Configuration de la synchronisation LDAP

Parent page: Sujets avancés

Pour simplifier le processus de connexion et d’accès aux réseaux de l’entreprise, l’Enterprise Server prend en charge les services d’annuaire via son interface navigateur.

Cela offre une synchronisation des utilisateurs du domaine basée sur le Lightweight Directory Access Protocol (LDAP), qui interroge le serveur LDAP central du réseau afin de récupérer les informations d’appartenance des utilisateurs du domaine aux groupes et aux rôles. L’authentification des utilisateurs du domaine via les services d’annuaire établis de cette manière offre la possibilité d’une connexion unique pour accéder à tous les systèmes de l’entreprise, y compris l’Enterprise Server.

La synchronisation LDAP de l’Enterprise Server interroge les services réseau sur la base des rôles utilisateur, où les informations d’appartenance aux rôles sont collectées pour l’autorisation d’accès des utilisateurs à l’Enterprise Server. L’interrogation de l’appartenance au domaine via le service LDAP (synchronisation) permet au système de réagir à une modification de la configuration d’un utilisateur du domaine dans un cycle de synchronisation.

Synchronisation LDAP

Une synchronisation LDAP permet à un administrateur d’un Workspace Enterprise Server d’exploiter les identifiants existants de nom d’utilisateur et de mot de passe du domaine réseau, de sorte que les identifiants utilisateur n’aient pas à être créés manuellement un par un sur la Users page de l’interface navigateur du Workspace. Lorsqu’elle est correctement configurée, la Users page se remplit automatiquement avec les identifiants utilisateur, permettant à tout utilisateur répertorié d’accéder au Workspace à l’aide de son nom d’utilisateur et de son mot de passe habituels du réseau d’entreprise.

Cet article détaille une approche éprouvée qui a été utilisée avec succès pour configurer une synchronisation LDAP sur un domaine. Essayez cette approche lors de la configuration d’une synchronisation LDAP sur votre propre domaine.

De quoi ai-je besoin ?

• Accès administrateur au Workspace.
• En option, un utilitaire extrêmement utile est une application appelée LDAP Admin (téléchargeable LdapAdminExe-<version>.zip depuis https://sourceforge.net/projects/ldapadmin/ )

Obtention de la chaîne de recherche LDAP (Distinguished Name)

Lors de la configuration d’une tâche de synchronisation LDAP via l’interface navigateur du Workspace, vous devez fournir le Distinguished Name (DN) LDAP. Celui-ci est saisi sous forme de chaîne et identifie l’objet de base de la recherche LDAP. Pour obtenir cette chaîne, nous allons utiliser l’utilitaire LDAP Admin, alors assurez-vous d’abord que le fichier zip est téléchargé, puis extrayez l’exécutable LdapAdmin qu’il contient.

Téléchargez et extrayez le fichier LdapAdmin.exe.

Exécutez l’exécutable LdapAdmin.exe en tant qu’administrateur (faites simplement un clic droit dessus et sélectionnez Run as administrator).

Lorsque le panneau LDAP Admin s’ouvre, choisissez Start » Connect pour accéder à la boîte de dialogue Connections , puis double-cliquez sur New connection pour accéder à la boîte de dialogue Connection properties.

Création d’une nouvelle connexion dans l’utilitaire LDAP Admin.

Dans l’onglet General de la boîte de dialogue Connection properties, configurez les informations de connexion en fonction de votre domaine ; par exemple :

• Connection name: n’importe quel nom arbitraire à utiliser pour l’icône de connexion.
• Host: testsite.com
• Port: 389

• Base: DC=testsite, DC=com
• Activez l’option GSS-API.

• Account: laissez simplement l’option Use current user credentials activée.

Exemple de connexion configurée lors de l’utilisation du LDAP standard. Si vous utilisez LDAPS (LDAP sur SSL), remplacez le port par 636 et activez l’option SSL.

Une fois les propriétés de connexion configurées, appuyez sur le bouton Test connection. Si tout est correctement défini, vous devriez voir le message Connection is successful. Cliquez sur OK pour terminer la création de la nouvelle connexion.

Vous devez maintenant identifier la chaîne qui cible l’objet de base de la recherche LDAP. Pour ce faire :

1. Sélectionnez votre connexion nouvellement créée et cliquez sur OK dans la boîte de dialogue Connections – votre domaine réseau et la hiérarchie des groupes d’utilisateurs seront affichés.
2. Développez le chemin de dossier approprié jusqu’à atteindre le dossier contenant les utilisateurs requis.
3. Faites un clic droit sur ce dossier et choisissez la commande Search dans le menu contextuel. Cela ouvrira le panneau Search . L’information clé recherchée est la chaîne déjà renseignée dans le champ Path . Lue de gauche à droite, cette chaîne représente le chemin vers ce dossier d’utilisateurs depuis le bas vers le haut dans la structure du domaine. Pour notre exemple, nous supposerons un dossier d’utilisateurs spécifiques – Engineers – qui est un enfant du dossier parent – Users. Dans ce cas, notre chaîne est : OU=Engineers,OU=Users,DC=testsite,DC=com.
4. Copiez et collez cette chaîne dans un fichier texte pour une utilisation ultérieure dans le processus de configuration, ou laissez éventuellement simplement le panneau Search accessible.

