En plus de l'authentification de base de données, Sentinel Rapid Deployment prend en charge l'authentification LDAP. Vous pouvez autoriser les utilisateurs à se loguer à Sentinel Rapid Deployment avec leurs références Novell eDirectory ou Microsoft Active Directory en configurant un serveur Sentinel Rapid Deployment pour l'authentification LDAP.
Section 3.7.3, Configuration du serveur Sentinel pour l'authentification LDAP
Section 3.7.4, Configuration de plusieurs serveurs LDAP en vue d'une reprise après échec
Section 3.7.5, Configuration de l'authentification LDAP pour plusieurs domaines Active Directory
Section 3.7.6, Connexion à l'aide des références utilisateur LDAP
Vous pouvez configurer le serveur Sentinel Rapid Deployment pour l'authentification LDAP sur une connexion SSL sécurisée avec ou sans utilisation de recherches anonymes dans l'annuaire LDAP.
REMARQUE :si la recherche anonyme est désactivée dans l'annuaire LDAP, vous ne devez pas configurer le serveur Sentinel Rapid Deployment pour qu'il utilise la recherche anonyme.
Recherche anonyme : lorsque vous créez des comptes utilisateur Sentinel Rapid Deployment LDAP, vous devez spécifier le nom de l'utilisateur du répertoire, mais pas son nom distinctif.
Lorsque l'utilisateur LDAP se logue au serveur Sentinel Rapid Deployment, celui-ci exécute une recherche anonyme dans l'annuaire LDAP basée sur le nom d'utilisateur spécifié, trouve le nom distinctif correspondant et authentifie le login de l'utilisateur par rapport à l'annuaire LDAP en utilisant le nom distinctif.
Recherche non anonyme : lorsque vous créez des comptes utilisateur Sentinel Rapid Deployment LDAP, vous devez spécifier à la fois le nom de l'utilisateur du répertoire et son nom distinctif.
Lorsqu'un utilisateur LDAP se logue au serveur Sentinel Rapid Deployment, celui-ci authentifie le login de l'utilisateur par rapport à l'annuaire LDAP en utilisant son nom distinctif et n'exécute pas de recherche anonyme dans l'annuaire LDAP.
Il existe une autre approche qui s'applique uniquement à Active Directory. Pour plus d'informations, reportez-vous à la section Authentification LDAP non anonyme avec l'attribut UserPrincipalName dans Active Directory.
La connexion SSL sécurisée au serveur LDAP nécessite un certificat CA du serveur LDAP que vous devez exporter vers un fichier au format de codage Base64.
eDirectory: reportez-vous à la section Exportation d'un certificat CA organisationnel auto-signé.
Pour exporter un certificat CA eDirectory dans iManager, les plug-ins du serveur de certificats Novell pour iManager doivent être installés.
Active Directory: reportez-vous à la section Activation du protocole LDAP sur SSL avec une autorité de certification tierce.
Pour procéder à l'authentification LDAP via la fonction de recherche anonyme, vous devez activer cette dernière dans l'annuaire LDAP. Par défaut, la recherche anonyme est activée dans eDirectory et désactivée dans Active Directory.
Pour activer la recherche anonyme dans l'annuaire LDAP, reportez-vous aux instructions ci-après :
eDirectory: reportez-vous à l'attribut ldapBindRestrictions dans la section Attributs de l'objet Serveur LDAP.
Active Directory: l'objet Utilisateur ANONYMOUS LOGON doit disposer d'une autorisation appropriée et d'un accès en lecture aux attributs sAMAccountName et objectclass. Pour plus d'informations, reportez-vous à la section Configuration d'Active Directory pour autoriser les requêtes anonymes.
Pour Windows Server 2003, vous devez exécuter une configuration supplémentaire. Pour plus d'informations, reportez-vous à la section Configuration d'Active Directory sous Windows Server 2003 .
Vérifiez que votre système respecte la configuration requise, indiquée à la Section 3.7.2, Conditions préalables.
Loguez-vous au serveur Sentinel Rapid Deployment en tant qu'utilisateur root.
Copiez le fichier exporté du certificat CA du serveur LDAP dans le répertoire <répertoire_installation>/config.
Définissez la propriété et les autorisations du fichier de certificat de la manière suivante :
chown novell:novell <répertoire_installation>/config/<fichier-cert>
chmod 700 <répertoire_installation>/config/<fichier-cert>
Passez à l'utilisateur novell :
su - novell
Accédez au répertoire <répertoire_installation>/bin.
Exécutez le script de configuration de l'authentification LDAP :
./ldap_auth_config.sh
Le script crée une sauvegarde des fichiers de configuration auth.login et configuration.xml dans le répertoire config comme auth.login.sav et configuration.xml.sav avant de les modifier en vue de l'authentification LDAP.
