C3. Authentification via LDAP/AD

Fichier de configuration

Les paramètres sont écrits dans le fichier de configuration auth-ldap-rfc4515.conf.

Les fichiers de configuration avec les paramètres standard sont également fournis :

auth-ldap-rfc4515-check-group.conf : modèle du fichier de configuration pour l’authentification externe des administrateurs via LDAP selon le schéma simplifié avec la vérification d’appartenance au groupe Active Directory.

auth-ldap-rfc4515-check-group-novar.conf : modèle du fichier de configuration pour l’authentification externe des administrateurs via LDAP selon le schéma simplifié avec la vérification d’appartenance au groupe Active Directory avec l’utilisation des variables.

auth-ldap-rfc4515-simple-login.conf : modèle du fichier de configuration pour l’authentification externe des administrateurs via LDAP selon le schéma simplifié.

Balises principales du fichier de configuration auth-ldap-rfc4515.conf :

<servers> : détermination du serveur LDAP.

Attribut

Description

Valeur par défaut

base-dn

DN de l’objet par rapport auquel la recherché est effectuée.

Valeur de l’atribut rootDomainNamingContext de l’objet Root DSE

cacertfile

Fichier des certificats racine (uniquement UNIX).

host

Adresse du serveur LDAP.

Contrôleur de domaine pour un serveurs sous Windows.

127.0.0.1 pour un serveur sous les OS de la famille UNIX.

scope

Zone de recherche. Valeurs autorisées :

sub-tree : toute la zone au-dessous de DN de base,

one-level : descendants directs de DN de base,

base : DN de base.

sub-tree

tls

Établir TLS pour la connexion à LDAP.

no

ssl

Utiliser le protocole LDAPS lors de la connexion à LDAP.

no

<set /> : spécifier les variables par la recherche dans LDAP.

Attribut

Description

Valeur par défaut

attribute

Nom de l’attribut dont la valeur est attribuée à la variable. Il ne peut pas être absent.

filter

Filtre RFC4515 de recherche dans LDAP.

scope

Zone de recherche. Valeurs autorisées :

sub-tree : toute la zone au-dessous de DN de base,

one-level : descendants directs de DN de base,

base : DN de base.

sub-tree

search

DN de l’objet par rapport auquel la recherché est effectuée.

En cas d’absence base-dn de la balise <server /> est utilisé

variable

Nom de variable. Il doit commencer par une lettre et ne contenir que des lettres et des chiffres. Il ne peut pas être absent.

Les variables peuvent être utilisées dans les valeurs de l’attribut add des balises <mask /> et <expr />, dans la valeur de l’attribut value de la balise <filter /> sous forme de \varname, et dans la valeur de l’attribut search de la balise <set />. Le niveau maximal autorisée de la recursivité dans les variables est 16.

Si la recherche retourne plusieurs objets trouvés, c’est seulement le premier qui est utilisé.

<mask /> : modèles de nom d’utilisateur.

Attribut

Description

add

Ligne ajoutée au filtre de recherche utilisant l’opération ET avec des éléments de substitution.

user

Masque du nom de l’utilisateur avec l’utilisation des métacaractères de type DOS * et #. Il ne peut pas être absent.

Exemple :

<mask user="*@#"  add="sAMAccountName=\1" />

<mask user="*\*"  add="sAMAccountName=\2" />

\1 et \2 : liens vers les masques correspondants dans l’attribut user.

<expr /> : modèles de nom d’utilisateur avec l’utilisation des expressions régulières (les attributs sont équivalents <mask />).

Exemple :

<expr user="^(.*)@([^.,=@\s\\]+)$"  add="sAMAccountName=\1" />

<expr user="^(.*)\\(.*)"            add="sAMAccountName=\2" />

Correspondance des masques et des expressions régulières :

Masque

Expression régulière

*

.*

#

[^.,=@\s\\]+

<filter /> : filtre de recherche dans LDAP.

Attribut

Description

value

Ligne ajoutée au filtre de recherche utilisant l’opération ET avec des éléments de substitution.

Concaténation de filtres

<set variable="admingrp" filter="&amp;(objectclass=group)(cn=ESuite Admin)" attribute="dn" />
<mask user="*\*" add="sAMAccountName=\2" />
<filter value="&amp;(objectClass=user)(memberOf=\admingrp)" />

Si suite à la recherche admingrp prend la valeur "CN=ESuite Admins,OU=some name,DC=example,DC=com", et l’utilisateur a saisi domain\user, vous aurez le filtre suivant :

"(&(sAMAccountName=user)(&(objectClass=user)(memberOf=CN=ESuite Admins,OU=some name,DC=example,DC=com)))"

Exemple de la configuration de l’authentification LDAP/AD

Vous trouverez ci-dessous l’exemple de configuration de base pour l’authentification avec LDAP. Les paramètres sont spécifiés dans le Centre de gestion, la section Administration → Authentification → Authentification LDAP/AD (pour le mode Paramètres simplifiés).

Les paramètres initiaux des administrateur qui doivent s’authentifier :

domaine : dc.test.local

groupe dans Active Directory : DrWeb_Admins

Paramètres du Centre de gestion :

Nom du paramètre

Valeur

Type du serveur

Microsoft Active Directory

Adresse du serveur

dc.test.local

Modèles de noms d’utilisateurs pour la confirmation de l’authentification

Masque du compte

test\* ou *@test.local

Nom d’utilisateur

\1

Appartenance d’utilisateurs pour la confirmation de l’authentification

Nom

DrWeb_Admins

Type

groupe