5.1. Authentification des administrateurs

La procédure d'authentification de l'administrateur pour se connecter à Enterprise Server peut être réalisée en modes suivants :

1.Avec la sauvegarde des données sur les administrateurs dans la BD du Serveur.

2.A l'aide de service Active Directory (en cas de versions du Serveur pour OS Windows).

Les modes d'authentification sont utilisés successivement et d'après les principes suivants :

1.L'ordre d'application des méthodes d'authentification est fonction de leur succession dans les paramètres spécifiés via le Centre de Gestion.

2.En premier lieu, une tentative d'authentification de l'administrateur depuis la BD du Serveur est réalisée.

3.Par défaut, la deuxième méthode utilisée est l'authentification via LDAP, la troisième - via Active Directory, et la quatrième - via RADIUS.

4.Dans la configuration du Serveur, vous pouvez changer de place les modes LDAP, Active Directory et RADIUS, cependant la tentative d'authentification de l'administrateur depuis la BD sera toujours la première.

1.Sélectionnez l'élément Administration dans le menu principal du Centre de Gestion.

3.La fenêtre qui apparaît affiche une liste des types d'authentification dans l'ordre d'utilisation. Pour modifier l'ordre, cliquez sur la flèche se trouvant à gauche du type d'authentification. Les éléments avec les noms des méthodes d'authentification changent de place.

Le mode d'authentification dans lequel les données sur l'administrateurs sont conservées dans la BD du Serveur est utilisé par défaut.

1.Sélectionnez l'élément Administration dans le menu principal du Centre de Gestion.

2.Dans le menu de gestion, sélectionnez la rubrique Administrateurs. La listes contenant tous les administrateurs enregistrés dans la BD sera affichée.

1.Sélectionnez l'élement Administration dans le menu principal du Centre de Gestion.

3.Dans la fenêtre qui apparaît, passez dans la rubrique Microsoft Active Directory.

Lors de l'authentification des administrateurs via Active Directory, dans le Centre de Gestion, vous pouvez configurer uniquement l'autorisation d'utiliser ce mode d'authentification.

L'édition des propriétés des administrateurs d'Active Directory se fait de manière manuelle sur le serveur d'Active Directory.

Les opérations listées ci-après doivent être exécutées sur un PC sur lequel est installé le composant logiciel enfichable Schéma Active Directory.

1.Pour pouvoir éditer les paramètres des administrateurs, il est nécessaire de réaliser les opérations suivantes :

a)Afin de modifier le schéma d’Active Directory, lancez l’utilitaire drwschema-modify.exe (inclus dans le package d’installation du Serveur Enterprise).
La modification du schéma d’Active Directory peut prendre un certain temps. En fonction de la configuration de votre domaine, la synchronisation et l’application du schéma modifié peuvent prendre 5 minutes au minimum.

b)Pour enregistrer le composant logiciel enfichable Schéma Active Directory, exécutez la commande regsvr32 schmmgmt.dll en mode administrateur, puis lancez mmc et ajoutez le composant logiciel enfichable Schéma Active Directory.

c)En utilisant le composant logiciel enfichable Schéma Active Directory, ajoutez à la classe User et (si nécessaire) à la classe Group la classe auxiliaire DrWebEnterpriseUser.

Si l’application du schéma modifié n’est pas encore achevée, la classe DrWebEnterpriseUser est introuvable. Dans ce cas, patientez un certain temps et réessayez comme décrit dans le p. с).

d)Dans le mode administrateur, lancez le fichier drweb-esuite-aduac-600-xxxxxxxxx-windows-nt-xYY.msi (inclus dans le package d’installation Dr.Web Enterprise Security Suite 6.0.4) et attendez la fin d’installation.

2.Interface graphique permettant d'éditer les attributs est disponible depuis le panneau de configuration Active Directory Users and Computers → rubrique Users → dans la fenêtre d'édition des propriétés de l'utilisateur sélectionné Administrator Properties → sur l'obglet Dr.Web Authentication.

