Table des Matières
Publicité
C
4 : F
'
HAPITRE
ONCTIONS D
ADMINISTRATION
Authentification et autorisation
Si votre unité IP-Reach est configurée de manière à permettre l'authentification à distance, le serveur
d'authentification externe est essentiellement utilisé dans un but d'authentification et non d'autorisation.
L'autorisation est déterminée par IP-Reach selon les groupes d'utilisateurs. I.e. une fois qu'un utilisateur donné
est autorisé à accéder au système IP-Reach en général (authentifié), l'autorisation spécifique de cet utilisateur
est déterminée par IP-Reach selon le groupe auquel appartient l'utilisateur.
Le serveur d'authentification externe peut contribuer à l'autorisation en informant IP-Reach au sujet du groupe
d'utilisateurs auquel appartient un utilisateur lorsque le serveur d'authentification approuve la requête de
connexion d'un utilisateur donné. Les sections Mise en application de l'authentification à distance LDAP et
Mise en application de l'authentification à distance RADIUS (dans la suite de ce manuel) expliquent ce
phénomène plus en détail.
L'organigramme suivant illustre les différentes étapes nécessaires :
A ccès
M ot de pa ssé
N O N
refusé
A utorisations
C ons ultation
déterm iné es pa r le
interne du g rou pe
gro up e d'utilisa te urs
d'utilis ate urs
interne
A utorisations
localis é d ans la
déterm iné es pa r le
O U I
gro up e d'utilisa te urs
bas e d e d on née s
interne
A utorisations
déterm iné es pa r
d'utilis ate urs intern e
« IN C O N N U »
Notez l'importance du groupe auquel appartient un utilisateur donné ainsi que la nécessité de configurer les
groupes appelés « UNKNOWN » (INCONNU) et « NONE » (AUCUN). Si le serveur d'authentification externe
renvoie un nom de groupe qui n'est pas reconnu par IP-Reach, les autorisations de l'utilisateur sont déterminées
par le groupe permanent appelé « UNKNOWN » (INCONNU). Si le serveur d'authentification externe ne
renvoie aucun nom de groupe, les permissions de l'utilisateur sont déterminées par le groupe permanent appelé
« NONE » (AUCUN).
Reportez-vous aux sections LDAP et RADIUS de ce chapitre pour savoir comment configurer votre serveur
d'authentification de manière à ce qu'il renvoie les informations relatives au groupe d'utilisateurs à IP-Reach
dans le cadre de sa réponse à une demande d'authentification.
C onn e xio n utilisateu r
avec nom d'utilisa te ur
/m ot d e p asse
d'utilis ate ur
dan s la bas e d e
O U I
correct ?
don né es
interne
O U I
A ccès
autoris é
G ro up e
d'utilis ate urs
d'utilis ate urs fo urni pa r
O U I
d'au the ntific atio n
interne
?
N O N
déterm iné es pa r
le grou pe
d'utilis ate urs intern e
N om
S erve ur
d'au the ntific atio n
N O N
e xte rn e co nfig uré
?
?
O U I
D em an de
d'au the ntific atio n
e xte rn e
N om
d'utilis ate ur
/m ot d e p asse
valable
?
O U I
A ccès
autoris é
N om
du gro up e
R épo ns e
d'au the ntific atio n
le se rve ur
e xte rn e
?
N O N
A utorisations
le grou pe
« A U C U N »
55
A ccès
N O N
refusé
A ccès
N O N
refusé
Publicité
Table des Matières
