Un administrateur de référentiel peut déléguer l'authentification des utilisateurs de référentiel à un serveur LDAP. Une fois que votre référentiel a été configuré pour permettre l'accès aux utilisateurs authentifiés par LDAP, ces utilisateurs peuvent se connecter sans intervention supplémentaire de la part de l'administrateur du référentiel. La première fois qu'un utilisateur LDAP se connecte au référentiel, un compte est automatiquement créé pour lui dans les groupes Utilisateurs externes et Public.
L'intégration de LDAP par le référentiel de PowerAMC ne permet que l'authentification. Les autorisations restent gérées via les permissions définies dans l'environnement du référentiel. Au départ, les utilisateurs membre du groupe Utilisateurs externes disposent uniquement du droit Connexion, et les membres de Public ont un accès en lecture à tout le contenu du référentiel. L'administrateur va leur octroyer les droits et permissions appropriés (voir Octroi de permissions d'accès sur un élément de référentiel).
Pour garder un contrôle précis des permissions d'écriture sur les documents du référentiel et mettre tout en place avant que les utilisateurs LDAP ne se connectent au référentiel, l'utilisateur peut créer manuellement les comptes et affecter des permissions avant que ces utilisateurs ne se connectent (voir Préconfiguration des permissions utilisateur LDAP).
Pour saisir les paramètres de configuration LDAP, sélectionnez Administration > Paramètres LDAP (ou bien pointez sur le noeud racine, cliquez le bouton droit de la souris, puis sélectionnez Propriétés afin d'afficher la feuille de propriétés du référentiel, puis cliquez sur l'onglet LDAP).
>Plusieurs des paramètres de la zone de groupe Paramètres généraux sont requis :
Paramètre |
Description |
---|---|
URL du fournisseur |
[requis] Spécifie l'URL du fournisseur LDAP au format ldap://hôteserveurldap:port, ou sous la forme d'une adresse IP. |
Protocole de sécurité |
[facultatif] Spécifie le protocole à utiliser lorsque vous vous connectez au serveur LDAP. Si vous utilisez SSL (qui est le seul protocole pris en charge pour l'instant), vous devez définir ce paramètre avec la valeur ssl. Nous vous recommandons de commencer par configurer votre accès LDAP sans SSL, puis de mettre en oeuvre le protocole uniquement lorsque vous vous êtes assuré du bon fonctionnement de votre accès. |
Base de recherche par défaut |
[requis] Spécifie le niveau à partir duquel la requête commence sa recherche d'utilisateurs dans l'arborescence LDAP. Au minimum, vous devez inclure les contrôleurs de domaine du serveur LDAP. Par exemple, si votre URL LDAP est http://ldap.sybase.com, votre contrôleur de domaine doit être dc=sybase, dc=com. Votre base de recherche par défaut peut inclure l'emplacement de l'annuaire des utilisateurs comme OU=Users, dc=devpd, dc=local. Les valeurs que vous saisissez ici influent sur ce que vous spécifiez pour la base de recherche d'authentification. Si vous ne spécifiez pas l'emplacement de la liste d'utilisateurs dans la base de recherche par défaut, vous devez les inclure dans la base de recherche d'authentification. |
Serveur de confiance |
[requis] Spécifie que le serveur LDAP est un serveur de confiance. |
Type de serveur |
Spécifie le type de serveur LDAP. Le fait de sélectionner un type de serveur définit
des valeurs par défaut silencieuses pour l'authentification et les filtres de rôle. Les types suivants sont disponibles :
|
Liaison anonyme |
[facultatif] Spécifie que le serveur prend en charge l'accès anonyme à l'arborescence LDAP. Si ce paramètre n'est pas sélectionné, vous devez spécifier une identité et un mot de passe de liaison. Notez que Active Directory ne prend pas en charge d'emblée les liaisons anonymes. |
Identité de liaison |
