Paramètres de configuration du référentiel du protocole LDAP (Lightweight Directory Access Protocol)

Cette page permet de configurer un accès sécurisé à un référentiel LDAP (Lightweight Directory Access Protocol) avec des serveurs de basculement facultatifs.

Pour afficher cette page de la console d'administration, procédez comme suit :
  1. Dans la console d'administration, sélectionnez Sécurité > Sécurité globale.
  2. Sous Référentiel du compte utilisateur, sélectionnez Référentiels fédérés dans la zone Définitions des domaines disponibles et cliquez sur Configurer. Pour configurer un domaine spécifique dans un environnement de domaines de sécurité multiple, cliquez sur Domaines de sécurité > nom_domaine. Sous Attributs de sécurité, développez Domaine utilisateur et cliquez sur Personnalisation pour ce domaine. Sélectionnez le type de domaine Référentiels fédérés et cliquez sur Configurer.
  3. Dans la section Articles liés, cliquez sur Gestion des référentiels.
  4. Cliquez sur Ajouter pour indiquer un nouveau référentiel externe ou sélectionnez un référentiel préconfiguré.

Lorsque l'ajout ou la mise à jour de la configuration du référentiel fédéré est terminé, accédez à l'écran Sécurité > Sécurité globale, puis cliquez sur Valider pour valider les modifications.

Identificateur de référentiel

Indique un identificateur unique pour le référentiel LDAP. Il identifie le référentiel de façon unique dans la cellule, par exemple : LDAP1.

Type de répertoire

Indique le type de serveur LDAP auquel vous vous connectez.

Affichez la liste déroulante pour visualiser la liste des types de répertoire LDAP.

Nom d'hôte primaire

Indique le nom d'hôte du serveur LDAP primaire. Ce nom est soit une adresse IP, soit un nom DNS (domain name service).

port

Indique le port du serveur LDAP.

La valeur par défaut est 389 et ne correspond pas à une connexion SSL (Secure Sockets Layer). Utilisez le port 636 pour une connexion SSL (Secure Sockets Layer). Pour certains serveurs LDAP, vous pouvez spécifier un autre port pour une connexion SSL ou non SSL. Si vous ne savez pas quel port utiliser, contactez l'administrateur de serveur LDAP.

Information valeur
Type de données : Entierr
Valeur par défaut 389
Portée 389, qui ne correspond pas à une connexion SSL (Secure Sockets Layer)

636, qui correspond à une connexion SSL (Secure Sockets Layer)

Nom d'hôte de basculement

Indique le nom d'hôte du serveur LDAP de basculement.

Vous pouvez indiquer un serveur d'annuaire secondaire à utiliser si le serveur d'annuaire principal n'est plus disponible. Après avoir basculé vers un serveur d'annuaire secondaire, le référentiel LDAP tente de se reconnecter au serveur d'annuaire primaire toutes les 15 minutes.

port

Indique le port du serveur LDAP de basculement.

La valeur par défaut est 389 et ne correspond pas à une connexion SSL (Secure Sockets Layer). Utilisez le port 636 pour une connexion SSL (Secure Sockets Layer). Pour certains serveurs LDAP, vous pouvez spécifier un autre port pour une connexion SSL ou non SSL. Si vous ne savez pas quel port utiliser, contactez l'administrateur de serveur LDAP.

Information valeur
Type de données : Entierr
Portée 389, qui ne correspond pas à une connexion SSL (Secure Sockets Layer)

636, qui correspond à une connexion SSL (Secure Sockets Layer)

Référenceurs de support vers d'autres serveurs LDAP

Indique le mode de gestion des renvois rencontrés par le serveur LDAP.

Un référenceur est une entité utilisée pour rediriger une requête client vers un autre serveur LDAP. Il contient les noms et les emplacements d'autres objets. Il est envoyé par le serveur pour indiquer que les informations demandées par le client se trouvent à un autre emplacement, éventuellement sur un ou plusieurs autres serveurs. La valeur par défaut est ignorée.

Information valeur
Valeur par défaut Ignorer
Portée
Ignorer
Les référenceurs sont ignorés.
Suivre
Les référenceurs sont suivis automatiquement.

Support pour le suivi des modifications apportées au référentiel

Indique le type de support pour le suivi des modifications du référentiel. Le gestionnaire de profil se rapporte à cette valeur avant de transmettre la demande à l'adaptateur correspondant. Si la valeur est none, ce référentiel n'est pas appelé pour extraire les entités modifiées.

Aucune
Indique qu'aucun support de suivi des modifications n'est disponible pour ce référentiel.
natif
Indique que le mécanisme de suivi des modifications natif du référentiel est utilisé par le gestionnaire de membre virtuel pour le renvoi des entités modifiées.

Propriétés personnalisées.

Indique les paires de valeurs et le nom arbitraires pour les données. Le nom est une clé de propriété et la valeur est une chaîne de valeurs pouvant être utilisés pour définir les propriétés de configuration internes du système.

La définition d'une nouvelle propriété permet de configurer un paramètre en plus des paramètres disponibles dans la console d'administration.

Nom distinctif de liaison

Indique le nom distinctif (DN) qu'utilise le serveur d'applications lors de la liaison au référentiel LDAP.

