Documentation

Types d'authentification des utilisateurs

Plusieurs méthodes d'authentification des utilisateurs sont disponibles pour se connecter à l'interface web de SKOOR Engine :

  • Authentification locale

  • Authentification par rapport à un LDAP ou un Active Directory basée sur le nom d'utilisateur et le mot de passe

  • Authentification par rapport à un LDAP ou Active Directory basée sur l'appartenance d'un utilisateur à un groupe LDAP/Active Directory spécifique

  • Connexion basée sur un jeton de fournisseur d'authentification externe (OIDC), tel que Keycloak ou Azure AD.

L'authentification locale est toujours disponible. Cependant, les autres ne sont disponibles que si la configuration correspondante a été préparée sur le système.

Utilisateur authentifié localement

Les informations d'identification pour ce type d'utilisateur sont stockées dans la base de données locale de SKOOR Engine. Il s'agit du type d'utilisateur par défaut. Un mot de passe ou une adresse électronique valide doivent être définis lors de la création d'un utilisateur authentifié localement.

Les opérations suivantes ne peuvent être effectuées que par un utilisateur administrateur :

  • Modifier le rôle de l'utilisateur

  • Modifier le type d'utilisateur

  • Supprimer un utilisateur

  • Modifier l'appartenance d'un utilisateur à un groupe

Un utilisateur authentifié localement peut être lié à des groupes d'utilisateurs associés à des utilisateurs gérés par LDAP, mais l'utilisateur n'hérite d'aucun des paramètres du groupe.

Utilisateur authentifié à distance

Pour authentifier un utilisateur par rapport à AD/LDAP, sélectionnez le paramètre Authentifié à distance dans la liste déroulante Type d'utilisateur. Le nom d'utilisateur doit être identique à celui utilisé dans le répertoire AD/LDAP. Même si les informations d'identification de l'utilisateur sont vérifiées par rapport à LDAP, un mot de passe initial doit être défini lors de la configuration d'un nouvel utilisateur authentifié à distance . Cependant, n'importe quel mot de passe peut être choisi.

Une fois que l'utilisateur est configuré et qu'une connectivité réseau au serveur AD/LDAP est disponible à partir de SKOOR Engine, connectez-vous à l'interface web de SKOOR Engine en utilisant les informations d'identification LDAP. Si la connexion réussit, le mot de passe initialement défini est remplacé par le mot de passe LDAP valide. Le mot de passe est mis en cache localement pour permettre la connexion en cas d'échec de la connexion au serveur LDAP.

La modification du mot de passe d'un utilisateur authentifié par LDAP n'est pas supportée depuis SKOOR Engine. Le mot de passe doit être modifié dans LDAP.

Les utilisateurs existants authentifiés localement peuvent être transformés en utilisateurs authentifiés LDAP.

Les utilisateurs authentifiés LDAP existants peuvent être remplacés par des utilisateurs authentifiés localement. Le mot de passe LDAP actuel sera enregistré et utilisé pour l'authentification locale.

Utilisateur géré par LDAP

Un utilisateur géré par LDAP n'est pas créé manuellement dans SKOOR Engine. Il est créé automatiquement lorsqu'un utilisateur se connecte et appartient à un groupe spécifique dans l'annuaire LDAP.

Lorsqu'un groupe d'utilisateurs SKOOR Engine est créé (voir la section Groupes d'utilisateurs), le nom du groupe LDAP doit être configuré comme Groupe distant dans la boîte de dialogue Ajouter un nouveau groupe d'utilisateurs.

Une fois qu'un nom de groupe distant est saisi, des paramètres supplémentaires peuvent être configurés pour le groupe :

Définir le rôle de l'utilisateur requis pour le groupe LDAP. Il est également possible de choisir une page de démarrage.

Lorsqu'un utilisateur tente de se connecter, une authentification est effectuée par rapport au serveur LDAP configuré. Si la connexion réussit et que l'utilisateur est membre du groupe LDAP configuré, l'utilisateur est automatiquement créé en tant qu'objet sous /root /Users /Users :

Dans cet exemple, l'utilisateur testldap_b a été automatiquement créé en tant que type d'utilisateur géré à distance. L'utilisateur ne peut pas être modifié. Le nom complet, le numéro de téléphone et l'adresse électronique sont fournis par l'annuaire LDAP si les correspondances respectives sont configurées (voir Configuration de l'authentification LDAP ). Le compte utilisateur nouvellement créé est automatiquement ajouté au groupe d'utilisateurs LDAP SKOOR correspondant.

Si un utilisateur est membre de plusieurs groupes dans le répertoire LDAP et que ces groupes sont également configurés dans SKOOR Engine, l'objet utilisateur est lié à tous ces groupes. Il héritera des privilèges les plus élevés (par exemple, le rôle d'utilisateur Administrateur) des groupes liés.

Un utilisateur géré par LDAP ne peut pas être lié à des groupes d'utilisateurs supplémentaires.

Un utilisateur géré par LDAP peut être supprimé manuellement (par les utilisateurs administrateurs) ou automatiquement après un nombre de jours prédéfini.

L'appartenance à un groupe LDAP est déterminée à l'aide de l'attribut memberOf de l'utilisateur. Cet attribut peut être modifié en éditant l'entrée ldap_item_group dans le fichier de configuration eranger-server.cfg.


Previous
Vacances
Next
Utilisateurs