J'ai un sérieux doute…Que je vous soumette mon doute...

cancel
Showing results for 
Search instead for 
Did you mean: 
eesnault_1359
Member II

J'ai un sérieux doute…Que je vous soumette mon doute...

Bonjour,

J'ai un sérieux doute…

Que je vous soumette mon doute :
Quand on gère des groupes dans Alfresco :
1. On est capable de gérer des sous-groupes mais on ne peut pas gérer de groupes qu'on ajoute en tant que sous-groupe d'un autre.
2. On ne peut pas avoir 2 sous-groupes dans des groupes différents ayant le même nom

Que se passe-t-il quand on synchronise avec un LDAP ? que se passe-t-il pour des sous-groupes dans la source LDAP qui auraient le même nom (passqu'en fait ce sont des groupes insérés en sous-groupes) ?

Quand on a l'authentification NTLM sur un AD :
1. Si on importe par LDAP les groupes et que les groupes sont utilisés sur un espace pour gérer les droits : les droits sont-ils calculés par Alfresco ou par l'AD qui fait le lien avec le groupe dans l'AD ? Si c'est le cas ça voudrait dire que les groupes importés dans Alfresco ne serviraient que de référence…

Merci de me répondre Smiley Happy

Erwan Esnault
7 Replies
lme
Partner

Re: J'ai un sérieux doute…Que je vous soumette mon doute...

Bonjour Erwan,

1. On est capable de gérer des sous-groupes mais on ne peut pas gérer de groupes qu'on ajoute en tant que sous-groupe d'un autre.
2. On ne peut pas avoir 2 sous-groupes dans des groupes différents ayant le même nom

Que se passe-t-il quand on synchronise avec un LDAP ? que se passe-t-il pour des sous-groupes dans la source LDAP qui auraient le même nom (passqu'en fait ce sont des groupes insérés en sous-groupes) ?
Si, je comprends bien (ce qui n'est pas forcement le cas), tu te demandes ce qu'il se passe si un même sous-groupe fait parti de 2 groupes ?
Par exemple, dans un annuaire LDAP, on a les groupes suivants :
- groupe1, membres : userA, userB, sous-groupe1
- groupe2, membres : userA, userC, sous-groupe1
- sous-groupe1, membres : userD

Ce genre de chose synchronise très bien avec Alfresco. On retrouve bien userD dans groupe1/sous-groupe1 et dans groupe2/sous-groupe1.

Quand on a l'authentification NTLM sur un AD :
1. Si on importe par LDAP les groupes et que les groupes sont utilisés sur un espace pour gérer les droits : les droits sont-ils calculés par Alfresco ou par l'AD qui fait le lien avec le groupe dans l'AD ? Si c'est le cas ça voudrait dire que les groupes importés dans Alfresco ne serviraient que de référence…
Les droits sont toujours calculés par Alfresco. Alfresco utilise ses groupes internes pour connaître l'appartenance des utilisateurs à un groupe. Soit tu gères tes groupes directement dans Alfresco, soit tu synchronise depuis un annuaire. Il faut voir la synchro comme une "copie" des groupes d'AD vers Alfresco.
eesnault_1359
Member II

Re: J'ai un sérieux doute…Que je vous soumette mon doute...

Bonjour Laurent et merci de ces premiers éléments de réponse.

Bonjour Erwan,
Si, je comprends bien (ce qui n'est pas forcement le cas), tu te demandes ce qu'il se passe si un même sous-groupe fait parti de 2 groupes ?
Par exemple, dans un annuaire LDAP, on a les groupes suivants :
- groupe1, membres : userA, userB, sous-groupe1
- groupe2, membres : userA, userC, sous-groupe1
- sous-groupe1, membres : userD

Ce genre de chose synchronise très bien avec Alfresco. On retrouve bien userD dans groupe1/sous-groupe1 et dans groupe2/sous-groupe1.
Ca voudrait donc dire que je peux donc avoir des sous-groupes portant le même nom ?

