Fichier de configuration LDAP

Les paramètres LDAP sont définis dans le fichier de configuration LDAP :

univiewer_server\<nom de noeud>\data\ldap.xml

Ce fichier doit être adapté manuellement pour indiquer les paramètres de connexion au serveur LDAP. Sa modification n'est prise en compte que lors du démarrage d'UVMS. Il n'est pas mis à niveau par un upgrade d'UVMS.

Plusieurs répertoires LDAP peuvent être utilisés pour vérifier l'authentification, il faut créer une section <instance name> par répertoire LDAP dans ldap.xml.

Tous les champs du fichier sont décrits ci-dessous :

• BaseDN

  Ce paramètre est obsolète.

• clearCredential

  Spécifie si SecurityCredential est au format clair ou crypté. Par défaut, les mots de passe ne sont pas cryptés.

  Le kit contient un utilitaire de cryptage des mots de passe (uniencoder) permettant de stocker le mot de passe securityCredential dans un format crypté à l’intérieur du fichier ldap.xml :

  Cette commande considère le mot de passe source en tant qu’argument et affiche le mot de passe en sortie standard.

  Si clearCredential est défini à NO (YES par défaut), coupez et collez le mot de passe crypté dans le champ securityCredential du fichier ldap.xml.

  Même si le mot de passe est crypté dans le fichier ldap.xml, par défaut il est transmis en clair par UVMS. Pour sécuriser la communication reportez-vous à la section "Communication des mots de passe entre UVMS et le serveur de répertoire".

• connectionPool

  La valeur YES permet à UVMS d'utiliser un cache de connexion (utilisation standard par défaut). Reportez-vous à la section LDAP en mode bascule pour plus d'informations.
  YES (par défaut) ou NO

• followReferral

  Si des serveurs LDAP esclaves sont déclarés, la valeur YES permet de rechercher l'information sur les serveurs esclaves si elle n'est pas trouvée sur le serveur maître.
  La valeur NO (par défaut) permet d'ignorer les serveurs esclaves.

• groupsAttributeId

  Mode synchronisation uniquement.
  Attribut utilisé pour créer le groupe, il doit être unique. Par exemple : CN

• groupsListSearchFilter

  Mode synchronisation uniquement.
  Filtre appliqué pour trouver tous les groupes de premier niveau. Par exemple (tous les groupes commençant par AUTOMIC) :

  • LDAP: (&(objectClass=groupOfNames)(CN=AUTOMIC*))
  • Active Directory: (&(objectClass=group)(CN=AUTOMIC*))

• groupsSearchBase

  Mode synchronisation uniquement.
  Nom DN de l'arborescence contenant tous les groupes du premier niveau. Par exemple : ou=groups,dc=AUTOMIC,dc=com

• groupsSearchDepth

  Mode synchronisation uniquement.
  Étendue de la recherche

  • SUBTREE_SCOPE (par défaut)
  • OBJECT_SCOPE
  • ONELEVEL_SCOPE

• host

  Nom d’hôte du serveur de répertoire LDAP.
  Défaut: localhost

• instance name

  Obligatoire. Une instance définit un ensemble de paramètres pour un serveur de répertoire. Lorsque plusieurs instances sont définies, l’authentification est testée pour la première instance, puis pour la deuxième si l’authentification a échoué pour la première, puis pour la troisième si l’authentification a échoué pour la deuxième, etc.

• memberAttribute

  Mode Synchronisation uniquement. member
  Attribut utilisé pour lier les groupes et les utilisateurs.
  

• memberAttributeOf

  Mode Synchronisation uniquement. memberOf
  Attribut utilisé pour lier les groupes et les utilisateurs si le serveur LDAP supporte ce type de requête. Pour de meilleures performances utiliser de préférence ce champ à memberAttribute. Si ce champ ne doit pas être utilisé, il doit être vide.
  

• nestedGroups

  Mode synchronisation uniquement.
  Support des groupes imbriqués (YES) ou pas (NO par défaut).

  L'activation ou pas des Groupes Imbriqués a un effet direct lors de l'import des groupes dans UVMS.

  • Si les Groupes Imbriqués sont désactivés, les utilisateurs appartenant à un sous-groupe seront ignorés.
  • Si les Groupes Imbriqués sont activés, les utilisateurs appartenant à un sous-groupe seront reliés au groupe parent.

