ONYX - 9.0 - Authentification LDAP
Différence entre versions
De MappingDoc
(Page créée avec « =Configuration d'un serveur Mapping ONYX avec un annuaire LDAP= Ce document décrit la configuration à mettre en oeuvre afin d'activer l'authentification LDAP sur un serv... ») |
|||
| Ligne 3 : | Ligne 3 : | ||
==Pré-requis== | ==Pré-requis== | ||
| − | - | + | - Serveur Apache version 2.4 |
| + | |||
| + | - Le module apache '''mod_ldap''' doit être installé et activé | ||
| + | : Exemple : <code>yum install mod_ldap</code> (sur Centos ou Rhel) | ||
| + | |||
| + | - Un annuaire LDAP (Active Directory, OpenLdap...) doit être accessible du serveur Mapping et sa configuration connue : | ||
| + | : - Adresse IP ou DNS du serveur primaire | ||
| + | : - Utilisateur ayant accès à l'annuaire (bind) | ||
==Principe== | ==Principe== | ||
| − | La configuration se | + | La configuration LDAP de Mapping doit se faire en priorité du côté serveur Web Apache afin de garantir une authentification sécurisée. |
| + | |||
| + | Bien qu'il soit également possible de configurer le LDAP côté Mapping il n'est pas recommandé de mettre en oeuvre ce type de configuration avec ONYX. | ||
| + | |||
| + | ==Configuration LDAP == | ||
| + | |||
| + | ===Modification du fichier httpd.conf=== | ||
| + | # Si ce n'est pas déjà le cas, simplifier la configuration "Mapping" de ce fichier comme suit : | ||
| + | #:- Supprimer le noeud <code><Directory /xxxxx/xxxxx/MapHTTPServer/cgi-bin></code> (le noeud xml complet avec tout son contenu et la balise de fin <code></Directory></code>) | ||
| + | #:- Supprimer <code>AllowOverride all</code> | ||
| + | #:- Supprimer <code>Order allow,deny</code> | ||
| + | #:- Supprimer <code>Allow from all</code> | ||
| + | # Ajouter les instructions d'authentification LDAP | ||
| + | #:- '''AuthType Basic''' | ||
| + | #:- '''AuthName Identification''' | ||
| + | #:- '''AuthBasicProvider ldap''' : activation de l'authentification LDAP | ||
| + | #:- '''AuthLDAPBindDN''' : DN complet de l'utilisateur utilisé pour accéder à l'annuaire LDAP en lecture | ||
| + | #:- '''AuthLDAPBindPassword''' : mot de passe de cet utilisateur | ||
| + | #:- '''AuthLDAPURL''' : URL du serveur LDAP, emplacement racine des utilisateurs et filtre de recherche | ||
| + | #:- '''LDAPReferrals off''' : Désactivation des redirections vers les serveurs LDAP alternatifs | ||
| + | #:- '''Require valid-user''' : Permet de laisser passer uniquement les utilisateurs pouvant s'authentifier | ||
| + | #: Pour plus d'information, une documentation détaillée sur l'authentification LDAP sous Apache est disponible à l'emplacement suivant : https://httpd.apache.org/docs/current/fr/mod/mod_authnz_ldap.html<br><br> | ||
| + | # Supprimer (ou renommer) le fichier <code>MapHTTPServer/.htaccess</code> dans l'arborescence Mapping | ||
| + | |||
| − | == | + | ===Exemple de configuration dans le fichier httpd.conf=== |
#BEGIN_MAPPING_v9.0xxxxx | #BEGIN_MAPPING_v9.0xxxxx | ||
| Ligne 20 : | Ligne 50 : | ||
AuthType Basic | AuthType Basic | ||
AuthName Identification | AuthName Identification | ||
| − | AuthBasicProvider ldap | + | '''AuthBasicProvider ldap''' |
| − | AuthLDAPBindDN "CN= | + | '''AuthLDAPBindDN "CN=Jacques Dewael, OU=Current, OU=Mapping, DC=mapping400, DC=local"''' |
| − | AuthLDAPBindPassword " | + | '''AuthLDAPBindPassword "a54G$2!="''' |
| − | AuthLDAPURL "ldap://192.168.1.5/dc=mapping,dc=local?sAMAccountName?sub?(objectClass=person)" | + | '''AuthLDAPURL "ldap://192.168.1.5/dc=mapping,dc=local?sAMAccountName?sub?(objectClass=person)"''' |
| − | LDAPReferrals Off | + | '''LDAPReferrals Off''' |
Require valid-user | Require valid-user | ||
Options None | Options None | ||
| Ligne 30 : | Ligne 60 : | ||
</VirtualHost> | </VirtualHost> | ||
#END_MAPPING_v9.0.xxxxx | #END_MAPPING_v9.0.xxxxx | ||
| + | |||
| + | |||
| + | ===Remarques=== | ||
| + | - Pour des raisons de compatibilité avec l'interface du Workflow Mapping, il n'est pas possible à ce jour de se connecter avec le "userPrincipalName" (user@domain.xxx). | ||
Version du 18 septembre 2019 à 14:33
Sommaire
Configuration d'un serveur Mapping ONYX avec un annuaire LDAP
Ce document décrit la configuration à mettre en oeuvre afin d'activer l'authentification LDAP sur un serveur Mapping ONYX.
