Activation de l'authentification de serveur LDAP

Le LDAP est un protocole extensible de plate-forme croisée basé sur des normes, qui s'exécute directement sur TCP/IP. Il est utilisé pour accéder à des bases de données spécialisées, appelées répertoires.

Pour éviter de gérer plusieurs ensembles d'informations d'authentification utilisateur, vous pouvez utiliser le serveur LDAP de l'entreprise pour authentifier les ID et mots de passe des utilisateurs.

Remarque : MVE tente de s'authentifier d'après les informations d'authentification de l'utilisateur valides présentes dans le système. Si MVE ne parvient pas à authentifier l'utilisateur, il tente une authentification d'après les utilisateurs enregistrés sur le serveur LDAP. Si les mêmes noms d'utilisateur existent dans le serveur MVE et le serveur LDAP, alors le mot de passe de MVE est utilisé.

Pour cela, le serveur LDAP doit contenir des groupes d'utilisateurs correspondant aux rôles d'utilisateur définis. Pour plus d'informations, reportez-vous à la section Gestion des utilisateurs.

Dans la zone d'en-tête, cliquez sur icône de réglages > LDAP > Activer l'authentification LDAP.

Dans la section Connexion, configurez les éléments suivants :

Serveur : saisissez l'adresse IP ou le nom d'hôte du serveur LDAP sur lequel sera effectuée l'authentification. Si vous souhaitez utiliser la communication chiffrée entre le serveur MVE et le serveur LDAP, procédez comme suit :
1. Utilisez le nom de domaine complet (FQDN) de l'hôte du serveur.
2. Accédez au fichier de l'hôte du réseau, puis créez une entrée pour faire correspondre le nom d'hôte du serveur à son adresse IP.
  Remarques :
  - Dans un système d'exploitation UNIX ou Linux, le fichier de l'hôte réseau se trouve généralement dans /etc/hosts.
  - Dans un système d'exploitation Windows, le fichier de l'hôte réseau se trouve généralement dans %SystemRoot%\system32\drivers\etc.
  - Le protocole TLS requiert que le nom d'hôte du serveur corresponde au nom de l'hôte « Emis vers » spécifié dans le certificat TLS.
Port : saisissez le numéro du port utilisé par l'ordinateur local pour communiquer avec le serveur de communauté LDAP. Le numéro de port par défaut est 389.

Nom unique de la racine : saisissez le nom unique (DN) du nœud racine. Dans la hiérarchie du serveur de communauté LDAP, ce nœud doit être l'ancêtre direct du nœud d'utilisateur et du nœud de groupe. Par exemple, dc=mvptest,dc=com.

Remarque : Lorsque vous spécifiez le nom unique de la racine, assurez-vous que seuls dc et o font partie du nom unique de la racine. Si ou ou cn est l'ancêtre des nœuds d'utilisateur et de groupe, utilisez alors ou ou cn dans la base de recherche des utilisateurs et la base de recherche des groupes.

Configurez les paramètres de recherche.

Base de recherche des utilisateurs : spécifiez le nœud du serveur de communauté LDAP dans lequel l'objet utilisateur existe. Ce nœud se trouve sous le nom unique de la racine, où tous les nœuds des utilisateurs sont répertoriés. Par exemple, ou=people.

Si les utilisateurs se trouvent à des niveaux hiérarchiques de répertoires multiples dans le serveur de communauté LDAP, procédez comme suit :

Calculez toute hiérarchie en amont commune de tous les emplacements possibles dans le nœud d'utilisateur.
Incluez la configuration dans le champ de base de recherche des utilisateurs.

Remarque : Afin que MVE recherche des utilisateurs à partir de la base ou du nom unique de la racine, sélectionnez Activer la recherche d'utilisateur imbriqué et effacez le champ de base de recherche des utilisateurs.

Filtre de recherche d'utilisateurs : saisissez le paramètre de localisation d'un objet utilisateur dans le serveur de communauté LDAP. Par exemple, (uid={0}).

La fonction de filtre de recherche des utilisateurs peut accueillir plusieurs conditions et expressions complexes.

Connectez-vous en utilisant	Dans le champ Filtre de recherche d'utilisateurs, saisissez
Nom commun	(CN={0})
Nom de connexion	(sAMAccountName={0})
Nom principal de l'utilisateur	(userPrincipalName={0})
Numéro de téléphone	(telephoneNumber={0})
Nom de connexion ou nom commun	(\|(sAMAccountName={0})(CN={0}))

Remarques :

Ces expressions s'appliquent uniquement au serveur Active Directory®.
Pour le filtre de recherche d'utilisateurs, le seul modèle valide est {0}, ce qui signifie que MVE recherche le nom de connexion de l'utilisateur MVE.

Base de recherche de groupes : spécifiez le nœud du serveur de communauté LDAP qui contient les groupes d'utilisateurs correspondant aux rôles MVE existants. Ce nœud se trouve également sous le nom unique de la racine, où tous les nœuds de groupes sont répertoriés. Par exemple, ou=group.
Remarque : Une base de recherche comprend plusieurs attributs séparés par des virgules, par exemple cn (nom commun) ou (unité organisationnelle), o (organisation), c (pays) et dc (domaine).

