Configuration de la synchronisation LDAP

Pour simplifier le processus de connexion et d’accès aux réseaux de l’entreprise, Enterprise Server prend en charge les services d’annuaire via son interface navigateur.

Cela offre une synchronisation des utilisateurs du domaine basée sur le Lightweight Directory Access Protocol (LDAP), qui interroge le serveur LDAP central du réseau afin de récupérer les informations d’appartenance aux groupes et aux rôles des utilisateurs du domaine. L’authentification des utilisateurs du domaine via les services d’annuaire existants de cette manière offre la possibilité d’une connexion unique pour accéder à tous les systèmes de l’entreprise, y compris Enterprise Server.

La synchronisation LDAP d’Enterprise Server interroge les services réseau sur la base des rôles utilisateur, où les informations d’appartenance aux rôles sont collectées pour l’autorisation d’accès des utilisateurs à Enterprise Server. L’interrogation de l’appartenance au domaine via le service LDAP (synchronisation) permet au système de réagir à une modification de la configuration d’un utilisateur du domaine au cours d’un cycle de synchronisation.

Synchronisation LDAP

Une synchronisation LDAP permet à un administrateur d’un Workspace Enterprise Server d’exploiter les identifiants de nom d’utilisateur et de mot de passe déjà existants du domaine réseau, afin que les identifiants utilisateur n’aient pas à être créés manuellement un par un sur la Users page de l’interface navigateur du Workspace. Lorsqu’elle est correctement configurée, la Users page se remplit automatiquement avec les identifiants utilisateur, permettant à tout utilisateur répertorié d’accéder au Workspace à l’aide de son nom d’utilisateur et de son mot de passe habituels du réseau d’entreprise.

Cet article détaille une approche éprouvée qui a été utilisée avec succès pour configurer une synchronisation LDAP sur un domaine. Essayez cette approche lors de la configuration d’une synchronisation LDAP sur votre propre domaine.

De quoi ai-je besoin ?

• Accès administrateur au Workspace.
• En option, un utilitaire extrêmement utile est une application appelée LDAP Admin (téléchargeable LdapAdminExe-<version>.zip depuis https://sourceforge.net/projects/ldapadmin/ )

Obtention de la chaîne de recherche LDAP (Distinguished Name)

Lors de la configuration d’une tâche de synchronisation LDAP via l’interface navigateur du Workspace, vous devez fournir le Distinguished Name (DN) LDAP. Celui-ci est saisi sous forme de chaîne et identifie l’objet de base de la recherche LDAP. Pour obtenir cette chaîne, nous allons utiliser l’utilitaire LDAP Admin ; assurez-vous donc d’abord que le fichier zip est téléchargé, puis extrayez l’exécutable LdapAdmin qu’il contient.

Téléchargez et extrayez le fichier LdapAdmin.exe.

Exécutez l’exécutable LdapAdmin.exe en tant qu’administrateur (faites simplement un clic droit dessus et sélectionnez Run as administrator).

Lorsque le panneau LDAP Admin s’ouvre, choisissez Start » Connect pour accéder à la boîte de dialogue Connections , puis double-cliquez sur New connection pour accéder à la boîte de dialogue Connection properties.

Création d’une nouvelle connexion dans l’utilitaire LDAP Admin.

Dans l’onglet General de la boîte de dialogue Connection properties, configurez les informations de connexion relatives à votre domaine ; par exemple :

• Connection name: n’importe quel nom arbitraire à utiliser pour l’icône de connexion.
• Host: testsite.com
• Port: 389

• Base: DC=testsite, DC=com
• Activez l’option GSS-API.

• Account: laissez simplement l’option Use current user credentials activée.

Exemple de connexion configurée lors de l’utilisation du protocole LDAP standard. Si vous utilisez LDAPS (LDAP sur SSL), remplacez le port par 636 et activez l’option SSL.

Une fois les propriétés de connexion configurées, appuyez sur le bouton Test connection. Si tout est correctement défini, vous devriez voir le message Connection is successful. Cliquez sur OK pour terminer la création de la nouvelle connexion.

Vous devez maintenant identifier la chaîne qui cible l’objet de base de la recherche LDAP. Pour ce faire :

1. Sélectionnez votre connexion nouvellement créée et cliquez sur OK dans la boîte de dialogue Connections — la hiérarchie de votre domaine réseau et de vos groupes d’utilisateurs s’affichera.
2. Développez le chemin de dossier approprié jusqu’à atteindre le dossier contenant les utilisateurs requis.
3. Faites un clic droit sur ce dossier et choisissez la commande Search dans le menu contextuel. Cela ouvrira le panneau Search . L’information clé recherchée est la chaîne déjà renseignée dans le champ Path . Lue de gauche à droite, cette chaîne représente le chemin vers ce dossier d’utilisateurs depuis le bas vers le haut, dans la structure du domaine. Pour notre exemple, nous supposerons un dossier d’utilisateurs spécifiques — Engineers — qui est un enfant du dossier parent — Users. Dans ce cas, notre chaîne est : OU=Engineers,OU=Users,DC=testsite,DC=com.
4. Copiez et collez cette chaîne dans un fichier texte pour une utilisation ultérieure dans le processus de configuration, ou laissez éventuellement simplement le panneau Search accessible.

