Publicité
nom de groupe peut être spécifié en utilisant un nom distinctif complet ou seulement la portion cn.
Par exemple, un groupe dont le nom distinctif est cn=adminGroup, dc=mycompany, dc=com peut
être spécifié en utilisant ce nom distinctif ou adminGroup.
L'appartenance à un groupe imbriqué est prise en charge uniquement dans les environnements
Active Directory. Par exemple, si un utilisateur est membre de GroupA et GroupB, et que GroupA
est également membre de GroupC, l'utilisateur est considéré comme étant également membre de
GroupC. Les recherches imbriquées s'arrêtent lorsque 128 groupes ont été recherchés. Les
groupes d'un niveau sont recherchés avant les groupes appartenant à un niveau inférieur. Les
boucles ne sont pas détectées.
Attribut de recherche de groupe
Dans un environnement Active Directory ou Novell eDirectory, la zone Attribut de recherche de
groupe spécifie le nom d'attribut utilisé pour identifier les groupes auxquels un utilisateur
appartient. Dans un environnement Active Directory, le nom d'attribut est memberOf. Dans un
environnement eDirectory, le nom d'attribut est groupMembership. Dans un environnement de
serveur OpenLDAP, les utilisateurs sont généralement affectés aux groupes pour lesquels
objectClass correspond à PosixGroup. Dans ce contexte, cette zone spécifie le nom d'attribut
utilisé pour identifier les membres d'un groupe PosixGroup particulier. Ce nom d'attribut est
memberUid. Si cette zone est laissée vide, le nom d'attribut du filtre correspond par défaut à
memberOf.
Attribut d'autorisation de connexion
Lorsqu'un utilisateur s'authentifie avec succès à travers un serveur LDAP, les droits de connexion
de l'utilisateur doivent être récupérés. Pour récupérer les droits de connexion, le filtre de recherche
envoyé au serveur doit indiquer le nom d'attribut associé aux droits de connexion. Le champ
Attribut d'autorisation de connexion indique le nom d'attribut. Si vous utilisez le serveur LDAP
pour l'authentification et l'autorisation, mais que ce champ est laissé vide, l'utilisateur se voit refuser
l'accès.
La valeur d'attribut renvoyée par le serveur LDAP recherche la chaîne de mot clé
IBMRBSPermissions=. Cette chaîne de mot clé doit être immédiatement suivie d'une chaîne de bits
correspondant à 12 occurrences consécutives du chiffre 0 ou du chiffre 1. Chaque bit représente un
ensemble de fonctions. Les bits sont numérotés selon leur position. Le bit le plus à gauche
correspond à la position de bit 0 et le bit le plus à droite à la position de bit 11. La valeur 1 placé à
une position de bit particulière active la fonction qui est associée à cette position de bit. Si une
position de bit a la valeur 0, la fonction associée à cette position de bit est désactivée.
La chaîne IBMRBSPermissions=010000000000 est un exemple valide. Le mot clé
IBMRBSPermissions= est utilisé pour être placé à n'importe quel endroit dans cette zone. Ceci
permet à l'administrateur LDAP de réutiliser un attribut existant, évitant ainsi une extension du
schéma LDAP. Cela permet également d'utiliser l'attribut pour sa fonction initiale. Vous pouvez
ajouter la chaîne de mot clé n'importe où dans cette zone. L'attribut utilisé permet une chaîne au
format libre. Lorsque l'attribut est récupéré avec succès, la valeur renvoyée par le serveur LDAP est
interprétée conformément à l'information du tableau suivant.
Tableau 2. Bits d'autorisation
Tableau à trois colonnes contenant des explications sur les positions de bit.
28
XClarity Controller 2Guide d'utilisation
Publicité
