Novell Documentation: ZENworks 7 - Authentification auprès de eDirectory

5.1 Authentification auprès de eDirectory

Pour pouvoir accéder à des applications ou des stratégies, l'utilisateur doit d'abord se loguer au réseau (c'est-à-dire, se loguer à Novell eDirectory™) pour vérifier les droits de login et établir une connexion aux serveurs réseau auprès desquels l'utilisateur doit s'authentifier.

IMPORTANT :l'authentification LDAP, lancée lorsque les utilisateurs se loguent et accèdent aux applications ou stratégies ZENworks, consomme deux des logins bonus accordés à un utilisateur lorsque le mot de passe de celui-ci expire. Les logins bonus sont définis dans ConsoleOne dans la page Restrictions (section Restrictions de mot de passe) de l'objet Utilisateur eDirectory.

Par exemple, eDirectory notifie à un utilisateur qu'il lui reste deux logins bonus sur un serveur, mais cet utilisateur n'a en fait aucun login bonus et ne pourra pas se loguer tant qu'il n'aura pas réinitialisé son mot de passe.

Si vous avez installé Novell Client™, l'agent de gestion de bureau et le serveur Middle Tier, il existe trois scénarios de login :

5.1.1 Login à l'aide du client Novell

Lorsque le client Novell est utilisé pour l'authentification, toutes les communications vers eDirectory et le système de fichiers du serveur utilisent le protocole NCP™ Novell classique. Le client est lancé via la boîte de dialogue de login GINA (Graphical Identification and Authentication - Authentification et identification graphique) par défaut. Pour plus d'informations sur l'authentification à l'aide du client Novell, reportez-vous à Authentification à l'aide du client Novell dans le Guide d'installation de Novell ZENworks 7 Desktop Management.

Le scénario faisant appel au processus d'authentification auprès de eDirectory à l'aide du client 32 bits est illustré dans le schéma suivant :

Figure 5-1 Authentification auprès d'eDirectory à l'aide du client Novell 32 bits

Tableau 5-1 Étapes du processus d'authentification auprès d'eDirectory à l'aide du client Novell 32 bits

Étape	Description
	Un utilisateur disposant des droits appropriés entre les références eDirectory dans les champs de login de l'interface GINA du client Novell.
	Le client Novell adresse la requête d'authentification auprès d'eDirectory dans un paquet NDAP/LDAP.
	eDirectory confirme que les références de login sont valides et envoie le paquet de réponse d'authentification via NDAP/LDAP au poste de travail utilisateur.
	Le client Novell sur le poste de travail utilisateur reçoit le paquet de réponse et confirme l'authentification. La connexion réseau est établie.

Cependant, si ces mêmes postes de travail sont derrière le pare-feu, le client continue à être lancé via la boîte de dialogue de login GINA par défaut. Les utilisateurs peuvent se loguer localement à leur propre poste de travail Windows, mais ne peuvent pas s'authentifier auprès de eDirectory en passant par le serveur Middle Tier ZENworks.

Si des utilisateurs sur les postes desquels l'agent et le client sont installés souhaitent s'authentifier et recevoir des applications derrière le pare-feu, ils peuvent le faire à l'aide d'une autre méthode de login, mais leurs postes de travail ne peuvent recevoir que des fichiers d'application et non des stratégies Desktop Management. Vous devez donc envisager de supprimer le client et de n'installer que l'agent sur les postes de travail qui seront essentiellement utilisés derrière le pare-feu.

Pour plus d'informations sur les autres méthodes de login utilisées lorsque le client et l'agent sont installés sur un même poste de travail derrière le pare-feu, reportez-vous à Login local au poste de travail.

5.1.2 Login à l'aide de l'agent de gestion de bureau

Si vous installez l'agent de gestion de bureau et si vous souhaitez que les utilisateurs se loguent au réseau via l'agent, vous devez comprendre la façon dont l'agent de gestion de bureau s'authentifie auprès du réseau. Pour plus d'informations sur la configuration de l'agent de gestion de bureau pour l'authentification, reportez-vous à Authentification à l'aide de l'agent de gestion de bureau et du serveur Middle Tier ZENworks dans le Guide d'installation de Novell ZENworks 7 Desktop Management.

