Mise en oeuvre d'un annuaire d'entreprise (Administration)

De Wiki1000
(Différences entre les versions)
(Introduction)
Ligne 1 : Ligne 1 :
 
== Introduction ==
 
== Introduction ==
Une nouvelle notion apparait dans la console d'administration : l'annuaire.
+
La version Malawi supporte les Annuaires d'Entreprise pour authentifier les utilisateurs.
 
+
L'annuaire va nous permettre
+
*de gérer finement (au niveau entité) l'authentification grâce au profil d'authentification
+
*de s'authentifier sur un annuaire externe (respectant le protocole LDAP)
+
  
 
En conséquence le processus d'authentification a été modifié.
 
En conséquence le processus d'authentification a été modifié.
Ligne 10 : Ligne 6 :
 
Pour authentifier un utilisateur :
 
Pour authentifier un utilisateur :
  
*'''Avant :'''
+
*'''Avant la version Malawi :'''
# On vérifiait la validité utilisateur mot de passe (+ compte non expiré + login réseau)
+
# Le mot de passe de l'utilisateur était vérifié par rapport aux informations stockées dans le référentiel ligne 1000.
# On s'assurait que l'utilisateur (ou un groupe auquel il appartenait) était en relation avec l'"Application-Société" dans laquelle il souhaitait rentrer
+
# La politique d'authentification était définie et vérifiée par rapport aux informations stockées dans le référentiel ligne 1000.
 +
# Les autorisations d'accès étaient attribués en fonction des droits de l'utilisateur ou des groupes auquels l'utilisateur appartenait.
  
*'''Aujourd'hui : '''  
+
*'''A partir de la version Malawi :'''
# L'entité qui demande l'authentification (utilisateur ou groupe) doit être actrice d'un annuaire.(si plusieurs annuaires actifs, il faut choisir cet annuaire)
+
# L'utilisateur doit appartenir à l'Annuaire.
# L'annuaire a la responsabilité de valider la demande d'authentification.(ainsi, pour un annuaire active directory, la validité utilisateur/mot de passe n'est pas gérée par la ligne 1000)
+
# L'annuaire à la responsabilité d'authentifier l'utilisateur.
# Ensuite, comme avant, on s'assure que l'entité est en relation avec l'"Application-Société"
+
# L'annuaire à la responsabilité de la politique d'authentification.
 +
# Les groupes auquels appartient l'utilisateur sont les groupes de la ligne 1000 pour lesquels il existe un groupe de l'annuaire mappé sur ce groupe.
 +
# Les autorisations d'accès sont attribués en fonction des droits de l'utilisateur ou des groupes auquels l'utilisateur appartenait.
  
{{tip|L'annuaire a également la responsabilité du profil d'authentification (politique de mot de passe ...)}}
+
{{tip|Il peut exister plusieurs Annuaires actifs, dans ce cas l'utilisateur doit sélectionner l'annuaire dans la fenêtre de connexion.)}}
  
 
On distingue trois types d'annuaires  
 
On distingue trois types d'annuaires  
  
*'''L'annuaire d'entreprise''' (interne)
+
*'''L'Annuaire d'Entreprise''' (interne)
: Il est livré par défaut, on ne peut pas en créer de nouveaux. Il permet, pour chaque entité déclarée dans cet annuaire, d'appliquer un profil d'authentification. L'annuaire porte un profil par défaut.
+
: Il est livré par défaut, on ne peut pas en créer de nouveaux. Il permet, pour chaque entité déclarée dans cet annuaire, d'appliquer une politique d'authentification. Cet annuaire est utilisable lorsque l'entreprise ne désire pas utiliser un Annuaire externe.
 +
 
 
*'''L'annuaire LDAP''' (externe)
 
*'''L'annuaire LDAP''' (externe)
: Il permet d'authentifier les utilisateurs sur un serveur externe respectant la norme LDAP.
+
: Il permet d'authentifier les utilisateurs sur un Annuaire externe respectant la norme LDAP.
 +
 
 
*'''L'annuaire Active Directory''' (externe)
 
*'''L'annuaire Active Directory''' (externe)
Il permet d'authentifier les utilisateurs auprès d'un annuaire MicroSoft Active Directory.
+
Il permet d'authentifier les utilisateurs sur Annuaire externe MicroSoft Active Directory.
  
 
{{tip|L'utilisateur ''admin'' se connecte toujours sur l'annuaire d'entreprise même si celui-ci est désactivé.}}
 
{{tip|L'utilisateur ''admin'' se connecte toujours sur l'annuaire d'entreprise même si celui-ci est désactivé.}}

Version du 4 janvier 2010 à 16:44

Sommaire

Introduction

La version Malawi supporte les Annuaires d'Entreprise pour authentifier les utilisateurs.

En conséquence le processus d'authentification a été modifié.

