9.3 Configuration d'eDirectory

9.3.1 Création d'index dans eDirectory

Pour améliorer les performances de l'application utilisateur, l'administrateur d'eDirectory™ doit créer des index pour les attributs manager, ismanager et srvprvUUID. Sans index sur ces attributs, les performances de l'application utilisateur peuvent être réduites, en particulier dans les environnements en grappes.

Ces index peuvent être créés automatiquement pendant l'installation si vous sélectionnez Créer des index eDirectory sous l'onglet Avancé du volet Configuration de l'application utilisateur (décrit dans le Tableau A-2). Reportez-vous au Guide d'administration de Novell eDirectoryhttp://www.novell.com/documentation pour obtenir des instructions sur l'utilisation du gestionnaire d'index en vue de créer des index.

9.3.2 Installation et configuration de la méthode d'authentification SAML

Cette configuration est nécessaire uniquement si vous souhaitez utiliser la méthode d'authentification SAML et que vous n'utilisez pas Access Manager. Si vous utilisez Access Manager, votre arborescence eDirectory comprend déjà la méthode. La procédure comprend :

  • L'installation de la méthode SAML dans l'arborescence eDirectory.

  • La modification des attributs eDirectory à l'aide d'iManager.

L'installation de la méthode SAML dans l'arborescence eDirectory.

  1. Localisez le fichier nmassaml.zip du fichier .iso puis dézippez-le.

  2. Installez la méthode SAML dans votre arborescence eDirectory.

    1. Étendez le schéma stocké dans le fichier authsaml.sch

      L'exemple suivant montre comment procéder sous Linux :

      ndssch -h <edir_ip> <edir_admin> authsaml.sch
      
    2. Installez la méthode SAML.

      L'exemple suivant montre comment procéder sous Linux :

      nmasinst   -addmethod <edir_admin> <tree> ./config.txt 
      

Modification des attributs eDirectory

  1. Ouvrez iManager et allez à Rôles et tâches > Administration de répertoire > Créer un objet.

  2. Sélectionnez Afficher toutes les classes d'objets.

  3. Créez un objet de la classe authsamlAffiliate.

  4. Sélectionnez authsamlAffiliate, puis cliquez sur OK. (Vous pouvez attribuer tout nom valide à cet objet.)

  5. Pour préciser le contexte, sélectionnez l'objet du conteneur SAML Assertion.Authorized Login Methods.Security dans l'arborescence, puis cliquez sur OK.

  6. Vous devez ajouter des attributs à l'objet de la classe authsamlAffiliate.

    1. Allez dans l'onglet iManager Afficher les objets > Parcourir et cherchez votre nouvel objet affilié dans le conteneur SAML Assertion.Authorized Login Methods.Security.

    2. Sélectionnez le nouvel objet affilié, puis sélectionnez Modifier l'objet.

    3. Ajoutez l'attribut authsamlProviderID au nouvel objet affilié. Cet attribut permet d'associer une assertion à son affilié. Le contenu de cet attribut doit correspondre exactement à l'attribut Issuer (émetteur) envoyé par l'assertion SAML.

    4. Cliquez sur OK.

    5. Ajoutez les attributs authsamlValidBefore et authsamlValidAfter à l'objet affilié. Ces attributs définissent la durée (en secondes) autour d'IssueInstant (instant d'émission) dans une assertion considérée comme valide. Une valeur par défaut classique est 180 secondes.

    6. Cliquez sur OK.

  7. Sélectionnez le conteneur Sécurité, puis sélectionnez Créer un objet pour créer un Conteneur de racine approuvée dans votre conteneur Sécurité.

  8. Créez des objets de racine approuvée dans le conteneur racine approuvée.

    1. Revenez à Rôles et tâches > Gestion d'annuaire, puis sélectionnez Créer un objet.

    2. Sélectionnez de nouveau Afficher toutes les classes d'objets.

    3. Création d'un objet de racine approuvée pour le certificat que votre affilié utilisera pour signer des assertions. Pour ce faire, vous devez avoir une copie codée der du certificat.

    4. Créez de nouveaux objets de racine approuvée pour chaque certificat de la chaîne des certificats de signature jusqu'au certificat CA racine.

    5. Définissez le contexte sur le conteneur de racine approuvée créé ci-dessus, puis cliquez sur OK.

  9. Retournez à la visionneuse d'objets.

  10. Ajoutez un attribut authsamlTrustedCertDN à votre objet affilié, puis cliquez sur OK.

    Cet attribut doit pointer vers « l'objet de racine approuvée » du certificat de signature que vous avez créé à l'étape précédente. (Toutes les assertions de l'affilié doivent être signées par des certificats pointés par cet attribut, sinon elles seront rejetées.)

  11. Ajoutez un attribut authsamlCertContainerDN à votre objet affilié, puis cliquez sur OK.

    Cet attribut doit pointer vers le « conteneur de racine approuvée » que vous avez créé auparavant. (Cet attribut permet de vérifier la chaîne du certificat de signature.)