Utilisez l'outil de configuration de l'authentification unique pour indiquer aux sources de données enregistrées d'utiliser une connexion LDAPS (LDAP over SSL) pour l'authentification d'utilisateur sécurisée. Par défaut, le trafic LDAP est transmis sans garantie. Activez les connexions LDAPS en installant un certificat à partir d'une autorité de certification. Avec CA Single Sign-On, vous devez importer votre certificat dans le référentiel de clés approuvé Java.
Avec l'outil de configuration d'authentification unique vous pouvez définir des paramètres qui permettent au serveur CA de se connecter au serveur LDAP de façon sécurisée. Vous pouvez également associer des utilisateurs figurant dans le catalogue LDAP à des comptes d'utilisateurs prédéfinis ou personnalisés dans CA Performance Center.
Procédez comme suit:
Connectez-vous en tant qu'utilisateur root ou à l'aide de la commande sudo.
répertoire_installation/CA/PerformanceCenter
Vous êtes invité à sélectionner une option. Les options disponibles correspondent à des applications CA s'exécutant sur le serveur local.
Vous êtes invité à sélectionner une option.
Vous êtes invité à définir la priorité.
Le paramètre de priorité s'applique uniquement à CA Performance Center.
Se rapporte à des paramètres que seuls les administrateurs peuvent modifier. Ces paramètres sont appliqués à tous les autres produits CA enregistrés sur cette instance de CA Performance Center. Les paramètres de valeur distante sont utilisés uniquement s'il n'y a pas de valeur de substitution locale correspondante.
Se rapporte à des paramètres pouvant être modifiés pour tous les produits. La valeur de substitution locale a priorité sur la valeur distante et sur les paramètres par défaut.
Vous êtes invité à sélectionner une propriété à configurer.
Définit l'ID d'utilisateur utilisée par le serveur de connexion pour se connecter au serveur LDAP. Ce nom d'utilisateur LDAP est utilisé pour assurer la liaison avec le serveur. Un compte de service n'est généralement pas requis pour une connexion utilisant un mécanisme d'authentification, tel que GSSAPI.
Exemple : Si le serveur de connexion utilise un compte fixe, entrez le texte en respectant la syntaxe suivante :
CN=Utilisateur,cn=Utilisateurs,dc=domaine,dc=com
Vous pouvez également entrer la valeur suivante, car la connexion utilise un mécanisme d'authentification :
{0}
Les configurations complexes ont besoin du nom d'utilisateur principal pour identifier l'utilisateur. Entrez {0} et utilisez l'adresse électronique comme nom de domaine. Par exemple :
{0}@domaine.com
Le serveur LDAP ne requiert généralement pas de nom unique complet pour une connexion chiffrée.
Remarque : Pour des raisons de sécurité, ne créez pas de compte statique pour l'utilisateur de la connexion. L'authentification LDAP vérifie uniquement le mot de passe lors de la liaison avec le serveur. Si vous utilisez un compte statique, tout utilisateur figurant dans l'arborescence LDAP pourra se connecter à l'aide d'un quelconque mot de passe.
Définit le mot de passe utilisé par le serveur de connexion pour se connecter au serveur LDAP.
Exemple : Si le serveur de connexion utilise un compte fixe, entrez un texte conforme à l'exemple suivant :
SomePassword
Vous pouvez également entrer la valeur suivante, car la connexion utilise un mécanisme d'authentification :
{1}
Identifie le serveur LDAP et le port de connexion pour CA Single Sign-On. Identifie également l'emplacement de recherche des utilisateurs dans l'arborescence des répertoires lors de la vérification des informations d'identification des comptes d'utilisateur. Si vous n'indiquez aucun numéro de port après le serveur dans la chaîne, le port 389 est utilisé.
Utilisez le format suivant pour le domaine de recherche :
LDAPS://serveur_ldap:port/chemin_recherche
Remarque : Le chemin de recherche est obligatoire.
Pour établir une connexion SSL au serveur LDAP, utilisez le port 636 ou un autre port de connexion SSL pour votre serveur LDAP :
LDAPS://Serveur_LDAP:636/OU=Users,OU=North America,DC=ca,DC=com
Spécifie les critères utilisés pour localiser l'utilisateur correct dans l'annuaire. Fonctionne avec le paramètre Etendue de la recherche. Si seul un sous-ensemble d'utilisateurs LDAP est autorisé à se connecter, vous pouvez utiliser la chaîne de recherche pour rechercher plusieurs propriétés dans l'enregistrement. Ce paramètre peut prendre pour valeur tout critère de recherche LDAP valide.
Exemple :
(saMAccountName={0})
Spécifie les critères utilisés pour localiser l'enregistrement adéquat de l'utilisateur. Il est utilisé avec le paramètre Chaîne de recherche. Délimite la recherche effectuée par le serveur LDAP pour le compte d'utilisateur. Entrez l'une des valeurs ci-dessous.
Inclut le répertoire actuel dans la recherche. Limite la recherche au répertoire actuel, en excluant les objets des sous-répertoires.
Inclut tous les sous-répertoires dans la recherche. Recommandé pour la plupart des installations.
Limite la recherche à l'objet de base.
Indique s'il convient d'effectuer une étape d'authentification supplémentaire (liaison) à l'aide du nom unique et du mot de passe de l'utilisateur pour valider les informations d'identification fournies.
Valeur par défaut : Désactivé. Cette valeur est acceptable avec une connexion chiffrée.
(Facultatif) Spécifie le mécanisme d'authentification à utiliser lors de la liaison au serveur LDAP.
La valeur par défaut (authentification simple) est prise en charge par le protocole LDAPS.
Spécifie le compte par défaut de CA Performance Center vers lequel mapper des utilisateurs LDAP validés n'appartenant pas à un groupe. Fonctionne avec le paramètre Mot de passe du compte. Si un utilisateur valide ne correspond à aucune définition de groupe, l'utilisateur est connecté via l'ID d'utilisateur par défaut spécifié pour ce paramètre.
Pour permettre à tous les utilisateurs de se connecter avec leur propre nom d'utilisateur, entrez :
Remarque : Le paramètre Utilisateur de compte correspond au champ d'une entrée de répertoire de cet utilisateur. Généralement, la valeur correspond à votre filtre de recherche.
Définit le compte d'utilisateur à cloner si les utilisateurs LDAP validés appartiennent à un groupe non spécifié pour le paramètre Groupes.
Exemple : Entrez "utilisateur" si vous voulez attribuer des droits minimaux à ces utilisateurs.
Remarque : Un compte d'utilisateur est requis.
Permet de déterminer la gestion de compte par défaut des comptes d'utilisateurs ou groupes de comptes sélectionnés.
Exemple : Pour permettre à tous les membres d'un groupe de se connecter à l'aide d'un compte d'administrateur, entrez :
<LDAPGroups><Group searchTag="memberOf" searchString="CN=SEC_All Employees,CN=Users,DC=company,DC=local" user="{saMAccountName}" passwd="" userClone="admin"/></LDAPGroups>
L'outil de configuration se ferme.
Exemple de configuration
|
Copyright © 2014 CA.
Tous droits réservés.
|
|