Configuration d’un serveur d’authentification LDAP externe

Les utilisateurs peuvent choisir d’utiliser un serveur d’authentification externe LDAP au lieu du serveur d’authentification LXCI pour VMware vCenter local sur le nœud de gestion.

Avant de commencer

La configuration initiale de LXCI pour VMware vCenter doit être effectuée avant la configuration du serveur d’authentification externe.
Les serveurs d’authentification externes suivants sont pris en charge :
- Microsoft Active Directory. Cet élément doit se trouver sur un serveur Microsoft Windows externe capable de communiquer avec le dispositif LXCI pour VMware vCenter.
LXCI pour VMware vCenter vérifie la connectivité toutes les 10 minutes afin de maintenir la connectivité aux serveurs LDAP externes configurés. Les environnements comportant un grand nombre de serveurs LDAP peuvent constater une utilisation UC élevée pendant cette vérification de la connectivité. Pour obtenir les meilleures performances possibles, indiquez uniquement les serveurs LDAP connus et accessibles lors de la configuration du client LDAP.
Assurez-vous que les utilisateurs LDAP qui peuvent se connecter à l’interface Web de XClarity Integrator sont membres du groupe LDAP dans votre serveur LDAP.
Créer le groupe et ajouter les utilisateurs au serveur LDAP avant de configurer ce client LDAP :
1. Depuis le serveur d’authentification externe, créez un compte utilisateur. Pour obtenir des instructions, voir la documentation du serveur LDAP.
2. Créez un groupe dans le serveur LDAP. Le nom du groupe LDAP peut être le nom par défaut (LXCI-SUPERVISOR) ou d’autres noms définis par l’utilisateur. Le groupe doit exister dans le contexte du nom distinctif racine défini dans le client LDAP.
3. Ajoutez l’utilisateur en tant que membre du groupe précédemment créé.

Procédure

Pour configurer LXCI pour VMware vCenter afin qu’il utilise un serveur d’authentification externe, procédez comme suit.

