Cette page détaille la mise en oeuvre de Grouper V2 à Rennes1 : classification adoptée pour les groupes, les mécanismes d'alimentation à partir des bases métier, et les versements dans les annuaires.

Contexte -besoins

gérer des groupes ad hoc (non-institutionnels) avec possibilité de délégation de droits
gérer des groupes institutionnels issus des bases "métiers" : structure Harpège et structure des enseignements Apogée
synchroniser les bases métiers, le référentiel Grouper et les services d'annuaires
gestion multi-établissements

Organisation globale

proj-esup-grouper > Grouper à Rennes1 > Grouper2Etape1.PNG

Arborescence des groupes

Les choix de noms ont été conditionnés par les rendus des différents services (grouper-ui, annuaires) et la gestion par dossiers.

La racine

Le dossier de premier niveau (racine) s'appelle "Etablissements" , car nous sommes dans un contexte multi-établissements.

proj-esup-grouper > Grouper à Rennes1 > Racine.PNG

Le niveau établissement

Chaque établissement contient cinq dossiers:

proj-esup-grouper > Grouper à Rennes1 > premierNiveau.PNG

Deux dossiers contiennent les groupes institutionnels (Etudiants , Personnels) et les trois autres les groupes non-institutionnels (Applications et services, Ressources, Autres groupes)

NB : il n'y a pas de dossier Administrateurs à ce niveau : les groupes des administrateurs délégués sont définis dans les dossiers eux-mêmes

Les groupes institutionnels de l'établissement

Les principes suivants sont adoptés pour construire les arborescences des groupes des personnels et des étudiants:

chaque niveau (une structure, une composante, un laboratoire, une étape, etc...) contient
- un ou plusieurs sous-dossiers ayant pour ID <code_SI> et de nom <libelle_SI>
- le groupe d'ID "tous" et de nom "Tout_<code_SI>" ayant pour membres directs les sous-groupes de niveau inférieur
au dernier niveau (la feuille) , le groupe "Tout_<code_SI>" a pour membres direct les personnes

avec :

<code_SI> : code Harpege ou Apogee du niveau courant
<libelle_SI> : libellé Harpege ou Apogee du niveau courant

Les groupes des Personnels

Ils sont issus d'Harpege et reflètent les différents niveaux des structures:

Services : les groupes des personnels des services centraux et communs
Ufr,instituts, écoles : les groupes des personnels des composantes d'enseignement
Laboratoires : les groupes des personnels des laboratoires

Les groupes des Etudiants

Ils sont issus d'Apogee et sont classés par inscription administrative selon le plan de classememnt suivant

année > “Inscription Administrative” > composante > type de diplôme > version de diplôme > version d'étape

proj-esup-grouper > Grouper à Rennes1 > modeleGroupesInstitutionnels.PNG

Les groupes non institutionnels

Ces groupes peuvent être gérés par un administrateur délégué.

Ils sont classés selon leur type :

profils applicatifs (branche "Applications et services")
- les groupes sont relatifs à une application (service métier, GED, sympa, ...)
- les applications sont classées par domaine ("Communication", "GRH", "Stockage partagé", etc ...)
ressources informatiques (branche "Ressources")
- ces groupes permettent de contôler l'accès/l'utilisation de ressources matérielles
- deux types de ressources actuellement : imprimantes et postes de travail
les autres groupes (branche "Autres groupes")
- ce sont des groupes transversaux de nature organisationnelle (projet, communication, collaboration,...) et fonctionnelle (correspondants téléphonie, correspondants techniques de la DSI, ...)
- ils sont internes à une structure ("Recherche", "Services", "Ufr,instituts,écoles") mais peuvent aussi êtres communs à plusieurs structures ("Communs", "Projets UdR", "Partages")

proj-esup-grouper > Grouper à Rennes1 > modeleGroupesNonInstitutionnels.PNG

Les règles de nommage:

proj-esup-grouper > Grouper à Rennes1 > nommageDossiersNonInstitutionnels.PNG

proj-esup-grouper > Grouper à Rennes1 > nommageGroupesNonInstitutionnels.PNG

Correspondance des champs dans Grouper et des attributs ldap

Correspondance_attributs_grouper_ldap.pdf

Alimentation des groupes

Groupes institutionnels

La synchronisation entre les bases métiers et la base grouper se fait par un outil développé en interne r1 : synchroGrpInstit (esup-commons-2)

Ce programme batch lit les structures Apogée/Harpège et leurs membres et crée un fichier de lot de commandes à la norme "grouper shell" qui contient les ordres de création/modification des groupes et de leurs membres.

Le fichier lot de commande est ensuite exécuté par le shell grouper.

Groupes manuels

Chaque groupe est géré par son administrateur designé

Synchronisation Grouper - Services d'annuaires

Grouper - annuaire ldap "global"

L'annuaire appelé "ldap global" est l'annuaire LDAP de référence, utilisé pour l'authentification et les recherche de personnes

La synchronisation se fait avec l'outil "LDAPPC"

Les groupes sont placés dans une branche "groups", à plat (pas d'arborescence)

Les appartenances indirectes sont traduites en appartenances indiciduelles directes

La synchronisation met aussi à jour l'attribut "memberOf" de chaque personne

Configuration ldappc :

