Valeurs par défaut de l'écran Configuration du LDAP
Cette section comprend les informations suivantes :
Vous pouvez installer eDirectory 8.7.3 pour Windows sans le client Novell. Si vous installez eDirectory 8.7.3 sur une machine qui contient déjà le client Novell, eDirectory utilisera ce client ou le mettra à jour s'il ne s'agit pas de la dernière version.
Sur le serveur Windows, loguez-vous en tant qu'Administrateur ou en tant qu'utilisateur doté de droits d'administration.
En vue de la résolution des noms de l'arborescence, vérifiez que SLP est correctement configuré sur le réseau et que les agents Annuaire SLP sont stables.
Pour plus d'informations, reportez-vous à :
Si l'exécution automatique (Autorun) est désactivée, lancez setup.exe à partir du répertoire NT du CD Novell eDirectory 8.7.3 ou à partir du fichier téléchargé.
Sélectionnez les composants à installer ou à mettre à niveau.
Vous pouvez installer les composants suivants séparément ou conjointement.
Installe ou met à niveau eDirectory dans un environnement de serveur Windows exclusif, ou mixte.
Installe le client Novell pour Windows ou met à jour une version existante du client Novell.
Cliquez sur Installer.
Le programme d'installation vérifie les composants suivants avant d'installer eDirectory. Si un composant est manquant ou si sa version est incorrecte, le programme d'installation lance automatiquement l'installation du composant.
Des licences d’évaluation sont disponibles sur le site Web Novell eDirectory Eval License Download (Téléchargement de licences d’évaluation de Novell eDirectory).
Pour acquérir des licences eDirectory, reportez-vous au site Web Novell eDirectory How To Buy (Achat de produits Novell eDirectory).
Pour plus d'informations sur NICI (Novell International Cryptographic Infrastructure), reportez-vous au manuel NICI Administration Guide (Guide d'administration NICI).
Il est possible que vous ayez à redémarrer le serveur une fois le pilote NICI installé. L'installation de eDirectory se poursuivra une fois le serveur redémarré.
IMPORTANT : le client Novell est installé automatiquement si vous installez également ConsoleOne ou si une version plus ancienne du client est déjà installée sur la machine. Pour plus d'informations sur le client, reportez-vous à la documentation en ligne relative au Client Novell pour Windows.
Cliquez sur Suivant pour lancer l'installation de eDirectory.
Consultez l'accord de licence, puis cliquez sur J'accepte.
Sélectionnez la langue d'installation et cliquez sur Suivant.
Indiquez ou confirmez le chemin d'installation et cliquez sur Suivant.
(Nouvelles installations uniquement) Sélectionnez un type d'installation de eDirectory et cliquez sur Suivant.
Installer eDirectory dans une arborescence existante intègre ce serveur dans votre réseau eDirectory. Le serveur peut être installé à un niveau quelconque de votre arborescence.
Création d'une arborescence eDirectory crée une arborescence. Utilisez cette option s'il s'agit du premier serveur à placer dans l'arborescence ou si ce serveur requiert une arborescence distincte. Les ressources de la nouvelle arborescence ne seront pas accessibles aux utilisateurs logués à une autre arborescence.
Entrez les informations dans l'écran d'installation de eDirectory, puis cliquez sur Suivant.
Pour plus d'informations sur l'utilisation des points dans les noms de conteneurs, reportez-vous à Installation dans une arborescence comportant des conteneurs dont le nom utilise la notation à point.
(Nouvelles installations seulement) Dans la page Configuration du port du serveur HTTP, indiquez les ports à utiliser pour le serveur HTTP d'administration de eDirectory, puis cliquez sur Suivant.
IMPORTANT : veillez à ce que les ports de la pile HTTP que vous avez définis pendant l'installation de eDirectory soient différents de ceux que vous avez utilisés ou allez utiliser pour Novell iManager. Pour plus d'informations, reportez-vous au manuel Novell iManager 2.0.x Administration Guide (Guide d'administration de Novell iManager 2.0.x).
(Nouvelles installations uniquement) Dans la page Configuration du LDAP, indiquez les ports LDAP à utiliser et cliquez sur Suivant.
