Configuration de la synchronisation LDAP

Updated: January 18, 2018

Pour simplifier le processus de connexion et d’accès aux réseaux de l’entreprise, Altium Infrastructure Server prend en charge les services d’annuaire via son interface navigateur.

Cela offre une synchronisation des utilisateurs du domaine basée sur le Lightweight Directory Access Protocol (LDAP), qui interroge le serveur LDAP central du réseau afin de récupérer les informations d’appartenance des utilisateurs du domaine aux groupes et aux rôles. L’authentification des utilisateurs du domaine via les services d’annuaire existants de cette manière offre la possibilité d’une connexion unique pour accéder à tous les systèmes de l’entreprise, y compris Altium Infrastructure Server.

La synchronisation LDAP d’Infrastructure Server interroge les services réseau sur la base des rôles utilisateur, où les informations d’appartenance aux rôles sont collectées pour l’autorisation d’accès des utilisateurs d’Infrastructure Server. L’interrogation de l’appartenance au domaine via le service LDAP (synchronisation) permet au système de réagir à une modification de la configuration d’un utilisateur du domaine dans un cycle de synchronisation.

Pour plus d’informations sur les principes, les capacités et la syntaxe d’implémentation de LDAP, consultez https://tools.ietf.org/html/rfc4510 ainsi que les pages de documentation associées.

Synchronisation LDAP

Une synchronisation LDAP permet à l’administrateur d’un Altium Infrastructure Server d’exploiter les identifiants de nom d’utilisateur et de mot de passe déjà existants du domaine réseau, afin que les identifiants utilisateur n’aient pas à être créés manuellement un par un sur la USERS page de l’interface navigateur d’Infrastructure Server. Lorsqu’elle est correctement configurée, la USERS page se remplit automatiquement avec les identifiants utilisateur, permettant à tout utilisateur répertorié de se connecter à Altium Infrastructure Server à l’aide de son nom d’utilisateur et de son mot de passe habituels du réseau d’entreprise.

Pour vous connecter à Infrastructure Server à l’aide de vos identifiants de connexion Windows — en tirant parti de la prise en charge de l’authentification Windows par Infrastructure Server — activez l’option Use Windows Session credentials.

Altium Infrastructure Server prend en charge à la fois Standard LDAP, et LDAPS (LDAP sur SSL).

Cet article détaille une approche éprouvée qui a été utilisée avec succès pour configurer une synchronisation LDAP sur un domaine. Essayez cette approche lors de la configuration d’une synchronisation LDAP sur votre propre domaine.

De quoi ai-je besoin ?

Accès administrateur à Altium Infrastructure Server.
En option, un utilitaire extrêmement utile est une application appelée LDAP Admin (téléchargez LdapAdminExe-<version>.zip depuis http://www.ldapadmin.org/)

LDAP Admin peut être utilisé pour identifier les chaînes de requête exactes des groupes d’utilisateurs et la syntaxe requise pour configurer la page de configuration LDAP d’Altium Infrastructure Server.

Obtention de la chaîne de recherche LDAP (Distinguished Name)

Lors de la configuration d’une tâche de synchronisation LDAP via l’interface navigateur d’Altium Infrastructure Server, vous devez fournir le Distinguished Name (DN) LDAP. Celui-ci est saisi sous forme de chaîne et identifie l’objet de base de la recherche LDAP. Pour obtenir cette chaîne, nous allons utiliser l’utilitaire LDAP Admin, alors assurez-vous d’abord que le fichier zip est téléchargé, puis extrayez l’exécutable LdapAdmin qu’il contient.

Téléchargez et extrayez le fichier LdapAdmin.exe.

Exécutez l’exécutable LdapAdmin.exe en tant qu’administrateur (faites simplement un clic droit dessus et sélectionnez Run as administrator).

Lorsque le panneau LDAP Admin s’ouvre, choisissez Start » Connect pour accéder à la boîte de dialogue Connections , puis double-cliquez sur New connection pour accéder à la boîte de dialogue Connection properties.

