Active Directory¶
Catégorie : Identity | Version : 1.0.0 | Nécessite : Tevyra Proxy
À quoi sert ce module ?¶
Le module Active Directory synchronise automatiquement vos données AD dans Tevyra : utilisateurs, groupes, ordinateurs et unités d'organisation. Vous pouvez aussi effectuer des actions directement depuis Tevyra — créer un utilisateur, réinitialiser un mot de passe, gérer les groupes.
Proxy requis
Ce module nécessite un Tevyra Proxy déployé dans votre réseau pour accéder aux contrôleurs de domaine via LDAP/LDAPS. Consultez le guide d'installation du proxy.
Avant de commencer¶
Pour configurer ce module, vous aurez besoin de :
- Un compte de service AD avec droits de lecture sur l'annuaire (voir guide ci-dessous)
- L'adresse de votre contrôleur de domaine (ex :
dc01.company.local) - Le port 636 (LDAPS) ou 389 (LDAP) ouvert depuis le proxy vers le(s) DC
- Le Tevyra Proxy installé dans votre réseau
Configuration¶
Paramètres requis¶
| Paramètre | Type | Description |
|---|---|---|
servers | array | Liste des serveurs LDAP/AD |
Paramètres optionnels¶
| Paramètre | Type | Défaut | Description |
|---|---|---|---|
verify_ssl | boolean | True | Vérifie les certificats SSL/TLS |
sync_disabled_users | boolean | False | Synchronise aussi les comptes désactivés |
Exemple de configuration¶
{
"servers": [
{
"url": "ldaps://dc01.company.local:636",
"base_dn": "DC=company,DC=local",
"bind_user": "svc-tevyra@company.local",
"bind_password": "secure-password"
}
],
"verify_ssl": true,
"sync_disabled_users": false
}
Multi-serveurs
Vous pouvez configurer plusieurs serveurs pour le failover ou les environnements multi-domaines.
Donnees collectees¶
Une fois active, le module synchronise automatiquement les donnees suivantes :
| Type d'asset | Description |
|---|---|
ad_user | Utilisateurs Active Directory |
ad_group | Groupes de sécurité et de distribution |
ad_computer | Ordinateurs et serveurs joints au domaine |
ad_ou | Unités organisationnelles (OU) |
Intervalle de synchronisation par defaut : 5 minutes
Actions disponibles¶
Depuis l'interface Tevyra, vous pouvez executer les actions suivantes :
| Action | Description |
|---|---|
ad.create_user | Crée un utilisateur dans Active Directory |
ad.disable_user | Désactive un compte utilisateur |
ad.enable_user | Réactive un compte utilisateur |
ad.reset_password | Réinitialise le mot de passe d'un utilisateur |
ad.add_to_group | Ajoute un utilisateur à un groupe |
ad.remove_from_group | Retire un utilisateur d'un groupe |
Indicateurs¶
Le tableau de bord affiche les indicateurs suivants :
| Indicateur | Description |
|---|---|
users_total | Nombre total d'utilisateurs |
users_enabled | Utilisateurs actifs |
users_disabled | Utilisateurs desactives |
computers_total | Nombre total d'ordinateurs |
groups_total | Nombre total de groupes |
Creer le compte de service¶
Etape 1 : Creer le compte¶
- Ouvrez Active Directory Users and Computers
- Creez un utilisateur dans une OU dediee (ex:
OU=ServiceAccounts) - Nommez le compte :
svc-tevyra - Definissez un mot de passe fort
- Cochez Password never expires
Etape 2 : Permissions de lecture¶
Le compte doit avoir les droits de lecture sur les OUs a collecter. Par defaut, tout utilisateur du domaine a ces droits.
Etape 3 : Permissions d'ecriture (optionnel)¶
Pour utiliser les actions (creation d'utilisateurs, reinitialisation de mots de passe...), deleguez les droits suivants sur les OUs cibles :
- Creer/supprimer des utilisateurs
- Reinitialiser les mots de passe
- Modifier l'appartenance aux groupes