finance,o=nov

  4. Les ACL peuvent être assignées à un groupe imbriqué et tous les objets qui sont membres du groupe imbriqué vont acquérir les droits. Dans le champ des droits assignés, un bit ACL imbriquée supplémentaire (0x80000000) doit être défini en plus des droits assignés.

    dn: cn=finance,o=nov
groupMember: cn=accounts,o=nov

    dn: cn=accounts,o=nov
member: cn=allen,o=nov

    dn: ou=MyCo,o=nov
objectclass: Organizational Unit
ACL: 2147483650#entry#cn=finance,o=nov#[All Attributes Rights]

    La valeur des droits – 2147483650 (0x80000002) a un bit ACL imbriquée (0x80000000) et un bit droits de lecture (0x00000002) définis. Par conséquent, l'objet Utilisateur cn=allen,o=nov s'est vu accorder des droits de lecture sur tous les attributs de l'objet MyCo via le groupe imbriqué cn=finance,o=nov.

  5. Les applications peuvent utiliser des assertions de filtre sur les attributs member, groupMember et groupMembership. Dans l'exemple ci-dessus, une assertion de member=cn=allen,o=nov renverrait les éléments suivants :

    dn: cn=accounts,o=nov
dn: cn=finance,o=nov

    Une assertion de groupMembership=cn=finance,o=nov renverrait les objets suivants :

    dn: cn=allen,o=nov
dn: cn=jim,o=nov
dn: cn=ESui,o=nov
dn: cn=YLi,o=nov
dn: cn=accounts,o=nov

    REMARQUE :aucune limite n'existe pour les niveaux d'imbrication dans les cas ci-dessus. La détection de boucle dans les groupes imbriqués s'effectue lors de la lecture des attributs mentionnés ci-dessus.

Limites

  • Les relations imbriquées ne s'étendent pas au-delà du serveur local. Les objets, utilisateurs et groupes concernés doivent être localement présents sur le serveur.

  • Les doublons ne sont pas éliminés dans la liste des membres.

  • Les ACL imbriquées et la sémantique d'imbrication ne sont pas prises en charge sur les serveurs eDirectory plus anciens (8.8 SP1 et versions antérieures).

Alias

Icône de l'objet Alias Vous pouvez créer un objet Alias qui pointe sur un autre objet de l'arborescence. Un objet Alias offre à un utilisateur un nom local pour un objet qui se trouve à l'extérieur de son conteneur.

Lorsque vous renommez un conteneur, vous pouvez créer un objet Alias à l'ancien emplacement du conteneur qui pointe vers le conteneur que vous venez de renommer. Ainsi, les postes de travail et les commandes de script de connexion qui font référence à des objets du conteneur peuvent toujours accéder à ceux-ci, même si le nom du conteneur n'a pas été mis à jour.

Objet Alias - Définition

Un objet Alias représente un autre objet, par exemple un conteneur, un objet Utilisateur ou tout autre objet de l'arborescence. Un objet Alias n'est pas doté de droits d'ayants droit. L'autorité d'ayant droit que vous accordez à l'objet Alias est appliquée à l'objet qu'il représente. Cependant, l'objet Alias peut être la cible d'une assignation d'ayant droit.

Utilisation

Créez un objet Alias pour faciliter la résolution de nom. Étant donné qu'il est plus simple d'attribuer un nom aux objets du contexte actuel, il est conseillé de créer dans ce contexte des objets Alias se rapportant à des ressources situées en dehors de ce contexte.

Supposons, par exemple, que des utilisateurs se connectent et qu'ils établissent le contexte actuel dans le conteneur South (comme illustré sur la Figure 1-5), mais qu'ils aient besoin d'accéder à l'objet File d'attente d'impression QualCoul dans le conteneur North.

Figure 1-5 Exemples de conteneurs

Vous pouvez créer un objet Alias dans le conteneur South, comme l'illustre la Figure 1-6.

Figure 1-6 Objet Alias dans un conteneur eDirectory

L'objet Alias pointe vers l'objet QualCoul d'origine ; la configuration de l'impression pour les utilisateurs implique donc un objet local.

Propriétés importantes

Les objets Alias possèdent une propriété dénommée Objet en alias, qui associe l'objet Alias à l'objet d'origine.

Assignation de répertoire

Icône de l'objet Assignation de répertoire L'objet Assignation de répertoire pointe vers un chemin du système de fichiers du serveur. Il vous permet de faire référence plus simplement aux répertoires.

Si aucun volume ne se trouve sur votre réseau, vous ne pouvez pas créer d'objets Assignation de répertoire.

Objet Assignation de répertoire - Définition

Un objet Assignation de répertoire représente un répertoire sur un volume En revanche, un objet Alias représente un objet.

Utilisation

Vous pouvez créer un objet Assignation de répertoire pour simplifier l'assignation d'unités, en particulier dans les scripts de connexion. Si vous utilisez un objet Assignation de répertoire, vous pouvez réduire les chemins complexes de système de fichiers à un seul nom.

En outre, quand vous déplacez un fichier, il est inutile de modifier les scripts de connexion et les fichiers de traitement par lots pour qu'ils indiquent son nouvel emplacement. Vous devez seulement modifier l'objet Assignation de répertoire. Supposons, par exemple, que vous éditiez le script de connexion du conteneur South, illustré sur la Figure 1-7.

Figure 1-7 Exemple de conteneur eDirectory

Une commande assignant des unités au répertoire Shared du volume sys: aurait la syntaxe suivante :

MAP N:=sys.North.:Shared

Si vous avez créé l'objet Assignation de répertoire Partagé, la commande d'assignation est beaucoup plus simple :

MAP N:=Shared

Propriétés importantes

L'objet Assignation de répertoire possède les propriétés suivantes :

  • Nom

    Identifie l'objet dans l'annuaire (par exemple, Partagé). Le nom est également utilisé dans les commandes MAP.

  • Volume

    La propriété Volume indique le nom de l'objet Volume désigné par l'objet Assignation de répertoire. Par exemple, Sys.North.YourCo.

  • Chemin

    Désigne le répertoire par un chemin d'accès à partir de la racine du volume, par exemple public\winnt\nls\english.

Profil

Icône de l'objet Profil Les objets Profil vous aident à gérer les scripts de connexion.

Objet Profil - Définition

Un objet Profil représente un script de connexion qui s'exécute entre le script de connexion de conteneur et le script de connexion utilisateur.

Utilisation

Créez un objet Profil si vous souhaitez que les commandes de script de connexion ne soient exécutées que pour les utilisateurs sélectionnés. Les objets Utilisateur peuvent se trouver dans le même conteneur ou dans des conteneurs différents. Une fois l'objet Profil créé, vous devez ajouter les commandes à sa propriété Script de connexion. Transformez ensuite les objets Utilisateur en ayants droit de l'objet Profil, puis ajoutez ce dernier à leur propriété Profil de membre du groupe.

Propriétés importantes

L'objet Profil possède deux propriétés importantes :

  • Script de connexion

    Contient les commandes que vous souhaitez exécuter pour les utilisateurs du profil.

  • Droits sur des fichiers et des répertoires

    Si le script de connexion contient des instructions de type INCLUDE, utilisez la propriété Droits sur les fichiers et les répertoires pour accorder à l'objet Profil des droits sur les fichiers inclus.