Création d’une nouvelle connexion dans l’utilitaire LDAP Admin.

Dans l’onglet General de la boîte de dialogue Connection properties, configurez les informations de connexion en fonction de votre domaine ; par exemple :

Connection name: n’importe quel nom arbitraire à utiliser pour l’icône de connexion.
Host: testsite.com
Port: 389

Si vous configurez LDAPS (LDAP sur SSL), le port doit alors être 636.

Base: DC=testsite, DC=com
Activez l’option GSS-API.

Si vous configurez LDAPS (LDAP sur SSL), vous devez également activer l’option SSL .

Account: laissez simplement l’option Use current user credentials activée.

Exemple de connexion configurée lors de l’utilisation du protocole LDAP standard. Si vous utilisez LDAPS (LDAP sur SSL),
modifiez le port en 636, et activez l’option SSL.

Une fois les propriétés de connexion configurées, appuyez sur le bouton Test connection. Si tout est correctement configuré, vous devriez voir le message Connection is successful. Cliquez sur OK pour terminer la création de la nouvelle connexion.

Vous devez maintenant identifier la chaîne qui cible l’objet de base de la recherche LDAP. Pour cela :

Sélectionnez votre connexion nouvellement créée et cliquez sur OK dans la boîte de dialogue Connections — votre domaine réseau et la hiérarchie des groupes d’utilisateurs seront affichés.
Développez le chemin de dossier approprié jusqu’à atteindre le dossier contenant les utilisateurs requis.
Faites un clic droit sur ce dossier et choisissez la commande Search dans le menu contextuel. Cela ouvrira le panneau Search . L’information clé recherchée est la chaîne déjà renseignée dans le champ Path . En la lisant de gauche à droite, cette chaîne représente le chemin vers ce dossier d’utilisateurs depuis le bas vers le haut, dans la structure du domaine. Pour notre exemple, nous supposerons un dossier d’utilisateurs spécifiques — Managers — qui est un enfant du dossier parent — Users. Dans ce cas, notre chaîne est : OU=Managers,OU=Users,DC=testsite,DC=com.
Copiez et collez cette chaîne dans un fichier texte pour une utilisation ultérieure dans le processus de configuration, ou laissez éventuellement le panneau Search accessible.

À ce stade, l’utilitaire LDAP Admin n’est plus nécessaire pour les étapes suivantes.

Configuration d’un Altium Infrastructure Server pour utiliser la synchronisation LDAP

Concentrons-nous maintenant sur Altium Infrastructure Server. Connectez-vous à l’Altium Infrastructure Server cible — via son interface navigateur — en tant qu’administrateur. Si vous avez l’intention de créer automatiquement des identifiants utilisateur à partir de LDAP, vous souhaiterez probablement supprimer tous les utilisateurs existants créés manuellement. L’idéal est donc de commencer uniquement avec les utilisateurs du rôle Administrateur par défaut — admin et System.

Exemple d’Altium Infrastructure Server cible, avec seulement les deux utilisateurs administratifs par défaut, admin et System.

Si vous souhaitez que les utilisateurs issus de la synchronisation LDAP soient associés à un rôle spécifique, vous pouvez passer à l’onglet Roles et créer un nouveau rôle selon vos besoins, en le laissant vide d’utilisateurs. Pour notre exemple, nous allons créer un rôle appelé Managers.

Passez maintenant à l’onglet LDAP Sync, puis cliquez sur le bouton pour accéder à la boîte de dialogue Add LDAP Sync Task.

Ajout d’une nouvelle tâche de synchronisation LDAP via l’interface navigateur d’Infrastructure Server.

Renseignez les informations suivantes (sur la base de l’exemple de structure de domaine utilisé dans la section précédente) :

Général

Target Role: Managers
Url: LDAP://testsite.com:389

Si vous configurez LDAPS (LDAP sur SSL), alors le Url dans cet exemple serait : LDAPS://testsite.com:636.

