eGuide est une application cliente LDAP. Elle peut cibler des données dans eDirectory et d'autres sources de données compatibles avec LDAP. La configuration de eGuide implique l'identification de la source de données LDAP et l'indication du mode d'accès de eGuide à cette source de données. Avant de configurer eGuide, vous devez connaître les différents aspects de votre serveur LDAP.
Une des fonctions des serveurs LDAP est la possibilité d'accéder aux données au moyen d'une liaison anonyme. Vous pouvez considérer cette liaison anonyme comme un compte invité. Celle-ci permet aux utilisateurs d'accéder aux données LDAP sans s'identifier. Les serveurs LDAP offrent généralement un accès limité aux données lorsque le mode Anonyme est utilisé. Ils peuvent ainsi restreindre l'accès à certains objets et à certains attributs de ces objets seulement.
Avec eDirectory, les utilisateurs anonymes se voient attribuer les droits de l'objet pseudo [Public] ou ceux d'un objet utilisateur Proxy LDAP.
Les utilisateurs anonymes ont par défaut les mêmes droits que les objets stockés dans l'annuaire sous [Public]. Lors de la création d'une arborescence, l'objet [Public] se voit attribuer le droit Parcourir sur la racine de l'arborescence. Ce droit autorise par défaut les connexions LDAP anonymes à naviguer dans l'arborescence et consulter la liste des objets et leurs noms. Toutefois, ces connexions ne peuvent afficher aucun attribut de ces objets.
eGuide utilise LDAP principalement pour les tâches de recherche. Ces opérations nécessitent le droit de lecture sur l'attribut recherché. Par exemple, pour rechercher tous les utilisateurs qui s'appellent Duchemin, la connexion LDAP doit avoir le droit de lecture de l'attribut Nom. Le droit Parcourir attribué à l'objet [Public] par défaut ne suffit pas pour l'exécution de recherches LDAP.
Vous pouvez utiliser iManager pour spécifier [Public] comme ayant droit des sections de l'arborescence avec des droits particuliers pour les objets et les attributs de ces derniers.
Vous pouvez également spécifier un utilisateur Proxy LDAP. Dans ce cas, les utilisateurs anonymes utiliseront les droits de l'objet Proxy au lieu des droits attribués aux objets [Public]. Utilisez iManager pour créer un utilisateur Proxy LDAP et faites de cet objet un ayant droit d'une section de l'arborescence avec des droits particuliers pour les objets et les attributs de ces derniers. Modifiez l'objet Groupe LDAP pour spécifier le nom de domaine de l'objet Proxy LDAP. Le mot de passe de cet objet doit être nul.
En résumé, si vous utilisez eDirectory comme source de données LDAP et sélectionnez l'option Utiliser le mode anonyme lors de la configuration de eGuide, vous permettez au logiciel d'effectuer des recherches dans l'arborescence à l'aide des droits affectés aux objets [Public] ou à l'utilisateur Proxy LDAP.
Une autre option consiste à créer un utilisateur Proxy eGuide et à en faire un ayant droit d'une section de l'arborescence avec des droits particuliers pour les objets et les attributs de ces derniers. L'utilisateur Proxy eGuide remplit la même fonction que l'utilisateur Proxy LDAP. La seule différence réside dans le fait que le proxy LDAP s'applique à toutes les liaisons anonymes LDAP, tandis que l'utilisateur Proxy eGuide appartient exclusivement à l'application eGuide.
Lors de la configuration de eGuide, vous êtes invité à indiquer s'il doit être lié à l'annuaire LDAP en mode anonyme ou à l'aide d'un utilisateur Proxy eGuide.
Quel que soit le mode sélectionné, si vous ne parvenez pas à effectuer une recherche à l'aide de eGuide, il est possible que le compte utilisé pour octroyer des droits sur eGuide n'aient pas les droits nécessaires pour exécuter la recherche.
Autre information requise concernant le système LDAP cible : comment gérer les connexions sécurisées. Nous nous intéressons à la connexion entre l'application eGuide et le service LDAP. Si le service LDAP est configuré pour utiliser une connexion sécurisée, vous devez également permettre à eGuide d'utiliser une telle connexion. Pour ce faire, il vous suffit de sélectionner la case à cocher Activer SSL dans l'Assistant de configuration rapide.
eDirectory 8.7 sécurise la connexion LDAP à l'aide du protocole TLS (ou Transport Layer Security). TLS est une implémentation à source ouverte du protocole SSL (Secure Socket Layer). Le service LDAP de eDirectory comprend deux options TLS.
eDirectory 8.7 nécessite par défaut TLS pour les liaisons simples avec mot de passe. Vous pouvez modifier ce paramètre en changeant l'objet Groupe LDAP de votre service LDAP. Novell recommande que ce paramètre soit activé afin de crypter les mots de passe utilisés pour la liaison au service LDAP.
Vous pouvez afficher ou modifier cette option à l'aide de iManager en modifiant l'objet Serveur LDAP de votre service LDAP. Lorsque ce paramètre est activé, toutes les demandes LDAP et réponses sont cryptées. Cette option est désactivée par défaut.
Si l'option TLS 1 ou 2 est activée et l'application cliente (eGuide dans ce cas) liée au service LDAP, vous devez utiliser TLS. Si l'application cliente essaie d'établir la liaison sans TLS, le message d'erreur suivant s'affiche : Références du proxy d'authentification non valides, authentification impossible vis-à-vis du serveur.
Lorsque vous configurez eGuide à l'aide de l'Assistant de configuration rapide, une case à cocher Activer SSL est disponible. Si l'une des options TLS est définie pour votre service LDAP, vous devez également cocher cette option dans l'Assistant de configuration rapide de eGuide.
Si vous utilisez le mode anonyme, aucun mot de passe n'est alors utilisé pour la liaison simple LDAP et vous n'avez pas à cocher l'option Activer SSL dans l'Assistant de configuration rapide de eGuide.
TLS a un impact considérable sur les performances. Si eGuide et eDirectory sont tous deux exécutés sur des serveurs appartenant au même domaine sécurisé, vous pouvez désactiver TLS pour améliorer les performances.