|
Fichier de configuration
Les paramètres sont écrits dans le fichier de configuration auth-ldap-rfc4515.conf.
Les fichiers de configuration avec les paramètres standard sont également fournis :
•auth-ldap-rfc4515-check-group.conf : modèle du fichier de configuration pour l’authentification externe des administrateurs via LDAP selon le schéma simplifié avec la vérification d’appartenance au groupe Active Directory. •auth-ldap-rfc4515-check-group-novar.conf : modèle du fichier de configuration pour l’authentification externe des administrateurs via LDAP selon le schéma simplifié avec la vérification d’appartenance au groupe Active Directory avec l’utilisation des variables. •auth-ldap-rfc4515-simple-login.conf : modèle du fichier de configuration pour l’authentification externe des administrateurs via LDAP selon le schéma simplifié. Balises principales du fichier de configuration auth-ldap-rfc4515.conf :
•<server /> : détermination du serveur LDAP.
Attribut
|
Description
|
Valeur par défaut
|
base-dn
|
DN de l’objet par rapport auquel la recherché est effectuée.
|
Valeur de l’atribut rootDomainNamingContext de l’objet Root DSE
|
cacertfile
|
Fichier des certificats racine (uniquement UNIX).
|
–
|
host
|
Adresse du serveur LDAP.
|
•Contrôleur de domaine pour un serveurs sous Windows. •127.0.0.1 pour un serveur sous les OS de la famille UNIX. •Il est possible d’indiquer plusieurs balises <server /> avec les adresses de serveurs LDAP différents. L’adresse du serveur principal qui assumera la charge essentielle doit être indiqué en premier. En cas d’échec, l’authentification aura lieu sur le serveur suivant et, ensuite, dans l’ordre indiqué. |
scope
|
Zone de recherche. Valeurs autorisées :
•sub-tree : toute la zone au-dessous de DN de base, •one-level : descendants directs de DN de base, •base : DN de base. |
sub-tree
|
tls
|
Établir TLS pour la connexion à LDAP.
|
no
|
ssl
|
Utiliser le protocole LDAPS lors de la connexion à LDAP.
|
no
|
•<set /> : spécifier les variables par la recherche dans LDAP.
Attribut
|
Description
|
Valeur par défaut
|
attribute
|
Nom de l’attribut dont la valeur est attribuée à la variable. Il ne peut pas être absent.
|
–
|
filter
|
Filtre RFC4515 de recherche dans LDAP.
|
–
|
scope
|
Zone de recherche. Valeurs autorisées :
•sub-tree : toute la zone au-dessous de DN de base, •one-level : descendants directs de DN de base, •base : DN de base. |
sub-tree
|
search
|
DN de l’objet par rapport auquel la recherché est effectuée.
|
En cas d’absence base-dn de la balise <server /> est utilisé
|
variable
|
Nom de variable. Il doit commencer par une lettre et ne contenir que des lettres et des chiffres. Il ne peut pas être absent.
|
–
|
Les variables peuvent être utilisées dans les valeurs de l’attribut add des balises <mask /> et <expr />, dans la valeur de l’attribut value de la balise <filter /> sous forme de \varname, et dans la valeur de l’attribut search de la balise <set />. Le niveau maximal autorisée de la récursivité dans les variables est 16.
Si la recherche retourne plusieurs objets trouvés, c’est seulement le premier qui est utilisé.
•<mask /> : modèles de nom d’utilisateur.
Attribut
|
Description
|
add
|
Ligne ajoutée au filtre de recherche utilisant l’opération ET avec des éléments de substitution.
|
user
|
Masque du nom de l’utilisateur avec l’utilisation des métacaractères de type DOS * et #. Il ne peut pas être absent.
|
Exemple :
<mask user="*@#" add="sAMAccountName=\1" />
<mask user="*\*" add="sAMAccountName=\2" />
|
\1 et \2 : liens vers les masques correspondants dans l’attribut user.
•<expr /> : modèles de nom d’utilisateur avec l’utilisation des expressions régulières (les attributs sont équivalents <mask />). Exemple :
<expr user="^(.*)@([^.,=@\s\\]+)$" add="sAMAccountName=\1" />
<expr user="^(.*)\\(.*)" add="sAMAccountName=\2" />
|
Correspondance des masques et des expressions régulières :
Masque
|
Expression régulière
|
*
|
.*
|
#
|
[^.,=@\s\\]+
|
•<filter /> : filtre de recherche dans LDAP.
Attribut
|
Description
|
value
|
Ligne ajoutée au filtre de recherche utilisant l’opération ET avec des éléments de substitution.
|
Concaténation de filtres
<set variable="admingrp" filter="&(objectclass=group)(cn=ESuite Admin)" attribute="dn" />
<mask user="*\*" add="sAMAccountName=\2" />
<filter value="&(objectClass=user)(memberOf=\admingrp)" />
|
Si suite à la recherche admingrp prend la valeur "CN=ESuite Admins,OU=some name,DC=example,DC=com", et l’utilisateur a saisi domain\user, vous aurez le filtre suivant :
"(&(sAMAccountName=user)(&(objectClass=user)(memberOf=CN=ESuite Admins,OU=some name,DC=example,DC=com)))"
|
Exemple de la configuration de l’authentification LDAP/AD
Vous trouverez ci-dessous l’exemple de configuration de base pour l’authentification avec LDAP. Les paramètres sont spécifiés dans le Centre de gestion, la section Administration → Authentification → Authentification LDAP/AD (pour le mode Paramètres simplifiés).
Les paramètres initiaux des administrateur qui doivent s’authentifier :
•domaine : dc.test.local •groupe dans Active Directory : DrWeb_Admins Paramètres du Centre de gestion :
Nom du paramètre
|
Valeur
|
Type du serveur
|
Microsoft Active Directory
|
Adresse du serveur
|
dc.test.local
|
Modèles de noms d’utilisateurs pour la confirmation de l’authentification
|
Masque du compte
|
test\* ou *@test.local
|
Nom d’utilisateur
|
\1
|
Appartenance d’utilisateurs pour la confirmation de l’authentification
|
Nom
|
DrWeb_Admins
|
Type
|
groupe
|
|