3.Les paramètres ci-dessous sont disponibles en édition (chaque attribut peut prendre les valeurs yes, no ou not set):

◆User is administrator signifie que l'utilisateur est administrateur ayant les droits complets.

◆User is read-only administrator signifie que l'utilisateur est administrateur ayant les droits en lecture seule.

Si la valeur yes est attribuée uniquement au paramètre User is administrator, cela signifie que l'utilisateur est administrateur ayant les droits complets.

Si la valeur yes est spécifiée pour les paramètres User is administrator et User is read-only administrator en même temps, cela signifie que l'utilisateur est administrateur ayant les droits en lecture seule.

◆Inherit permissions from groups est le paramètre autorisant l'héritage des valeurs pour les autres paramètres depuis les groupes de l'utilisateur. Si un paramètre (ou un groupe de paramètres) prend la valeur not set et que le paramètre Inherit permissions from groups prend la valeur yes, les valeurs des paramètres non configurés seront héritées depuis les groupes dont l'utilisateur fait partie.

Vous pouvez consulter les algorithmes relatifs au fonctionnement et à l'analyse des attributs dans l'Annexe O.

1.Sélectionnez l'élément Administration dans le menu principal du Centre de Gestion.

3.Dans la fenêtre qui apparaît, passez dans la rubrique Authentification LDAP.

Il est possible de configurer l'authentification via le protocole LDAP sur n'importe quel serveur LDAP. En utilisant ce mécanisme, vous pouvez configurer le Serveur tournant sous l'OS de la famille UNIX pour l'authentification dans Active Directory sur le contrôleur de domaine.

Les paramètres relatifs à l'authentification LDAP sont sauvegardés dans le fichier de configuration auth-ldap.xml.

Pour en savoir plus sur les attributs xml principaux, consultez l'Annexe O.

A la différence d'Active Directory, le mécanisme peut être configuré conformément à tout schéma LDAP. Par défaut, une tentative d'utiliser les attributs de Dr.Web Enterprise Security Suite sera entreprise, puisque ces attributs sont spécifiés pour Active Directory.

1.L'adresse du serveur LDAP est spécifiée via le Centre de Gestion ou dans le fichier de configuration xml.

2.Pour un nom d'utilisateur spécifié, les actions suivantes sont réalisées :

◆Transformation du nom vers le nom distingué DN (Distinguished Name) à l'aide des masques de type DOS (en utilisant le symbole *) si les règles sont spécifiées.

◆Transformation du nom vers le nom distingué DN avec les expressions régulières si les règles sont spécifiées.

◆Utilisation du script utilisateur pour la transformation des noms vers les DN si ce script est spécifié dans les paramètres.

◆Si aucune règle de transformation ne correspond, le nom spécifié est utilisé tel qu'il est.

Le format dans lequel est spécifié le nom d'utilisateur n'est pas déterminé ni fixé, l'entreprise peut utiliser un format adopté, dans ce cas, aucune modification du schéma LDAP n'est indispensable. La transofrmation d'après ce schéma se fait conformément aux règles de transformation de noms vers LDAP DN.

3.Après la transformation, tout comme en cas d'Active Directory, avec le DN reçu et le mot de passe entré, une tentative d'enregistrer l'utilisateur sur le serveur LDAP sélectionné sera réalisée.

4.Puis, tout comme en cas d'Active Directory, les attributs de l'objet LDAP pour le DN reçu sont lus. Les attributs et leurs valeurs admissibles peuvent être modifiés dans le fichier de configuration.

5.S'il reste des valeurs des attributs de l'administrateur non déterminées et que l'héritage est spécifié (dans le fichier de configuration), la recherche des attributs nécessaires dans les groupes dont l'utilisateur fait partie se fait de la même manière qu'en cas d'utilisation d'Active Directory.