DN: OU=Managers,OU=Users,DC=testsite,DC=com

Il s’agit de la chaîne obtenue à partir du champ Path du panneau Search , lors de l’utilisation de l’utilitaire LDAP Admin dans la section précédente.

Filter: laissez ce champ vide pour récupérer tous les utilisateurs du groupe spécifié déterminé sur le domaine (dans le champ DN ). Si la zone désignée de la structure du domaine contenait d’autres regroupements d’utilisateurs, vous pourriez extraire seulement un sous-ensemble de ces utilisateurs en utilisant ici une chaîne de filtrage appropriée.

Par exemple, supposons qu’il y ait eu un ensemble d’utilisateurs sous le groupe des responsables, regroupés pour disposer de pouvoirs administratifs (CN=Administrators). Pour cibler uniquement cet ensemble d’utilisateurs, et non tous les responsables (dans la zone OU=Managers de la structure du domaine), une chaîne de requête pourrait être écrite pour cibler ce point de la structure du domaine :

(&(objectClass=user)(memberof=CN=Administrators,OU=Managers,OU=Users,DC=testsite,DC=com))

Bien que le champ Filter puisse être laissé vide, renvoyant tous les utilisateurs le long du chemin défini par le champ DN , cela peut être assez dangereux. Ce chemin pourrait pointer vers une zone de la structure du domaine contenant un très grand nombre d’utilisateurs, et pourrait bloquer toute l’organisation en raison d’une charge excessive sur Altium Infrastructure Server et Active Directory. Il est vraiment préférable de cibler un ou plusieurs ensembles d’utilisateurs spécifiques, à l’aide d’un filtrage dédié. Pour plus d’informations concernant les requêtes LDAP pouvant être utilisées pour cibler des ensembles spécifiques d’utilisateurs, utilisez les liens suivants :

Requêtes LDAP courantes - en particulier les requêtes concernant les utilisateurs. Cette page fait en réalité partie d’un manuel détaillé de Google, relatif à Google Apps Directory Sync, mais elle est utile pour ce type de sujets liés à LDAP.
Bases des requêtes LDAP

Scope: sub
Attributes: sAMAccountName

Authentification

User Name: domain\<your username> (par ex. testsite\jason.howie)
Password: <your password>

Mappage des attributs

First Name: givenName
Last Name: sn
Email: mail
User Name: sAMAccountName

Type d’authentification utilisateur

Radio button: Windows
Domain: testsite.com

Exemple de tâche de synchronisation LDAP, configurée avec toutes les informations requises lors de l’utilisation du protocole LDAP standard. Si vous utilisez LDAPS (LDAP sur SSL), l’entrée Url
serait remplacée par LDAPS://testsite.com:636.

Lorsque vous avez terminé de saisir tous les paramètres, cliquez sur . Cela lancera le processus de synchronisation, qui peut prendre une ou deux minutes, le temps de traiter les informations que vous venez de saisir. Surveillez les messages d’état de la synchronisation en haut de la page LDAP Sync, afin de voir quand le processus est terminé.

Cliquez maintenant sur l’onglet Users . Cette liste devrait maintenant être remplie avec tous les utilisateurs tels que définis par le paramètre OU=<GroupName> (voir l’image d’exemple ci-dessous). Désormais, chacun peut se connecter à Altium Infrastructure Server à l’aide de son identifiant Windows habituel.

Pour vous connecter à Infrastructure Server à l’aide de vos identifiants Windows — en tirant parti de la prise en charge de l’authentification Windows par Infrastructure Server — activez l’option Use Windows Session credentials.

Veuillez noter que des utilisateurs supplémentaires peuvent être ajoutés manuellement en dehors du groupe de synchronisation LDAP — vous pouvez donc tout à fait avoir un mélange d’utilisateurs créés manuellement et d’utilisateurs spécifiés par LDAP (créés automatiquement).

Exemple de population d’utilisateurs pour un serveur d’infrastructure Altium, via l’utilisation d’une synchronisation LDAP.