Activation d'un serveur d'annuaire LDAP

Pourquoi et quand exécuter cette tâche

Dans la console de gestion Web, vous pouvez choisir qu'un serveur LDAP traite l'authentification et l'autorisation d'utilisateur. Lorsqu'un serveur d'annuaire LDAP est activé, les authentifications et les autorisations du serveur d'annuaire LDAP remplacent tous les utilisateurs, groupes ou droits que vous avez spécifiés à l'aide de la console de gestion Web, sauf pour l'utilisateur Admin intégré. Par conséquent, à l'exception de l'utilisateur Admin, vous pouvez authentifier et autoriser les utilisateurs et les groupes via un serveur d'annuaire LDAP ou la console de gestion Web, mais pas les deux. Que vous activiez ou non LDAP, vous pouvez mettre à jour le mot de passe de l'utilisateur Admin via l'interface de ligne de commande.

Remarque : Les utilisateurs LDAP ne seront pas en mesure d'accéder à la base de données de transfert.

Procédure

  1. Dans le panneau de navigation, sélectionnez Security > LDAP. La page de configuration de LDAP s'affiche.
  2. Sélectionnez l'option Enable LDAP. Si vous ne sélectionnez cette option, le dispositif d'intégration utilise les utilisateurs et groupes intégrés que vous avez définis dans la console de gestion Web pour authentifier et autoriser les utilisateurs ainsi que leur accès à la console de gestion Web.
  3. Spécifiez les informations d'hôte.
    1. Entrez le nom d'hôte et le numéro de port du serveur d'annuaire LDAP.
    2. Choisissez un nom distinctif de base (Base DN) ou cliquez sur Fetch DNs. La console de gestion Web extrait du serveur d'annuaire LDAP le nom distinctif de base de toutes les arborescences d'informations d'annuaire). Sélectionnez le nom distinctif de base de l'arborescence d'informations d'annuaire qui contient les utilisateurs que vous souhaitez autoriser.
  4. Choisissez l'une des options de sécurité suivantes :
    • Use Secure Connection (SASL) : active les mécanismes SASL (Simple Authentication and Security) pris en charge par le serveur d'annuaire LDAP. Il s'agit de l'option la plus sécurisée.
    • Use Simple Authentication : active les authentifications simples, mais ne chiffre pas les données d'identification.
    • Anonymous Bind : active la liaison anonyme avec le serveur d'annuaire LDAP. Il s'agit de l'option la moins sécurisée.
  5. Si vous avez sélectionné l'option de sécurité Use Secure Connection (SASL), indiquez un mécanisme et configurez les propriétés et les règles du mécanisme.
  6. Si le serveur d'annuaire LDAP nécessite une authentification pour une recherche dans le répertoire, entrez des valeurs dans les zones Principal et Password, qui se trouvent dans la section des données d'identification. Lorsque vous sélectionnez le mode d'authentification Composed DN Mode, cette étape n'est pas requise. Cependant, cette étape peut être nécessaire pour l'extraction des noms distinctifs ou des mécanismes lorsque le serveur d'annuaire LDAP n'autorise pas les recherches anonymes.

    Si vous n'indiquez pas de mot de passe, la console de gestion Web tente d'établir la liaison initiale avec le serveur LDAP en tant qu'utilisateur anonyme et le serveur LDAP ignore les données d'identification principales que vous avez spécifiées.

  7. Choisissez l'un des modes d'authentification suivants :
    • Composed DN Mode
    • Searched DN Mode
  8. Spécifiez le User Container RDN. Le mode d'authentification que vous indiquez détermine la valeur que vous devez entrer ici.
    • Si vous avez sélectionné le mode Composed DN, le User Container RDN comprend un ou plusieurs attributs issus du nom distinctif de l'utilisateur. Construisez le User Container RDN en remontant l'arborescence à partir de l'ancêtre immédiat de l'utilisateur jusqu'à l'entrée située juste avant la base et en ajoutant le RDN de chaque entrée dans le chemin.

      Par exemple, si :

      User DN = "uid=JohnK,ou=emp,dc=xyz,dc =com"

      alors

      User Container RDN = "ou=emp"

    • Si vous avez sélectionné le mode Searched DN, la zone User Container RDN est généralement vide, ce qui fait que le serveur d'annuaire LDAP fait des recherche dans la totalité de l'arborescence des informations d'annuaire en commençant par la racine (Base). Dans le cas contraire, le serveur d'annuaire fait des recherches dans la sous-arborescence dont la racine se trouve au niveau de l'entrée comportant DN = User Container RDN +BaseDN.
  9. Si vous avez sélectionné le mode Searched DN, indiquez le filtre de recherche d'utilisateur que le serveur d'annuaire LDAP utilise pour rechercher le nom distinctif de l'utilisateur (requis uniquement si vous sélectionnez le mode Searched DN). Cette entrée accepte la spécification de filtre de recherche LDAP ainsi qu'un nom d'utilisateur au format $USERNAME. Exemple :
    • Dans MSAD, cette entrée peut être "(samAccountName=$USERNAME)"
    • Dans SunOne, cette entrée peut être "(uid=$USERNAME)"
  10. Indiquez le nom distinctif principal de l'utilisateur, qui indique le nom distinctif de l'utilisateur que le serveur d'annuaire LDAP connecte après la recherche. Vous pouvez spécifier $USERNAME ou $DN pour représenter le nom d'utilisateur et le nom distinctif. Où $DN représente (RDN+BaseDN) pour Compose DN Mode et searched DN pour Search DN Mode. Dans la plupart des cas, $DN est l'entrée. Cependant, lors de l'utilisation de SASL dans MSAD, il est peut-être nécessaire de spécifier $USERNAME. Pour SASL dans SunOne, il vous suffit de spécifier "dn:$DN".
  11. Spécifiez les informations de mappage de groupes.
    1. Spécifiez le filtre de groupe Admin.
    2. Spécifiez le filtre de groupe Diffuseur de publications.
    3. Spécifiez le filtre de groupe.
  12. Cliquez sur Save.