DocumentationConfiguration de l'authentification LDAP
Configurez les paramètres requis dans le fichier de configuration du serveur de SKOOR Engine :
/etc/opt/eranger/eranger-server.cfg
L'exemple suivant montre une configuration minimale pour interroger Active Directory. Adaptez les valeurs aux paramètres du serveur AD/LDAP :
auth_ldap = on ldap_server = ldap://myldapserver:389 ldap_base = dc=mycompany,dc=local
Si les utilisateurs LDAP qui tentent de se connecter ne disposent pas d'autorisations suffisantes pour déterminer leur propre appartenance à un groupe LDAP, le dn peut être défini à l'aide des éléments ldap_user et ldap_pass.
Autres paramètres de configuration pour LDAP :
Paramètre | Paramètre Description |
|---|---|
ldap_auth_dn | Doit être défini à true au cas où les utilisateurs connectés ne peuvent pas lire leur appartenance à un groupe dans l'annuaire LDAP. |
ldap_charset | S'il y a des problèmes avec les caractères spéciaux (par exemple les trémas) dans les données reçues du serveur LDAP, configurez SKOOR Engine pour convertir la réponse du jeu de caractères spécifié, par exemple ISO8859-1, en UTF-8. |
ldap_item_user | Champ LDAP à comparer au nom de connexion. Ce paramètre est important pour le processus de connexion. En général, on utilise sAMAccountName ou userPrincipalName. |
ldap_item_name | Champ LDAP à afficher comme nom complet dans SKOOR (par exemple displayName) |
ldap_item_mail | Champ LDAP à afficher en tant qu'e-mail dans SKOOR (par ex. mail) |
ldap_item_phone | Champ LDAP à afficher en tant que téléphone dans SKOOR (par ex. telephoneNumber) |
ldap_item_comment | Champ LDAP à afficher en tant que commentaire dans SKOOR (p.ex. comment) |
ldap_item_group | Champ LDAP permettant de rechercher les membres du groupe des utilisateurs connectés. Typiquement, memberOf est utilisé |
ldap_pass | Mot de passe de l'utilisateur configuré pour le paramètre ldap_user |
ldap_server1ldap_server2 | Si plusieurs serveurs LDAP sont disponibles, ils peuvent être configurés à l'aide de ces paramètres au lieu de ldap_server |
ldap_user | Utilisateur devant effectuer une recherche dans l'arborescence LDAP si l'utilisateur de connexion n'a pas d'autorisation. |
ldap_user_expire | Nombre de jours inactifs après lesquels les utilisateurs gérés par LDAP sont supprimés de SKOOR Engine. (Par défaut = 90 jours) |
Recharger le serveur SKOOR Engine pour activer la configuration :
/opt/eranger/bin/eRanger.sh reload server
Pour qu'un utilisateur soit authentifié par rapport à AD/LDAP, définissez son type d'utilisateur sur Authentifié à distance dans la configuration de l'utilisateur.
Les mots de passe LDAP sont cryptés localement de la même manière que pour les utilisateurs normaux, c'est-à-dire en utilisant un cryptage MD5 salé. Le mot de passe en texte clair n'est jamais stocké dans SKOOR Engine. Cela permet à un utilisateur de se connecter à SKOOR Engine même si le répertoire LDAP n'est pas accessible.