Pour authentifier un utilisateur :

  • Avant la version Malawi :
  1. Le mot de passe de l'utilisateur était vérifié par rapport aux informations stockées dans le référentiel ligne 1000.
  2. La politique d'authentification était définie et vérifiée par rapport aux informations stockées dans le référentiel ligne 1000.
  3. Les autorisations d'accès étaient attribués en fonction des droits de l'utilisateur ou des groupes auquels l'utilisateur appartenait.
  • A partir de la version Malawi :
  1. L'utilisateur doit appartenir à l'Annuaire.
  2. L'annuaire à la responsabilité d'authentifier l'utilisateur.
  3. L'annuaire à la responsabilité de la politique d'authentification.
  4. Les groupes auquels appartient l'utilisateur sont les groupes de la ligne 1000 pour lesquels il existe un groupe de l'annuaire mappé sur ce groupe.
  5. Les autorisations d'accès sont attribués en fonction des droits de l'utilisateur ou des groupes auquels l'utilisateur appartenait.
Tip-20px.png Tip : Il peut exister plusieurs Annuaires actifs, dans ce cas l'utilisateur doit sélectionner l'annuaire dans la fenêtre de connexion.)

On distingue trois types d'annuaires

  • L'Annuaire d'Entreprise (interne)
Il est livré par défaut, on ne peut pas en créer de nouveaux. Il permet, pour chaque entité déclarée dans cet annuaire, d'appliquer une politique d'authentification. Cet annuaire est utilisable lorsque l'entreprise ne désire pas utiliser un Annuaire externe.
  • L'annuaire LDAP (externe)
Il permet d'authentifier les utilisateurs sur un Annuaire externe respectant la norme LDAP.
  • L'annuaire Active Directory (externe)

Il permet d'authentifier les utilisateurs sur Annuaire externe MicroSoft Active Directory.

Tip-20px.png Tip : L'utilisateur admin se connecte toujours sur l'annuaire d'entreprise même si celui-ci est désactivé.

Paramétrage d'un annuaire LDAP

Les entités de l'annuaire

Ce sont les entités autorisées à s'authentifier.

L'identifiant permet de les retrouver dans l'annuaire LDAP externe (grâce à l'Attribut de recherche paramétré plus loin)

On cherche en priorité l'utilisateur parmi les entités pour appliquer les politiques (puis le groupe éventuel)

Le paramétrage de la connexion LDAP

  • Base DN
il s'agit du nom de domaine sur lequel seront effectuées les recherches.
  • L'utilisateur autorisé à interroger l'annuaire
Il est utile à double titre :
  1. Lors d'une tentative de connexion d'un utilisateur pour effectuer une rechercher dans l'annuaire.
  2. Une fois l'utilisateur identifié pour effectuer des recherches dans l'annuaire, le compte de l'utilisateur n'ayant pas nécessairement les droits de recherche.

Le paramétrage des attributs

  • L'attribut de recherche
Il est utilisé pour identifier l'entité dans l'annuaire distant
  • Le Nom
Il est utilisé pour vérifier que l'utilisateur qui se connecte existe dans l'annuaire distant (avant même d'authentifier), cela correspond à l'information saisie par l'utilisateur (login).
  • le Nom complet et l'Adresse de messagerie
Ils permettent de renseigner ces éléments lors de la création de l'utilisateur dans le référentiel.

Connexion d'un utilisateur déclaré sur un annuaire externe

Scénario d'utilisation d'un annuaire externe.

Contexte

L'administrateur souhaite que les utilisateurs LDAP appartenant au groupe "Compta" accèdent au dossier "Dossier compta" de la Ligne 1000.

Paramétrage annuaire

  1. L'administrateur crée un annuaire LDAP et le paramètre.
  2. Ensuite, il crée un groupe "Grp compta" qui représente le groupe de son annuaire LDAP externe.
  3. Il déclare ce groupe comme acteur dans l'annuaire et renseigne son identifiant LDAP. ("CN=Compta...")

Connexion d'un utilisateur appartenant à ce groupe

Lorsqu'un utilisateur appartenant à ce groupe s'authentifie pour la première fois dans la Ligne 1000, il est automatiquement créé.

La synchronisation des informations de l'utilisateur

Chaque fois qu'un utilisateur se connecte sur une annuaire type LDAP, on met à jour les informations (mail..) et la liste des groupes auquel il appartient.

Connexion sans passer par la fenêtre de login

Il est possible de se connecter à la ligne 1000 sans passer par la fenêtre de connexion.(rpc, ole..) C'est pourquoi, des mécanismes sont prévus pour que les paramétrages existants fonctionnent toujours.

Lors de la connexion à la la base, si l'annuaire n'est pas renseigné, on prend par défaut l'annuaire entreprise (s'il est actif). De même, si le groupe n'est pas renseigné et que l'utilisateur n'est pas autorisé en tant que tel dans la société, on tâche de trouver un groupe autorisé auquel l'utilisateur appartient.

Outils personnels