Activation de l'authentification de serveur LDAP

Le LDAP est un protocole extensible de plate-forme croisée basé sur des normes, qui s'exécute directement sur TCP/IP. Il est utilisé pour accéder à des bases de données spécialisées, appelées répertoires.

Pour éviter de gérer plusieurs ensembles d'informations d'identification utilisateur, vous pouvez utiliser le serveur LDAP de l'entreprise pour authentifier les ID et mots de passe des utilisateurs.

Pour cela, le serveur LDAP doit contenir des groupes d'utilisateurs correspondant aux rôles d'utilisateur requis. Pour plus d'informations, reportez-vous à la section Présentation des rôles utilisateur .

1. Dans le coin supérieur droit de la page, cliquez sur .

2. Cliquez sur LDAP , puis sélectionnez Activer l'authentification LDAP .

3. Dans le champ Nom d'hôte du serveur LDAP, saisissez l'adresse IP ou le nom de l'hôte du serveur LDAP sur lequel l'authentification est effectuée.

   Remarque :  Si vous souhaitez utiliser la communication chiffrée entre le serveur MVE et le serveur LDAP, utilisez le nom de domaine complet (FQDN).

4. Indiquez le numéro de port selon le protocole de chiffrement sélectionné.

5. Sélectionnez le protocole de chiffrement.

   • Aucune

   • TLS  : protocole de sécurité commun utilisant le chiffrement des données et l'authentification par certificat pour protéger la communication entre un serveur et un client. Si cette option est sélectionnée, une commande START_TLS est envoyée au serveur LDAP une fois la connexion établie. Utilisez ce paramètre si vous souhaitez une communication sécurisée sur le port 389.

   • SSL/TLS  : protocole de sécurité utilisant la cryptographie de clé publique pour authentifier les communications entre un serveur et un client. Utilisez cette option si vous souhaitez une communication sécurisée à partir du début de la liaison LDAP. Cette option est généralement utilisée pour le port 636 ou d'autres ports LDAP sécurisés.

6. Sélectionnez le type de liaison.

   • Simple  : le serveur MVE produit les informations d'identification spécifiées pour le serveur LDAP afin que ce dernier utilise ses fonctionnalités de recherche.

     1. Saisissez le nom d'utilisateur de la liaison.

     2. Saisissez le mot de passe de liaison, puis confirmez-le en le saisissant une nouvelle fois.

   • Kerberos  : pour configurer les paramètres, procédez comme suit :

     1. Saisissez le nom d'utilisateur de la liaison.

     2. Saisissez le mot de passe de liaison, puis confirmez-le en le saisissant une nouvelle fois.

     3. Cliquez sur Sélectionner un fichier , puis localisez le fichier krb5.conf.

   • SPNEGO  : pour configurer les paramètres, procédez comme suit :

     1. Saisissez le nom principal de service.

     2. Cliquez sur Sélectionner un fichier , puis localisez le fichier krb5.conf.

     3. Cliquez sur Sélectionner un fichier , puis localisez le fichier keytab Kerberos.

     Cette option est utilisée uniquement pour configurer le mécanisme de négociation GSSAPI simple et protégé (SPNEGO) afin de prendre en charge la fonctionnalité d'authentification unique.

7. Dans la section Options avancées, configurez les éléments suivants :

   • Base de recherche  : nom unique (DN) du nœud racine. Dans la hiérarchie du serveur de communauté LDAP, ce nœud doit être l'ancêtre du nœud d'utilisateur et du nœud de groupe. Par exemple, dc=mvetest,dc=com .

     Remarque :  Lorsque vous spécifiez le nom unique de la racine, assurez-vous que seuls dc et o font partie du nom unique de la racine. Si ou ou cn est l'ancêtre des nœuds d'utilisateur et de groupe, utilisez ou ou cn dans les bases de recherche des utilisateurs et des groupes.

   • Base de recherche d'utilisateurs  : nœud du serveur de communauté LDAP dans lequel l'objet utilisateur existe. Ce nœud se trouve sous le nom unique de la racine, où tous les nœuds des utilisateurs sont répertoriés. Par exemple, ou=people .

   • Filtre de recherche d'utilisateurs  : paramètre de localisation d'un objet utilisateur dans le serveur de communauté LDAP. Par exemple, (uid={0}) .

     Exemples de conditions multiples et d'expressions complexes autorisées

     Connexion avec	Dans le champ Filtre de recherche d'utilisateurs, saisissez
     Nom commun	(CN={0})
     Nom de connexion	(sAMAccountName={0})
     Nom principal de l'utilisateur	(userPrincipalName={0})
     Numéro de téléphone	(telephoneNumber={0})
     Nom de connexion ou nom commun	(|(sAMAccountName={0})(CN={0}))

     
     
     Remarque :  Seuls les modèles {0} et {1} peuvent être utilisés. Si {0} est utilisé, MVE recherche le nom unique de l'utilisateur LDAP. Si {1} est utilisé, MVE recherche le nom de connexion de l'utilisateur MVE.

   • Rechercher un objet dans la base d'utilisateurs et l'ensemble de la sous-arborescence  : le système recherche tous les nœuds sous la base de recherche des utilisateurs.

   • Base de recherche de groupes  : nœud du serveur de communauté LDAP qui contient les groupes d'utilisateurs correspondant aux rôles MVE. Ce nœud se trouve sous le nom unique de la racine, où tous les nœuds de groupe sont répertoriés. Par exemple, ou=group .

   • Filtre de recherche de groupes  : paramètre de localisation permettant de rechercher un utilisateur dans un groupe correspondant à un rôle dans MVE.

     Remarque :  Le seul modèle valide est {0} , ce qui signifie que MVE recherche le nom de connexion de l'utilisateur MVE.

   • Attribut de rôle de groupe  : saisissez l'attribut LDAP pour le nom complet du groupe. Un attribut LDAP a une signification spécifique et définit une correspondance entre l'attribut et un nom de champ. Par exemple, l'attribut LDAP cn est associé au champ Nom complet. L'attribut LDAP commonname est également associé au champ Nom complet. En général, cet attribut doit conserver la valeur par défaut cn .

   • Rechercher un objet dans la base d'utilisateurs et l'ensemble de la sous-arborescence  : le système recherche tous les nœuds sous la base de recherche des groupes.

8. Dans la section Mappage des rôles des groupes LDAP vers MVE, saisissez les noms des groupes LDAP correspondant aux rôles MVE.

   Remarques :

   • Pour plus d'informations, reportez-vous à la section Présentation des rôles utilisateur .
   • Vous pouvez attribuer un groupe LDAP à plusieurs rôles MVE. Vous pouvez également saisir plusieurs groupes LDAP dans un champ de rôle, en utilisant la barre verticale ( | ) pour séparer plusieurs groupes. Par exemple, pour inclure les groupes admin et assets pour le rôle Admin, saisissez admin|assets dans le champ du rôle Groupes LDAP pour l'administrateur.
   • Si vous souhaitez utiliser uniquement le rôle Admin et non les autres rôles MVE, laissez les champs vides.

9. Cliquez sur Enregistrer les modifications .