  Par exemple, pour une définition de base telle que celle-ci :

  Groupe A

  Groupe A1

  User1

  Groupe A2

  User2

  Groupe B

  User3

  Si les groupes imbriqués sont désactivés, l'import des groupes A et B dans UVMS se traduira par :

  Groupe A

  Aucun utilisateur

  Groupe B

  User3

  Si les groupes imbriqués sont activés, l'import des groupes A et B dans UVMS se traduira par :

  Groupe A

  User1

  User2

  Groupe B

  User3

• nestedGroupsListSearchFilter

  Mode synchronisation uniquement.
  Filtre appliqué pour trouver tous les groupes imbriqués. Par exemple :

  • LDAP: (objectClass=groupOfNames)
  • Active Directory: (objectClass=group)

• nestedGroupsSearchBase

  Mode synchronisation uniquement.
  Nom DN de l'arborescence contenant tous les groupes du premier niveau. Par exemple : ou=groups, dc=AUTOMIC, dc=com

• nestedGroupsSearchDepth

  Mode synchronisation uniquement.
  Étendue de la recherche pour les groupes imbriqués

  • SUBTREE_SCOPE (par défaut)
  • OBJECT_SCOPE
  • ONELEVEL_SCOPE

• port

  Obligatoire. Numéro de port du serveur de répertoire LDAP. Par exemple, 389 ou 636 (SSL)

• securityAuthentication

  Type d’authentification, simple (par défaut)
  La valeur DIGEST-MD5 peut être saisie pour supporter SASL. Reportez-vous à la section "Configuration SASL".

• securityCredential

  Obligatoire. Mot de passe de l’utilisateur défini dans securityPrincipal.

  Il est nécessaire d’ajouter une information entre les deux crochets [ ] CDATA. Par exemple, pour ajouter le mot de passe de l'utilisateur local :

  <securityCredential><![CDATA[Ld@p$Unv]]></securityCredential>

  S’il n’y a rien à ajouter, supprimez la partie <![CDATA[]]>.

• securityPrincipal

  Compte utilisateur de service (au format DN) utilisé par UVMS pour rechercher des utilisateurs dans le répertoire LDAP. Cette entrée doit disposer des droits de recherche sur l’arborescence secondaire du répertoire dans laquelle se trouvent les utilisateurs. Exemples :

  • uid=foo,o=myCompany
  • CN=Eca,CN=Users,DC=automic,DC=com
  • Anonymous (par défaut)

• securityProtocol

  Seul le protocole de sécurité « plain » (brut) est accepté.

• SSL

  La valeur YES active le protocole ldaps. Reportez-vous à la section : Configuration SSL pour plus d’informations.
  YES ou NO (par défaut)

• useMemberOfAttribute

  Mode Synchronisation uniquement. Indique si UVMS peut utiliser le champ memberAttributeOf (valeur YES) ou non (valeur NO par défaut) : si le serveur LDAP supporte une requête memberOf ou pas.

• usersAttributeId

  Mode synchronisation uniquement. CN
  Attribut utilisé pour créer l'utilisateur, il doit être unique. Par exemple:

  • LDAP: uid
  • Active Directory: userPrincipalName.

• usersListSearchFilter

  Mode synchronisation uniquement.
  Filtre appliqué pour retrouver tous les utilisateurs. Par exemple : objectclass=Person

• usersSearchBase

  Obligatoire. Nom DN de l’entrée d’arborescence secondaire contenant toutes les entrées utilisateurs. Par exemple : ou=users,dc=AUTOMIC,dc=com

  Pour des raisons de performances, cette valeur n'est utilisée que lors de la connexion (authentification). Lors de la synchronisation des groupes, chaque utilisateur correspondant à usersListSearchFilter sera créé dans UVMS même s'il ne correspond pas à usersSearchBase ou usersSearchDepth. Ces comptes ne pourront pas se connecter à UVMS.

• usersSearchDepth

  Étendue de la recherche

  Pour des raisons de performances, cette valeur n'est utilisée que lors de la connexion (authentification). Lors de la synchronisation des groupes, chaque utilisateur correspondant à usersListSearchFilter sera créé dans UVMS même s'il ne correspond pas à usersSearchBase ou usersSearchDepth. Ces comptes ne pourront pas se connecter à UVMS

  • SUBTREE_SCOPE (par défaut)
  • OBJECT_SCOPE
  • ONELEVEL_SCOPE

• usersSearchFilter

  Obligatoire. Filtre appliqué pour retrouver l’utilisateur à partir de son login. Par exemple :

  • LDAP: (&(objectclass=Person)(uid=!login!))
  • Active Directory : (&(objectclass=Person)(samaccountname=!login!))

  UVMS remplace automatiquement la variable !login! par le login fourni par l’utilisateur connecté.

  Il est nécessaire d’ajouter une information entre les deux crochets [ ] CDATA. Par exemple, pour modifier le filtre de recherche des utilisateurs :

  <usersSearchFilter><![CDATA[(&(objectClass=Person)(uid=!login!))]]></usersSearchFilter>

  S’il n’y a rien à ajouter, supprimez la partie <![CDATA[]]>.

