Tivoli Identity Manager - Active Directory PwdSync Plug-in

04/05 2012

Comment déterminer le targetDN d'un service ITIM ?

D’après la documentation IBM, le targetDN d'un service est de la forme :

erservicename=SERVICE,ou=DOMAINE,o=ITIMROOTLEVEL, erPARENT.

Le souci est que ces données ne sont pas disponibles telles quelles via la console ITIM. Il faut donc utiliser un browser LDAP pour accéder au contenu de l’annuaire ITIM.

Les premiers éléments se trouvent au niveau de l’élément de « base », défini par erglobalid=00000000000000000000.

Exemple :

dn: erglobalid=00000000000000000000, ou=MyCompany, O=MYCOMPANY-IIR
erparent: ou=MyCompany,o=MyCompany-iir
erglobalid: 00000000000000000000
objectclass: top
objectclass: organization
objectclass: erOrganizationItem
objectclass: erManagedItem
o: MyCompany-IIR
erorgstatus: 0

On a donc le suffixe de notre targetDN (il faut respecter la casse des caractères) :

o=MyCompany-IIR,ou=MyCompany,o=MyCompany-iir

Pour trouver le domaine, on descend au niveau de la branche OrgChart.

dn: erglobalid=485da66279991f767d99, ou=orgChart, erglobalid=00000000000000000000, ou=MyCompany, O=MYCOMPANY-IIR
erparent: erglobalid=41f00facf64fa8179bff,ou=orgChart,erglobalid=00000000000000000000,OU=MYCOMPANY, O=MYCOMPANY-IIR
erglobalid: 485da66279991f767d99
ou: SITE003
objectclass: top
objectclass: SecurityDomain
objectclass: erManagedItem
objectclass: erSecurityDomainItem
description: MYCOMPANY SITE 003

On y trouve donc  ou=SITE003. Mais on constate également que l'attribut erparent ne pointe pas directement sur la racine (qui serait erglobalid=00000000000000000000,OU=MYCOMPANY, O=MYCOMPANY-IIR). Il faut donc aller rechercher à quoi correspond l'objet avec erglobalid=41f00facf64fa8179bff et l'ajouter dans le DN. Dans notre cas, on trouve :

dn: erglobalid=41f00facf64fa8179bff, ou=orgChart, erglobalid=00000000000000000000, ou=MyCompany, O=MYCOMPANY-IIR
erparent: erglobalid=00000000000000000000,OU=MYCOMPANY, O=MYCOMPANY-IIR
erglobalid: 41f00facf64fa8179bff
ou: MYCOMPANY-UKR

Le service est enfin défini dans la branche services.

dn: erglobalid=4021483128775187832, ou=services, erglobalid=00000000000000000000, ou=MyCompany, O=MYCOMPANY-IIR
eruid: agent
ernoncomplianceaction: 0
objectclass: top
objectclass: erADDAMLService
objectclass: erRemoteServiceItem
erglobalid: 4021483128775187832
erservicename: AD-UKR003

Le targetDN final est donc :

erservicename=AD-UKR003,ou=UKR003,ou=MYCOMPANY-UKR,o=MyCompany-IIR,ou=MyCompany,o=MyCompany-iir

Référence : http://www-01.ibm.com/support/docview.wss?uid=swg21161718

Catégorie
IAM
Tag
itim
active directory