Connexion à un serveur LDAP pour l'authentification des utilisateurs

Un administrateur de référentiel peut déléguer l'authentification des utilisateurs de référentiel à un serveur LDAP. PowerAMC prend en charge l'authentification via Active Directory et d'autres mises en oeuvre LDAP. Vous pouvez également permettre la création automatique de comptes de référentiel lorsqu'un utilisateur LDAP se connecte au référentiel pour la première fois.

1. Connectez-vous au référentiel et sélectionnez Référentiel > Administration > Paramètres LDAP (ou pointez sur le noeud racine, cliquez le bouton droit de la souris, puis sélectionnez Propriétés pour ouvrir la feuille de propriétés de référentiel, puis cliquez sur l'onglet LDAP).
2. Sélectionnez le Type de serveur dans la liste pour définir des valeurs par défaut pour les autres paramètres.
   Pour Active Directory, si votre environnement prend charge la liaison anonyme, vous pouvez être en mesure de vous connecter sans configuration supplémentaire. Cliquez sur le bouton Tester la connexion et suivez les instructions de la boîte de dialogue. Si votre connexion se passe bien, vous pouvez ensuite activer les options Utiliser SSL (Secure Socket Layer) et Enregistrer automatiquement les utilisateurs dans le référentiel et passe directement à l'étape 6.
3. Modifiez les paramètres appropriés dans la zone de groupe Général :

   Paramètre	Description
   Type de serveur	Spécifie le type de serveur LDAP et définit les valeurs par défaut pour le serveur. Les types suivants sont disponibles : Active Directory - si votre environnement prend en charge les liaison anonymes, vous pouvez être en mesure de vous connecter sans configuration supplémentaire. Cliquez sur l'outil Tester la connexion et suivez les instructions de cette boîte de dialogue. Netscape Directory Server OpenLDAP Oracle Directory Server Autre Si vous éditez un paramètre et souhaitez revenir aux valeurs par défaut, cliquez sur le bouton Paramètres par défaut.
   URL de fournisseur	Spécifie l'URL pour le fournisseur LDAP. Par défaut, pour Active Directory, PowerAMC va automatiquement détecter le serveur LDAP le plus proche et l'utiliser pour authentification, en initialisant ce champ à : LDAP://_ldap.domaine:389 Pour d'autres serveurs, ce champ sera initialisé en : LDAP://ldap.domaine:389 et vous devez remplacer ldap par le nom ou l'adresse IP de votre serveur LDAP.
   Utiliser SSL (Secure Socket Layer)	Demande à PowerAMC de se connecter au serveur LDAP en utilisant SSL, en changeant le port du fournisseur LDAP pour le port standard sécurisé 636. Si vous avez déployé le Portail PowerAMC, vous devez obtenir et enregistrer un certificat d'autorité de certification dans l'installation Java (voir Importation d'un certificat LDAPS pour le Portail PowerAMC). Remarque : Dans la plupart des environnements d'entreprise utilisant Active Directory, le certificat nécessaire est déjà enregistré sur les machines client. Si tel n'est pas le cas, ou s'agissant d'autres serveurs LDAP, les utilisateurs qui installent PowerAMC devront contacter leur administrateur pour obtenir un certificat et utiliser \Windows\System32\certmgr.msc pour l'enregistrer. Pointez sur Autorités de certification racine de confiance, cliquez le bouton droit de la souris, puis sélectionnez Toutes les tâches > Importer, avant de suivre les instructions de l'Assistant.
   Base de par défaut	Spécifie le niveau auquel la requête commence à cherche l'utilisateur dans l'arborescence LDAP. Par défaut cette recherche commence par les composants de domaine (DCs) du serveur LDAP. Par exemple : dc=sybase, dc=com Vous pouvez inclure l'emplacement de l'annuaire des utilisateurs comme OU=Users, dc=devpd, dc=local . Si l'emplacement du répertoire des utilisateurs n'est pas spécifié ici, vous devez l'inclure dans la Base de recherche d'authentification.
   Liaison anonyme	[défaut] Spécifie que le serveur LDAP prend en charge l'accès anonyme. Si vous déselectionnez ce paramètre, vous devez spécifier un DN (Distinguished Name (DN)) et un mot de passe de liaison pour un compte qui dispose des permissions appropriées pour interroger le serveur LDAP. Remarque : Si le BN de l'utilisateur de liaison est le même que le DN que pour la Base de recherche d'authentification, vous pouvez vous contenter de saisir l'ID utilisateur pour la recherche. Dans le cas contraire, vous devez spécifier le DN complet pour ce compte. Par exemple si la Base de recherche par défaut est ou=people,dc=Onebridge,dc=qa, et que vous avez un utilisateur cn=csitest,cn=users,dc=Onebridge,dc=qa, le DN de liaison doit être cn=csitest,cn=users,dc=Onebridge,dc=qa.
   Enregistrer automatiquement les utilisateurs dans le référentiel	Spécifie que les utilisateurs qui correspondent au filtre de recherche d'authentification LDAP peuvent se connecter au référentiel, et un compte sera créé pour eux dans le référentiel lorsqu'ils le feront. Si vous ne sélectionnez pas cette option, un administrateur doit créer un compte pour chaque utilisateur avant que ce dernier ne puisse se connecter.