Si aucun nom n'est spécifié ici, la liaison sera anonyme. Dans la plupart des cas, les noms distinctifs et les mots de passe de connexion sont nécessaires. Toutefois, lorsqu'une liaison anonyme peut satisfaire toutes les fonctions requises, le nom distinctif et le mot de passe de liaison ne sont pas nécessaires.

Mot de passe de liaison

Indique le mot de passe qu'utilise le serveur d'applications lors de la liaison au référentiel LDAP.

Propriétés de connexion

Indique les noms de propriété à utiliser pour se connecter au serveur d'applications.

Cette zone accepte plusieurs propriétés de connexion séparées par des points-virgules (;). uid;mail, par exemple. Toutes les propriétés de connexion sont recherchées lors de l'établissement de la connexion. Une exception est émise lorsqu'aucune ou plusieurs entrées sont trouvées. Si, par exemple, vous entrez les propriétés de connexion uid;mail et l'ID de connexion Bob, le filtre de recherche recherche uid=Bob ou mail=Bob. Lorsque la recherche renvoie une seule entrée, l'authentification peut continuer. Sinon, une exception est émise.

Configurations prises en charge Configurations prises en charge: Si vous définissez plusieurs propriétés de connexion, la première est mappée à l'aide d'un programme à la propriété principalName des référentiels fédérés. Par exemple, si vous indiquez uid;mail comme propriétés de connexion, la valeur d'UID d'attribut LDAP est mappé à la propriété principalName des référentiels fédérés. Si vous définissez plusieurs propriétés de connexion, après la connexion, la première est renvoyée comme valeur de la propriété principalName. Par exemple, si vous transmettez joe@yourco.com comme valeur de propriété principalName et que les propriétés de connexion configurées sont uid;mail, la propriété principalName renvoyée a pour valeur joe.sptcfg

Attribut LDAP pour un nom principal Kerberos

Indique l'attribut LDAP pour un nom principal Kerberos. Cette zone peut être modifiée lorsque Kerberos est configuré et qu'il s'agit de l'un des mécanismes d'authentification favoris ou actifs.

Mappage de certificats

Indique si les certificats X.509 doivent être mappés dans un annuaire LDAP par nom distinctif exact (EXACT_DN) ou par filtre de certificats (CERTIFICATE_FILTER). Choisissez CERTIFICATE_FILTER si vous souhaitez utiliser le filtre de certificats spécifié pour le mappage.

Filtre de certificats

Indique la propriété de mappage de certificat de filtre pour le filtre LDAP. Ce filtre est utilisé pour mapper des attributs du certificat client vers des entrées du référentiel LDAP.

Si plusieurs entrées LDAP correspondent à la spécification du filtre au cours de l'exécution, l'authentification échoue car la correspondance est alors considérée comme ambiguë. La syntaxe ou structure de ce filtre est la suivante :

LDAP attribute=${attribut de certificat client}

Exemple de filtre de certificats simple : uid=${SubjectCN}.

Vous pouvez également indiquer plusieurs propriétés et valeurs dans le cadre du filtre de certificats. Deux exemples de filtres de certificats complexes :

(&(cn=${IssuerCN}) (employeeNumber=${SerialNumber})

(& (issuer=${IssuerDN}) (serial=${SerialNumber}) (subjectdn=${SubjectDN}))

La partie gauche de la spécification de filtre est un attribut LDAP qui dépend du schéma que votre serveur LDAP doit utiliser. La partie droite de la spécification du filtre est l'un des attributs publics du certificat de votre client. Vous pouvez également utiliser la variable de certificat UniqueKey, qui correspond au codage en base64 du hachage MD5 du nom distinctif de l'objet et de l'émetteur. La partie de droite doit commencer par le signe dollar ($) et une accolade ouvrante ({) et se terminer par une accolade fermante (}). Vous pouvez utiliser les valeurs d'attribut de certificat suivantes dans la partie droite de la spécification du filtre. L'utilisation des minuscules et des majuscules dans les chaînes est importante :
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuerxx}xx est remplacé par les caractères représentant un composant valide du nom distinctif de l'émetteur. Par exemple, vous devez utiliser ${IssuerCN} pour le nom commun de l'émetteur (Issuer Common Name).
  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subjectxx}xx est remplacé par les caractères représentant un composant valide du nom distinctif du sujet. Par exemple, vous pouvez utiliser ${SubjectCN} pour le nom commun du sujet.
  • ${Version}

Communications SSL obligatoires

Indique si la communication SSL est activée sur le serveur LDAP.

Lorsque cette option est activée, les paramètres SSL (Secure Sockets Layer) pour LDAP sont utilisés, s'ils sont spécifiés.

Géré de façon centrale

Indique que la sélection d'une configuration SSL est basée sur la vue de topologie sortante de la plateforme JNDI (Java™ Naming and Directory Interface).

Les configurations gérées de façon centrale prennent en charge un seul emplacement pour tenir à jour les configurations SSL, plutôt que de les répartir entre les documents de configuration.

Information valeur
Valeur par défaut Activé
Portée Activé ou désactivé

Utiliser un alias SSL spécifique

Indique l'alias de configuration SSL que vous voulez utiliser pour les communications SSL sortantes LDAP.

Cette option remplace la configuration gérée de façon centrale pour la plateforme JNDI.


Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=uwim_ldapreposettings
Nom du fichier : uwim_ldapreposettings.html