C3. Autenticazione se si usa LDAP/AD

File di configurazione

Le impostazioni sono riportate nel file di configurazione auth-ldap-rfc4515.conf.

Sono inoltre disponibili i file di configurazione con le impostazioni standard:

auth-ldap-rfc4515-check-group.conf – modello di file di configurazione dell’autenticazione esterna degli amministratori attraverso LDAP in base a uno schema semplificato con la verifica dell’appartenenza al gruppo di Active Directory.

auth-ldap-rfc4515-check-group-novar.conf – modello di file di configurazione dell’autenticazione esterna degli amministratori attraverso LDAP in base a uno schema semplificato con la verifica dell’appartenenza al gruppo di Active Directory con l’uso delle variabili.

auth-ldap-rfc4515-check-group.conf – modello di file di configurazione dell’autenticazione esterna degli amministratori attraverso LDAP in base a uno schema semplificato.

I tag principali del file di configurazione auth-ldap-rfc4515.conf:

<server /> – definizione del server LDAP.

Attributo

Descrizione

Valore predefinito

base-dn

DN dell’oggetto relativamente a cui viene effettuata la ricerca.

Valore dell’attributo rootDomainNamingContext dell’oggetto Root DSE

cacertfile

File dei certificati radice (solo UNIX).

host

Indirizzo del server LDAP.

Controller di dominio per il server sotto SO Windows.

127.0.0.1 per il server sotto SO della famiglia UNIX.

scope

Area di ricerca. Valori ammissibili:

sub-tree – l’intera area sotto il DN di base,

one-level – discendenti diretti del DN di base,

base – DN di base.

sub-tree

tls

Stabilisci TLS per la connessione a LDAP.

no

ssl

Utilizza il protocollo LDAPS per la connessione a LDAP.

no

<set /> – impostazione delle variabili tramite la ricerca LDAP.

Attributo

Descrizione

Valore predefinito

attribute

Nome dell’attributo il cui valore viene assegnato alla variabile. L’assenza è inammissibile.

filter

RFC4515 filtro di ricerca LDAP.

scope

Area di ricerca. Valori ammissibili:

sub-tree – l’intera area sotto il DN di base,

one-level – discendenti diretti del DN di base,

base – DN di base.

sub-tree

search

DN dell’oggetto relativamente a cui viene effettuata la ricerca.

In assenza viene utilizzato il base-dn del tag <server />

variable

Nome della variabile. Deve iniziare con una lettera e contenere solo lettere e cifre. L’assenza è inammissibile.

Le variabili possono essere utilizzate nei valori dell’attributo add dei tag <mask /> ed <expr />, nel valore dell’attributo value del tag <filter /> in forma di \varname, nonché nel valore dell’attributo search del tag <set />. Il livello di ricorsione ammissibile per l’espansione delle variabili è 16.

Se la ricerca restituisce più oggetti trovati, viene utilizzato solo il primo.

<mask /> – modelli di nome utente.

Attributo

Descrizione

add

Stringa che viene aggiunta al filtro di ricerca per operatore AND con elementi di sostituzione.

user

Maschera di nome utente con l’utilizzo dei metacaratteri di tipo DOS * e #. L’assenza è inammissibile.

Per esempio:

<mask user="*@#"  add="sAMAccountName=\1" />

<mask user="*\*"  add="sAMAccountName=\2" />

\1 e \2 – link alle maschere coincidenti nell’attributo user.

<expr /> – modelli di nome utente con l’utilizzo delle espressioni regolari (gli attributi sono identici a <mask />).

Per esempio:

<expr user="^(.*)@([^.,=@\s\\]+)$"  add="sAMAccountName=\1" />

<expr user="^(.*)\\(.*)"            add="sAMAccountName=\2" />

Corrispondenza delle maschere e delle espressioni regolari:

Maschera

Espressione regolare

*

.*

#

[^.,=@\s\\]+

<filter /> – filtro di ricerca LDAP.

Attributo

Descrizione

value

Stringa che viene aggiunta al filtro di ricerca per operatore AND con elementi di sostituzione.

Concatenazione di filtri

<set variable="admingrp" filter="&amp;(objectclass=group)(cn=ESuite Admin)" attribute="dn" />
<mask user="*\*" add="sAMAccountName=\2" />
<filter value="&amp;(objectClass=user)(memberOf=\admingrp)" />

Se come risultato della ricerca admingrp assumerà il valore "CN=ESuite Admins,OU=some name,DC=example,DC=com", e l’utente ha immesso domain\user, il risultato è il filtro:

"(&(sAMAccountName=user)(&(objectClass=user)(memberOf=CN=ESuite Admins,OU=some name,DC=example,DC=com)))"

Esempio di configurazione dell'autenticazione LDAP/AD

Di seguito è riportato un esempio di impostazioni tipiche per l'autenticazione tramite LDAP. Le impostazioni vengono configurate nel Pannello di controllo, sezione Amministrazione → Autenticazione → Autenticazione LDAP/AD (per la variante Impostazioni semplificate).

Parametri iniziali per gli amministratori che devono autenticarsi:

dominio: dc.test.local

gruppo in Active Directory: DrWeb_Admins

Impostazioni del Pannello di controllo:

Nome dell'impostazione

Valore

Tipo di server

Microsoft Active Directory

Indirizzo del server

dc.test.local

Modelli di nome utente per la conferma dell’autentificazione

Maschera dell’account

test\* o *@test.local

Nome utente

\1

Appartenenza degli utenti per la conferma dell’autentificazione

Nome

DrWeb_Admins

Tipo

gruppo