Indiquez les informations suivantes :
Appuyez sur Entrée pour accepter la valeur par défaut ou spécifiez une autre valeur pour la remplacer.
Emplacement d'installation de Sentinel : répertoire d'installation sur le serveur Sentinel.
Nom d'hôte ou adresse IP du serveur LDAP : nom d'hôte ou adresse IP de la machine sur laquelle le serveur LDAP est installé La valeur par défaut est localhost. Toutefois, vous ne devez pas installer le serveur LDAP sur la même machine que le serveur Sentinel
Port du serveur LDAP : numéro de port garantissant une connexion LDAP sécurisée. Le numéro de port par défaut est 636.
Recherches anonymes dans l'annuaire LDAP : spécifiez y si vous souhaitez activer les recherches anonymes. Sinon, spécifiez n. La valeur par défaut est y.
Si vous indiquez n, procédez à la configuration LDAP et suivez les étapes présentées à la section Authentification LDAP sans recherche anonyme.
Annuaire LDAP utilisé : ce paramètre s'affiche uniquement si vous avez spécifié « y » pour les recherches anonymes. Spécifiez 1 pour Novell eDirectory ou 2 pour Active Directory. La valeur par défaut est 1.
Sous-arborescence LDAP pour rechercher les utilisateurs : ce paramètre s'affiche uniquement si vous avez spécifié « y » pour les recherches anonymes. La sous-arborescence du répertoire contient les objets Utilisateur. Exemples de spécification de sous-arborescence dans eDirectory et Active Directory :
eDirectory:
ou=users,o=novell
REMARQUE :si aucune sous-arborescence n'est spécifiée pour eDirectory, la recherche s'exécute sur l'ensemble du répertoire.
Active Directory:
CN=users,DC=TESTAD,DC=provo, DC=novell,DC=com
REMARQUE :la sous-arborescence ne peut pas être vide pour Active Directory.
Nom du fichier du certificat du serveur LDAP : nom du fichier du certificat CA eDirectory/Active Directory que vous avez copié à l'Étape 3.
Entrez l'une des commandes suivantes :
y pour accepter les valeurs entrées
n pour entrer des nouvelles valeurs
q pour quitter la configuration
En cas de configuration exécutée avec succès :
Le certificat du serveur LDAP est ajouté à un keystore intitulé <répertoire_installation>/config/ldap_server.keystore.
Les fichiers de configuration auth.login et configuration.xml du répertoire <répertoire_installation>/config sont mis à jour pour permettre l'authentification LDAP.
Entrez y pour redémarrer le service Sentinel.
IMPORTANT :en cas d'erreur, revenez à l'étape des modifications apportées aux fichiers de configuration auth.login et configuration.xml du répertoire config :
cp -p auth.login.sav auth.login cp -p configuration.xml.sav configuration.xml
(Sous condition) Si vous avez spécifié n pour Recherches anonymes dans l'annuaire LDAP :, continuez avec Authentification LDAP sans recherche anonyme.
Si vous avez spécifié n pour les recherches anonymes dans l'annuaire LDAP lors de la configuration de Sentinel Rapid Deployment pour l'authentification LDAP, aucune recherche anonyme ne sera exécutée.
Lorsque vous créez le compte utilisateur LDAP à l'aide de Sentinel Control Center, veillez à spécifier pour l'authentification LDAP non anonyme. Vous pouvez utiliser cette approche pour eDirectory et Active Directory.
Pour plus d'informations, reportez-vous à la section Création d'un compte utilisateur LDAP pour Sentinel
du Guide de l'utilisateur de Sentinel Rapid Deployment.
Pour Active Directory, il existe une autre approche permettant de procéder à l'authentification LDAP sans recherches anonymes. Pour plus d'informations, reportez-vous à Authentification LDAP non anonyme avec l'attribut UserPrincipalName dans Active Directory.
Pour Active Directory, vous pouvez également exécuter une authentification LDAP sans recherche anonyme via l'attribut UserPrincipalName :
Assurez-vous que l'attribut UserPrincipalName est défini sur <nomComptesAM@domaine> pour l'utilisateur Active Directory.
Pour plus d'informations, reportez-vous à la section Attribut UserPrincipalName.
Vérifiez que vous avez suivi la procédure depuis l'Étape 1 jusqu'à l'Étape 10 et spécifié n pour Recherches anonymes dans l'annuaire LDAP :.