Filtre de recherche de groupes : saisissez le paramètre de localisation d'après lequel rechercher un utilisateur dans un groupe correspondant à un rôle dans MVE.

Remarque : Vous pouvez utiliser les modèles {0} et {1}, selon la configuration de votre serveur de communauté LDAP arrière. Si vous utilisez {0}, MVE recherche le nom unique de l'utilisateur LDAP. Le nom unique de l'utilisateur est récupéré en interne au cours de la procédure d'authentification de l'utilisateur. Si vous utilisez {1}, MVE recherche le nom de connexion de l'utilisateur MVE.

Attribut de rôle de groupe : saisissez l'attribut qui contient le nom complet du groupe. Par exemple, cn.
Activer la recherche de groupe imbriqué : permet de rechercher les groupes imbriqués sur le serveur de communauté LDAP.

Cliquez sur Informations de liaison, puis configurez les paramètres.

Liaison anonyme : si aucune configuration LDAP n'est stockée dans MVE, alors cette option est sélectionnée par défaut. Le serveur MVE ne produit pas ses informations d'authentification ou d'identité pour le serveur LDAP afin d'utiliser les fonctionnalités de recherche du serveur LDAP. La session de recherche LDAP de suivi utilise uniquement une communication non chiffrée.

Liaison simple : utilise une communication non chiffrée entre le serveur MVE et le serveur LDAP. Si vous souhaitez que le serveur MVE utilise les fonctionnalités de recherche du serveur LDAP, procédez comme suit :

Dans le champ Nom unique de liaison, saisissez le nom unique de la liaison.

Saisissez le mot de passe de liaison, puis confirmez le mot de passe.

Remarque : Le mot de passe de liaison dépend des paramètres de l'utilisateur de liaison dans le serveur LDAP. Si l'utilisateur de liaison est défini sur Non vide, un mot de passe de liaison est requis. Si l'utilisateur de liaison est défini sur Vide, un mot de passe de liaison n'est pas requis. Pour plus d'informations, contactez votre administrateur LDAP.

TLS : utilise une communication chiffrée entre le serveur MVE et le serveur LDAP. Le serveur MVE s'authentifie lui-même auprès du serveur LDAP en utilisant l'identité du serveur MVE (nom unique de liaison) et les informations d'authentification (mot de passe de liaison).
Pour les certificats autosignés, l'empreinte TLS doit être accessible au référentiel cacerts de la machine virtuelle Java pour l'ensemble du système. Ce référentiel est situé dans le dossier [mve.home]/jre/lib/security, où [mve.home] désigne le dossier d'installation de MVE. Pour configurer les paramètres, procédez comme suit :
1. Dans le champ Nom unique de liaison, saisissez le nom unique de la liaison.
2. Saisissez le mot de passe de liaison, puis confirmez le mot de passe.
  Remarque : Le mot de passe de liaison est requis.
Kerberos : utilise la communication chiffrée entre le serveur MVE et le serveur LDAP. Le protocole de sécurité Kerberos est pris en charge uniquement dans les répertoires Active Directory dotés de GSSAPI. Pour plus d'informations, reportez-vous à la documentation de Kerberos. Pour configurer les paramètres, procédez comme suit :
1. Dans le champ Fichier de configuration Kerberos, recherchez le fichier krb5.conf.
  Exemple de configuration :
```
[libdefaults]
    default_realm=ABC.COM

[realms]
    ABC.COM = {
      kdc = abc1.abc.com
    }

[domain_realm]
    .abc.com=ABC.COM
```
2. Dans le menu de méthode de cryptage, indiquez si vous souhaitez utiliser le cryptage SSL.
3. Dans le champ du nom d'utilisateur KDC, saisissez le nom du centre de distribution clé (KDC).
4. Saisissez le mot de passe KDC, puis confirmez le mot de passe.
Remarque : Si vous souhaitez activer l'authentification Kerberos, consultez Activation de l'authentification Kerberos.

Cliquez sur Mappage des rôles, puis effectuez la configuration suivante :

Admin : saisissez le rôle existant dans LDAP qui dispose des droits administratifs dans MVE.
Actifs : saisissez le rôle existant dans LDAP qui gère les modules d'actifs dans MVE.
Configurations : saisissez le rôle existant dans LDAP qui gère le module des configurations dans MVE.
Service Desk : saisissez le rôle existant dans LDAP qui gère le module Service Desk dans MVE.
Gestionnaire des événements : saisissez le rôle existant dans LDAP qui gère le module Gestionnaire des événements dans MVE.

Remarques :

MVE mappe automatiquement le groupe LDAP spécifié à son rôle MVE correspondant.
Vous pouvez attribuer un groupe LDAP à plusieurs rôles MVE et vous pouvez également saisir plus d'un groupe LDAP dans un champ de rôle.
Lorsque vous saisissez plusieurs groupes LDAP dans les champs des rôles, utilisez le caractère de barre verticale (|) pour séparer les groupes LDAP. Par exemple, si vous voulez inclure les groupes admin et actifs pour le rôle Admin, saisissez admin|actifs dans le champ Admin.
Si vous souhaitez utiliser uniquement le rôle Admin et non les autres rôles MVE, laissez les champs vides.

Cliquez sur Appliquer > Fermer.