C1. Authentification via Active Directory

Page d'accueil  Précédent  Suivant

Seuls la disponibilité et l’ordre dans la liste des authentificateurs doivent être configurés : balises <enabled/> et <order/> dans auth-ads.xml.

Principe de fonctionnement :

1.L’administrateur définit le nom d’utilisateur et le mot de passe à l’un des formats suivants :

username,

domain\username,

username@domain,

LDAP DN de l’utilisateur.

2.Le serveur s’enregistre sur le contrôleur de domaine par défaut avec ce nom d’utilisateur et ce mot de passe (ou sur un contrôleur de domaine pour le domaine spécifié dans le nom d’utilisateur).

3.En cas d’authentification échouée, le mécanisme d’authentification suivant sera essayé.

4.Puis LDAP DN de l’utilisateur enregistré sera déterminé.

5.L’attribut DrWebAdmin est lu depuis l’objet ayant le DN déterminé. Si l’attribut prend la valeur FALSE, la tentative est considérée comme échouée et le mécanisme d’authentification suivant sera appliqué.

6.Si lors de cette étape, certains attributs ne sont pas déterminés, ils seront recherchés dans les groupes dont l’utilisateur fait partie. Les groupes parent de chaque groupe seront vérifiés (stratégie de recherche – en profondeur).

En cas de n’importe quel erreur, le mécanisme d’authentification suivant sera appliqué.

L’utilitaire drweb-esuite-modify-ad-schema-xxxxxxxxxxxxxx-windows-nt-xYY.exe (fourni séparément de la distribution du Serveur) crée une nouvelle classe d’objets DrWebEnterpriseUser pour Active Directory et décrit les nouveaux attributs pour cette classe.

Dans l’espace Enterprise, les attributs ont les OID suivants :

DrWeb_enterprise_OID "1.3.6.1.4.1" // iso.org.dod.internet.private.enterprise
DrWeb_DrWeb_OID DrWeb_enterprise_OID ".29690" // DrWeb
DrWeb_EnterpriseSuite_OID DrWeb_DrWeb_OID ".1" // EnterpriseSuite
DrWeb_Alerts_OID DrWeb_EnterpriseSuite_OID ".1" // Alerts
DrWeb_Vars_OID DrWeb_EnterpriseSuite_OID ".2" // Vars
DrWeb_AdminAttrs_OID DrWeb_EnterpriseSuite_OID ".3" // AdminAttrs
 
// 1.3.6.1.4.1.29690.1.3.1 (AKA iso.org.dod.internet.private.enterprise.DrWeb.EnterpriseSuite.AdminAttrs.Admin)
 
DrWeb_Admin_OID DrWeb_AdminAttrs_OID ".1" // R/W admin
DrWeb_AdminReadOnly_OID DrWeb_AdminAttrs_OID ".2" // R/O admin
DrWeb_AdminGroupOnly_OID DrWeb_AdminAttrs_OID ".3" // Group admin
DrWeb_AdminGroup_OID DrWeb_AdminAttrs_OID ".4" // Admin’s group
DrWeb_Admin_AttrName "DrWebAdmin"
DrWeb_AdminReadOnly_AttrName "DrWebAdminReadOnly"
DrWeb_AdminGroupOnly_AttrName "DrWebAdminGroupOnly"
DrWeb_AdminGroup_AttrName "DrWebAdminGroup"

La modification des propriétés des utilisateurs d’Active Directory se fait manuellement sur le serveur Active Directory (voir le Manuel Administrateur, p. Authentification des Administrateurs).

Assigner des droits aux administrateurs se fait selon le principe général d’héritage dans la structure hiérarchique des groupes auxquels appartient l’administrateur.