Serveur d'impression

PaperCut et Active Directory | PaperCut – Serveur d’impression

Le 31 mars 2020 - 7 minutes de lecture

Tout PaperCut les produits commercialisés après 2004 incluent la prise en charge native complète d'Active Directory, y compris la prise en charge des groupes imbriqués et des unités organisationnelles. PaperCut continue également de prendre en charge les domaines de style NT plus anciens.

Q Comment PaperCut intégrer avec Active Directory?

PaperCut accède à Active Directory en lecture seule pour l'authentification des utilisateurs et l'extraction des métadonnées de compte d'utilisateur telles que l'adresse e-mail, le nom complet, le bureau, le service et l'appartenance au groupe Un accès en écriture ou un accès avec droits élevés n'est pas requis. Lors de l'exécution sur un serveur Windows PaperCut utilise Active Directory natif APIs. Lors de l'exécution sur un système Linux ou Mac PaperCut accède à AD via l'interface LDAP distante.

PaperCut ne mettra jamais en cache les informations d'identification des droits d'utilisateur (par exemple, les mots de passe). Conformément aux meilleures pratiques de sécurité, l'authentification des utilisateurs se fait via une interrogation en temps réel au moment de l'authentification. Les métadonnées du compte d'utilisateur (par exemple, le nom complet) sont mises en cache localement pour minimiser la charge sur le serveur AD et ne sont interrogées que pendant:

  • Création initiale du compte
  • Pendant la synchronisation de nuit si activé
  • Pendant une synchronisation manuelle utilisateur / groupe

Pour un aperçu plus détaillé de la façon dont PaperCut s'intègre à AD, consultez l'article Dépannage de l'authentification AD.

Q Que fait PaperCut utiliser pour synchroniser, lors de la synchronisation avec AD?

PaperCut utilise le Nom d'utilisateur de l'utilisateur – techniquement sAMAccountName synchroniser les utilisateurs depuis AD – ne pas l'UPN ou le GUID. Cela signifie que si vous renommez un utilisateur de «alex» en «alex1» dans AD, Papercut ajoutera cet utilisateur (alex1) en tant que nouvel utilisateur. (Voir Comment renommer des comptes d'utilisateurs dans PaperCut si c'est un problème auquel vous êtes confronté). Cela signifie également que si vous modifiez les UPN pour les utilisateurs dans AD, il habitude avoir un impact sur la synchronisation AD.

Cependant, si vous sont intéressés par la synchronisation avec UPN à la place, nous avons maintenant une fonctionnalité dans la version 19.2 qui permet la synchronisation en utilisant UPN au lieu du nom d'utilisateur.

Q fait PaperCut prendre en charge plusieurs domaines?

Oui. PaperCut a un support multi-domaine et est couramment utilisé dans les arrangements d'arbres / forêts complexes. Notez que si vous avez plusieurs domaines contenant des utilisateurs qui ont des noms d'utilisateur en double, jetez un œil à notre fonction de synchronisation à l'aide de UPN au lieu du nom d'utilisateur (en 19.2 PaperCut NG / MF synchronise les noms d'utilisateur sur plusieurs domaines Active Directory en utilisant le nom d'utilisateur principal (UPN), en évitant les conflits de noms d'utilisateurs).

Q J'ai un environnement Active Directory «verrouillé» et PaperCut a des problèmes d'accès à l'AD. Comment puis-je réparer cela?

Par défaut, PaperCut fonctionne comme Système local Compte. Ceci est généralement considéré comme la meilleure pratique pour les services. Le compte système local doit avoir accès pour interroger l'AD (accès en lecture seule) dans la plupart des environnements de domaine par défaut. Si toutefois le serveur n'est pas membre du domaine (peut-être dans un autre domaine) ou si l'environnement AD a été verrouillé par défaut, une configuration supplémentaire peut être requise.

