-
Titre
Comment configurer l'authentification LDAP -
Description
Cet article décrit comment configurer la fonction d'authentification LDAP sur les appliances Kace SMA et SDA. -
Cause
Des comptes utilisateurs peuvent être créés et gérés sur l'appareil. Les utilisateurs qui accèdent à la Console administrateur et à la Console utilisateur à l'aide de ces comptes sont considérés comme authentifiés localement.Les types de comptes d'utilisateurs authentifiés localement incluent :- Comptes d'utilisateurs au niveau du système. Comptes permettant aux utilisateurs de se connecter à la Console d'administration système pour gérer les paramètres de l'appliance, tels que le nom d'hôte de l'appliance et les paramètres réseau. Les comptes utilisateurs au niveau système incluent le compte administrateur par défaut de l'appliance. Ces comptes permettent également d'accéder aux composants au niveau de l'organisation (admiui) et à la User Console.
- Comptes d'utilisateurs de l'organisation.Les comptes qui permettent aux utilisateurs de se connecter au niveau Organisation de la Console administrateur (Console administrateur) pour gérer les composants spécifiques à l'organisation. Ces composants peuvent inclure l'inventaire, les ressources, la distribution, la scénarisation, la sécurité, le centre de service et la console utilisateur, selon le rôle de l'utilisateur.
-
Résolution
*REMARQUE* Veuillez vous référer à la page du manuel K1000 Admin Guide ou chercher dans nos autres Articles de KCS pour plus d'informations sur la configuration et le dépannage de l'authentification LDAP et des étiquettes LDAP.
Première étape : Collecte d'informations à partir du serveur LDAP
1) Les informations suivantes sont nécessaires à partir du serveur LDAP pour configurer l'authentification LDAP sur l'appliance KACEa) Nom d'hôte du serveur ou adresse IP du serveur LDAP. Pour les LDAPs, utilisez ldaps:// Le Nom du serveur Server ou L'adresse IP.b) Numéro de port LDAP par défaut 389, le numéro de port LDAP (sécurisé) est 636.c) Recherche Base DN - L'emplacement de départ de l'arbre LDAPd) Filtre LDAP - C'est la requête qui filtre les utilisateurs de votre environnement de domaine.e) login et mot de passe LDAP qui a les permissions d'interroger l'annuaire*REMARQUE* Dans Active Directory, chaque utilisateur a ce privilège par défaut, il n'est donc pas nécessaire qu'il s'agisse d'un compte administratif ; cependant, nous recommandons un compte administratif pour les tests.
Deuxième étape : Configurer un filtre LDAP
1) Accédez à la page Authentification de l'utilisateur dans l'interface d'administration du K1000.
a) Dans la K1000: http://k1000/adminui -> Paramètres -> Authentification utilisateur
b) Dans la K2000: http://k1000/adminui -> Paramètres et maintenance -> Panneau de configuration -> Authentification utilisateur -> Authentification serveur LDAP externe2) Activez l'authentification LDAP et cliquez sur 'NEW' pour créer un nouveau filtre.3) Configurez le filtre LDAP avec un nom, des informations de serveur LDAP, un port, un DN de base, un filtre de recherche LDAP, un nom de connexion (nom d'utilisateur du domaine), un mot de passe et un rôle que vous souhaitez que ces utilisateurs obtiennent lorsque leur compte est créé dans K1 soit en important, soit en se connectant pour la première fois.a) Référence ci-dessous pour des exemples de filtres LDAP pour cibler une OU ou un groupe de sécurité.4) Vérifier que les rôles d'utilisateur assignés à chaque filtre sont appropriés pour les utilisateurs ciblés. Le rôle utilisateur peut être modifié manuellement après l'importation du compte utilisateur, et il ne sera pas modifié à moins que ce compte utilisateur ne soit supprimé et réimporté.
*REMARQUE* Si le K1000 utilise des Orgs, des filtres LDAP doivent être créés dans chaque Org.
Troisième étape : Configurer l'importation LDAP
L'importation d'utilisateur LDAP est utilisée pour importer tous les utilisateurs ciblés dans le filtre LDAP dans votre appareil K1000. Il n'est pas nécessaire que les utilisateurs soient importés sur le K1000 pour qu'ils puissent s'authentifier, mais cela permet une gestion des utilisateurs avant le déploiement.
