Aller au contenu principal

Configuration d'un serveur d'authentification LDAP externe

Lenovo XClarity Orchestrator comprend un serveur d’authentification local (intégré). De même, vous pouvez décider d’utiliser votre propre serveur LDAP Active Directory externe.

Avant de commencer

Vérifiez que tous les ports requis pour le serveur d'authentification externe sont ouverts sur le réseau et les pare-feu. Pour plus d’informations sur les ports requis, voir Disponibilité de port.

Seul Microsoft Active Directory est pris en charge en tant que serveur LDAP externe.

XClarity Orchestrator ne clone pas automatiquement les groupes d’utilisateurs définis sur le serveur LDAP externe ; cependant, vous pouvez cloner manuellement le groupe d’utilisateurs LDAP (voir Création de groupes d'utilisateurs).

Avant qu’un utilisateur LDAP XClarity Orchestrator externe puisse se connecter, il doit être un membre direct d’un groupe d’utilisateurs LDAP XClarity Orchestrator qui est copié dans (voir Création de groupes d'utilisateurs). XClarity Orchestrator ne reconnaît pas les utilisateurs qui sont membres des groupes d’utilisateurs qui sont imbriques dans le groupe d’utilisateurs LDAP défini sur le serveur LDAP externe.

À propos de cette tâche

Si aucun serveur LDAP externe n’est configuré, XClarity Orchestrator authentifie toujours un utilisateur à l’aide d’un serveur d’authentification local.

Si un serveur LDAP externe est configuré, XClarity Orchestrator tente tout d’abord d’authentifier un utilisateur à l’aide du serveur d’authentification local. Si l’authentification échoue, XClarity Orchestrator essaie alors de procéder à l’authentification à l’aide de l’adresse IP du premier serveur LDAP. Si l'authentification échoue, le client LDAP tente de s'authentifier à l'aide de l'adresse IP du serveur LDAP suivant.

Lorsqu’un utilisateur LDAP externe se connecte à XClarity Orchestrator pour la première fois, un compte utilisateur dont le nom <nom d’utilisateur>@<domaine> est automatiquement cloné dans XClarity Orchestrator. Vous pouvez ajouter des utilisateurs LDAP externes clonés à des groupes d’utilisateurs ou utiliser des groupes LDAP pour le contrôle d’accès. Vous pouvez également ajouter des droits de superviseur à un utilisateur LDAP externe.

Procédure

Pour configurer XClarity Orchestrator afin qu'il utilise un serveur d'authentification externe LDAP, procédez comme suit.

  1. Dans la barre de menus de XClarity Orchestrator, cliquez surAdministration (Icône Administration) > Sécurité, puis cliquez sur Client LDAP dans la navigation de gauche pour afficher la carte Client LDAP.

    Carte Client LDAP
  2. Procédez comme suit pour configurer chaque serveur LDAP externe.
    1. Cliquez sur l'icône Ajouter (Icône Ajouter) pour ajouter un serveur LDAP.
    2. Indiquez le nom de domaine, l’adresse IP et le port du serveur LDAP externe.

      Si le numéro de port n'est pas explicitement défini sur 3268 ou 3269, il est considéré comme identifiant un contrôleur de domaine.

      Lorsque le numéro de port est défini sur 3268 ou 3269, il est considéré que l'entrée identifie un catalogue global. Le client LDAP tente de s'authentifier à l'aide du contrôleur de domaine pour la première adresse IP de serveur configurée. Si cette opération échoue, le client LDAP tente de s'authentifier à l'aide du contrôleur de domaine pour l'adresse IP de serveur suivante.

    3. En option, vous pouvez choisir d’activer la personnalisation des paramètres de configuration avancés.

      Si vous optez pour une configuration personnalisée, vous pouvez préciser le filtre de recherche d’utilisateurs. Si vous ne précisez aucun filtre de recherche d’utilisateurs, (&&(objectClass=user)(|(userPrincipalName={0})(sAMAccountName={0}))) est utilisé par défaut.

      Si vous désactivez la configuration avancée, alors la configuration Active Directory par défaut est utilisée.

    4. Indiquez le nom distinctif LDAP qualifié complet de base à partir duquel le client LDAP lance la recherche d’authentification utilisateur.
    5. Indiquez le nom distinctif LDAP qualifié complet de base à partir duquel le client LDAP lance la recherche de groupes d’utilisateurs (par exemple, dc=company,dc=com).
    6. Indiquez éventuellement les données d’identification pour lier XClarity Orchestrator au serveur d’authentification externe. Vous pouvez utiliser l’une des deux méthodes de liaison.
      • Données d'identification configurées. Utilisez cette méthode de liaison pour utiliser un nom et un mot de passe du client spécifiques afin de lier XClarity Orchestrator au serveur d'authentification externe. Si la liaison échoue, la procédure d'authentification échoue également.