Le schéma ci-dessous illustre le processus d'authentification d'un utilisateur auprès d'eDirectory à l'aide de l'agent de gestion de bureau si l'utilisateur est situé derrière le pare-feu. Le processus est le même lorsque l'utilisateur est derrière le pare-feu.

Figure 5-2 Authentification auprès d'eDirectory à l'aide de l'agent de gestion de bureau derrière un pare-feu

Tableau 5-2 Étapes de l'authentification auprès d'eDirectory à l'aide de l'agent de gestion de bureau derrière un pare-feu

Étape	Description
	Un utilisateur accède à l'agent ZENworks Management et entre un ID et un mot de passe utilisateur.
	L'agent collecte les références utilisateur. À l'aide des méthodes de codage à clé publique/privée et clé de session, les références sont transmises de façon sécurisée au serveur Middle Tier ZENworks (via un pare-feu d'entreprise) par le biais d'une connexion HTTP ou HTTPS. REMARQUE :les références sont toujours sécurisées à l'aide des techniques mentionnées plus haut, que le transport s'effectue par HTTP ou HTTPS.
	Le service Web du serveur Middle Tier ZENworks reçoit les références via le pare-feu, les recompose, les convertit en un paquet NDAP/LDAP, puis utilise NDAP/LDAP pour les transmettre à eDirectory via un port du pare-feu principal. REMARQUE :aucune licence NetWare® n'est utilisée au niveau du serveur Middle Tier ZENworks. Les connexions sous licence sont lues par le serveur Desktop Management.
	eDirectory reçoit le paquet NDAP/LDAP, confirme que les références de login sont valides et envoie le paquet de réponse d'authentification via NDAP/LDAP au serveur Middle Tier ZENworks.
	Le serveur Middle Tier ZENworks code de nouveau le paquet LDAP ou NDAP retourné au format XML, puis envoie le paquet de confirmation XML par HTTP ou HTTPS à l'agent ZENworks Management.
	L'agent reçoit le paquet XML, le recompose et le convertit au format binaire. L'utilisateur du poste de travail est alors logué.

Lorsque eDirectory authentifie des utilisateurs, ces derniers sont authentifiés auprès de tous les serveurs de l'arborescence pour laquelle l'administrateur système leur a octroyé des droits.

Le serveur Middle Tier ZENworks utilise LDAP/NDAP pour s'authentifier auprès d'eDirectory en raison des fonctions de recherche de ces protocoles. Si vous sélectionnez Mots de passe en texte clair lors de l'installation du serveur Middle Tier ZENworks, la requête d'authentification peut utiliser l'ID utilisateur seul (sans contexte) pour rechercher l'authentification de l'utilisateur dans la totalité de l'arborescence. Sans mot de passe en texte clair, l'utilisateur doit se loguer à l'aide de son nom distinctif complet ou vous devez restreindre son accès à un domaine d'authentification, c'est-à-dire à un contexte spécifique de l'annuaire.

Pour plus d'informations sur l'authentification et le rôle du serveur Middle Tier ZENworks dans l'accès aux fichiers ZENworks, reportez-vous à la Section 3.3, Définition du serveur Desktop Management.

5.1.3 Login local au poste de travail

Si des utilisateurs contournent le login de l'agent de gestion de bureau en se loguant uniquement à un poste de travail local, ils doivent néanmoins s'authentifier auprès d'eDirectory pour accéder à leurs applications.

Si l'icône Explorateur d'applications est affichée sur le bureau ou dans la barre système de l'utilisateur, celui-ci peut (cliquez pour cela avec le bouton droit de la souris sur l'icône) se loguer au serveur Middle Tier ZENworks. Si l'utilisateur choisit de se loguer, l'interface de login GINA des Services de sécurité Novell apparaît.

Figure 5-3 Boîte de dialogue de login des Services de sécurité Novell

Lorsque l'utilisateur saisit son ID utilisateur et son mot de passe dans la boîte de dialogue de login GINA des Services de sécurité, ces références sont transmises au serveur Middle Tier ZENworks qui les transmet à eDirectory pour authentification. Cette interface de login GINA utilise le même processus d'authentification que celui de l'interface de login GINA de l'agent de gestion de bureau. Pour plus d'informations, reportez-vous à la Login à l'aide de l'agent de gestion de bureau.