1) Dans Authentification utilisateur, après la création du filtre LDAP -> cliquez sur la cloche à gauche du filtre LDAP.2) La plupart des attributs peuvent être laissés tels quels. -> Cliquez sur Suivant.3) Voici ce qui devrait être mis par défaut dans les Attributs User/LDAP :a) UID LDAP : ObjectGUIDb) Nom d'utilisateur : SamAccountNamec) Nom complet : Nom d'affichaged) Courriel : email4) Choisissez le Rôle pour l'importation utilisateur.
*REMARQUE* Le rôle de l'importation peut être défini indépendamment du rôle par défaut de ce filtre LDAP. La différence est que lorsque l'import utilisateur est exécuté, il applique ce rôle, ou si l'utilisateur se connecte sans être importé, le compte se verra attribuer le rôle dans le filtre LDAP.
1) Étiquettes LDAP : Il est généralement préférable de désélectionner les étiquettes dans l'importation, à moins qu'elles n'aient un but explicite. En général, il est préférable de créer les étiquettes LDAP à partir de zéro. Pour plus d'informations sur LDAP Labels, veuillez vous référer au guide de l'administrateur K1000 et à cet article: KCS Article 134040.2) Cliquez sur Suivant.3) Examinez la liste des utilisateurs et des attributs qui doivent être importés et enregistrez/planifiez cette importation LDAP, ou cliquez sur le bouton Importer maintenant.
Troisième étape : Test du filtre LDAP
1) Une fois le filtre créé, cliquez sur LDAP Browser (Navigateur LDAP) pour vérifier qu'il peut se connecter au serveur LDAP et voir correctement les utilisateurs filtrés.2) Pour voir tester le filtre LDAP contre un seul utilisateur, changez la variable (KBOX_USER) à un utilisateur spécifique Par exemple : (samaccountname=Gerald)a) Expérimenter avec différentes bases de recherche et différents filtres de recherche. Si le filtre peut retourner les résultats ici, il fonctionnera dans l'authentification. Si le filtre LDAP ne peut pas retourner les résultats, il ne fonctionnera pas non plus.3) Une fois qu'il est vérifié que le filtre LDAP fonctionne, veuillez remplacer le nom d'utilisateur dans le filtre de recherche par KBOX_USER avant de l'enregistrer. KBOX_USER est une variable qui est remplacée lorsque vous vous authentifiez. Par exemple : (samaccountname=KBOX_USER)
*REMARQUE* Veillez à supprimer toutes les sources d'authentification LDAP qui ne sont pas utilisées ou à indiquer une adresse IP de serveur LDAP valide si elles ne sont pas utilisées.Exemples de filtres LDAP :
*REMARQUE* Il existe deux façons différentes de cibler les utilisateurs avec un filtre LDAP pour l'authentification : un filtre qui cible un groupe de sécurité ou un filtre qui cible une OU.
Filtre de groupe de sécurité LDAP : Un filtre LDAP qui cible un groupe de sécurité utilise le nom distinctif de ce groupe pour la recherche avancée et le sommet de l'arborescence du domaine pour le DN de base. Il n'y a pas de limite au nombre d'utilisateurs qui peuvent être ciblés par ce filtre. Il peut être un peu plus lourd à configurer si les utilisateurs du domaine ne sont pas organisés en groupes de sécurité, mais ce filtre permet une administrabilité maximale de vos utilisateurs.
Filtre LDAP OU : Un filtre LDAP qui cible un OU utilise le DN de base de cet OU avec un filtre de recherche de base. Les filtres LDAP qui ciblent une OU sont limités à 1000 utilisateurs.
