Sommaire
|
Attributs d'authentification Active Directory
Les attributs d'authentification d'Active Directory sont des attributs d'organisation. Les valeurs qui leur sont affectées dans Configuration des services deviennent les valeurs par défaut du modèle Authentification Active Directory. Le modèle de service doit être créé après enregistrement du service dans l’organisation. Les valeurs par défaut peuvent être modifiées par la suite par l'administrateur de l'organisation. Les attributs d'organisation ne sont pas transmis aux entrées de l'organisation. Les attributs d'authentification Active Directory sont les suivants :
Serveur Active Directory principal
Ce champ indique le nom d'hôte et le numéro de port du serveur Active Directory principal défini lors de l'installation du serveur Access Manager. C'est le premier serveur contacté pour l'authentification Active Directory. Le format est nomhôte:port. (Si aucun numéro de port n'est précisé, le port389 est utilisé par défaut.)
Si Access Manager est déployé avec plusieurs domaines, vous pouvez indiquer la liaison de communication entre des instances spécifiques d'Access Manager et de Directory Server dans le format ci-dessous. (Lorsqu'il y a plusieurs entrées, chacune doit être précédée du nom du serveur local.)
nomserveur_local|serveur:port nomserveur_local2|serveur2:port2 ...
Par exemple, si deux instances Access Manager sont déployées à des emplacements différents (L1-ordinateur1-IS et L2- ordinateur2-IS) et qu'elles communiquent avec différentes instances de Directory Server (L1-ordinateur1-DS et L2-ordinateur2-DS), elles sont indiquées comme suit :
L1-ordinateur1-IS.exemple.com|L1-ordinateur1-DS.exemple.com:389 L2-ordinateur2-IS.exemple.com|L2-ordinateur2-DS.exemple.com:389
Serveur Active Directory secondaire
Ce champ spécifie le nom d'hôte et le numéro de port du serveur Active Directory secondaire disponible pour la plate-forme Access Manager. Si le serveur Active Directory principal ne répond pas à une demande d'authentification, c'est ce serveur qui est contacté. Si le serveur principal est activé, Access Manager bascule à nouveau sur le serveur principal. Le format suivi est aussi nomhôte:port. Si vous utilisez plusieurs entrées, celles-ci doivent être précédées du nom du serveur local.
DN où démarrer la recherche d'utilisateur
Ce champ détermine le DN du nud où la recherche de l'utilisateur doit commencer. (Pour un maximum d'efficacité, ce DN doit être le plus précis possible.) La valeur par défaut est la racine de l'arborescence des répertoires. Tout DN valide est reconnu. Si la valeur OBJECT est sélectionnée pour l'attribut Étendue de la recherche, le DN doit indiquer le niveau supérieur par rapport au niveau auquel figure le profil.
Si vous utilisez plusieurs entrées, celles-ci doivent être précédées du nom du serveur local. Le format est le suivant :
nomserveur|search dn
Lorsqu'il existe plusieurs entrées :
nomserveur1|search dn nomserveur2|search dn nomserveur3|search dn...
Si la même recherche aboutit à plusieurs utilisateurs, l'authentification échoue.
DN pour liaison utilisateur racine
Ce champ spécifie le DN de l'utilisateur qui sera associé au serveur Directory Server indiqué dans le champ du serveur et du port Active Directory principaux en tant qu'administrateur. Le service d'authentification doit être associé à ce DN afin de pouvoir rechercher le DN utilisateur qui correspond à un ID de connexion utilisateur donné. La valeur par défaut est amLDAPuser. Tout DN valide est reconnu.
Assurez-vous que le mot de passe est correct avant de vous déconnecter, car s'il est incorrect, vous serez bloqué. Dans ce cas, vous pouvez vous connecter avec le DN de super-utilisateur dans la propriété com.iplanet.authentication.super.user du fichier AMConfig.Properties. Par défaut, il s'agit du compte amAdmin avec lequel vous vous connectez normalement, même si vous utilisez le DN complet. Par exemple :
uid_amAdmin,ou=People,AccessManager-base
Mot de passe pour associer l'utilisateur racine
Ce champ comporte le mot de passe du profil administrateur spécifié dans le champ DN pour associer l'utilisateur racine. Aucune valeur par défaut n'est définie. Seul le mot de passe Active Directory valide de l'administrateur sera reconnu.
Mot de passe pour associer l'utilisateur racine (confirmer)
Confirmation du mot de passe.
Attribut Active Directory utilisé pour récupérer profil utilisateur
Une fois qu'un utilisateur s'est authentifié avec succès, son profil est récupéré. La valeur de cet attribut est utilisée pour effectuer la recherche. Ce champ indique l'attribut Active Directory à utiliser. Par défaut, le serveur Access Manager suppose que les entrées utilisateur sont identifiées par l'attribut uid. Si Directory Server utilise un attribut différent (tel que givenname), indiquez le nom de ce dernier dans ce champ.