Pour plus d'informations, reportez-vous à Communication avec eDirectory via LDAP.
Sélectionnez les méthodes de login NMASTM à installer, puis cliquez sur Suivant.
Pour plus d'informations, reportez-vous à Installation du logiciel serveur NMAS et à Installation du logiciel client NMAS.
Cliquez sur Terminer pour terminer l'installation de eDirectory.
Lorsque vous installez eDirectory, vous devez sélectionner un port que le serveur LDAP surveille afin de traiter les demandes LDAP. Le tableau suivant liste les options pour différentes installations :
La connexion via le port 389 n'est pas codée. Toutes les données envoyées sur une connexion établie via ce port se présentent en clair, ce qui constitue un risque en matière de sécurité. Ainsi, les mots de passe LDAP peuvent être affichés en cas de demande de liaison simple.
Une liaison simple LDAP nécessite seulement un DN et un mot de passe. Le mot de passe se présente en texte clair. Si vous employez le port 389, l'ensemble du paquet est en texte clair. Par défaut, cette option est désactivée pendant l'installation de eDirectory.
Du fait que le port 389 autorise le texte clair, les services du serveur LDAP lisent et écrivent les demandes adressées à l'annuaire via ce port. Cette ouverture est adaptée aux environnements de confiance où aucune simulation n'a lieu et dans lesquels aucun utilisateur ne peut intercepter les paquets qui ne lui sont pas destinés.
Pour interdire la transmission en clair de mots de passe et d'autres données, sélectionnez Exiger TLS en cas de liaison simple avec mot de passe pendant l'installation.
Comme l'illustre la figure suivante, les options affichées sont 389, 636 et Exiger TLS en cas de liaison simple avec mot de passe.
Figure 2
Valeurs par défaut de l'écran Configuration du LDAP
Scénario : Exiger TLS en cas de liaison simple est activé Olivia utilise un client qui demande un mot de passe. Une fois qu'elle a saisi le mot de passe, le client se connecte au serveur. Cependant, le serveur LDAP ne permet pas à la connexion d'établir la liaison avec le serveur via le port non codé. Tout le monde peut voir le mot de passe d'Olivia, mais cette dernière est dans l'impossibilité d'obtenir une connexion liée.
L'option Exiger TLS en cas de liaison simple décourage les utilisateurs d'envoyer des mots de passe lisibles. Si ce paramètre est désactivé (non coché), les utilisateurs ne savent pas que d'autres peuvent détecter leur mot de passe. Cette option, qui n'autorise pas la connexion, ne s'applique qu'au port en texte clair.
Si vous établissez une connexion sécurisée sur le port 636 et disposez d'une liaison simple, la connexion est déjà codée. Personne ne peut voir les mots de passe, les paquets de données ou les demandes de liaison.
La connexion via le port 636 est codée. TLS (auparavant SSL) gère le codage. Par défaut, l'installation de eDirectory sélectionne ce port.
Le port sélectionné est illustré dans la figure suivante :
Figure 3
Page Connexions du serveur LDAP dans iManager
La connexion au port 636 lance automatiquement une procédure de reconnaissance mutuelle. Si celle-ci échoue, la connexion est refusée.
IMPORTANT : ce choix par défaut peut poser problème pour votre serveur LDAP. Si un service déjà chargé sur le serveur hôte (avant l'installation de eDirectory) utilise le port 636, vous devez spécifier un autre port.
Les installations antérieures à eDirectory 8.7 traitaient ce conflit comme une erreur fatale et déchargeaient nldap.nlm. L'installation de eDirectory 8.7.3 charge nldap.nlm, place un message d'erreur dans le fichier dstrace.log et s'exécute sans le port sécurisé.
Scénario : le port 636 est déjà utilisé Votre serveur exécute Active Directory et exécute un programme LDAP qui utilise le port 636. Vous installez eDirectory. Le programme d'installation détecte alors que le port 636 est en cours d'utilisation et n'affecte pas de numéro de port au serveur LDAP Novell. Le serveur LDAP se charge et semble s'exécuter. Toutefois, comme le serveur LDAP ne peut pas dupliquer un port ou en utiliser un qui est déjà ouvert, il ne traite pas les requêtes de services sur un port dupliqué.
