Paramètres Nœud LDAP d'UVMS

Les Paramètres Nœud d'Univiewer Management Serveur, définissent l'intégration LDAP.

La modification de ces paramètres n'est prise en compte que lors du démarrage d'UVMS.

L'utilisateur doit disposer des droits d'administrateur UVMS pour modifier ces paramètres.

Catégorie Paramètres avancés :

• Mode d'authentification des utilisateurs
• Enregistrement automatique des nouveaux utilisateurs
• Mise à jour des droits à la connexion
• Stratégie de synchronisation
• Récupération des groupes uniquement

Ces paramètres sont disponibles en mode affichage uniquement, ils ne sont modifiables que par l'exécution d'une commande unisetvar (décrite ci-dessous).

Catégorie Journalisation :

• Nom du fichier journal de synchronisation LDAP, variable U_LDAP_SYNC_FILE : valeur par défaut : !UNI_DIR_DATA!\log\uvldapsync.log.

Ce journal est accessible en lecture depuis Univiewer Console en mode Administration > Groupes > Synchronisation LDAP.

Mode d'authentification des utilisateurs

Il est possible de modifier la valeur de la variable AUTHENTICATION_MODE à l’aide de la commande :

unisetvar AUTHENTICATION_MODE <valeur>

• En définissant la valeur de la variable AUTHENTICATION_MODE à « L » (Authentification LDAP), vous activez l’authentification LDAP : vérification des mots de passe des utilisateurs.
• En définissant la valeur de la variable AUTHENTICATION_MODE à « S » (Synchronisation LDAP), vous activez la synchronisation LDAP : vérification des groupes et utilisateurs LDAP. Le mode Synchronisation inclut le mode Authentification.
• En définissant la valeur de la variable AUTHENTICATION_MODE à « I » (Interne), vous désactivez l’authentification ou la synchronisation LDAP.

Enregistrement automatique des nouveaux utilisateurs

Activez l’enregistrement automatique des utilisateurs en définissant la valeur de la variable AUTO_REGISTRATION à "Y" :

unisetvar AUTO_REGISTRATION Y

Si vous définissez cette variable à N (Non), l’accès d’un utilisateur LDAP valide mais non déclaré dans UVMS sera refusé.

Si cette variable est définie à Y (Oui), l’enregistrement d’un utilisateur LDAP sera automatiquement créé dans UVMS à la première tentative de connexion, à condition que le compte utilisateur et le mot de passe soient valides dans LDAP.

Si LDAP est activé en mode synchronisation, le groupe correspondant lui sera attribué (et les rôles associés), sinon tous les rôles par défaut lui seront accordés.

Si l'architecture avancée est mise en place (UVMS maître/UVMS subordonnés) et si l'enregistrement automatique des utilisateurs est activé, un utilisateur LDAP qui tente de se connecter sur un UVMS subordonné pour la première fois sera refusé. Il doit se connecter en premier sur l'UVMS maître. Il sera enregistré par l'UVMS maître et diffusé aux UVMS subordonnés par la synchronisation. Une fois la synchronisation reçue par l'UVMS subordonné, l'utilisateur sera capable de se connecter à l'UVMS subordonné.

Mise à jour des droits à la connexion

Lorsque la synchronisation LDAP est activée, il est possible de mettre à jour les groupes de l'utilisateur lors de sa connexion en définissant la valeur de la variable à LDAP_MEMBERSHIP_AT_LOGIN à "Y" (Oui) :

unisetvar LDAP_MEMBERSHIP_AT_LOGIN Y

Dans ce cas, dès qu'un utilisateur se connecte à UVMS en utilisant Univiewer Console, ses groupes associés sont vérifiés sur LDAP.

Si vous définissez cette variable à N (Non), la mise à jour des groupes est faite lors de la synchronisation uniquement. Si les groupes de l'utilisateur ont été modifiés entre la dernière synchronisation et la connexion de l'utilisateur, cette modification ne sera pas prise en compte. Il est donc recommandé de définir cette variable à Y (Oui).

Attention : si la stratégie de synchronisation est en mode "Filtre" cette fonctionnalité ne récupère aucun nouveau groupe correspondant au filtre sur les groupes LDAP. Si un groupe correspondant au filtre a été ajouté au répertoire LDAP après la dernière synchronisation, il ne sera pas pris en compte (ne s'applique pas si la stratégie de synchronisation est manuelle).

Stratégie de synchronisation

L'utilisateur peut choisir entre deux types de synchronisation en définissant la valeur de la variable à LDAP_SYNCHRONIZATION_MODE :

unisetvar LDAP_SYNCHRONIZATION_MODE <valeur>

Si la valeur vaut :

• M (Choix manuel des groupes) : les groupes devant être synchronisés doivent être créés manuellement dans UVMS en tant que groupes LDAP (recommandé). Dans UVC, la création de ces groupes est assistée à l'aide d'une liste affichant tous les groupes correspondant au filtre "groupsSearchBase" du fichier ldap.xml.
• F (Synchronisation à partir d'un filtre) : tous les groupes sont automatiquement récupérés de LDAP en utilisant le filtre "groupsSearchBase" du fichier ldap.xml et créés sur UVMS. l'utilisateur n'a pas besoin de créer de groupes LDAP dans UVMS. Cependant l'administrateur doit intervenir manuellement pour attribuer les rôles.

Le fichier ldap.xml est décrit au paragraphe "Fichier de configuration LDAP".

Récupération des groupes uniquement

Si la synchronisation LDAP utilise le mode Filtre (ci-dessus), par défaut les groupes ET les utilisateurs sont récupérés dans UVMS. Mais l'utilisateur peut choisir de ne récupérer que les groupes à l'aide de la variable LDAP_RETRIEVE_GROUPS_ONLY.

unisetvar LDAP_RETRIEVE_GROUPS_ONLY Y

Ce paramètre doit être utilisé conjointement avec AUTO_REGISTRATION=Oui et UPDATE_MEMBERSHIP_AT_LOGIN=Oui.

Si la variable est définie à Y(es), les utilisateurs ne sont pas créés automatiquement lors de la synchronisation avec LDAP. Dans ce cas les utilisateurs ne seront créés qu’au moment de leur première authentification sur UVMS. Le but de cette option est de n’enregistrer dans UVMS que les utilisateurs utilisant réellement le produit.