 <?xml version="1.0" encoding="utf-8"?>

<ldappc>
  <grouper>
    <group-queries>
      <subordinate-stem-queries>
        <stem-list>
          <stem>groupes</stem>
        </stem-list>
      </subordinate-stem-queries>
    </group-queries>
    <groups structure="flat" root-dn="ou=Groups,${edu.vt.middleware.ldap.base}" ldap-object-class="groupOfNames"
            ldap-rdn-attribute="cn" grouper-attribute="name" provision-member-groups="false" >
      <group-members-dn-list list-object-class="groupOfNames" list-attribute="member" />
      <group-attribute-mapping ldap-object-class="groupOfNames">
          <group-attribute-map group-attribute="displayExtension" ldap-attribute="description" />
      </group-attribute-mapping>
    </groups>
    <memberships>
      <member-groups-list
        list-object-class="inetuser"
        list-attribute="memberOf"
        naming-attribute="name"
        temporary-directory="" />
    </memberships>
  </grouper>
  <source-subject-identifiers>
    <source-subject-identifier source="rennes1:ldap" subject-attribute="id">
      <ldap-search base="ou=people,${edu.vt.middleware.ldap.base}"
    scope="subtree_scope"
    filter="(uid={0})"
    on-not-found="warn" />
    </source-subject-identifier>
  </source-subject-identifiers>
</ldappc>

Grouper - annuaire active directory

L'annuaire est utilisé pour la gestion des droits sur des espaces partagés

La synchronisation se fait avec l'outil "LDAPPC"

Les groupes sont placés dans une unité organisationnelle "groupes", en conservant l'arborescence de la base grouper

L'attribut sAMAccountName reçoit la valeur de l'id_path grouper avec conversion des ":" en "_"

Configuration ldappc :

 <?xml version="1.0" encoding="utf-8"?>
<ldappc>
  <grouper>
    <group-queries>

      <subordinate-stem-queries>
        <stem-list>
          <stem>groupes</stem>
        </stem-list>
      </subordinate-stem-queries>
    </group-queries>
    <groups
      structure="bushy"
      root-dn="ou=GROUPER,ou=rennes1,${edu.vt.middleware.ldap.base}"
      ldap-object-class="group"
      ldap-rdn-attribute="cn"
      grouper-attribute="name"
      bundle-modifications="false"
    >
      <group-members-dn-list list-object-class="group" list-attribute="member" />
      <resolver-attribute-mapping ldap-object-class="group">
        <resolver-attribute-map resolver-attribute="grouptypead" ldap-attribute="groupType" ldap-attribute-empty-value="-2147483646"/>
        <resolver-attribute-map resolver-attribute="sAMAccountName" ldap-attribute="sAMAccountName" />
      </resolver-attribute-mapping>
    </groups>
  </grouper>
  <source-subject-identifiers>
    <source-subject-identifier source="rennes1:ldap" subject-attribute="id">
      <ldap-search base="ou=rennes1,${edu.vt.middleware.ldap.base}"
    scope="subtree_scope"
    filter="(cn={0})"
    on-not-found="warn" />
    </source-subject-identifier>
  </source-subject-identifiers>
</ldappc>

Résolution des correspondances d'attributs :

 <?xml version="1.0" encoding="UTF-8"?>
<AttributeResolver
  xmlns="urn:mace:shibboleth:2.0:resolver"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xmlns:resolver="urn:mace:shibboleth:2.0:resolver"
  xmlns:ad="urn:mace:shibboleth:2.0:resolver:ad"
  xmlns:dc="urn:mace:shibboleth:2.0:resolver:dc"
  xmlns:grouper="http://grouper.internet2.edu/shibboleth/2.0"
  xsi:schemaLocation="
   urn:mace:shibboleth:2.0:resolver classpath:/schema/shibboleth-2.0-attribute-resolver.xsd
   urn:mace:shibboleth:2.0:resolver:dc classpath:/schema/shibboleth-2.0-attribute-resolver-dc.xsd
   urn:mace:shibboleth:2.0:resolver:ad classpath:/schema/shibboleth-2.0-attribute-resolver-ad.xsd
   http://grouper.internet2.edu/shibboleth/2.0 classpath:/schema/shibboleth-2.0-grouper.xsd">

  <!-- group data connector -->
  <resolver:DataConnector id="groupDataConnector" xsi:type="grouper:GroupDataConnector">
  </resolver:DataConnector>

  <resolver:AttributeDefinition xsi:type="Script" xmlns="urn:mace:shibboleth:2.0:resolver:ad" id="sAMAccountName" sourceAttributeID="name">
    <resolver:Dependency ref="groupDataConnector" />
    <Script><![CDATA[
      // Import Shibboleth attribute provider
      importPackage(Packages.edu.internet2.middleware.shibboleth.common.attribute.provider);
      value = name.getValues().get(0);
      value = value.replaceAll("\\/", "_");
      value = value.replaceAll("\\/", "_");
      value = value.replaceAll("\\[", "_");
      value = value.replaceAll("\\]", "_");
      value = value.replaceAll("\\:", "_");
      value = value.replaceAll("\\;", "_");
      value = value.replaceAll("\\|", "_");
      value = value.replaceAll("\\=", "_");
      value = value.replaceAll("\\,", "_");
      value = value.replaceAll("\\+", "_");
      value = value.replaceAll("\\*", "_");
      value = value.replaceAll("\\?", "_");
      sAMAccountName = new BasicAttribute("sAMAccountName");
      sAMAccountName.getValues().add(value);
      ]]></Script>
  </resolver:AttributeDefinition>
  <resolver:AttributeDefinition id="grouptypead" xsi:type="Script" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="name" >
    <resolver:Dependency ref="groupDataConnector" />
    <Script><![CDATA[
      // Import Shibboleth attribute provider
      importPackage(Packages.edu.internet2.middleware.shibboleth.common.attribute.provider);
      value = -2147483646;
      grouptypead = new BasicAttribute("grouptypead");
      grouptypead.getValues().add(value);
      ]]></Script>
  </resolver:AttributeDefinition>
</AttributeResolver>