Un administrateur de référentiel peut déléguer l'authentification des utilisateurs de référentiel à un serveur LDAP en sélectionnant et en saisissant les paramètres appropriés pour son environnement.
Une fois que le référentiel a été configuré pour permettre l'accès à des utilisateurs authentifiés par LDAP, ces utilisateurs peuvent se connecter au référentiel sans intervention supplémentaire de la part de l'administrateur du référentiel. La première fois qu'un utilisateur LDAP se connecte au référentiel, un compte est automatiquement créé pour lui dans les groupes Utilisateurs externes et Public.
L'intégration LDAP du Référentiel PowerAMC assure uniquement l'authentification. L'autorisation reste gérée par le biais du jeu de permissions inclus dans l'environnement du Référentiel PowerAMC. Au départ, les membres du groupe Externe ont uniquement le droit Connecter, et les membres du groupe Public ont accès en lecture à tout le contenu du référentiel. L'administrateur va accorder d'autres droits et des permissions en fonction des besoins.
Vous allez probablement souhaiter conserver un contrôle précis que les permission d'écriture sur les documents de référentiel. Pour tout mettre en place avant que vos utilisateurs ne se connectent au référentiel, vous pouvez créer manuellement des comptes pour eux et leur affecter des permissions avant qu'ils ne se connectent (voir Préconfiguration des permissions utilisateur LDAP).
Pour saisir les paramètres de configuration LDAP, sélectionnez > Administration > Paramètres LDAP (ou bien pointez sur le noeud racine, cliquez le bouton droit de la souris, puis sélectionnez Propriétés afin d'afficher la feuille de propriétés du référentiel, puis cliquez sur l'onglet LDAP).
Plusieurs des paramètres de la zone de groupe Paramètres généraux sont requis :
|
Paramètre |
Description |
|---|---|
|
URL du fournisseur |
[requis] Spécifie l'URL du fournisseur LDAP au format ldap://hôteserveurldap:port , ou sous la forme d'une adresse IP. |
|
Protocole de sécurité |
[facultatif] Spécifie le protocole à utiliser lorsque vous vous connectez au serveur LDAP. Si vous utilisez SSL (qui est le seul protocole pris en charge pour l'instant), vous devez définir ce paramètre avec la valeur ssl. Nous vous recommandons de commencer par configurer votre accès LDAP sans SSL, puis de mettre en oeuvre le protocole uniquement lorsque vous vous êtes assuré du bon fonctionnement de votre accès. |
|
Base de recherche par défaut |
[requis] Spécifie la base de recherche LDAP par défaut à utiliser pour l'authentification, les rôles, l'attribution et l'auto-inscription. |
|
Serveur de confiance |
[requis] Spécifie que le serveur LDAP est un serveur de confiance. |
|
Type de serveur |
Spécifie le type de serveur LDAP. Le fait de sélectionner un type de serveur
définit des valeurs par défaut silencieuses pour l'authentification et les filtres
de rôle. Chaque configuration LDAP étant différente et ces valeurs par
défaut pouvant se révéler pas adaptées à votre installation, nous vous recommandons
de sélectionner none. Les types suivants sont disponibles:
|
|
Liaison anonyme |
[facultatif] Spécifie que le serveur prend en charge l'accès anonyme à l'arborescence LDAP. Si ce paramètre n'est pas sélectionné, vous devez spécifier une identité et un mot de passe de liaison. Notez que Active Directory ne prend pas en charge d'emblée les liaisons anonymes. |
|
Identité de liaison |
[requis sauf si Liaison anonyme est sélectionné] Spécifie le compte LDAP qui dispose des permissions nécessaires pour interroger le service Active Directory. Si l'identité de liaison est le même DN même que celui utilisé pour la base de recherche d'authentification, alors l'identité de liaison peut être tout simplement l'ID utilisateur pour la recherche. Dans le cas contraire, vous avez besoin d'un nom et d'un mot de passe de connexion, ainsi que d'un DN (Distinguished Name (DN) pour ce compte. |
|
Mot de passe de liaison |
[requis sauf si Liaison anonyme est sélectionné] Spécifie le mot de passe avec lequel effectuer la liaison lorsque vous construisez la connexion LDAP initiale. |
La plupart des paramètres de la zone de groupe Authentification sont obligatoires :
|
Paramètre |
Description |
|---|---|
|
Filtre |
[requis] Spécifie la requête LDAP qui recherche les informations utilisateur. Pour déterminer le filtre LDAP à utiliser, vous devez connaître les propriétés
des utilisateurs définis dans Active Directory. La propriété qui a été utilisée
comme nom d'ouverture de session peut être name, samAccountName ou une autre propriété. Dans cet exemple, nous utilisons samAccountName comme nom
d'ouverture de session (que PowerAMC intercepte au moyen de la variable {uid} :
(&(samAccountName={uid})(objectclass=user))
|
|
Portée |
[requis] Spécifie la portée de la recherche d'authentification. Vous pouvez
choisir l'une des valeurs suivantes :
|
|
Méthode |
[requis] Spécifie la méthode à utiliser pour les requêtes d'authentification.
Vous pouvez choisir l'une des valeurs suivantes :
|
|
Format Digest MD5 |
[requis] Spécifie le format d'authentification DIGEST-MD5 d'identité de liaison. La valeur par défaut est DN |
|
Base de recherche |
[facultatif] Si la base de recherche par défaut spécifiée dans la zone de groupe Général n'inclut pas l'emplacement de la liste d'utilisateurs dans votre Active Directory, vous devez le spécifier ici |
PowerAMC ne prend pas en charge les authentifications basées sur le rôle, de sorte que les valeurs que vous entrez dans la zone de groupe Rôle ne seront pas prises en compte :
|
Paramètre |
Description |
|---|---|
|
Filtre |
Spécifie le filtre de recherche de rôle qui, combiné à la base de recherche et à la portée, renvoie une liste complète de rôles au sein du serveur LDAP. Il existe plusieurs valeurs par défaut en fonction du type de serveur choisi. Si le type de serveur n'est pas choisi ou si cette propriété n'est pas initialisée, aucun rôle ne sera disponible. |
|
Portée |
Spécifie la portée de la recherche du rôle. Vous pouvez choisir l'une des valeurs suivantes :
|
|
Renvoi |
Spécifie le traitement des renvois. Vous pouvez choisir l'une des valeurs suivantes :
|
|
Attribut de nom |
Spécifie l'attribut pour les rôles extraits qui est le nom commun du rôle. Si cette valeur est "dn", elle est interprétée spécialement comme le dn entier du rôle comme le nom de rôle. La valeur par défaut est "cn", le nom commun (common name). |
|
Base de recherche |
Spécifie la base de recherche du rôle. |