Aller au contenu

Ds414 Ldap - Google Apps


Messages recommandés

Nous allons commander un DS414 et souhaitons profiter de la possibilité du LDAP en synchro avec Google Apps.

La réplication se fait du LDAP synologie vers Google Apps. Comment cela se passe-t'il si nous avons déjà des utilisateurs sur Google que nous voudrions importer sur le NAS ?

Merci de vos retours.

Lien vers le commentaire
Partager sur d’autres sites

Création/modification : du syno vers Google

Je suppose que tu vas utiliser GoogleDirSync pour ça, attention à bien régler la conf avant d'appliquer, surtout ces 2 options :

-la désactivation des comptes admin non trouvés dans l'annuaire (je ne sais plus comment c'est noté) : la première fois que j'ai joué avec il y a 5ans, je me suis coupé les pattes

-la suppression ou la désactivation des comptes non trouvés dans l'annuaire : je te recommande de régler sur "désactivé" afin de ne pas supprimer les comptes en cas de pb

Tu peux aussi mettre des seuils (ne pas appliquer si plus de 10% des comptes sont désactivés, ...)

Au taf on utilise principalement les API via un ETL, mais il y a aussi un DirSync qui tourne toutes les 24h en complément

Import : de Google vers le syno

Il n'y a rien de prévu, mais tu as au moins 3 façon de faire (en fonction du nombre de comptes à importer) :

  1. quelques dizaines de comptes : créé les à la main dans le syno, c'est l'affaire que quelques minutes
  2. quelques centaines de comptes : export en csv depuis Google puis import en ldif dans le syno (ldapadd ...)
  3. plusieurs milliers : il faut sortir l'IDE et coder un peu autour des API (je te recommande d'utiliser un ETL, genre Talend)
Lien vers le commentaire
Partager sur d’autres sites

Pour les mots de passe, tu as plein de manière de la faire, en fonction de ce que tu souhaite au final, par exemple :

  • Si tu veux que les mots de passes soient uniquement gérés via le syno, tu peux demander à dirsync de les synchroniser (ils faut que les mots de passe de tes utilisateurs soit stockés en md5 ou en sha1 dans ton annuaire, sinon ça ne marche pas), dans ce cas il faut aussi empêcher les utilisateurs de changer leurs mots de passe depuis gmail (c'est configurable dans admin.google.com)
  • Si tu veux que les mots de passes ne soient gérer que chez Google, le syno de permet de faire de l'oauth (attention, ça ne marche qu'avec les applis web)
  • Si tu veux qu'une fois le compte gmail créé, les utilisateurs puissent changer leurs mots de passe gmail indépendamment du syno, dans ce cas il suffit de mettre un mot de passe à la création et de ne pas les synchroniser
  • Si tu veux faire du SAML, c'est aussi possible, mais je pense que c'est hors de ta portée
  • + toutes les combinaisons des 3 méthodes si dessus (là c'est uniquement avec du code cousu main)

Perso je te recommande de laisser les mots de passes vivre leurs vies indépendamment, c'est plus simple pour toi (presque rien à faire) et ça permet aux utilisateurs d'avoir 2 mots de passe (s'ils le souhaitent), donc de ne pas se faire péter leur accès gmail si le syno est compromis et vice versa.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour toutes ces réponses assez complètes.

Je verrai lors de la réception et la configuration du matériel quelle sera la meilleure méthode en terme de gestions des utilisateurs.

Il se peut que j'ai à ce moment la de nouvelles questions.

Bien à toi.

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Nous sommes en train de tester la synchro LDAP Synology - Google Apps et nous avons quelques questions :

- Comment peut-on faire pour la synchro Nom Prénom étant donné que ces champs n'existent pas dans le LDAP syno et qu'ils sont nécessaires sur Google Apps

- Un utilisateur pourra-t'il modifier son mot de passe sur Google pour qu'il soit répliqué sur le syno ?

Merci de vos réponses.

Lien vers le commentaire
Partager sur d’autres sites

- Comment peut-on faire pour la synchro Nom Prénom étant donné que ces champs n'existent pas dans le LDAP syno et qu'ils sont nécessaires sur Google Apps

ajoute les nom, prénom, dans l'annuaire LDAP, je ne peux pas vérifier pour le moment, mais je suis presque certain qu'ils existent, peut être pas dans l'interface, mais au moins dans le schéma, tu peux utiliser un client ldap pour ça

et si ce n'est pas le cas, rien ne t’empêche d'étendre le schéma

- Un utilisateur pourra-t'il modifier son mot de passe sur Google pour qu'il soit répliqué sur le syno ?

De google -> syno : non

Si le mdp est changé coté Google, il sera changé coté Google.

Mais tu as des éléments de contournement/réponse dans mon post précédent

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.