Discussion :

[chtijule]

Bonjour,

Je cherche à récupérer les utilisateurs d'une forêt active directory pour les remettre dans un arbre OpenLDAP. Malheureusement, comme chacun sait lors de l'export avec ldifde ou cvsde, les mots de passe ne sont pas récupérés.
J'ai cru comprendre qu'il était néanmoins possible de les récupérer via une connexion sécurisée. Est-ce que quelqu'un peut m'expliquer comment ? Sachant que j'utilise pour me connecter à l'AD et y récupérer les infos un script PHP.
D'autre part, une autre idée pour récupérer les mots de passe : y a t il possibilité d'utiliser samba 4 qui se comporte comme controleur de domaine AD? Est ce que quelqu'un l'a déjà mis en oeuvre?

Merci d'avance de votre aide.

[zakuza]

salut à toi
j'ai un article qui t' aidera peut etre ...
http://www.zeflip.com/?/PHP/Integrat...tive-Directory

[rmarc]

Bonjour,

J'arrive un peu après la bataille, plus de 2 ans après, mais je creuse également sur cette problématique sans trouver de réponse bien précise.

Pour ma part, même si ce n'est pas en PHP, j'ai juste besoin d'un outil capable de syncroniser Active Directory et Open LDAP (y compris et essentiellement le mot de passe)

Je n'ai pas forcément besoin de pouvoir voir le mot de passe en clair mais il est impératif qu'il soit récupéré d' Active Directory sinon, il n'y a aucun intéret. Et c'est bien là la dificuté puisqu'il n'y à pas, à ma connaissance, d'attribut qui stocke le mot de passe dans le schéma d'Active Directory.

Il existe bien un attribut "UserPassword" mais qui ne stocke rien ou son contenu n'est pas visible.

Il y a également un attribut "unicodePwd" mais qui, lui, n'est utilisé que pour changer le mot de passe.

Chez Microsoft, c'est Kerberos qui se charge de l'authentification.

J'ai trouvé quelques pistes mais sans confirmation:

MIIS:
C'est du Microsoft donc soumit à licence et au premier abort, ça a l'air d'être une usine à gaz. Il existe une version d'évaluation mais je ne l'ai pas testé.
http://www.microsoft.com/france/miis/default.mspx

Talend Open Studio:
Là, c'est de l'open source et d'après l'éditeur, le logiciel est capable de créer ce genre de transaction (y compris le mot de passe).
C'est un outil permétant d'importer des données provenant de différentes sources: Fichier, base de données, annuaire LDAP etc.. de les transformer si nécessaire puis de les exporter dans un format différent.
J'ai beau chercher, mais ça coince toujours au niveau du mot de passe pour Active Directory et ce même en LDAPs.
Une fois la stucture terminée, le logiciel créé un fichier "Java" ou "Perl" qu'il suffit d'exécuter pour réaliser la transaction de données.
Pour des base LDAP, il faut choisir le "Java"
http://fr.talend.com/index.php

LDAP Account Synchronization Project:
A creuser également mais je n'ai trouvé que peu de documentation, (en français), sur ce projet.
http://acctsync.sourceforge.net/

J'espère pouvoir faire avancer le schmilblic.

Si quelqu'un connait la solution, merci à lui de nous en faire part