IBM BladeCenter Guide D'utilisation page 50

40
Module de gestion avancée IBM - Guide d'utilisation
L'astérisque (*) n'est pas traité comme un caractère générique car le
concept de caractère générique a été supprimé pour des raisons de
sécurité. Un nom de groupe peut être indiqué sous la forme d'un nom
de domaine complet ou uniquement en spécifiant le nom de la société.
Par exemple, un groupe dont le nom de domaine est
cn=adminGroup,dc=mycompany,dc=com peut être indiqué en utilisant
le nom de domaine réel ou adminGroup.
Group Search Attribute
Cette zone est utilisée par l'algorithme de recherche pour rechercher les
informations d'appartenance à un groupe d'un utilisateur spécifique.
Lorsque le nom du filtre de groupe est configuré, la liste des groupes
auxquels l'utilisateur appartient doit être extraite du serveur LDAP.
Cette opération est nécessaire pour effectuer l'authentification des
groupes. Pour extraire cette liste, le filtre de recherche envoyé au
serveur doit indiquer le nom d'attribut associé à des groupes. Cette
zone indique ce nom d'attribut.
Dans un environnement Active Directory ou Novell eDirectory,
l'attribut de recherche des groupes indique le nom d'attribut qui
identifie les groupes auxquels l'utilisateur appartient. Dans Active
Directory, il s'agit généralement de memberOf et de groupMembership
dans Novell eDirectory. Dans un environnement comportant un serveur
OpenLDAP, les utilisateurs sont généralement affectés à des groupes
dont l'entrée objectClass correspond à PosixGroup. Dans ce contexte,
ce paramètre indique le nom d'attribut qui identifie les membres d'un
groupe PosixGroup spécifique ; Il s'agit généralement de memberUid.
Si cette zone reste vide, le nom d'attribut du filtre correspond par
défaut à memberOf.
Login Permission Attribute
Lorsqu'un utilisateur parvient à s'authentifier via un serveur LDAP, ses
droits de connexion doivent être extraits. Pour extraire ces droits, le
filtre de recherche envoyé au serveur doit indiquer le nom d'attribut
associé aux droits de connexion. Cette zone indique ce nom d'attribut.
Cette zone ne doit pas rester vide. Sinon, les droits utilisateur ne
peuvent pas être extraits. Sans droits vérifiés, la tentative de connexion
échoue. Cette procédure est différente de celle des versions antérieures,
où l'accès était accordé en attribuant les droits en lecture seule par
défaut à l'utilisateur dont les droits n'avaient pas pu être vérifiés.
La chaîne de mot clé «IBMRBSPermissions=» est recherchée dans la
valeur d'attribut renvoyée par le serveur LDAP. Ce mot clé doit être
immédiatement suivi d'une chaîne de bits entrée sous la forme de 64
zéros ou 1 consécutifs. Chaque bit représente un ensemble de fonctions
spécifique. Les bits sont numérotés en fonction de leur position. Le bit
le plus à gauche correspond à la position de bit 0. La valeur 1 d'une
position active la fonction correspondante. La valeur 0 désactive cette
fonction. La chaîne «IBMRBSPermissions=010000000000» est un
exemple valide.
Notez que le mot clé «IBMRBSPermissions=» est utilisé pour n'importe
quelle position dans la zone d'attribut. L'administrateur LDAP peut
ainsi réutiliser un attribut existant et éviter une extension du schéma
LDAP. Par ailleurs, l'attribut peut être utilisé pour sa fonction d'origine.
La chaîne de mot clé peut être ajoutée n'importe où. L'attribut que vous
utilisez doit activer une chaîne à format libre.