        Indiquez le nom distinctif (par exemple cn=somebody,dc=company,dc=com) ou l’adresse électronique(par exemple somebody@company.com) LDAP qualifiée complète du compte utilisateur et le mot de passe à utiliser pour l’authentification LDAP afin de relier XClarity Orchestrator au serveur LDAP. Si la liaison échoue, la procédure d'authentification échoue également.

        Le nom distinctif doit être un compte utilisateur au sein du domaine qui possède au minimum des droits en lecture seule.

        Si le serveur LDAP ne comprend pas de sous-domaines, vous pouvez indiquer le nom d’utilisateur sans le domaine (par exemple user1). Toutefois, si le serveur LDAP comprend des sous-domaines (par exemple, un sous-domaine new.company.com dans le domaine company.com), vous devez spécifier le nom d’utilisateur et le domaine (par exemple user1@company.com).

        Avertissement
        Si vous modifiez le mot de passe client sur le serveur LDAP externe, veillez à mettre également à jour le nouveau mot de passe dans XClarity Orchestrator (voir Impossible de se connecter à XClarity Orchestrator).
      • Données d'identification de connexion. Utilisez cette méthode de liaison pour utiliser votre nom d’utilisateur et mot de passe LDAP XClarity Orchestrator afin de lier XClarity Orchestrator au serveur d’authentification externe.

        Indiquez le nom distinctif LDAP complet d’un compte utilisateur de test et le mot de passe à utiliser pour l’authentification LDAP afin de valider la connexion au serveur d’authentification.

        Ces données d’identification d’utilisateur ne sont pas enregistrées. En cas de réussite, toutes les futures liaisons utilisent le nom d’utilisateur et le mot de passe que vous avez utilisés pour vous connecter à XClarity Orchestrator. Si la liaison échoue, la procédure d'authentification échoue également.

        Remarque
        Vous devez être connecté(e) à XClarity Orchestrator avec un ID utilisateur entièrement qualifié (par exemple, administrator@domain.com).
    7. Si vous le souhaitez, vous pouvez choisir d’utiliser le LDAP sécurisé en sélectionnant le bouton bascule LDAP via SSL et en cliquant sur Extraire pour extraire ou importer le certificat SSL sécurisé. Lorsque la boîte de dialogue Extraire le certificat de serveur s’affiche, cliquez sur Accepter pour utiliser le certificat.

      Si vous choisissez d'utiliser LDAP sur SSL, XClarity Orchestrator utilise le protocole LDAPS pour établir une connexion sécurisée au serveur d'authentification externe. Lorsque cette option est sélectionnée, des certificats sécurisés sont utilisés pour activer la prise en charge de LDAP sécurisé.

      Avertissement
      Si vous choisissez de désactiver LDAP sur SSL, XClarity Orchestrator utilise un protocole non sécurisé pour établir une connexion sécurisée au serveur d'authentification externe. Si vous choisissez ce paramètre, votre matériel peut être vulnérable aux attaques de sécurité.
    8. Vous pouvez, si vous le souhaitez, réorganiser les serveurs LDAP à l'aide de l'icône Déplacer vers le haut (Icône Déplacer vers le haut) et de l'icône Déplacer vers le bas (Icône Déplacer vers le bas).

      Le client LDAP essaie de s'authentifier à l'aide de la première adresse IP du serveur. Si l'authentification échoue, le client LDAP tente de s'authentifier à l'aide de l'adresse IP de serveur suivante.

      Important
      Pour une authentification LDAP sécurisée, utilisez le certificat de l’autorité de certification racine (CA) du serveur LDAP ou l’un des certificats intermédiaires du serveur. Vous pouvez extraire le certificat de l’autorité de certification racine ou intermédiaire à partir d’une invite de commande en exécutant la commande suivante, où {FullyQualifiedHostNameOrIpAddress} est le nom qualifié complet du serveur LDAP externe. Le certificat de l’autorité de certification racine ou intermédiaire est généralement le dernier certificat de la sortie, la dernière section BEGIN--END.
      openssl s_client -showcerts -connect {FullyQualifiedHostNameOrIpAddress}:636
    9. Cliquez sur Appliquer les modifications.

      XClarity Orchestrator essaie de tester l’adresse IP, le port, les certificats SSL et les données d’identification de liaison et valide la connexion du serveur LDAP afin de détecter les erreurs communes. Si la validation réussit, l'authentification utilisateur se produit sur le serveur d'authentification externe lorsqu'un utilisateur se connecte à XClarity Orchestrator. Si la validation échoue, des messages d'erreur s'affichent pour indiquer la source des erreurs.

      Remarque
      Si la validation aboutit et que la connexion au serveur LDAP réussit, l'authentification utilisateur peut échouer si le nom distinctif racine est incorrect.

Après avoir terminé

Vous pouvez supprimer une configuration de serveur LDAP en cliquant sur l’icône Supprimer (Icône Supprimer) en regard de la configuration. Lorsque vous supprimez une configuration de serveur LDAP, s’il n’existe aucune autre configuration de serveur LDAP dans le même domaine, les utilisateurs clone et les groupes d’utilisateurs clone de ce domaine sont également supprimés.