Remarque
Le filtre de recherche d'utilisateur est une combinaison de l'attribut Filtre de recherche et de l'attribut Active Directory utilisé pour récupérer profil utilisateur.
Attributs Active Directory utilisés pour rechercher un utilisateur à authentifier
Ce champ énumère les attributs du filtre de recherche à utiliser pour authentifier un utilisateur, et permet à l'utilisateur de s'authentifier avec plusieurs attributs dans son entrée. Par exemple, si ce champ contient uid, employeenumber et mail, l'utilisateur peut s'authentifier avec chacun de ces noms.
Filtre de recherche d'utilisateur
Ce champ indique l’attribut à utiliser pour trouver un utilisateur à l'aide du champ DN où démarrer la recherche d'utilisateur. Il fonctionne avec l'attribut d'affectation de nom d'une entrée utilisateur. Aucune valeur par défaut n'est définie. Tout attribut d'entrée utilisateur valide est reconnu.
Étendue de la recherche
Ce menu indique le nombre de niveaux du serveur Directory Server qui seront inspectés afin de trouver un profil utilisateur correspondant. La recherche commence par le nud spécifié indiqué l'attribut "DN où démarrer la recherche d'utilisateur". La valeur par défaut est : SOUS-ARBRE. L'une des options suivantes peut être sélectionnée dans la liste :
- OBJET : recherche uniquement sur le nud spécifié
- UNNIVEAU : recherche au niveau du nud spécifié et au niveau inférieur
- SOUS-ARBRE : recherche toutes les entrées au niveau du nud spécifié ainsi qu'à tous les niveaux qui lui sont inférieurs
Activer accès SSL au serveur Active Directory
Cette option active l'accès SSL au serveur Directory Server indiqué dans le champ Serveur et port Active Directory principaux et secondaires. Par défaut, cette option est désactivée et le protocole SSL n'est pas utilisé pour accéder à Directory Server. Cependant, si l'attribut est activé, vous pouvez effectuer une liaison avec un serveur non-SSL.
Renvoyer DN utilisateur à authentifier
Lorsque le répertoire Access Manager est identique à celui configuré pour Active Directory, cette option peut être activée. Dans ce cas, elle permet au module d'authentification Active Directory de renvoyer le DN au lieu du userId et aucune recherche n'est nécessaire. Normalement, un module d'authentification renvoie uniquement le userId, et le service d'authentification cherche l'utilisateur dans le répertoire Active Directory du serveur Access Manager local. Si un répertoire Active Directory externe est utilisé, cette option n’est généralement pas activée.
Intervalle de recherche du serveur Active Directory
Cet attribut est utilisé en cas de restauration automatique du serveur Active Directory. Il définit la durée (en minutes) de l'inactivité d'un thread avant que celui-ci ne vérifie si le serveur Active Directory principal est en cours d'exécution.
Liste des attributs de création d'utilisateurs
Cet attribut est utilisé par le module d'authentification Active Directory lorsque le serveur Active Directory est configuré comme serveur Active Directory externe. Il permet la mise en relation des attributs entre un serveur Directory Server local et externe. Son format est le suivant :
attr1|externalattr1
attr2|externalattr2
Une fois cet attribut créé, les valeurs des attributs externes sont lues dans le serveur Directory Server externe, puis sont définies pour les attributs du serveur Directory Server interne. Les valeurs des attributs externes sont définies dans les attributs internes uniquement si l'attribut Profil utilisateur (situé dans le module d'authentification principale) est défini sur « Créé dynamiquement » et si l'utilisateur n'existe pas dans l'instance du serveur Directory Server local. L'utilisateur nouvellement créé comprend les valeurs des attributs internes, tels qu'indiqués dans la liste des attributs de création d'utilisateurs, ainsi que les valeurs des attributs externes correspondants.
Niveau d'authentification
Le niveau d'authentification est défini indépendamment pour chaque méthode d'authentification. La valeur indique le niveau de confiance accordé à une authentification. Une fois l'utilisateur authentifié, cette valeur est stockée dans le jeton SSO pour la durée de la session. Quand le jeton SSO est présenté à une application à laquelle l'utilisateur veut accéder, celle-ci utilise la valeur stockée pour déterminer si le niveau est suffisant pour accorder l'accès à l'utilisateur. Si le niveau d'authentification stocké dans un jeton SSO n'est pas suffisant, l'application peut inviter l'utilisateur à s'authentifier par l'intermédiaire d'un service doté d'un niveau d'authentification supérieur. La valeur par défaut est 0.
Remarque
Si aucun niveau d'authentification n'est précisé, le jeton SSO stocke la valeur définie dans l'attribut d'authentification principale : Niveau d'authentification par défaut.
Sommaire |