À ce stade, l’utilitaire LDAP Admin n’est plus nécessaire pour les étapes suivantes.

Configuration du Workspace pour utiliser la synchronisation LDAP

Connectez-vous maintenant au Workspace cible — via son interface navigateur — en tant qu’administrateur. Si vous avez l’intention de créer automatiquement des identifiants utilisateur à partir de LDAP, vous souhaiterez probablement supprimer tous les utilisateurs existants créés manuellement. Idéalement, commencez donc uniquement avec l’utilisateur administratif par défaut — admin (sur la page Admin - Users de l’interface).

Exemple de Workspace cible, avec uniquement l’utilisateur administratif par défaut, admin.

Si vous souhaitez associer les utilisateurs issus de la synchronisation LDAP à un groupe spécifique, vous pouvez passer à la page Groups et créer un nouveau groupe selon vos besoins (par ex. Electrical Designers, Mechanical Designers, PCB Specialists, etc.), en le laissant vide d’utilisateurs. L’exemple ici utilise le groupe par défaut faisant partie des données d’exemple installées, appelé Engineers.

Passez maintenant à la page LDAP Sync, puis cliquez sur le bouton (ou sur le lien Create a new one dans ce cas) pour accéder à la fenêtre LDAP Sync Creation.

Ajout d’une nouvelle tâche de synchronisation LDAP via l’interface navigateur du Workspace.

Renseignez les informations suivantes (sur la base de l’exemple de structure de domaine utilisé dans la section précédente) :

Général

• Target Role: Engineers

• Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com

  Il s’agit de la chaîne obtenue à partir du champ Path du panneau Search , lors de l’utilisation de l’utilitaire LDAP Admin dans la section précédente.

• Url: LDAP://testsite.com:389

  Si vous configurez LDAPS (LDAP sur SSL), alors le Url dans cet exemple serait : LDAPS://testsite.com:636.

• Scope: sub

• Attributes: sAMAccountName

• Filter: laissez ce champ vide pour récupérer tous les utilisateurs du groupe spécifié déterminé sur le domaine (dans le champ DN ). Si la zone désignée de la structure du domaine contenait d’autres regroupements d’utilisateurs, vous pourriez extraire seulement un sous-ensemble de ces utilisateurs en utilisant ici une chaîne de filtrage appropriée.

  Par exemple, supposons qu’il y ait eu un ensemble d’utilisateurs sous le groupe Engineers, réunis pour disposer de privilèges administratifs (CN=Administrators). Pour cibler uniquement cet ensemble d’utilisateurs, et non tous les Engineers (dans la zone OU=Engineers de la structure du domaine), une chaîne de requête pourrait être écrite pour cibler ce point de la structure du domaine :

  (&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

  Bien que le champ Filter puisse être laissé vide, renvoyant tous les utilisateurs le long du chemin défini par le champ DN , cela peut être assez dangereux. Ce chemin pourrait pointer vers une zone de la structure du domaine contenant un très grand nombre d’utilisateurs, et pourrait bloquer toute l’organisation en raison d’une charge excessive sur Enterprise Server et Active Directory. Il est vraiment préférable de cibler un ou plusieurs ensembles d’utilisateurs spécifiques, à l’aide d’un filtrage dédié.

Mappage des attributs

• First Name: givenName
• Last Name: sn
• Email: mail
• User Name: sAMAccountName
• Overwrite existing users — lorsqu’elle est activée, la synchronisation LDAP remplacera les utilisateurs créés manuellement par ceux renvoyés par la requête de synchronisation, tant que les noms des utilisateurs correspondent exactement.

Authentification

• User Name: domain\<your username> (par ex. testsite\jason.howie)
• Password: <your password>
• User authentication type: Windows
• Domain: testsite.com

Exemple de tâche de synchronisation LDAP, configurée avec toutes les informations requises lors de l’utilisation du protocole LDAP standard. Si vous utilisez LDAPS (LDAP sur SSL), l’entrée Url serait remplacée par LDAPS://testsite.com:636.

Une fois tous les paramètres saisis, cliquez sur . Cela lancera le processus de synchronisation, qui peut prendre une ou deux minutes, le temps de traiter les informations que vous venez de saisir.

Accédez maintenant à la page Users . Cette liste devrait désormais être remplie avec tous les utilisateurs tels que définis par le paramètre OU=<GroupName> (voir l’image d’exemple ci-dessous). Toute personne peut alors accéder au Workspace en utilisant sa connexion Windows habituelle.

Exemple de population d’utilisateurs pour un Workspace, grâce à l’utilisation d’une synchronisation LDAP.