DocsConfiguration de l'authentification LDAP
Configurez les paramètres requis dans le fichier de configuration du server du SKOOR Engine :
/etc/opt/eranger/eranger-server.cfg
L'exemple suivant montre une configuration minimale pour interroger Active Directory. Adaptez les valeurs pour correspondre aux paramètres du server AD/LDAP :
auth_ldap = on ldap_server = ldap://myldapserver:389 ldap_base = dc=mycompany,dc=local
Si les utilisateurs LDAP qui tentent de se connecter ne disposent pas des autorisations suffisantes pour déterminer leur propre appartenance au groupe LDAP, le dn peut être défini à l'aide des éléments ldap_user et ldap_pass .
Autres paramètres de configuration pour LDAP :
Paramètre | Description |
|---|---|
ldap_auth_dn | Doit être défini sur true au cas où les utilisateurs connectés ne pourraient pas lire leur appartenance à un groupe dans l'annuaire LDAP |
ldap_charset | S'il y a des problèmes avec des caractères spéciaux (par exemple, des trémas) dans les données reçues du server LDAP, configurez SKOOR Engine pour convertir la réponse du jeu de caractères spécifié, par exemple ISO8859-1, en UTF-8. |
ldap_item_user | Champ LDAP à comparer avec le nom de connexion. Ce paramètre est pertinent pour le processus de connexion. Généralement, sAMAccountName ou userPrincipalName sont utilisés |
ldap_item_name | Champ LDAP à afficher en tant que nom complet dans SKOOR (par exemple, displayName ) |
ldap_item_mail | Champ LDAP à afficher comme e-mail dans SKOOR (par exemple mail ) |
ldap_item_phone | Champ LDAP à afficher en tant que téléphone dans SKOOR (par exemple telephoneNumber ) |
ldap_item_comment | Champ LDAP à afficher en tant que commentaire dans SKOOR (par exemple commentaire ) |
ldap_item_group | Champ LDAP pour rechercher les appartenances aux groupes d'utilisateurs de connexion. En règle générale, memberOf est utilisé |
ldap_pass | Mot de passe de l'utilisateur configuré pour le paramètre ldap_user |
ldap_server1ldap_server2 | Si plusieurs server LDAP sont disponibles, ils peuvent être configurés à l'aide de ces paramètres au lieu de ldap_server |
ldap_user | Utilisateur pour rechercher dans l'arborescence LDAP si l'utilisateur de connexion n'a pas d'autorisation |
ldap_user_expire | Nombre de jours inactifs après lesquels les utilisateurs gérés par LDAP sont supprimés du SKOOR Engine . (Par défaut = 90 jours) |
Rechargez le Server SKOOR Engine pour activer la configuration :
/opt/eranger/bin/eRanger.sh reload server
Pour qu'un utilisateur soit authentifié par rapport à AD/LDAP, définissez son type d'utilisateur sur Authentifié à distance dans la configuration de l'utilisateur.
Les mots de passe LDAP sont cryptés localement de la même manière qu'ils le sont pour les utilisateurs normaux, c'est-à-dire en utilisant le cryptage MD5 salé. Le mot de passe en texte clair n'est jamais stocké nulle part dans SKOOR Engine . Cela permet à un utilisateur de se connecter au SKOOR Engine même si l'annuaire LDAP n'est pas accessible.