Pour les organisations qui disposent d’un grand nombre de membres gérés via des magasins d’identités Active Directory ou LDAP (Lightweight Directory Access Protocol), il peut être difficile d’identifier les comptes qui ne sont plus actifs ou qui ne sont plus associés à des utilisateurs de domaine.ArcGIS Enterprise inclut un outil de script Python, AD_LDAP_Users.py, qui analyse tous les membres Active Directory et LDAP et identifie ceux qui sont obsolètes ou qui n’ont plus de compte de domaine. Si des utilisateurs sont identifiés, le script génère un rapport HTML répertoriant les utilisateurs, ainsi que le nombre d’éléments et de groupes détenus par l’utilisateur et la date de sa dernière connexion.
Remarque :
Ce script est conçu uniquement pour évaluer les membres des magasins d’identités Active Directory ou LDAP. Il ne fonctionnera pas avec des membres SAML ou OpenID Connect.Si un administrateur souhaite supprimer ces membres, les éléments ou groupes doivent d’abord être transférés. Pour faciliter ce processus, le script génère jusqu’à deux fichiers .txt. Si nécessaire, un fichier AD_LDAP_Transfer.txt pouvant être utilisé avec l’utilitaire de ligne de commande TransferOwnership est créé pour transférer tous les éléments et groupes vers le compte d’administrateur utilisé pour exécuter le script. Un fichier AD_LDAP_Delete.txt pouvant être utilisé avec l’utilitaire de ligne de commande DeleteUsers est également créé pour supprimer ces utilisateurs.
Le script AD_LDAP_Users.py se trouve dans \tools\accountmanagement directory. Exécutez le script à partir de la ligne de commande avec AD_LDAP_Users.bat, qui est dans le même répertoire. Vous avez la possibilité de spécifier un ou plusieurs paramètres lors de l'exécution du script.
Paramètres AD_LDAP_Users.py
Le tableau suivant décrit les paramètres AD_LDAP_Users.py :
| Paramètre | Description |
|---|---|
-n | Nom de domaine complet de la machine sur laquelle Portal for ArcGIS est installé (en d’autres termes, gisportal.domain.com). La valeur par défaut est le nom d’hôte de la machine sur laquelle le script est exécuté. |
-u | Le nom d'utilisateur d'un compte d'administrateur. |
-p | Le mot de passe d'un compte d'administrateur. |
-o | Le répertoire dans lequel le rapport d’analyse des utilisateurs et les fichiers .txt correspondants seront enregistrés. Le répertoire par défaut est le dossier dans lequel vous exécutez le script. |
-t | Un jeton peut être généré et utilisé à la place du nom d’utilisateur et du mot de passe. Lorsque vous générez un jeton, userScan doit être saisi dans le champ Webapp URL. Lorsqu'un jeton est fourni, il remplace le nom d'utilisateur ou le mot de passe indiqué. |
--ignoressl | Désactivez la vérification du certificat SSL. Si Python ne juge pas l’émetteur du certificat utilisé sur le port 7443 digne de confiance, le script échoue. Si besoin, le paramètre peut être défini de manière à ignorer tous les certificats. |
-h ou -? | Génère une liste de paramètres qui peuvent être spécifiés lors de l'exécution du script. |
Exemple : python AD_LDAP_Users.sh -n portal.domain.com -u admin -p my.password -o C:\Temp
Si le script AD_LDAP_Users.py est exécuté sans spécifier de paramètres, vous êtes invité à les saisir manuellement ou à sélectionner la valeur par défaut. Si vous avez l’intention d’utiliser un jeton, il doit être fourni en tant que paramètre lors de l’exécution du script.
Si des membres sont identifiés, le script génère un rapport au format HTML qui répertorie ces membres, ainsi que le nombre d’éléments et de groupes détenus par eux et la date de leur dernière connexion. Un fichier .txt répertoriant ces noms d’utilisateur est également généré, ainsi qu’un second fichier .txt pour les utilisateurs qui possèdent des éléments ou des groupes. Les fichiers .txt sont destinés à être utilisés avec les autres utilitaires de ligne de commande pour transférer les éléments et supprimer les utilisateurs.
Par défaut, le rapport est enregistré dans le dossier dans lequel vous exécutez le script et se nomme AD_LDAP_Users_Scan_Report_[hostname]_[date].html.
Les fichiers .txt sont enregistrés dans le même dossier que le rapport d’analyse HTML et se nomment AD_LDAP_Transfer.txt et AD_LDAP_Delete.txt.
Vous avez un commentaire à formuler concernant cette rubrique ?