Publicité
l'utilisateur est refusée. Lorsque le filtre de groupe est configuré, il est utilisé pour spécifier à quels
groupes XClarity Controller appartient. Cela signifie que l'utilisateur doit appartenir au moins à l'un
des groupes configurés pour que l'authentification de groupe réussisse. Si la zone Filtre de groupe
est laissée vide, l'authentification de groupe réussit automatiquement. Si le filtre de groupe est
configuré, le système vérifie si au moins un groupe de la liste correspond à l'un des groupes
auxquels l'utilisateur appartient. S'il n'y a pas de groupe concordant, l'authentification de
l'utilisateur échoue et l'accès est refusé. Si au moins une concordance est trouvée, l'authentification
de groupe réussit.
Les comparaisons sont sensibles à la casse. Le filtre est limité à 511 caractères et peut comprendre
un ou plusieurs noms de groupe. Le signe deux-points (:) doit être utilisé pour délimiter plusieurs
noms de groupes. Les espaces de début et de fin sont ignorés. Tous les autres espaces sont traités
comme faisant partie du nom du groupe.
Remarque : Le caractère générique (*) n'est plus traité comme un caractère générique. Le concept
de caractère générique n'est plus utilisé en raison des risques qui peuvent affecter la sécurité. Un
nom de groupe peut être spécifié en utilisant un nom distinctif complet ou seulement la portion cn.
Par exemple, un groupe dont le nom distinctif est cn=adminGroup, dc=mycompany, dc=com peut
être spécifié en utilisant ce nom distinctif ou adminGroup.
Attribut de recherche d'appartenance à un groupe
Le champ Attribut de recherche de groupe indique le nom de l'attribut utilisé pour identifier les
groupes auxquels appartient un utilisateur. Sur les serveurs Active Directory, le nom de l'attribut est
généralement memberOf. Sur les serveurs Novell eDirectory, le nom de l'attribut est
groupMembership. Sur les serveurs OpenLDAP, les utilisateurs sont généralement affectés à des
groupes dont objectClass est égal à PosixGroup. Dans ce contexte, cette zone spécifie le nom
d'attribut utilisé pour identifier les membres d'un groupe PosixGroup particulier. Ce nom d'attribut
est memberUid. Si cette zone est laissée vide, le nom d'attribut du filtre correspond par défaut à
memberOf.
Attribut d'autorisation de connexion
Lorsqu'un utilisateur s'authentifie avec succès à travers un serveur LDAP, les droits de connexion
de l'utilisateur doivent être récupérés. Pour récupérer les droits de connexion, le filtre de recherche
envoyé au serveur doit indiquer le nom d'attribut associé aux droits de connexion. Le champ
Attribut d'autorisation de connexion indique le nom d'attribut. Si vous utilisez le serveur LDAP
pour l'authentification et l'autorisation, mais que ce champ est laissé vide, l'utilisateur se voit refuser
l'accès.
La valeur d'attribut renvoyée par les recherches du serveur LDAP doit être une chaîne de bits saisie
sous la forme de 13 « 0 » ou « 1 » consécutifs, ou une chaîne de bits sous la forme de 13 « 0 » ou
« 1 » consécutifs au total. Chaque bit représente un ensemble de fonctions. Les bits sont numérotés
selon leur position. Le bit le plus à gauche est la position de bit 0 et le bit le plus à droite est la
position de bit 12. Une valeur de 1 à la position d'un bit active la fonction associée à cette position
de bit. Si une position de bit a la valeur 0, la fonction associée à cette position de bit est désactivée.
La chaîne 0100000000000 est un exemple valide, qui est utilisé pour permettre de le placer dans
n'importe quel champ. L'attribut utilisé permet une chaîne au format libre. Lorsque l'attribut est
récupéré avec succès, la valeur renvoyée par le serveur LDAP est interprétée conformément à
l'information du tableau suivant.
Tableau 1. Bits d'autorisation
Tableau à trois colonnes contenant des explications sur les positions de bit.
28
XClarity Controller 3 Guide d'utilisation
Publicité