Configurez la méthode d’authentification de l’utilisateur pour Microsoft Active Directory, procédez de l’une des façons suivantes :
- Pour utiliser l’authentification non sécurisée, aucune configuration supplémentaire n’est requise. Les contrôleurs de domaine Windows Active Directory utilisent l’authentification LDAP non sécurisée par défaut.
- Pour utiliser l’authentification LDAP sécurisée :
  1. Configurez les contrôleurs de domaine pour autoriser l’authentification LDAP sécurisée. Pour obtenir plus d’informations sur la configuration d’une authentification LDAP sécurisée dans Active Directory, voir https://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx.
  2. Vérifiez que les contrôleurs de domaine Active Directory sont configurés pour l’utilisation de l’authentification LDAP sécurisée :
    Recherchez l’événement LDAP sur Secure Sockets Layer (SSL) est désormais disponible dans la fenêtre Observateur d’événements des contrôleurs de domaine.
    Utilisez l’outil Windows ldp.exe pour tester la connectivité LDAP sécurisée avec les contrôleurs de domaine.
  3. Importez le certificat du serveur LDAP, les certificats intermédiaires (le cas échéant), et le certificat racine de l’autorité de certification en signant le certificat du serveur.
    Depuis le panneau de navigation de gauche du menu LXCI pour VMware vCenter, cliquez sur Security Settings (Paramètres de sécurité).
    Cliquez sur Trusted Certificates (Certificats sécurisés) dans la section Certificate Management (Gestion des certificats).
    Cliquez sur Add (Ajouter).
    Dans la fenêtre Add (Ajouter), cliquez sur Choose File (Choisir un fichier) pour charger le certificat cible.
    Cliquez sur Upload Certificate (Charger le certificat).
Configurez le client LDAP LXCI pour VMware vCenter :
1. Dans le panneau de navigation de gauche du menu LXCI pour VMware vCenter, cliquez sur Security Settings (Paramètres de sécurité) > LDAP Client (Client LDAP).
2. Sélectionnez l’une de ces méthodes d’authentification d’utilisateur :
  - Allow logons from local users (Autoriser les connexions des utilisateurs locaux). L’authentification est exécutée à l’aide de l’authentification locale. Lorsque cette option est sélectionnée, les utilisateurs peuvent uniquement se connecter à LXCI depuis le compte local.
  - Allow LDAP users first, then local users (Autoriser les connexions des utilisateurs LDAP en premier, puis des utilisateurs locaux). Un serveur LDAP externe exécute l’authentification en premier. Si cette opération échoue, le serveur d’authentification local exécute l’authentification.
    Si cette méthode est sélectionnée, procédez comme suit :
    1. Saisissez au moins une adresse de serveur, ainsi que les ports.
    2. Saisissez le nom du groupe LDAP.
      Remarque
      Par défaut, le nom du groupe LDAP est LXCI-SUPERVISOR. Les utilisateurs peuvent également choisir d’autres noms.
    3. Sélectionnez l’une des méthodes de liaison suivantes :
      Configured Credentials (Données d’identification configurées). Utilisez cette méthode de liaison pour utiliser le nom et le mot de passe du client afin de lier LXCI pour VMware vCenter au serveur d’authentification externe. Si la liaison échoue, la procédure d’authentification échoue également
      Le nom du client peut être un nom pris en charge par le serveur LDAP, y compris un nom distinctif, un nom sAMAccountName, un nom NetBIOS ou un nom UserPrincipalName. Le nom d’utilisateur du client doit être un compte utilisateur au sein du domaine qui possède au minimum des droits en lecture seule. Par exemple :
      cn=administrator,cn=users,dc=example,dc=com example\administrator administrator@example.com
      Avertissement
      Pour modifier le mot de passe client sur le serveur d’authentification externe, veillez à mettre également à jour le nouveau mot de passe dans LXCI pour VMware vCenter. Si le mot de passe client est modifié dans le serveur LDAP externe, les utilisateurs peuvent se connecter à Integrator à l’aide du compte local pour mettre à jour le nouveau mot de passe.
      Login Credentials (Données d’identification de connexion). Utilisez cette méthode de liaison pour utiliser un nom d’utilisateur et un mot de passe LDAP fin de lier LXCI pour VMware vCenter au serveur d’authentification externe.
      L’ID utilisateur et le mot de passe définis sont uniquement utilisés pour tester la connexion au serveur d’authentification. Si l’opération réussit, les paramètres du client LDAP seront enregistrés, mais les données d’identification de connexion de test que vous avez spécifiées ne seront pas enregistrées. Toutes les futures liaisons utilisent le nom d’utilisateur et le mot de passe que vous avez utilisés pour vous connecter à LXCI pour VMware vCenter.
      Remarque
      Les utilisateurs doivent se connecter à LXCI pour VMware vCenter à l’aide d’un ID utilisateur qualifié complet (par exemple, administrator@domain.com ou DOMAIN\admin).
      Les utilisateurs doivent utiliser un nom de client de test qualifié complet pour la méthode de liaison.
    4. Dans le champ Root DN (Nom distinctif racine), indiquez la première entrée dans l’arborescence de répertoires LDAP. Dans ce cas, les recherches sont lancées avec le nom distinctif racine spécifié en tant que base de recherche.
    5. Dans le champ User Search Attribute (Attribut de recherche d’utilisateur), indiquez l’attribut à utiliser pour rechercher le nom d’utilisateur.
      Lorsque la méthode de liaison est définie sur Configured Credentials (Données d’identification configurées), la liaison initiale au serveur LDAP est suivie d’une demande de recherche qui récupère des informations spécifiques sur l’utilisateur, dont le nom distinctif et l’appartenance à un groupe. Cette demande de recherche doit spécifier le nom d’attribut représentant les ID d’utilisateur sur ce serveur. Ce nom d’attribut est configuré dans ce champ.
    6. Dans le champ Group Search Attribute (Attribut de recherche de groupe), indiquez le nom d’attribut qui est utilisé pour identifier les groupes auquel un utilisateur appartient.
    7. Dans le champ Group Name Attribute (Attribut de nom de groupe), indiquez le nom d’attribut qui est utilisé pour identifier le nom de groupe qui est configuré par le serveur LDAP.
3. Cliquez sur Save (Enregistrer).
  LXCI pour VMware vCenter tente de tester la configuration pour détecter les erreurs communes. Si le test échoue, il affiche des messages d’erreur qui indiquent la source des erreurs. Pour la méthode de liaison Configured Credentials (Données d’identification configurées), si le test est réussi et que les connexions aux serveurs spécifiés aboutissent, l’authentification de l’utilisateur peut tout de même échouer dans les cas suivants :
  - Si une mauvaise configuration ou des modifications sont apportées au serveur LDAP, les utilisateurs peuvent se connecter à l’aide du compte local. Il est recommandé de conserver des traces du compte et du mot de passe locaux.
  - Le nom distinctif racine est incorrect.
  - L’utilisateur n’est pas membre du groupe LDAP dans le serveur LDAP.
4. Cliquez sur OK.

Résultats

LXCI pour VMware vCenter valide la connexion au serveur LDAP. Si la validation réussit, l’authentification utilisateur se produit sur le serveur d’authentification externe lorsque de la connexion à LXCI pour VMware vCenter.

Si la validation échoue, le mode d’authentification est automatiquement modifié pour revenir au paramètre Allow logons from local users (Autoriser les connexions des utilisateurs locaux), et un message décrivant la cause de l’échec s’affiche.

Remarque

Les groupes de rôles corrects doivent être configurés dans LXCI pour VMware vCenter. Les comptes utilisateur doivent être définis en tant que membres du groupe LDAP dans le serveur LDAP. Dans le cas contraire, l’authentification utilisateur échoue.

Envoyer des commentaires