[WS 2008] lecture de l'attribut LDAP "MemberOf" refusé [Résolu]

kifkif279 · 11/08/2011, 13h11

Bonjour à tous,

Je suis confronté à un problème auquel mes recherches n'ont pas apporté de réponse.

Afin de gérér les droits d'accès à internet, mon firewall interroge mon contrôleur AD avec une requête LDAP.
Le firewall s'authentifie auprès du serveur via un compte AD valide dédié et vérifie la présence des utilisateurs dans un groupe précis via le contrôle de l'attribut MemberOf de l''utilisateur concerné.

Le problème est que, pour certains utilisateurs, la lecture de l'attribut MemberOf est refusée.
Quand j'utilise adsiedit.mmc et que me connecte au serveur LDAP avec le compte admin du domaine, j'ai bien la liste des attributs MemberOf de tous les comptes du domaine.
Par contre si je connecte adsiedit au serveur LDAP avec mon compte dédié au firewall, je ne vois pas les attributs MemberOf de tous les comptes mais uniquement de certains.
Je n'arrive pas à déterminer pourquoi j'ai accès à l'attribut pour certains comptes mais pas pour d'autres.
Pensant que c'éatait un problème de droits, j'ai placé le compte dédié au firewall dans tous les groupes admin mais ça ne change rien...!

J'ai contourné le problème temporairement en utilisant le compte Administrateur pour effectuer les requêtes LDAP depuis le firewall mais je ne veux pas que ça reste comme ça.

Si quelqu'un à une piste je suis preneur!

kifkif279 · 11/08/2011, 14h59

J'ai fini par trouver tout seul.
Enfin, avec un peu d'aide dénichée ICI.

En fait il a fallu que j'ajoute dans les paramètres de sécurité du domaine le droit de lecture de l'attribut MemberOf pour l'utilisateur en question.

Par contre je ne sais pas pourquoi j'avais déjà ce droit mais uniquement sur une partie des comptes AD...

Pour info, voici la procédure:

1/ Dans la console "Utilisateurs et ordinateurs Active Directory", faire un clic droit sur l'objet domaine et cliquer sur "Propriétés"

2/ Aller dans l'onglet "Sécurité" puis cliquer sur "Paramètres avancés".
Si vous n'avez pas l'onglet sécurité, il faut aller dans le menu "Affichage" de la console et cliquer sur "Fonctionnalités avancées".

3/ Cliquer sur "Ajouter", saisir le nom de l'utilisateur concerné et cliquer sur "OK".

4/ Aller dans l'onglet "Propriétés" et dans la liste déroulante "Appliquer à" choisir "Objets Utilisateur" sous WS2003 ou "Objets Users descendants" sous WS2008.

5/ Cocher la case "Autoriser" en regard de la ligne "Lire Membre de" sous WS2003 ou "Lire Member Of" sous WS2008.

6/ Il ne reste plus qu'à valider tout ça et à refaire le test!

11/08/2011, 13h11	#1
kifkif279 Invité de passage Inscription : août 2011 Messages : 2 Détails du profil Informations forums : Inscription : août 2011 Messages : 2 Points : 1 Points : 1	lecture de l'attribut LDAP "MemberOf" refusé Bonjour à tous, Je suis confronté à un problème auquel mes recherches n'ont pas apporté de réponse. Afin de gérér les droits d'accès à internet, mon firewall interroge mon contrôleur AD avec une requête LDAP. Le firewall s'authentifie auprès du serveur via un compte AD valide dédié et vérifie la présence des utilisateurs dans un groupe précis via le contrôle de l'attribut MemberOf de l''utilisateur concerné. Le problème est que, pour certains utilisateurs, la lecture de l'attribut MemberOf est refusée. Quand j'utilise adsiedit.mmc et que me connecte au serveur LDAP avec le compte admin du domaine, j'ai bien la liste des attributs MemberOf de tous les comptes du domaine. Par contre si je connecte adsiedit au serveur LDAP avec mon compte dédié au firewall, je ne vois pas les attributs MemberOf de tous les comptes mais uniquement de certains. Je n'arrive pas à déterminer pourquoi j'ai accès à l'attribut pour certains comptes mais pas pour d'autres. Pensant que c'éatait un problème de droits, j'ai placé le compte dédié au firewall dans tous les groupes admin mais ça ne change rien...! J'ai contourné le problème temporairement en utilisant le compte Administrateur pour effectuer les requêtes LDAP depuis le firewall mais je ne veux pas que ça reste comme ça. Si quelqu'un à une piste je suis preneur!
	00

11/08/2011, 14h59	#2
kifkif279 Invité de passage Inscription : août 2011 Messages : 2 Détails du profil Informations forums : Inscription : août 2011 Messages : 2 Points : 1 Points : 1	Résolu!! J'ai fini par trouver tout seul. Enfin, avec un peu d'aide dénichée ICI. En fait il a fallu que j'ajoute dans les paramètres de sécurité du domaine le droit de lecture de l'attribut MemberOf pour l'utilisateur en question. Par contre je ne sais pas pourquoi j'avais déjà ce droit mais uniquement sur une partie des comptes AD... Pour info, voici la procédure: 1/ Dans la console "Utilisateurs et ordinateurs Active Directory", faire un clic droit sur l'objet domaine et cliquer sur "Propriétés" 2/ Aller dans l'onglet "Sécurité" puis cliquer sur "Paramètres avancés". Si vous n'avez pas l'onglet sécurité, il faut aller dans le menu "Affichage" de la console et cliquer sur "Fonctionnalités avancées". 3/ Cliquer sur "Ajouter", saisir le nom de l'utilisateur concerné et cliquer sur "OK". 4/ Aller dans l'onglet "Propriétés" et dans la liste déroulante "Appliquer à" choisir "Objets Utilisateur" sous WS2003 ou "Objets Users descendants" sous WS2008. 5/ Cocher la case "Autoriser" en regard de la ligne "Lire Membre de" sous WS2003 ou "Lire Member Of" sous WS2008. 6/ Il ne reste plus qu'à valider tout ça et à refaire le test!
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email