Rubrique précédente: Prise en charge de LDAP

Rubrique suivante: Chiffrement de la connexion au serveur LDAP à l'aide de GSSAPI

Configuration de l'authentification LDAPActivation de l'authentification LDAP sans mécanisme d'authentification

Activation de l'authentification LDAP sans mécanisme d'authentification

Utilisez l'outil de configuration d'authentification unique pour indiquer aux sources de données enregistrées d'utiliser le même schéma LDAP pour l'authentification des utilisateurs. Avec l'outil de configuration d'authentification unique vous pouvez définir des paramètres qui permettent au serveur CA de se connecter au serveur LDAP de façon sécurisée. Vous pouvez également associer des utilisateurs figurant dans le catalogue LDAP à des comptes d'utilisateurs prédéfinis ou personnalisés dans CA Performance Center.

Les opérations à effectuer pour activer l'authentification LDAP sont légèrement différentes si vous utilisez un mécanisme d'authentification, comme GSSAPI. Sans un mécanisme d'authentification, vous devez utiliser un compte de service et le lier au serveur LDAP. Ce compte requiert un accès en lecture au serveur LDAP et des droits de recherche. Vous devez fournir le nom unique complet de l'utilisateur de la connexion et activer le paramètre Liaison utilisateur.

L'application d'authentification unique établit une liaison au serveur LDAP à l'aide des informations d'identification que vous fournissez pour les paramètres Utilisateur de la connexion et Mot de passe de connexion. Une recherche de répertoire est effectuée en fonction de la chaîne saisie pour le paramètre Chaîne de recherche. Les résultats de la recherche incluent le nom unique de l'utilisateur. L'application d'authentification unique établit une seconde liaison au serveur LDAP à l'aide du nom unique et du mot de passe.

Important : Dans les cas où aucun mécanisme d'authentification n'est utilisé, il est fortement recommandé d'établir une connexion SSL au serveur LDAP. Si le mode SSL n'est pas utilisé, les mots de passe sont transmis au serveur LDAP en texte clair.

Procédez comme suit:

  1. Connectez-vous au serveur où CA Performance Center ou un produit de source de données CA est installé.

    Connectez-vous en tant qu'utilisateur root ou à l'aide de la commande sudo.

  2. Lancez l'outil de configuration de l'authentification unique en exécutant la commande ./SsoConfig dans le répertoire suivant : 
    [répertoire_installation]/CA/PerformanceCenter

    Vous êtes invité à sélectionner une option. Les options disponibles correspondent à des applications CA s'exécutant sur le serveur local.

  3. Lors de la sélection des paramètres, utilisez les commandes suivantes :
  4. Entrez 1 pour configurer CA Performance Center.

    Vous êtes invité à sélectionner une option.

  5. Entrez 1 pour l'authentification LDAP.

    Vous êtes invité à définir la priorité.

    Le paramètre de priorité s'applique uniquement à CA Performance Center.

  6. Entrez l'une des options ci-après :
    1. Valeur distante

    Se rapporte à des paramètres que seuls les administrateurs peuvent modifier. Ces paramètres sont appliqués à tous les autres produits CA enregistrés sur cette instance de CA Performance Center. Les paramètres de valeur distante sont utilisés uniquement s'il n'y a pas de valeur de substitution locale correspondante.

    2. Substitution locale

    Se rapporte à des paramètres pouvant être modifiés pour tous les produits. La valeur de substitution locale a priorité sur la valeur distante et sur les paramètres par défaut.

    Vous êtes invité à sélectionner une propriété à configurer.

  7. Sélectionnez au moins une des propriétés ci-dessous. Lorsque vous y êtes invité, entrez u pour mettre à jour la valeur et en indiquer une nouvelle :
    1. Utilisateur de la connexion

    Définit l'ID d'utilisateur (ici, l'ID d'utilisateur du compte de service) utilisé par le serveur de connexion pour se connecter au serveur LDAP. Ce nom d'utilisateur LDAP est utilisé pour assurer la liaison avec le serveur.

    Important : Un compte de service disposant d'un accès en lecture au serveur LDAP et de droits de recherche est requis pour ce paramètre, si vous n'utilisez aucun mécanisme d'authentification, comme GSSAPI.

    2. Mot de passe de connexion

    Définit le mot de passe utilisé par le serveur de connexion pour se connecter au serveur LDAP.

    Exemple : Si le serveur de connexion utilise un compte fixe, entrez un texte conforme à l'exemple suivant :

    SomePassword
    3. Domaine de recherche

    Indique le protocole LDAP, le serveur et le domaine de recherche initial. Identifie également le point de départ de la recherche lorsque les informations d'identification du compte d'utilisateur sont vérifiées. Si vous n'indiquez aucun numéro de port après le serveur dans la chaîne, le port 389 est utilisé.