À ce stade, l’utilitaire LDAP Admin n’est plus nécessaire pour les étapes suivantes.

Configuration du Workspace pour utiliser la synchronisation LDAP

Connectez-vous maintenant au Workspace cible – via son interface navigateur – en tant qu’administrateur. Si vous avez l’intention de créer automatiquement des identifiants utilisateur à partir de LDAP, vous souhaiterez probablement supprimer tous les utilisateurs existants créés manuellement. Idéalement, commencez donc uniquement avec l’utilisateur administratif par défaut – admin (sur la page Admin - Users de l’interface).

Exemple de Workspace cible, avec uniquement l’utilisateur administratif par défaut, admin.

Si vous souhaitez que les utilisateurs issus de la synchronisation LDAP soient associés à un rôle spécifique, vous pouvez passer à la page Roles et créer un nouveau rôle selon vos besoins (par ex. Electrical Designers, Mechanical Designers, PCB Specialists, etc.), en le laissant vide d’utilisateurs. L’exemple ici utilise le rôle par défaut faisant partie des données d’exemple installées, appelé Engineers.

Passez maintenant à la page LDAP Sync, puis cliquez sur le bouton (ou sur le lien Create a new one dans ce cas) pour accéder à la fenêtre LDAP Sync Creation.

Ajout d’une nouvelle tâche de synchronisation LDAP via l’interface navigateur du Workspace.

Renseignez les informations suivantes (sur la base de l’exemple de structure de domaine utilisé dans la section précédente) :

Général

• Target Role: Engineers

• Distinguished Name: OU=Engineers,OU=Users,DC=testsite,DC=com

  Il s’agit de la chaîne obtenue à partir du champ Path du panneau Search , lors de l’utilisation de l’utilitaire LDAP Admin dans la section précédente.

• Url: LDAP://testsite.com:389

  Si vous configurez LDAPS (LDAP sur SSL), alors le Url dans cet exemple serait : LDAPS://testsite.com:636.

• Scope: sub

• Attributes: sAMAccountName

• Filter: laissez ce champ vide pour récupérer tous les utilisateurs du groupe spécifié déterminé sur le domaine (dans le champ DN ). Si la zone désignée de la structure du domaine contenait d’autres regroupements d’utilisateurs, vous pourriez extraire seulement un sous-ensemble de ces utilisateurs en utilisant ici une chaîne de filtrage appropriée.

  Par exemple, supposons qu’il y ait eu un ensemble d’utilisateurs sous le groupe des ingénieurs, regroupés pour disposer de privilèges administratifs (CN=Administrators). Pour cibler uniquement cet ensemble d’utilisateurs, et non tous les ingénieurs (dans la zone OU=Engineers de la structure du domaine), une chaîne de requête pourrait être écrite pour cibler ce point de la structure du domaine :

  (&(objectClass=user)(memberof=CN=Administrators,OU=Engineers,OU=Users,DC=testsite,DC=com))

  Bien que le champ Filter puisse être laissé vide, renvoyant tous les utilisateurs le long du chemin défini par le champ DN , cela peut être assez dangereux. Ce chemin pourrait pointer vers une zone de la structure du domaine contenant un très grand nombre d’utilisateurs, et pourrait bloquer toute l’organisation en raison d’une charge excessive sur l’Enterprise Server et Active Directory. Il est vraiment préférable de cibler un ou plusieurs ensembles d’utilisateurs spécifiques à l’aide d’un filtrage dédié.

Mappage des attributs

• First Name: givenName
• Last Name: sn
• Email: mail
• User Name: sAMAccountName
• Overwrite existing users – lorsqu’elle est activée, la synchronisation LDAP remplacera les utilisateurs créés manuellement par ceux renvoyés par la requête de synchronisation, tant que les noms des utilisateurs correspondent exactement.

Authentification

• User Name: domain\<your username> (par ex. testsite\jason.howie)
• Password: <your password>
• User authentication type: Windows
• Domain: testsite.com

Exemple de tâche de synchronisation LDAP configurée avec toutes les informations requises lors de l’utilisation du LDAP standard. Si vous utilisez LDAPS (LDAP sur SSL), l’entrée Url serait remplacée par LDAPS://testsite.com:636.

Lorsque vous avez terminé de saisir tous les paramètres, cliquez sur . Cela lancera le processus de synchronisation, qui peut prendre une ou deux minutes, le temps de traiter les informations que vous venez de saisir.

Accédez maintenant à la page Users . Cette liste devrait désormais être remplie avec tous les utilisateurs tels que définis par le paramètre OU=<GroupName> (voir l’image d’exemple ci-dessous). Désormais, chacun peut accéder au Workspace en utilisant sa connexion Windows habituelle.

Exemple de remplissage des utilisateurs pour un Workspace grâce à l’utilisation d’une synchronisation LDAP.