openidm

Connexion OpenIDM / AD SSL

De l'importance d'utiliser un nom de serveur correspondant au CN du certificat...

Contexte

Afin de pouvoir tester la connexion d'un OpenIDM sur un serveur AD (et par la suite la mise en place du plugin de synchronisation de mot de passe) j'ai mis en place une maquette simple avec :

un serveur OpenIDM sous CentOS
un serveur AD sous Windows 2008R2

J'ai mis en place un certificat sur le serveur AD, qui est aussi le contrôleur de domaine principal, avec un certificat qu'il a généré.

En savoir plus sur Connexion OpenIDM / AD SSL

Activation LDAPS sur Active Directory

Contexte

Lors des interactions en LDAP avec Active Directory, certaines actions nécessitent l’utilisation de LDAPS (LDAP sur SSL) entre le client et Active Directory.

Ceci est notamment le cas si l’on veut modifier le mot de passe.

Ce document décrit comment activer le LDAPS sur un environnement Active Directory.

Méthodes envisageables

A priori il y a deux méthodes possibles pour activer LDAPS sur un contrôleur de domaine :

En savoir plus sur Activation LDAPS sur Active Directory

OpenIDM : purge des tables audit

Contexte

Dans un environnement client OpenIDM 3.1 en production depuis plusieurs mois, l'accès à l'écran d'administration des mappings met de plus en plus longtemps à s'afficher.

English Summary

It may help : if the access time to mapping administration form in OpenIDM becomes very slow, then check the numbers of lines in auditrecon table, and delete old records.

En savoir plus sur OpenIDM : purge des tables audit

OpenIDM : réduire les logs du scheduler

Chez un client, nous avons activé le niveau de log à INFO par défaut afin d'avoir des traces des opérations, notamment car on travaille sur la base d'un changelog depuis un annuaire LDAP Sun, avec un polling toutes les 10 secondes.

En savoir plus sur OpenIDM : réduire les logs du scheduler

Erreur de synchronisation de mot de passe AD / OpenIDM 2.1

Problème

Suite à une mise à jour sur un serveur Windows, le plug-in de synchronisation de mot de passe entre le serveur Active Directory et OpenIDM 2.1 ne fonctionnait plus.

La console d'événements Windows était remplie d'erreur, et dans le fichier de logs OPENIDM_HOME/logs/openidm0.log.0, on avait de nombreuses erreurs :

En savoir plus sur Erreur de synchronisation de mot de passe AD / OpenIDM 2.1

OpenIDM - Rotation des fichiers d'audit

Versions 2.1 à 3.1

Dans les versions 2.1, 3.0 et 3.1, OpenIDM fournit un script shell qui permet de mettre en place la rotation des fichiers d'audit (OPENIDM_HOME/bin/create-openidm-logrotate.sh).

Par contre ce script a 2 inconvénients à mon sens :

En savoir plus sur OpenIDM - Rotation des fichiers d'audit

OpenIDM - les avantages et la souplesse de l'ouverture

Une fois n'est pas coutume, cet article ne sera pas (trop) orienté technique, mais fait plutôt suite à un retour d'expérience sur un projet qui se termine, et dans lequel la souplesse de OpenIDM et son côté "boîte à outils" ont permis de faire des choses qui auraient été compliquées à faire avec un autre outil (sachant que la principale solution avec laquelle je peux comparer est IBM ISIM).

En savoir plus sur OpenIDM - les avantages et la souplesse de l'ouverture

Prise en main de OpenIDM 4

La version 4 de OpenIDM est disponible depuis fin janvier 2016 (cf. les Release Notes).

Cette nouvelle version apporte son lot de changements, qui améliorent encore un peu le produit. On peut notamment citer des nouveautés du côté de l'interface d'administration :

OpenIDM - comment remplacer la suppression par une mise à jour

J'ai eu récemment le cas d'un client qui voulait, lors de la suppression d'un objet user, mettre à jour l'annuaire LDAP sur lequel l'utilisateur avait un compte, plutôt que supprimer ce compte.

Pour cela, il faut tout d'abord modifier l'action liée à la situation SOURCE_MISSING, pour utiliser Unlink plutôt que Delete (en fait, si on garde l'opération Delete, on peut lancer un script, mais l'objet cible sera quand même supprimé par la suite).

En savoir plus sur OpenIDM - comment remplacer la suppression par une mise à jour

OpenIDM - lancement PowerShell en postCreate AD

Contexte

Dans un environnement OpenIDM 3.1, nous utilisons le connecteur ActiveDirectory 1.4.0.0, le mspowershell-connector-1.4.1.0 et le connecteur ICF .Net 1.4.1.0 (openicf-zip-1.4.1.0-dotnet.msi).
L'idée est de lancer un script powershell à la création d'un utilisateur dans l'Active Directory, afin de positionner certains paramètres et créer le Home Directory.

En savoir plus sur OpenIDM - lancement PowerShell en postCreate AD

S'abonner à openidm