Sur le serveur Sentinel, modifiez la section LdapLogin du fichier <Répertoire d'installation>/config/auth.login :
LdapLogin {
com.sun.security.auth.module.LdapLoginModule required
userProvider="ldap://LDAP server IP:636/DN of the Container that contains the user objects"
authIdentity="{USERNAME}@Domain Name"
userFilter="(&(sAMAccountName={USERNAME})(objectclass=user))"
useSSL=true;
};
Par exemple :
LdapLogin {
com.sun.security.auth.module.LdapLoginModule required
userProvider="ldap://137.65.151.12:636/DC=Test-AD,DC=provo,DC=novell,DC=com"
authIdentity="{USERNAME}@Test-AD.provo.novell.com"
userFilter="(&(sAMAccountName={USERNAME})(objectclass=user))"
useSSL=true;
};
Redémarrez le service Sentinel :
/etc/init.d/sentinel stop
/etc/init.d/sentinel start
Pour configurer un ou plusieurs serveurs LDAP en tant que serveurs de reprise après échec en vue de l'authentification LDAP, procédez comme suit :
Assurez-vous que vous avez suivi la procédure depuis l'Étape 2 jusqu'à l'Étape 10 pour configurer le serveur Sentinel en vue de l'authentification LDAP au niveau du serveur LDAP principal.
Loguez-vous au serveur Sentinel en tant qu'utilisateur novell.
Arrêtez le service Sentinel.
/etc/init.d/sentinel stop
Accédez au répertoire <répertoire_installation>/config :
cd <install_directory>/config
Ouvrez le fichier auth.login pour le modifier.
vi auth.login
Mettez à jour l'option userProvider dans la section LdapLogin pour spécifier plusieurs URL LDAP. Séparez chaque URL par un espace.
Par exemple :
userProvider="ldap://ldap-url1 ldap://ldap-url2"
Pour Active Directory, assurez-vous que la sous-arborescence de l'URL LDAP n'est pas vide.
Pour plus d'informations sur la spécification de plusieurs URL LDAP, reportez-vous à la description de l'option userProvider dans le module Class LdapLogin Module.
Enregistrez les modifications apportées.
Exportez le certificat de chaque serveur LDAP de reprise après échec et copiez le fichier de certificat dans le répertoire <répertoire_installation>/config du serveur Sentinel.
Pour plus d'informations, reportez-vous à la section Exportation du certificat CA du serveur LDAP.
Assurez-vous que vous avez défini les droits et autorisations nécessaires concernant le fichier de certificat pour chaque serveur LDAP de basculement.
chown novell:novell <install_directory>/config/<cert-file>
chmod 700 <install_directory>/config/<cert-file>
Ajoutez chaque certificat de serveur LDAP de basculement au keystore ldap_server.keystore créé à l'Étape 8 de la section Configuration du serveur Sentinel pour l'authentification LDAP.
<install_directory>/jre64/bin/keytool -importcert -noprompt -trustcacerts -file <certificate-file> -alias <alias_name> -keystore ldap_server.keystore -storepass sentinel
Remplacez <fichier-certificat> par le nom du fichier de certificat au format de codage Base64 et remplacez <nom_alias> par le nom de l'alias du certificat à importer.
IMPORTANT :n'oubliez pas de spécifier l'alias. Si aucun alias n'a été spécifié, le keytool utilise mykey en tant qu'alias par défaut. Lorsque vous importez plusieurs certificats dans le keystore sans spécifier d'alias, le keytool signale que l'alias existe déjà.
Démarrez le service Sentinel.
/etc/init.d/sentinel start
Il est possible que le service ne se connecte pas au serveur LDAP de reprise après échec si un timeout survient au niveau du serveur Sentinel avant que celui-ci ne détecte l'arrêt du serveur LDAP principal. Pour vous assurer que le serveur Sentinel se connecte au serveur LDAP de reprise après échec sans que survienne un timeout, procédez comme suit :
Loguez-vous au serveur Sentinel en tant qu'utilisateur root.