    Exemples :

    • LDAP://localhost:389
    • LDAP://svr/CN=Users,DC=company,DC=local

    Si Active Directory est configuré en tant que QASG.local, la chaîne du domaine de recherche est :

    LDAP://qasg.local/dc=qas,dc=local

    Si vous voulez établir une connexion SSL au serveur LDAP dans le cas où vous n'utilisez aucun mécanisme d'authentification, procédez comme suit :

    1. Remplacez LDAP par LDAPS.
    2. Modifiez le port de connexion sur le port 636 ou sur un autre port de connexion SSL pour votre serveur LDAP : 
      LDAPS://srv:636/CN=Users,DC=company,DC=local
    4. Chaîne de recherche

    Spécifie les critères utilisés pour localiser l'enregistrement adéquat de l'utilisateur. Fonctionne avec le paramètre Etendue de la recherche. Si seul un sous-ensemble d'utilisateurs LDAP est autorisé à se connecter, vous pouvez utiliser la chaîne de recherche pour rechercher plusieurs propriétés dans l'enregistrement. Ce paramètre peut prendre pour valeur tout critère de recherche LDAP valide.

    Exemple :

    (saMAccountName={0})
    5. Etendue de la recherche

    Spécifie les critères utilisés pour localiser l'enregistrement adéquat de l'utilisateur. Il est utilisé avec le paramètre Chaîne de recherche. Délimite la recherche effectuée par le serveur LDAP pour le compte d'utilisateur. Entrez l'une des valeurs ci-dessous.

    niveau 1

    Inclut le répertoire actuel dans la recherche. Limite la recherche au répertoire actuel, en excluant les objets des sous-répertoires.

    sous-arborescence

    Inclut tous les sous-répertoires dans la recherche. Recommandé pour la plupart des installations.

    base

    Limite la recherche à l'objet de base.

    6. Liaison utilisateur

    Indique s'il convient d'effectuer une étape d'authentification supplémentaire (liaison) à l'aide du nom unique et du mot de passe de l'utilisateur pour valider les informations d'identification fournies.

    Important : Ce paramètre doit être défini sur Activé si vous avez entré un compte de service aux étapes 1 et 2.

    Valeur par défaut : Désactivé.

    7. Chiffrement

    Spécifie le mécanisme d'authentification à utiliser lors de la seconde liaison au serveur LDAP.

    Valeur par défaut : Simple.

    Valeurs acceptées : Simple, GSSAPI, DIGEST-MD5.

    8. Utilisateur de compte

    Spécifie le compte par défaut de CA Performance Center vers lequel mapper des utilisateurs LDAP validés n'appartenant pas à un groupe. Fonctionne avec le paramètre Mot de passe du compte. Si un utilisateur valide ne correspond à aucune définition de groupe, l'utilisateur est connecté via l'ID d'utilisateur par défaut spécifié pour ce paramètre.

    Pour permettre à tous les utilisateurs de se connecter avec leur propre nom d'utilisateur, entrez :

    • {saMAccountName}
    • {saMAccountName} or {CN}

    Remarque : Le paramètre Utilisateur de compte correspond au champ d'une entrée de répertoire de cet utilisateur. Généralement, la valeur correspond à votre filtre de recherche.

    9. Clone par défaut de l'utilisateur de compte

    Définit le compte d'utilisateur à cloner si les utilisateurs LDAP validés appartiennent à un groupe non spécifié pour le paramètre Groupe.

    Exemple : Entrez "utilisateur" si vous voulez attribuer des droits minimaux à ces utilisateurs.

    Remarque : Un compte d'utilisateur est requis.

    10. Group

    Permet de déterminer la gestion de compte par défaut des comptes d'utilisateurs ou groupes de comptes sélectionnés.

    Exemple : Pour permettre à tous les membres d'un groupe de se connecter à l'aide d'un compte d'administrateur, entrez :

    <LDAPGroups><Group searchTag="memberOf" searchString="CN=SEC_All Employees,CN=Users,DC=company,DC=local" user="{saMAccountName}" passwd="" userClone="admin"/></LDAPGroups>
  8. Entrez q pour quitter le programme.

    L'outil de configuration se ferme.

Exemple de configuration

  1. Utilisateur de la connexion : CN=********,OU=Role-Based,OU=North America,DC=ca,DC=com [nom unique complet du compte de service]
  2. Mot de passe de connexion : ******* [mot de passe du compte de service]
  3. Domaine de recherche : LDAP://******.ca.com/DC=ca,DC=com
  4. Chaîne de recherche : (sAMAccountName={0})
  5. Limite de recherche : sous-arborescence
  6. Liaison d'utilisateur : Activé
  7. Chiffrement : False
  8. Utilisateur de compte : {sAMAccountName}
  9. Clone par défaut de l'utilisateur de compte : user
  10. Groupe : All employees
  11. Krb5ConfigFile : krb5.conf