|
|
|
Utilisez l'outil de configuration d'authentification unique pour indiquer aux sources de données enregistrées d'utiliser le même schéma LDAP pour l'authentification des utilisateurs. Avec l'outil de configuration d'authentification unique vous pouvez définir des paramètres qui permettent au serveur CA de se connecter au serveur LDAP de façon sécurisée. Lorsque vous utilisez Digest-MD5 ou GSSAPI pour chiffrer la connexion au serveur LDAP, une opération de liaison unique a lieu (spécifiée par l'utilisateur).
Vous pouvez également associer des utilisateurs figurant dans le catalogue LDAP à des comptes d'utilisateurs prédéfinis ou personnalisés dans CA Performance Center.
Procédez comme suit:
Connectez-vous en tant qu'utilisateur root ou à l'aide de la commande sudo.
[répertoire_installation]/CA/PerformanceCenter
Vous êtes invité à sélectionner une option. Les options disponibles correspondent à des applications CA s'exécutant sur le serveur local.
Vous êtes invité à sélectionner une option.
Vous êtes invité à définir la priorité.
Le paramètre de priorité s'applique uniquement à CA Performance Center.
Se rapporte à des paramètres que seuls les administrateurs peuvent modifier. Ces paramètres sont appliqués à tous les autres produits CA enregistrés sur cette instance de CA Performance Center. Les paramètres de valeur distante sont utilisés uniquement s'il n'y a pas de valeur de substitution locale correspondante.
Se rapporte à des paramètres pouvant être modifiés pour tous les produits. La valeur de substitution locale a priorité sur la valeur distante et sur les paramètres par défaut.
Vous êtes invité à sélectionner une propriété à configurer.
Définit l'ID d'utilisateur utilisée par le serveur de connexion pour se connecter au serveur LDAP. Ce nom d'utilisateur LDAP est utilisé pour assurer la liaison avec le serveur. Un compte de service n'est généralement pas requis pour une connexion utilisant un mécanisme d'authentification, tel que GSSAPI.
Exemple : Si le serveur de connexion utilise un compte fixe, entrez le texte en respectant la syntaxe suivante :
CN=Utilisateur,cn=Utilisateurs,dc=domaine,dc=com
Vous pouvez également entrer la valeur suivante, car la connexion utilise un mécanisme d'authentification :
{0}
Les configurations complexes ont besoin du nom d'utilisateur principal pour identifier l'utilisateur. Entrez {0} et utilisez l'adresse électronique comme nom de domaine. Exemple :
{0}@domaine.com
Le serveur LDAP ne requiert généralement pas de nom unique complet pour une connexion chiffrée.
Remarque : Pour des raisons de sécurité, ne créez pas de compte statique pour l'utilisateur de la connexion. L'authentification LDAP vérifie uniquement le mot de passe lors de la liaison avec le serveur. Si vous utilisez un compte statique, tout utilisateur figurant dans l'arborescence LDAP pourra se connecter à l'aide d'un quelconque mot de passe.
Définit le mot de passe utilisé par le serveur de connexion pour se connecter au serveur LDAP.
Exemple : Si le serveur de connexion utilise un compte fixe, entrez un texte conforme à l'exemple suivant :
SomePassword
Vous pouvez également entrer la valeur suivante, car la connexion utilise un mécanisme d'authentification :
{1}
Indique le protocole LDAP, le serveur, le port et le domaine de recherche initial. Identifie également le point de départ de la recherche lorsque les informations d'identification du compte d'utilisateur sont vérifiées.
L'utilisation de SSL est indépendante du mécanisme d'authentification (simple, GSSAPI, ou DIGEST-MD5). Toutefois, si vous utilisez l'authentification simple (SASL), comme dans le cas où vous utilisez un compte de service, nous recommandons vivement d'activer SSL. Par opposition, avec un mécanisme d'authentification tel que GSSAPI ou DIGEST-MD5, SSL n'est pas essentiel.
Utilisez LDAPS pour sécuriser la connexion avec SSL. Le port par défaut pour LDAPS est 636.
Exemples :
Si Active Directory est configuré en tant que QASG.local, la chaîne du domaine de recherche est :
LDAPS://qasg.local:636/dc=qas,dc=local
Spécifie les critères utilisés pour localiser l'utilisateur correct dans l'annuaire. Fonctionne avec le paramètre Etendue de la recherche. Si seul un sous-ensemble d'utilisateurs LDAP est autorisé à se connecter, vous pouvez utiliser la chaîne de recherche pour rechercher plusieurs propriétés dans l'enregistrement. Ce paramètre peut prendre pour valeur tout critère de recherche LDAP valide.
Exemple :
(saMAccountName={0})
Spécifie les critères utilisés pour localiser l'enregistrement adéquat de l'utilisateur. Il est utilisé avec le paramètre Chaîne de recherche. Délimite la recherche effectuée par le serveur LDAP pour le compte d'utilisateur. Entrez l'une des valeurs ci-dessous.
Inclut le répertoire actuel dans la recherche. Limite la recherche au répertoire actuel, en excluant les objets des sous-répertoires.
Inclut tous les sous-répertoires dans la recherche. Recommandé pour la plupart des installations.
Limite la recherche à l'objet de base.
Indique s'il convient d'effectuer une étape d'authentification supplémentaire (liaison) à l'aide du nom unique et du mot de passe de l'utilisateur pour valider les informations d'identification fournies.
Valeur par défaut : Désactivé. Cette valeur est acceptable avec une connexion chiffrée.
Spécifie le mécanisme d'authentification à utiliser lors de la liaison au serveur LDAP.
Dans ce cas (c'est-à-dire, avec un mécanisme d'authentification), entrez GSSAPI ou DIGEST-MD5, en fonction des mécanismes de votre serveur LDAP.
Valeur par défaut : Simple.
Valeurs acceptées : Simple, GSSAPI, DIGEST-MD5.
Spécifie le compte par défaut de CA Performance Center vers lequel mapper des utilisateurs LDAP validés n'appartenant pas à un groupe. Fonctionne avec le paramètre Mot de passe du compte. Si un utilisateur valide ne correspond à aucune définition de groupe, l'utilisateur est connecté via l'ID d'utilisateur par défaut spécifié pour ce paramètre.
Pour permettre à tous les utilisateurs de se connecter avec leur propre nom d'utilisateur, entrez :
Remarque : Le paramètre Utilisateur de compte correspond au champ d'une entrée de répertoire de cet utilisateur. Généralement, la valeur correspond à votre filtre de recherche.
Définit le compte d'utilisateur à cloner si les utilisateurs LDAP validés appartiennent à un groupe non spécifié pour le paramètre Groupes.
Exemple : Entrez "utilisateur" si vous voulez attribuer des droits minimaux à ces utilisateurs.
Remarque : Un compte d'utilisateur est requis.
Permet de déterminer la gestion de compte par défaut des comptes d'utilisateurs ou groupes de comptes sélectionnés.
Exemple : Pour permettre à tous les membres d'un groupe de se connecter à l'aide d'un compte d'administrateur, entrez :
<LDAPGroups><Group searchTag="memberOf" searchString="CN=SEC_All Employees,CN=Users,DC=company,DC=local" user="{saMAccountName}" passwd="" userClone="admin"/></LDAPGroups>
L'outil de configuration se ferme.
Exemple de configuration
| Copyright © 2013 CA. Tous droits réservés. |
|