La solution consiste à élever les privilèges utilisés pour exécuter le PaperCut Service de serveur d'applications. Cela se fait sous:

Panneau de configurationOutils d'administrationPrestations de service

Sélectionnez le PaperCut Serveur d'application service, le Se connecter languette. Remplacez le compte de service par un compte qui possède à la fois des droits d'administrateur local et au moins un accès en lecture à l'AD. Les meilleures pratiques suggèrent que vous devez créer un nouveau compte d'utilisateur (la convention courante consiste à utiliser un nom comme svcpapercut) et définissez le mot de passe du compte sur «ne jamais expirer».

Q Mes utilisateurs dans AD ne figurent pas dans l'un de mes groupes. Quel est le problème?

Cela peut être dû à l'utilisation du champ de groupe principal hérité dans AD. Le problème est discuté en détail ci-dessous.

Q Quelles sont les limitations des groupes principaux Active Directory?

Dans un domaine Active Directory, tous les utilisateurs ont un «groupe principal», qui n'est utilisé que pour des raisons héritées et pour la conformité POSIX. Par défaut, le groupe principal de tous les utilisateurs Active Directory est défini sur le groupe intégré «Utilisateurs du domaine». Il est recommandé de laisser «Utilisateurs du domaine» comme groupe principal (meilleure pratique suggérée par Microsoft) et d'utiliser des groupes standard pour la gestion.

En raison d'une limitation dans Active Directory, lorsqu'un utilisateur est membre d'un groupe du fait qu'il s'agit du groupe principal de l'utilisateur, il n'est pas signalé comme membre de ce groupe lors de l'utilisation des API Active Directory.

Par exemple, si le groupe principal d'un utilisateur est défini sur un groupe appelé «Personnel», l'utilisateur n'apparaîtra pas comme un membre du «Personnel» lors de l'utilisation des API Active Directory sélectionnées.

Ce comportement peut nuire à PaperCutLes fonctionnalités basées sur les groupes (comme l'allocation de quotas ou les nouvelles règles de création d'utilisateurs), car l'utilisateur n'est pas correctement signalé comme étant membre du groupe.

Pour cette raison, il est fortement recommandé de laisser «Utilisateurs du domaine» comme groupe principal pour tous les utilisateurs de votre domaine.

Solution de contournement:

Si vous devez utiliser un groupe dans PaperCut qui est également utilisé comme groupe principal, où les utilisateurs sont membres d'un groupe du fait qu'il s'agit de leur groupe principal, le travail consiste à créer un groupe miroir.

Par exemple, si vous avez un groupe appelé «Personnel» et que vous ne pouvez pas utiliser ce groupe en raison du problème de groupe principal, créez un nouveau groupe appelé PersonnelStandard et ajouter des membres du personnel à ce groupe. Vous pouvez profiter du système de requête Active Directory pour identifier et ajouter rapidement les utilisateurs du personnel. Le nouveau groupe PersonnelStandard peut ensuite être utilisé avec précision dans PaperCut.

Q Existe-t-il une prise en charge des groupes imbriqués avec un serveur d'applications Linux ou Mac?

En raison des limitations des différentes implémentations du protocole LDAP, la fonctionnalité de groupe imbriqué n'est pas disponible si vous n'utilisez pas «Windows Active Directory» comme source de synchronisation. Vous devrez utiliser un «groupe plat» à la place. Nous vous recommandons de prendre cela en considération lorsque vous choisissez d'utiliser Linux ou Mac OS X.

Q Si je mets à jour manuellement un numéro de carte dans PaperCutet le numéro de carte dans AD est vide, mon numéro mis à jour manuellement sera-t-il écrasé lors de la prochaine synchronisation?

Non – si vous synchronisez avec par exemple Active Directory et vous mettez à jour manuellement le numéro de carte principal d'un utilisateur vers 23456 (via le PaperCut l'interface d'administration) et le numéro de carte de cet utilisateur est vierge dans AD, la prochaine fois que la synchronisation s'exécutera, ne pas écraser cette valeur. Le numéro de carte principal 23456 restera. Les champs dans AD ne seront synchronisés que s'ils sont renseignés avec une valeur. Il en va de même pour par exemple bureau, département, champs de pager.


Catégories: FAQ, gestion des utilisateurs


Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.