4. Modifiez les paramètres appropriés dans la zone de groupe Authentification :

   Paramètre	Description
   Filtre de recherche	Spécifie la requête LDAP qui sélectionne les utilisateurs pour authentification. Par défaut, cette requête est initialisée à (pour Active Directory) : (&(objectClass=person)(userPrincipalName={uid})) et pour les autres serveurs : (&(objectClass=person)(cn={uid})) Pour déterminer un filtre alternatif, vous devez connaître les propriétés des utilisateurs définies dans le Active Directory, et savoir quelle propriété (par exemple, name ou samAccountName) est utilisée comme nom d'ouverture de session.
   Base de recherche	Spécifie l'emplacement de la liste des utilisateurs dans votre serveur LDAP. Par défaut, cette zone est initialisée avec la même valeur que Base de recherche par défaut. Si la base de recherche par défaut n'inclut pas vos utilisateurs, vous devez spécifier une base de recherche appropriée ici. Les utilisateurs peuvent se trouver sur un nœud commun tel que cn=Users ou dans une unité d'organisation telle que OU=Users. Pour déterminer la base de recherche appropriée, vous devez utilisez un navigateur LDAP pour examiner le DN (distinguished name) complet d'un utilisateur. Notez que votre identité de liaison peut être un utilisateur situé sur un autre nœud que celui des utilisateurs généraux, il est donc crucial de disposer des informations précises concernant chacun d'entre eux.
   Portée de la recherche	Spécifie la portée de la recherche d'authentification. Vous pouvez choisir l'une des valeurs suivantes : subtree - [valeur par défaut] la recherche commence au niveau de la base de recherche, mais se poursuit ensuite dans les sous-noeuds. onelevel - la recherche est limité au seul niveau spécifié dans la base de recherche
   Méthode d'authentification	Spécifie la méthode à utiliser pour les requêtes d'authentification. Vous pouvez choisir l'une des valeurs suivantes : simple - [valeur par défaut] authentification de mot de passe en texte clair. Si SSL est activé, le mot de passe sera crypté. DIGEST-MD5 - authentification de mot de passe chiffré. Si vous sélectionnez cette option, vous devez spécifier un format Digest.

5. Cliquez sur le bouton Tester la connexion et suivez les instructions sur la boîte de dialogue pour vérifier votre connexion.
6. Cliquez sur OK pour enregistrer vos modifications.

   Si vous n'avez pas sélectionné l'option Enregistrer automatiquement les utilisateurs dans le référentiel, vous devez créer un compte de référentiel pour chaque utilisateur qui doit pouvoir s'y connecter.

   Remarque : Même si vous sélectionnez cette option, nous vous recommandons de créer les comptes d'utilisateur à l'avance afin de pouvoir leur octroyer des droits et permissions sur vos différents dossiers et documents de référentiel. Par défaut les utilisateurs LDAP se connectant au référentiel sont ajoutés dans les groupes Utilisateurs externes et Tous les utilisateurs, et sont limités à un accès en lecture seule au référentiel.