[requis, sauf si Liaison anonyme est sélectionné] Spécifie le compte LDAP qui dispose des permissions nécessaires pour interroger le service Active Directory. Si l'identité de liaison est le même DN même que celui utilisé pour la base de recherche d'authentification, alors l'identité de liaison peut être tout simplement l'ID utilisateur pour la recherche. Dans le cas contraire, vous avez besoin d'un nom et d'un mot de passe de connexion, ainsi que d'un DN (Distinguished Name (DN) pour ce compte. Par exemple, si la base de recherche par défaut est ou=people,dc=Onebridge,dc=qa, et que vous avez un utilisateur cn=csitest,cn=users,dc=Onebridge,dc=qa, alors le DN de liaison ne peut pas se contenter d'être csitest, mais doit être cn=csitest,cn=users,dc=Onebridge,dc=qa. |
Mot de passe de liaison |
[requis sauf si Liaison anonyme est sélectionné] Spécifie le mot de passe avec lequel effectuer la liaison lorsque vous construisez la connexion LDAP initiale. |
La plupart des paramètres de la zone de groupe Authentification sont obligatoires :
Paramètre |
Description |
---|---|
Filtre |
[requis] Spécifie la requête LDAP qui recherche les informations utilisateur. Pour déterminer le filtre LDAP à utiliser, vous devez connaître les propriétés
des utilisateurs définis dans Active Directory. La propriété qui a été utilisée
comme nom d'ouverture de session peut être name, samAccountName ou une autre propriété. Dans cet exemple, nous utilisons samAccountName comme nom
d'ouverture de session (que PowerAMC intercepte au moyen de la variable {uid} :
(&(samAccountName={uid})(objectclass=user)) |
Portée |
[requis] Spécifie la portée de la recherche d'authentification. Vous pouvez
choisir l'une des valeurs suivantes :
|
Méthode |
[requis] Spécifie la méthode à utiliser pour les requêtes d'authentification. Vous
pouvez choisir l'une des valeurs suivantes :
|
Format Digest MD5 |
[requis] Spécifie le format d'authentification DIGEST-MD5 d'identité de liaison. La valeur par défaut est DN |
Base de recherche |
[facultatif] Si la base de recherche par défaut spécifiée dans la zone de groupe Général n'inclut pas l'emplacement de la liste d'utilisateurs dans votre Active Directory, vous devez le spécifier ici. Les utilisateurs peuvent se trouver dans un noeud commun (common node) comme cn=Users ou dans une unité d'organisation comme OU=Users. Pour déterminer la base de recherche appropriée, vous devez utilisez un navigateur LDAP pour examiner le DN (distinguished name) complet d'un utilisateur. Notez que votre identité de liaison peut être un utilisateur situé sur un autre noeud que celui des utilisateurs généraux, il est donc crucial de disposer des informations précises concernant chacun d'entre eux. |
PowerAMC ne prend pas en charge les authentifications basées sur le rôle, de sorte que les valeurs que vous entrez dans la zone de groupe Rôle ne seront pas prises en compte :
Paramètre |
Description |
---|---|
Filtre |
Spécifie le filtre de recherche de rôle qui, combiné à la base de recherche et à la portée, renvoie une liste complète de rôles au sein du serveur LDAP. Il existe plusieurs valeurs par défaut en fonction du type de serveur choisi. Si le type de serveur n'est pas choisi ou si cette propriété n'est pas initialisée, aucun rôle ne sera disponible. |
Portée |
Spécifie la portée de la recherche du rôle. Vous pouvez choisir l'une des valeurs suivantes :
|
Renvoi |
Spécifie le traitement des renvois. Vous pouvez choisir l'une des valeurs suivantes :
|
Attribut de nom |
Spécifie l'attribut pour les rôles extraits qui est le nom commun du rôle. Si cette valeur est "dn", elle est interprétée spécialement comme le dn entier du rôle comme le nom de rôle. La valeur par défaut est "cn", le nom commun (common name). |
Base de recherche |
Spécifie la base de recherche du rôle. |