Configuration du dispositif pour authentifier les utilisateurs à l'aide d'un annuaire LDAP

Si vous le souhaitez, vous pouvez utiliser un annuaire LDAP (Lightweight Directory Access Protocol) pour authentifier les utilisateurs sur votre système IBM® WebSphere DataPower XC10 Appliance.

Avant de commencer

Vous devez disposer de droits d'accès d'administrateur du dispositif pour réaliser ces étapes.

Pourquoi et quand exécuter cette tâche

L'utilisation d'un serveur LDAP pour authentifier les utilisateurs est facultative. Si vous décidez d'utiliser un serveur LDAP externe, vous devez établir une correspondance entre tous les utilisateurs de votre système IBM WebSphere DataPower XC10 Appliance et ceux de l'annuaire LDAP spécifié. L'attribut nom d'utilisateur est utilisé pour authentifier les utilisateurs du système IBM WebSphere DataPower XC10 Appliance dans l'annuaire LDAP. Les utilisateurs ne figurant pas dans l'annuaire LDAP ne peuvent pas être authentifiés.

Vous pouvez configurer votre serveur LDAP de manière qu'il utilise un port sécurisé. Le certificat SSL (Secure Sockets Layer) du serveur LDAP doit être délivré par une autorité de certification (CA) publique certifiée qui se trouve déjà dans le fichier <JAVA_HOME>/jre/lib/security/cacerts. WebSphere DataPower XC10 Appliance ne permet pas d'utiliser des certificats auto-signés.

Procédure

  1. Accédez au panneau Paramètres. Procédez de l'une des manières suivantes :
    • Depuis la barre de menus située au sommet de l'interface utilisateur de WebSphere DataPower XC10 Appliance, sélectionnez Dispositif > Paramètres.
    • Depuis la page Bienvenue, cliquez sur le lien Personnaliser les paramètres dans la section Etape 1 : configurez l'appareil.
  2. Développez l'entrée Sécurité.
  3. Configurez votre dispositif pour authentifier les utilisateurs à l'aide d'un annuaire LDAP.
    1. Pour activer ce mécanisme, cochez la case en regard de l'option Activer l'authentification LDAP. Par défaut, la case Activer l'authentification LDAP n'est pas sélectionnée. La sélection de cette case indique à WebSphere DataPower XC10 Appliance d'utiliser le serveur LDAP pour authentifier les utilisateurs lors de leur connexion.
    2. Entrez l'URL du fournisseur JNDI. Exemple pour un annuaire LDAP non SSL :
      ldap://mycompany.com:389/ 
      ou
      ldap://mycompany.com/ 
      Si aucun port n'est spécifié de manière explicite, le numéro de port par défaut est 389. Exemple pour un annuaire LDAP SSL :
      ldaps://mycompany.com:636/ 
      ou
      ldaps://mycompany.com/ 
      Si aucun port n'est spécifié de manière explicite, le numéro de port par défaut est 636.
    3. Entrez le nom distinctif JNDI de base (utilisateurs). Exemple :
      CN=users,DC=mycompany,DC=com
    4. Entrez le nom distinctif JNDI de base (groupes). Exemple :
      DC=mycompany,DC=com
    5. Entrez le filtre de recherche (utilisateurs). Exemple :
      (&(sAMAccountName={0})(objectcategory=user)) ou uid={0}
      Remarque : L'ID utilisateur est incorporé dans l'espace réservé "{0}". "{0}" est remplacé par l'ID utilisateur de connexion saisi dans l'écran de connexion.
    6. Entrez l'authentification de sécurité JNDI. Cette zone est facultative sauf si votre serveur LDAP n'autorise pas les requêtes LDAP anonymes. Exemple :
      CN=Administrator,CN=users,DC=mycompany,DC=com
    7. Entrez le mot de passe. Cette zone correspondant aux données d'identification de sécurité JNDI est facultative, sauf si votre serveur LDAP n'autorise pas les requêtes LDAP anonymes.
  4. Testez les paramètres d'authentification LDAP que vous avez définis. Vous pouvez tester les paramètres que vous avez définis pour configurer l'authentification avec le serveur LDAP. Cette section vous permet d'exécuter des requêtes LDAP afin de rechercher des utilisateurs ou des groupes.
    1. Cliquez sur Test des paramètres d'authentification LDAP pour développer cette section.
    2. Pour tester un nom d'utilisateur, entrez un nom d'utilisateur dans la zone Utilisateur LDAP, puis cliquez sur le bouton Test de requête LDAP. Exemple :
      utilisateur_test@us.ibm.com

      Si la requête aboutit, le message suivant s'affiche : Nom distinctif d'utilisateur LDAP trouvé : <informations utilisateur>. Si la requête échoue, un message d'erreur s'affiche.

    3. Pour tester un nom de groupe, entrez un nom de groupe dans la zone Groupe LDAP, puis cliquez sur le bouton Test de requête LDAP associé. Exemple :
      Groupe test

      Si la requête aboutit, le message suivant s'affiche : Nom distinctif de groupe LDAP trouvé : <informations utilisateur>. Si la requête échoue, un message d'erreur s'affiche.

Résultats

Vous avez défini un annuaire LDAP pour authentifier les utilisateurs externes qui accèdent à l'interface utilisateur.

Que faire ensuite

La maîtrise du contrôle d'accès des utilisateurs aux différentes zones de votre environnement constitue un élément important de votre solution de sécurité. Pour plus d'informations sur la gestion des utilisateurs et des groupes et de leurs autorisations, reportez-vous à la rubrique Gestion des utilisateurs et des groupes.