1) Pour authentifier les utilisateurs par OU, utilisez ce format :
Recherche de Base DN : OU=Support,OU=Kace,DC=Corp,DC=Kace,DC=com
Filtre de recherche : samaccountname=KBOX_USER2) Pour authentifier les utilisateurs par groupe de sécurité, utilisez ce format :
Recherche Base DN : CN=Kace,CN=com
Filtre de recherche : (&(memberOf=CN=CN=Miami Office,OU=KACEGroups,DC=Copr,DC=Kace,DC=com)(samaccountname=KBOX_USER))3) Voici un exemple d'un filtre qui cible un groupe de sécurité appelé Ventes, mais exclut les comptes inactifs :
Recherche Base DN : CN=Kace,CN=com
Filtre de recherche : (&( !(msExchUserAccountControl=2)))(&(memberOf=CN=Western,OU=Sales,DC=Copr,DC=Kace,DC=com)(samaccountname=KBOX_USER))))4) Il s'agit d'un exemple de filtre qui n'inclut que les comptes actifs dans un groupe appelé ventes (notez qu'il peut y avoir une différence) :
Recherche Base DN : CN=Kace,CN=com
Filtre de recherche : (&((msExchUserAccountControl=0)))(&(memberOf=CN=Western,OU=Sales,DC=Copr,DC=Kace,DC=com)(samaccountname=KBOX_USER)))5) Voici à quoi pourrait ressembler un filtre dans un répertoire électronique Novell :
Recherche Base DN : CN=Kace,CN=com
Filtre de recherche : (&(cn=KBOX_USER)(groupMembership=cn=GROUPNAME,ou=IT,o=Acme))Scénarios de dépannage :1) Plusieurs utilisateurs sont verrouillés :a) Le compte de référence utilisé dans l'authentification a échoué trop souvent parce que le mot de passe a été mal saisi dans une des sources d'authentification. Corrigez le mot de passe et déverrouillez le compte.2) Une seule personne dans toute l'entreprise peut se connecter :a) Il est probable que le filtre de recherche n'est pas réglé sur (samaccountname=KBOX_USER).b) Il peut y avoir plusieurs sources d'authentification et une seule d'entre elles est correcte.c) Le compte de référence (champ " LDAP Login ") qui a été utilisé n'a des permissions que sur certains OU.3) Seul le compte administrateur peut se connectera) L'appliance KACE locale dispose d'un compte administrateur (user=admin) réservé au contournement de l'authentification LDAP en cas de rupture d'authentification. Assurez-vous que le mot de passe de ce compte est connu et gardé en sécurité.4) La connexion est très lentea) Au moins une des sources d'authentification échoue et attend le délai d'attente avant de commettre une erreur. Typiquement, il s'agit de l'une des sources d'authentification OEM par défaut et qui pointe vers un serveur LDAP inexistant. Ceci devrait être supprimé avec tous les autres filtres LDAP qui ne sont pas utilisés.5) Les utilisateurs promus dans mon groupe AD "Admin" qui est affecté à un filtre LDAP pour le rôle d'administrateur de l'appliance KACE restent connectés et se connectent comme "Utilisateurs".a) Une fois qu'un rôle est attribué à un compte dans l'appliance KACE (ce qui se produit lors de la première connexion ou importation), il ne sera pas modifié indépendamment des paramètres du filtre LDAP. Le rôle doit être modifié manuellement pour cet utilisateur afin de refléter le changement sur l'appareil KACE.6) Les administrateurs qui ont été rétrogradés dans mon groupe AD "User" se connectent toujours comme les administrateurs de l'appliance KACE.a) Il s'agit du même scénario que ci-dessus. Ils peuvent toujours s'authentifier via le filtre LDAP défini pour ce rôle utilisateur, mais leur rôle ne change pas dynamiquement dans l'appliance KACE.7) Mes résultats de recherche pendant le test sont positifs mais retournent 0 lignes.a) Cela se produit avec la Base de recherche ou le compte LDAP Correct Login est incorrect. Essayez un administrateur ou une autre base de recherche.8) L'information memberOf contient un astérisque de sorte qu'elle ne fonctionne pas lorsque je fais une recherche dessus. Par exemple, membreDe=CN=Ventes,OU=*Listes de distribution,DC=société,DC=company,DC=coma) D'après Syntaxe du filtre de recherche LDAP de Microsoft, Les caractères spéciaux auront besoin d'un'escape special characters' pour être utilisés : Par exemple, memberOf=CN=CN=ALL - CDN Sales,OU=\2aListes de distribution,DC=company,DC=comRessources externes :
https://www.novell.com/communities/coolsolutions/cool_tools/ldap-export-tool/Syntaxe du filtre de recherche LDAP
https://msdn.microsoft.com/en-us/library/aa746475(v=vs.85).aspx
Utilisation de Ldp.exe pour trouver des données dans l'Active Directory
Notions de base de LDAP Query
https://technet.microsoft.com/en-us/library/aa996205(v=exchg.65).aspx
LDAP Exporter
https://www.novell.com/communities/coolsolutions/cool_tools/ldap-export-tool/