Ouvrez le fichier sysct1.conf pour le modifier :
vi /etc/sysctl.conf
Vérifiez que la valeur net.ipv4.tcp_syn_retries est définie sur 3. Si l'entrée n'existe pas, ajoutez-la. Enregistrez le fichier :
net.ipv4.tcp_syn_retries = 3
Exécutez la commande pour appliquer les modifications :
/sbin/sysctl -p
/sbin/sysctl -w net.ipv4.route.flush=1
Définissez la valeur de timeout du serveur Sentinel en ajoutant le paramètre -Desecurity.remote.timeout=60 dans les fichiers control_center.sh et solution_designer.sh du répertoire <répertoire_installation>/bin :
control_center.sh :
"<install_directory>/jre/bin/java" $MEMORY -Dcom.esecurity.configurationfile=$ESEC_CONF_FILE -Desecurity.cache.directory="<install_directory>/data/control_center.cache" -Desecurity.communication.service="sentinel_client" -Dfile.encoding=UTF8 -Desecurity.dataobjects.config.file="/xml/BaseMetaData.xml,/xml/WorkflowMetaData.xml,/xml/ActMetaData.xml" -Djava.util.logging.config.file="<install_directory>/config/control_center_log.prop" -Djava.security.auth.login.config="<install_directory>/config/auth.login" $SENTINEL_LANG_PROP $SENTINEL_CTRY_PROP -Dice.pilots.html4.baseFontFamily="Arial Unicode MS" -Desecurity.remote.timeout=60 -jar ../lib/console.jar
solution_designer.sh :
"<install_directory>/jre/bin/java" -classpath $LOCAL_CLASSPATH $MEMORY -Dcom.esecurity.configurationfile="$ESEC_CONF_FILE" -Dsentinel.installer.jar.location="<install_directory>/lib/contentinstaller.jar" -Desecurity.communication.service="sentinel_client" -Dfile.encoding=UTF8 -Desecurity.dataobjects.config.file="/xml/BaseMetaData.xml,/xml/WorkflowMetaData.xml,/xml/ActMetaData.xml" -Djava.util.logging.config.file="<install_directory>/config/solution_designer_log.prop" -Djava.security.auth.login.config="<install_directory>/config/auth.login" $SENTINEL_LANG_PROP $SENTINEL_CTRY_PROP -Desecurity.cache.directory=../data/solution_designer.cache -Desecurity.remote.timeout=60 com.esecurity.content.exportUI.ContentPackBuilder
Si les utilisateurs LDAP à authentifier appartiennent à des domaines Active Directory différents, vous pouvez configurer le serveur Sentinel Rapid Deployment pour l'authentification LDAP en procédant comme suit :
Assurez-vous que vous avez suivi la procédure de l'Étape 2 à l'Étape 10 pour configurer le serveur Sentinel pour l'authentification LDAP par rapport au contrôleur de domaine Active Directory du premier domaine : Vérifiez également que vous avez indiqué n pour Recherches anonymes dans l'annuaire LDAP :.
Loguez-vous au serveur Sentinel en tant qu'utilisateur novell.
Arrêtez le service Sentinel.
/etc/init.d/sentinel stop
Accédez au répertoire <répertoire_installation>/config :
cd <install_directory>/config
Ouvrez le fichier auth.login pour le modifier.
vi auth.login
Modifiez la section LdapLogin pour spécifier plusieurs URL LDAP en séparant chaque URL par un espace.
Par exemple :
LdapLogin {
com.sun.security.auth.module.LdapLoginModule required
userProvider="ldap://<IP of the domain 1 domain controller>:636 ldap://<IP of the domain 2 domain controller>:636"
authIdentity="{USERNAME}"
useSSL=true;
};
Pour plus d'informations sur la spécification de plusieurs URL LDAP, reportez-vous à la description de l'option userProvider dans le module Class LdapLogin Module.
Enregistrez les modifications apportées.
Exportez le certificat du contrôleur de domaine de chaque domaine et copiez les fichiers de certificat dans le répertoire <répertoire_installation>/configsur le serveur Sentinel.
Pour plus d'informations, reportez-vous à Exportation du certificat CA du serveur LDAP.
Assurez-vous que vous avez défini les droits et autorisations nécessaires pour les fichiers de certificat.
chown novell:novell <install_directory>/config/<cert-file>
chmod 700 <install_directory>/config/<cert-file>
Ajoutez chaque certificat au keystore ldap_server.keystore créé à l'Étape 8 de la section Configuration du serveur Sentinel pour l'authentification LDAP.
<install_directory>/jre64/bin/keytool -importcert -noprompt -trustcacerts -file <certificate-file> -alias <alias_name> -keystore ldap_server.keystore -storepass sentinel
Remplacez <fichier-certificat> par le nom du fichier de certificat au format de codage Base64 et remplacez <nom_alias> par le nom de l'alias du certificat à importer.
IMPORTANT :n'oubliez pas de spécifier l'alias. Si aucun alias n'a été spécifié, le keytool utilise mykey en tant qu'alias par défaut. Lorsque vous importez plusieurs certificats dans le keystore sans spécifier d'alias, le keytool signale que l'alias existe déjà.
Démarrez le service Sentinel.
/etc/init.d/sentinel start
Après avoir configuré avec succès le serveur Sentinel en vue de l'authentification LDAP, vous pouvez créer des comptes utilisateur LDAP Sentinel dans Sentinel Control Center. Pour plus d'informations sur la création de comptes utilisateur LDAP, reportez-vous à la section Création d'un compte utilisateur LDAP pour Sentinel
du Guide de l'utilisateur de Sentinel Rapid Deployment.
Après avoir créé le compte utilisateur LDAP, vous pouvez vous loguer à l'interface Web utilisateur de Sentinel Rapid Deployment, à Sentinel Control Center et à Sentinel Solution Designer à l'aide de votre nom d'utilisateur et de votre mot de passe LDAP.
REMARQUE :pour modifier une configuration LDAP existante, exécutez de nouveau le script ldap_auth_config et spécifiez les nouvelles valeurs des paramètres.