Les caractères génériques, lorsqu'ils sont utilisables ne peuvent être saisis qu'en fin de chaîne, par exemple "AUTOMIC*". Les caractères spéciaux doivent être représentés avec une syntaxe différente. Par exemple :

• Plus petit que (<) par : &lt;
• Plus grand que (>) par : &gt;
• Les guillemets (") par : &quot;
• L'apostrophe (') par : &apos;
• L'esperluette (&) par : &amp;

Exemple d'un fichier de configuration LDAP générique (Open LDAP par exemple)

<?xml version="1.0" encoding="UTF-8"?>

<ldap version="1.0">

   <instance name="LDAP Repository">

      <!-- general configuration -->

      <host></host>

      <port>389</port>

      <SSL>NO</SSL>

      <memberAttribute>member</memberAttribute>

      <memberOfAttribute>memberOf</memberOfAttribute>

      <useMemberOfAttribute>NO</useMemberOfAttribute>

      <followReferral>NO</followReferral>     

      <!-- security -->

      <securityPrincipal></securityPrincipal>

      <clearCredential>YES</clearCredential>

      <securityCredential><![CDATA[]]></securityCredential>

      <securityProtocol>plain</securityProtocol>

      <securityAuthentication>simple</securityAuthentication>

      <!-- users -->

      <usersSearchBase>ou=users,dn=yourdomain,dc=com</usersSearchBase>

      <usersAttributeId>CN</usersAttributeId>

      <usersListSearchFilter><![CDATA[objectClass=person]]></usersListSearchFilter>

      <usersSearchFilter><![CDATA[(&(objectClass=person)(cn=!login!))]]></usersSearchFilter>

      <usersSearchDepth>SUBTREE_SCOPE</usersSearchDepth>

      <!-- groups -->

      <groupsSearchBase>ou=groups,dn=yourdomain,dc=com</groupsSearchBase>

      <groupsAttributeId>CN</groupsAttributeId>

      <groupsListSearchFilter><![CDATA[(&(objectClass=groupOfNames)(CN=AUTOMIC*))]]></groupsListSearchFilter>

      <groupsSearchDepth>SUBTREE_SCOPE</groupsSearchDepth>

      <!-- nested groups -->

      <nestedGroups>NO</nestedGroups>

      <nestedGroupsSearchBase>ou=groups,dn=yourdomain,dc=com</nestedGroupsSearchBase>

      <nestedGroupsListSearchFilter><![CDATA[objectClass=groupOfNames]]></nestedGroupsListSearchFilter>

      <nestedGroupsSearchDepth>SUBTREE_SCOPE</nestedGroupsSearchDepth>

   </instance>

</ldap>

Exemple d'un fichier de configuration LDAP pour Active Directory

<?xml version="1.0" encoding="UTF-8"?>

<ldap version="1.0">

   <instance name="Active Directory">

      <!-- general configuration -->

      <host></host>

      <port>389</port>

      <SSL>NO</SSL>

      <memberAttribute>member</memberAttribute>

      <memberOfAttribute>memberOf</memberOfAttribute>

      <useMemberOfAttribute>YES</useMemberOfAttribute>

      <followReferral>NO</followReferral>     

      <!-- security -->

      <securityPrincipal></securityPrincipal>

      <clearCredential>YES</clearCredential>

      <securityCredential><![CDATA[]]></securityCredential>

      <securityProtocol>plain</securityProtocol>

      <securityAuthentication>simple</securityAuthentication>

      <!-- users -->

      <usersSearchBase>ou=users,dn=yourdomain,dc=com</usersSearchBase>

      <usersAttributeId>userPrincipalName</usersAttributeId>

      <usersListSearchFilter><![CDATA[objectClass=person]]></usersListSearchFilter>

      <usersSearchFilter><![CDATA[(&(objectClass=person)(userPrincipalName=!login!))]]></usersSearchFilter>

      <usersSearchDepth>SUBTREE_SCOPE</usersSearchDepth>

      <!-- groups -->

      <groupsSearchBase>ou=groups,dn=yourdomain,dc=com</groupsSearchBase>

      <groupsAttributeId>CN</groupsAttributeId>

      <groupsListSearchFilter><![CDATA[(&(objectClass=group)(CN=AUTOMIC*))]]></groupsListSearchFilter>

      <groupsSearchDepth>SUBTREE_SCOPE</groupsSearchDepth>

      <!-- nested groups -->

      <nestedGroups>NO</nestedGroups>

      <nestedGroupsSearchBase>ou=groups,dn=yourdomain,dc=com</nestedGroupsSearchBase>

      <nestedGroupsListSearchFilter><![CDATA[objectClass=group]]></nestedGroupsListSearchFilter>

      <nestedGroupsSearchDepth>SUBTREE_SCOPE</nestedGroupsSearchDepth>

   </instance>

</ldap>