En cas de doute sur le port affecté au serveur Novell LDAP (389 ou 636) lancez l'utilitaire ICE. Si le champ Version du fournisseur n'indique pas Novell, vous devez reconfigurer le serveur LDAP pour eDirectory et sélectionner un port différent. Reportez-vous à « Verifying That the LDAP Server Is Running (Vérification du fonctionnement du serveur LDAP) » dans le manuel Novell eDirectory 8.7.3 Administration Guide (Guide d'administration de Novell eDirectory 8.7.3) pour plus d'informations.
Scénario : Active Directory est en cours d'exécution Active Directory est en fonctionnement. Le port non codé 389 est ouvert. Vous exécutez la commande ICE sur le port 389 et demandez la version du fournisseur. Le résultat affiché est Microsoft. Vous reconfigurez alors le serveur Novell LDAP en sélectionnant un autre port, afin que le serveur eDirectory LDAP puisse répondre aux requêtes LDAP.
Novell iMonitor peut également signaler que le port 389 ou 636 est déjà ouvert. Si le serveur LDAP ne fonctionne pas, utilisez Novell iMonitor pour obtenir des informations. Pour plus de détails, reportez-vous à « Verifying That the LDAP Server Is Running (Vérification du fonctionnement du serveur LDAP) » dans le manuel Novell eDirectory 8.7.3 Administration Guide (Guide d'administration de Novell eDirectory 8.7.3).
Les composants du serveur NMAS (Novell Modular Authentication ServiceTM) sont automatiquement installés lorsque vous lancez le programme d'installation de eDirectory. Vous devez sélectionner les méthodes de login à installer.
Pour sélectionner les méthodes de login à installer dans eDirectory, cochez les cases correspondantes. Lorsque vous sélectionnez une méthode de login, une description de celle-ci apparaît dans la zone Description. Pour plus d'informations sur les méthodes de login, reportez-vous à « Managing Login and Post-Login Methods and Sequences (Gestion des méthodes et séquences de login et de post-login) » dans le manuel Novell Modular Authentication Service Administration Guide (Guide d'administration NMAS).
Cliquez sur Sélectionner tout pour installer toutes les méthodes de login dans eDirectory. Cliquez sur Effacer tout pour annuler toutes les sélections.
La méthode de login NDS est installée par défaut.
Le logiciel client NMAS doit être installé sur chacun des postes de travail clients à partir desquels vous souhaitez utiliser les méthodes de login NMAS.
Sur un poste de travail client Windows, insérez le CD-ROM Novell eDirectory 8.7.3.
Depuis le répertoire NMAS, exécutez nmasinstall.exe.
Cochez la case Composants du client NMAS.
Le cas échéant, vous pouvez cocher la case NICI pour installer ce composant.
Cliquez sur OK, puis suivez les instructions affichées.
Redémarrez le poste de travail client une fois l'installation terminée.
Vous pouvez installer un serveur Windows dans une arborescence eDirectory qui comporte des conteneurs dont le nom utilise la notation à point (par exemple, O=novell.com ou C=e.u). L'utilisation du caractère d'échappement s'avère nécessaire pour les points de ces noms de conteneurs. Il vous suffit pour cela de placer une barre oblique inverse devant chacun des points que contient le nom d'un conteneur. Consultez la Figure 4 à titre d'exemple.
Un nom ne peut pas commencer par un point. Il est, par exemple, impossible de créer un conteneur nommé « .novell ».
Figure 4
Ecran d'informations Installation de eDirectory
IMPORTANT : si votre arborescence comporte des conteneurs dont les noms utilisent des points, vous devez faire précéder ces points d'une barre oblique inverse lorsque vous vous loguez à des utilitaires comme iMonitor, iManager et DHost iConsole. Par exemple, si le nom du paramètre O dans votre arborescence correspond à « novell.com », entrez nom_utilisateur.novell\.com dans le champ Nom d'utilisateur pour vous loguer à iMonitor (voir Figure 5).
Figure 5
Écran de login iMonitor