Positionnement des services ITIM dans la structure de l'organisation

Dans ITIM, un service est placé dans une "Business Unit". Une fois défini, il n'est pas possible de le bouger via la console ITIM (ce serait possible en modifiant son attribut erparent dans l'annuaire, mais pas supporté ni conseillé par IBM).

Le placement d'un service ITIM permet de le positionner par rapport à des règles de provisionnement ou encore des règles de sélection de service. Si on bouge un service, est peut donc potentiellement être en dehors du périmètre de ces règles.

Tags

Utilisation LVM (Logical Volume Manager) sous Linux

LVM (Logical Volume Manager) permet de gérer des partitions logiques, et non pas physiques, ce qui a notamment comme avantage de pouvoir plus facilement modifier leur taille.

Pré-requis

Partition non formatée

Il faut disposer d'une partition non formatée. Dans notre cas, il s'agit de /dev/sda9, qui dispose d'un peu plus de 300 Go de libres. Cette partition sera utilisée principalement pour gérer des images de machines virtuelles créées avec KVM.

ITIM : comment changer l'attribut de recherche par défaut

Depuis la version 5, ITIM ne propose plus en standard de choisir l'attribut de recherche par défaut pour les utilisateurs, qui est fixé au "Last name".

Or il est fréquent qu'on utilise un matricule comme clé pour les utilisateurs, et dans ce cas il faut passer par la recherche avancée, choisir (éventuellement ) le type de personne, renseigner le champ Employee Number et cliquer sur le bouton Search. Bref, beaucoup de clic surnuméraires !

Il est cependant possible dans ITIM 5.1 de modifier ce fonctionnement.

Gestion des mots de passe avec OpenLDAP

Type de cryptage utilisé

Par défaut dans OpenLDAP le mot de passe utilisateur (attribut usepassword) est stocké sans cryptage.

Si on modifie le mot de passe via un fichier LDIF, on aura donc le mot de passe en clair dans l'annuaire, ce qui n'est pas sécurisé.

On peut également appliquer un algorithme de cryptage en amont (dans l'application cliente) et le transmettre à OpenLDA, qui va le stocker tel quel.

ITIM : ajouter des participants Domain Administrators

Nous avons eu récemment le besoin de notifier par mail les administrateurs de domaine, sur un service situé en haut de l'organisation (service partagé), alors que les personnes sont rattachées à des sous-domaines.
Du coup, le type de participant DOMAIN_ADMIN ne fonctionne pas, car il est rattaché au service.
Il a donc fallu développer un javascript spécifique pour arriver à nos fins. Celui-ci est finalement assez simple (une fois qu'on a réussi à naviger dans la documentation IBM...)