Pour pouvoir accéder à des applications ou des règles, l'utilisateur doit d'abord se loguer au réseau (c'est-à-dire se loguer à Novell eDirectoryTM) pour vérifier les droits de login et établir une connexion aux serveurs réseau sur lesquels l'utilisateur doit s'authentifier.
Si vous avez installé Novell ClientTM, l'agent de gestion ZfD 4 et le serveur Middle Tier ZfD, il existe trois scénarios de login :
Si les utilisateurs sont protégés par le pare-feu de l'entreprise (ou s'il n'existe aucun pare-feu) et si le client et l'agent sont installés sur des postes de travail utilisateur, le client est lancé en tant qu'interface utilisateur de login GINA (Graphical Identification and Authentication) par défaut.
Le scénario faisant appel au processus d'authentification auprès de eDirectory à l'aide du client 32 bits est illustré dans le diagramme suivant :
Étape
Explication
Un utilisateur disposant des droits appropriés entre les références eDirectory dans les champs de login de l'interface GINA du client Novell.
Le client Novell adresse la requête d'authentification à eDirectory dans un paquet NDAP/LDAP.
eDirectory confirme que les références de login sont valides et envoie le paquet de réponse d'authentification via NDAP/LDAP au poste de travail utilisateur.
Le client Novell sur le poste de travail utilisateur reçoit le paquet de réponse et confirme l'authentification. La connexion réseau est établie.
Cependant, si ces mêmes postes de travail ne sont pas protégés par le pare-feu, le client continue à être lancé en tant qu'interface de login GINA par défaut. Les utilisateurs pourront se loguer localement à leurs propres bureaux Windows*, mais ils ne pourront pas s'authentifier auprès de eDirectory via le serveur Middle Tier ZfD.
Si des utilisateurs sur les postes desquels l'agent et le client sont installés souhaitent authentifier et recevoir des applications non protégées par le pare-feu, ils peuvent le faire à l'aide d'une autre méthode de login, mais leurs postes de travail ne pourront recevoir que des fichiers d'application et non des règles. C'est pourquoi vous devez supprimer le client et installer l'agent sur les postes de travail à utiliser sans la protection du pare-feu.
Pour plus d'informations sur les autres méthodes de login utilisées lorsque le client et l'agent sont installés sur un même poste de travail non protégé par le pare-feu, reportez-vous à Login à l'aide de NetIdentity .
Le diagramme ci-dessous illustre le processus d'authentification d'un utilisateur auprès de eDirectory à l'aide de l'agent de gestion ZfD dans le cas d'une protection par le pare-feu.
Étape
Explication
Un utilisateur accède à l'agent de gestion ZfD et entre un ID et un mot de passe utilisateur.
L'agent collecte les références utilisateur. À l'aide des méthodes de codage à clé publique/privée et clé de session, les références sont transmises de façon sécurisée au serveur Middle Tier ZfD (via un pare-feu de l'entreprise) par le biais d'une connexion HTTP ou HTTPS.
REMARQUE : Les références sont toujours sécurisées à l'aide des techniques mentionnées plus haut, que le transport s'effectue par HTTP ou HTTPS.
Le service Web du serveur Middle Tier ZfD reçoit les références via le pare-feu, les recompose, les convertit en un paquet NDAP/LDAP, puis utilise NDAP/LDAP pour les transmettre à eDirectory via un port du pare-feu principal.
REMARQUE : Aucune licence NetWare® n'est utilisée au niveau du serveur Middle Tier ZfD. Les connexions sous licence sont lues par le serveur ZfD.
eDirectory reçoit le paquet NDAP/LDAP, confirme que les références de login sont valides et envoie le paquet de réponse d'authentification via NDAP/LDAP au serveur Middle Tier ZfD.
Le serveur Middle Tier ZfD code de nouveau le paquet LDAP ou NDAP retourné au format XML, puis envoie le paquet de confirmation XML par HTTP ou HTTPS à l'agent de gestion ZfD.
L'agent reçoit le paquet XML, le recompose et le convertit au format binaire. L'utilisateur du poste de travail est alors logué.
Lorsque eDirectory authentifie des utilisateurs, ces derniers sont authentifiés auprès de tous les serveurs de l'arborescence sur lesquels l'administrateur système leur a octroyé des droits.
Le serveur Middle Tier ZfD utilise LDAP/NDAP pour s'authentifier auprès de eDirectory en raison des fonctions de recherche de ces protocoles. Si vous sélectionnez Mots de passe en texte clair lors de l'installation du serveur Middle Tier ZfD, la requête d'authentification peut utiliser l'ID utilisateur seul (sans contexte) pour rechercher l'authentification de l'utilisateur dans la totalité de l'arborescence. Sans mot de passe en texte clair, l'utilisateur doit se loguer à l'aide de son nom distinctif complet ou bien vous devez restreindre son accès à un domaine d'authentification, c'est-à-dire à un contexte spécifique de l'annuaire.
Pour plus d'informations sur l'authentification et le rôle du serveur Middle Tier ZfD dans l'accès aux fichiers ZENworks, reportez-vous à Présentation du serveur ZfD .
Login à l'aide de NetIdentity
Si des utilisateurs contournent le login de l'agent de gestion ZfD en se loguant uniquement à un poste de travail local, ils doivent néanmoins s'authentifier auprès de eDirectory pour accéder à leurs applications.
Si l'icône Explorateur d'applications est affichée sur le bureau ou dans la barre système de l'utilisateur, celui-ci a la possibilité (en cliquant avec le bouton droit de la souris sur l'icône) de se loguer au serveur Middle Tier ZfD. Si l'utilisateur choisit de se loguer, l'interface de login GINA de NetIdentity apparaît :
Lorsque l'utilisateur saisit son ID utilisateur et son mot de passe dans l'interface de login GINA de NetIdentity, ces références sont transmises au serveur Middle Tier ZfD qui les transmet à eDirectory pour authentification. NetIdentity utilise le même processus d'authentification que celui de l'interface de login GINA de l'agent de gestion ZfD. Pour plus d'informations, reportez-vous à Login à l'aide de l'agent de gestion ZfD .