Les droits sont toujours calculés par Alfresco. Alfresco utilise ses groupes internes pour connaître l'appartenance des utilisateurs à un groupe. Soit tu gères tes groupes directement dans Alfresco, soit tu synchronise depuis un annuaire. Il faut voir la synchro comme une "copie" des groupes d'AD vers Alfresco.
Ok donc à priori si un groupe principal utilisé dans les droits d'un espace est profondément remanié dans l'AD ça marche toujours.
Exemple :
J'ai un espace ESPACE pour lequel le groupe "LECTEURS_ESPACE" est défini en tant que lecteur.
Le groupe "LECTEURS_ESPACE" contient "SERVICE A" et "SERVICE B".
Si côté AD, LECTEURS_ESPACE est modifié pour contenir  les groupes "POLE 1" et "POLE 2"
Ce sera donc répercuté ?

Je crois que je suis perturbé par le fait que la gestion des groupes dans l'interface ALF est très limitée alors qu'apparemment on pourrait outrepasser ces limites en faisant de l'import LDAP…

Erwan
lme
Partner

Re: J'ai un sérieux doute…Que je vous soumette mon doute...

Ca voudrait donc dire que je peux donc avoir des sous-groupes portant le même nom ?
Absolument ! Par contre, ce n'est pas pratique lors de la sélection du groupe pour l'inviter sur un espace : la présentation se fait dans une liste et du coup il est impossible de savoir quel sous-groupe est choisi.

J'ai un espace ESPACE pour lequel le groupe "LECTEURS_ESPACE" est défini en tant que lecteur.
Le groupe "LECTEURS_ESPACE" contient "SERVICE A" et "SERVICE B".
Si côté AD, LECTEURS_ESPACE est modifié pour contenir  les groupes "POLE 1" et "POLE 2"
Ce sera donc répercuté ?
Si tu as configuré l'import des groupes depuis AD et que l'import a été réalisé, oui.

Le mieux est quand même de tester tout ça pour en avoir le coeur net. Un OpenLDAP, ça se monte assez rapidement…
eesnault_1359
Member II

Re: J'ai un sérieux doute…Que je vous soumette mon doute...

Bon… c'est bien ce qui me semblait… Merci de m'avoir rassuré.

Je vais tester tout ça. Pour info, j'utilise ADAM c'est un Active Directory en mode application. Ca permet de faire des annuaires AD (avec un schema LDAP correspondant à l'AD) sur un Windows XP Smiley Happy

Erwan
michaelh
Active Member

Re: J'ai un sérieux doute…Que je vous soumette mon doute...

Laurent confirmera (enfin je le fais pour lui), qu'Alfresco a déjà pas mal croisé ADAM sur son chemin Smiley Wink
antony_8736
Member II

Re: J'ai un sérieux doute…Que je vous soumette mon doute...

Pour être les deux mains dans OpenLdap/Alfresco en ce moment et pour répondre à tes deux questions Erwan, oui, je confirme Smiley Happy
Par contre, j'ai bien l'impression que lors de paramétrages LDAP on soit toujours toujours obligés de relancer le serveur avec la 2.9 :/ Si qq'un peut confirmer …
michaelh
Active Member

Re: J'ai un sérieux doute…Que je vous soumette mon doute...

Je confirme que tous les fichiers de configuration ne sont pas encore gérés de façon dynamique.
Ceux qui le sont avec la 2.9 :
- Définition de Workflow
- Définition de modèles (types, aspects, …)
- Fichiers de conf de type web-client-config-*
- Fichiers de propriétés pour les langues

Ce qui correspond à ce que l'on modifie le plus souvent … une fois que l'authentification est en place …
C'est déjà un bon début, sauf quand on a les deux mains dedans Smiley Happy

Tous les détails ici : http://wiki.alfresco.com/wiki/Dynamic_Models