Discussion :

[CGR15121]

Bonjour à tous,

Je cherche actuellement à synchroniser 2 AD de 2 forêts distinctes à l'aide du logiciel IIFP (Identity Integration Feature Pack) qui stocke les données Active Directory sous forme d'une base de données Microsoft SQL.

*Ma question :
j'ai lu un peu partout qu'il était possible de synchroniser les mots de passe grace à IIFP SANS relation d'approbation ET AVEC l'outil PCNS.
- mon cas : puis-je synchroniser également les mots de passe via IIFP AVEC UNE relation d'approbation mais SANS PCNS (car il modifie le schéma AD et je n'ai pas les droits pour le faire )...

*Point de situation de mon infra :
2 AD dans 2 forêts différentes
(AD source : GBR) (AD cible : GLB)

existance d'une relation d'approbation entre les 2 domaines : relation externe bidirectionnelle non transitive (et filtrage SID désactivé)
(AD source : GBR) <--------> (AD cible : GLB)

migration des utilisateurs et des mots de passe grace à l'outil ADMT = OK
(AD source : GBR) --ADMT---> (AD cible : GLB)

synchronisation des utilisateurs et certains attributs grace à l'outil IIFP = OK
(AD source : GBR) --IIFP-----> (AD cible : GLB)

*Objectif IIFP:
Je cherche à synchroniser les utilisateurs et surtout leurs mots de passe d'une AD vers une autre.
(Users AD source) --IIFP-----> (Users AD cible)

*Ce que j'ai compris d'IIFP :
fonctionnement d'IIFP, les données des AD sont importées vers un CS (Connector Space), puis regroupées dans le MV (Metaverse) avant d'être exportées vers l'AD de son choix.
Le MV (Metaverse) étant la base de données regroupant toutes les infos.

import :AD GBR ---> CV GBR ---> MV <--- CV GLB <--- AD GLB
export :AD GBR <--- CV GBR <--- MV ---> CV GLB ---> AD GLB

Au préalable, il faut avoir configurer les Management Agents d'IIFP :
1/ renseigner les infos de l'AD et un compte admin du domaine en question
2/ sélectionner les objets à synchroniser (users,group,contact)
3/ sélectionner les attributs que l'on veut synchroniser
4/ mettre des filtres s'il l'on veut (ex: si l'attribut City=Paris, on ne synchronise pas les utilisateurs de Paris)
5/ configurer les règles de jointure et de projection :
-la règle de jointure permet de créer un seul connecteur à un utilisateur dans le metaverse
ex: J.Smith est un utilisateur du domaine A (id=J.Smith), du domaine B (id=John.Smith) et de la base de données RH (id=JSM380)
Pour qu'il n'y ait qu'un seul J.Smitch de créer dans le métaverse, il faut un attribut de jointure (le plus souvent "sAMAccountname" est joint à "uid")
-la projection permet de créer un objet dans le metaverse s'il n'était pas présent auparavant
6/ le flow des attributs (le sens d'export ou d'import)
7/ deprovisionning : on choisit de supprimer ou non du metaverse les éléments une fois exportés
8/ extensions (les scripts d'extensions sont nécessaires pour créer de nouveaux objets dans le domaine cible)
-si un utilisateur est présent dans le domaine A et dans le domaine B, il sera synchronisé
-si un utilisateur est nouvellement créé dans le domaine A, il n'apparaitra pas dans le domaine B, sauf si on spécifie un script d'extension à IIFP

(j'ai trouvé ces infos ici:
http://www.google.com/url?sa=t&rct=j...k2JjrObm7yjH2A

En vous remerciant d'avance de votre aide

[CGR15121]

J'ai réussi à avoir les droits de modifier le schéma du domaine source.
- Je vais donc installer PCNS sur le DC du domaine source.
- IIFP est installé sur le DC du domaine cible (y-a-t-il une importance à installé iifp côté source ou cible?)

-DC source- ----> -DC cible-
-PCNS----- ----> -IIFP ?----
-SPN ?----- ----> -SPN ?---

Dans la doc Microsoft (http://technet.microsoft.com/en-us/l....10).aspx#bkm2), il est indiqué qu'il faut installé et configuré SPN.
<ital>Setspn.exe -a <user defined named for target MIIS 2003 server>/<fully qualified domain name of the server running MIIS 2003>\<domain\user name of the MIIS 2003 service account></ital>

Je ne comprend pas vraiment cette étape... Il faut installé SPN sur le domaine cible ou source?

En vous remerciant à nouveau