Publicité
Utilisez cette méthode pour effectuer une liaison avec le DN et le mot de passe du client
configuré.
• Utiliser les données d'identification de connexion
Utilisez cette méthode pour effectuer une liaison avec les données d'identification fournies au
cours du processus de connexion. L'ID utilisateur peut être fourni via un nom distinctif (DN), un
DN partiel, un nom de domaine qualifié complet ou via un ID utilisateur qui correspond à l'attribut
de recherche UID qui est configuré dans XClarity Controller. Si les données d'identification
présentées ressemblent à un nom distinctif partiel (par exemple, cn=joe), celui-ci sera apposé en
préfixe au nom distinctif racine configuré afin de tenter de créer un nom distinctif correspondant
à l'enregistrement de l'utilisateur. Si la tentative de liaison échoue, une tentative finale sera
effectuée en ajoutant le préfixe cn= aux données d'identification de connexion, puis en ajoutant
la chaîne résultante au nom distinctif racine configuré.
Si la liaison initiale est réussie, une recherche est lancée pour trouver une entrée sur le serveur LDAP
correspondant à l'utilisateur se connectant. Si nécessaire, une seconde tentative de liaison est
effectuée, cette fois-ci avec le DN extrait de l'enregistrement LDAP de l'utilisateur et le mot de passe
entré lors du processus de connexion. Si la seconde tentative de liaison échoue, la demande d'accès de
l'utilisateur est refusée. La seconde liaison n'est effectuée que lorsque les méthodes de liaison Aucune
donnée d'identification requise ou Utiliser des données d'identification configurées sont utilisées.
Nom distinctif racine
Il s'agit du nom distinctif (DN) de l'entrée racine de l'arborescence de répertoires sur le serveur
LDAP (par exemple, dn=mycompany,dc=com). Ce nom distinctif est utilisé comme objet de base
pour toutes les demandes de recherche.
Attribut de recherche UID
Lorsque la méthode de liaison est définie sur Aucune donnée d'identification requise ou Utiliser
des données d'identification configurées, la liaison initiale vers le serveur LDAP est suivie d'une
demande de recherche qui extrait des informations spécifiques sur l'utilisateur, y compris son nom
distinctif, ses droits de connexion et son appartenance à un groupe. Cette demande de recherche
doit spécifier le nom d'attribut représentant les ID d'utilisateur sur ce serveur. Ce nom d'attribut est
configuré dans cette zone. Sur les serveurs Active Directory, le nom d'attribut est normalement
sAMAccountName. Sur les serveurs Novell eDirectory et OpenLDAP, le nom d'attribut est uid. Si
cette zone est laissée vide, la valeur par défaut est uid.
Filtre de groupe
La zone Filtre de groupe est utilisée pour l'authentification des groupes. L'authentification de
groupe est tentée une fois que la vérification des données d'identification de l'utilisateur a été
réalisée avec succès. Si l'authentification de groupe échoue, la tentative de connexion de
l'utilisateur est refusée. Lorsque le filtre de groupe est configuré, il est utilisé pour spécifier à quels
groupes XClarity Controller appartient. Cela signifie que l'utilisateur doit appartenir au moins à l'un
des groupes configurés pour que l'authentification de groupe réussisse. Si la zone Filtre de groupe
est laissée vide, l'authentification de groupe réussit automatiquement. Si le filtre de groupe est
configuré, le système vérifie si au moins un groupe de la liste correspond à l'un des groupes
auxquels l'utilisateur appartient. S'il n'y a pas de groupe concordant, l'authentification de
l'utilisateur échoue et l'accès est refusé. Si au moins une concordance est trouvée, l'authentification
de groupe réussit.
Les comparaisons sont sensibles à la casse. Le filtre est limité à 511 caractères et peut comprendre
un ou plusieurs noms de groupe. Le signe deux-points (:) doit être utilisé pour délimiter plusieurs
noms de groupes. Les espaces de début et de fin sont ignorés. Tous les autres espaces sont traités
comme faisant partie du nom du groupe.
Remarque : Le caractère générique (*) n'est plus traité comme un caractère générique. Le concept
de caractère générique n'est plus utilisé en raison des risques qui peuvent affecter la sécurité. Un
.
Chapitre 3
Configuration de XClarity Controller
27
Publicité
