Bonjour à tous,
 
Je souhaite mettre en place une configuration de mon AD sous Windows 2003 sur laquelle va s'appuyer une passerelle VPN. L'idée est d'utiliser un attribut de l'Active Directory (utilisateur), afin de lister les stations accessibles en TSE pour l'utilisateur spécifié. (ex : utilisateur1.AttributTSE=server1;server2;server3). La passerelle VPN va offrir un accès TSE à l'utilisateur1 aux serveurs 1, 2 et 3.
 
Le problème se pose concernant le choix de cet attribut. Il n'existe pas vraiment d'attributs pour ce genre de choses. Est-il nécessaire de faire une extension de schéma et de créer de nouveaux attributs ?
 
Merci d'avance.

Sur les users tu as des attributs vides non ?
 
Si tu as exchange, il t'a créé des attributs extensionAttribute1..15
 
Par contre faut faire gaffe que les users eux même n'ont pas le droit de les modifiers, sinon vla la faille de sécu.
 
Après perso AD n'est pas fait pour stocker ce genre d'infos.

Effectivement, tous les attributs ne sont pas utilisés. Mais certains le seront peut-être à l'avenir.
 
Effectivement, j'ai les attributs Exchange qui peuvent être utilisés. Merci du conseil !

bonjour,
j'ai deja vue ça l'ajout de propriété sur l'ad pour du VPN SSL netasq....

C'est implémenté dans ce genre de solutions, en effet.

je t'aurai bien donné la doc du netasq car ils expliquent comment modifier l'ad pour ajouter des element utilisable par le netasq
mais je ne trouve plus

Et si tu peux éviter d'étendre ton schéma, ne le fait pas. Surtout pour du bricolage

Oui, j'ai abandonné l'idée de modifier le schéma... Trop risqué, surtout pour faire une petite manipulation comme celle-là.
 
Je travaille sous Juniper, et le fonctionnement doit être semblable à Netasq. J'ai déjà bien avancé et ai fait quelques tests avec un autre attribut non utilisé. Reste plus qu'à savoir comment placer plusieurs paramètres dans le même champ (avec un ";" ). Les attributs Exchange extensionAttributeXX sont-ils à champs multiples ?

Non simples mais tu dois pouvoir faire dans un même champs séparé par des ;
 
Sinon, dans le schéma de Exchange 2010 SP2 tu as des multivalués mais bon tu vas pas maj ton schéma si tu en as pas besoin.

Le problème, c'est que je n'arrive pas à utliliser le séparateur sous Juniper.
 
Existe-t-il des champs multiples dans l'AD susceptibles de n'être jamais utilisés ?

Hmmm tu peux utiliser :
- departmentNumber
- description
- destinationIndicator
- businessCategory
 
Il y en a surement d'autres

J'ai également trouvé extendedAttributeInfo.

Bon, finalement, j'ai créé un nouvel attribut à valeurs multiples.
 
Je l'ai ajouté au schéma de l'AD, après avoir généré l'OID. Il n'y a pas de problème, l'attribut redescend bien dans mon AD et je peux y mettre une valeur.
 
Le problème se pose lorsque je veux saisir plusieurs valeurs. J'ai fait un petit script VBS pour une saisie interactive. Cependant, je ne sais pas quel séparateur utiliser pour cette saisie...
 
Lorsque je fais un ldifde -f sur mon compte, les autres attributs à valeurs multiples sont exportées sur plusieurs lignes.
 
Ex:  
otherMobile: 06xxxxxxxx
otherMobile: 06xxxxxxxx
 
Je souhaiterais donc arriver à effectuer la même chose à l'aide de mon script dont voici le code :
 

 
J'utilise le point virgule comme séparateur, mais lorsque l'AD liste ce champs, j'obtiens 'pc001;pc002;pc003'

Pour ajouter en multivalué faut utiliser PutEx et le paramètre append:
Exemple (trouvé sur le net)

 
Donc toi, soit tu fais un split sur ton emp_dst, soit tu fais une boucle qui demande à chaque fois à l'utilisateur un nouveau serveur jusqu'à ce qu'il entre un serveur vide

Super, merci !