Pré-requis
- Serveur Apache version 2.4
- Le module apache mod_ldap doit être installé et activé
- Exemple :
yum install mod_ldap(sur Centos ou Rhel)
- Un annuaire LDAP (Active Directory, OpenLdap...) doit être accessible du serveur Mapping et sa configuration connue :
- - Adresse IP ou DNS du serveur primaire
- - Utilisateur ayant accès à l'annuaire (bind)
Principe
La configuration LDAP de Mapping doit se faire en priorité du côté serveur Web Apache afin de garantir une authentification sécurisée.
Bien qu'il soit également possible de configurer le LDAP côté Mapping il n'est pas recommandé de mettre en oeuvre ce type de configuration avec ONYX.
Configuration LDAP
Modification du fichier httpd.conf
- Si ce n'est pas déjà le cas, simplifier la configuration "Mapping" de ce fichier comme suit :
- - Supprimer le noeud
<Directory /xxxxx/xxxxx/MapHTTPServer/cgi-bin>(le noeud xml complet avec tout son contenu et la balise de fin</Directory>) - - Supprimer
AllowOverride all - - Supprimer
Order allow,deny - - Supprimer
Allow from all
- - Supprimer le noeud
- Ajouter les instructions d'authentification LDAP
- - AuthType Basic
- - AuthName Identification
- - AuthBasicProvider ldap : activation de l'authentification LDAP
- - AuthLDAPBindDN : DN complet de l'utilisateur utilisé pour accéder à l'annuaire LDAP en lecture
- - AuthLDAPBindPassword : mot de passe de cet utilisateur
- - AuthLDAPURL : URL du serveur LDAP, emplacement racine des utilisateurs et filtre de recherche
- - LDAPReferrals off : Désactivation des redirections vers les serveurs LDAP alternatifs
- - Require valid-user : Permet de laisser passer uniquement les utilisateurs pouvant s'authentifier
- Pour plus d'information, une documentation détaillée sur l'authentification LDAP sous Apache est disponible à l'emplacement suivant : https://httpd.apache.org/docs/current/fr/mod/mod_authnz_ldap.html
- Supprimer (ou renommer) le fichier
MapHTTPServer/.htaccessdans l'arborescence Mapping
Exemple de configuration dans le fichier httpd.conf
#BEGIN_MAPPING_v9.0xxxxx
#DO NOT MODIFY THIS BLOCK. It will be automatically updated.
Listen 8002
<VirtualHost *:8002>
ServerName 127.0.0.1
DocumentRoot "C:/MAPPING/M-ProcessingServer/MapHTTPServer"
ScriptAlias /cgi-bin/ "C:/MAPPING/M-ProcessingServer/MapHTTPServer/cgi-bin/"
<Directory "C:/MAPPING/M-ProcessingServer/MapHTTPServer">
AuthType Basic
AuthName Identification
AuthBasicProvider ldap
AuthLDAPBindDN "CN=Jacques Dewael, OU=Current, OU=Mapping, DC=mapping400, DC=local"
AuthLDAPBindPassword "a54G$2!="
AuthLDAPURL "ldap://192.168.1.5/dc=mapping,dc=local?sAMAccountName?sub?(objectClass=person)"
LDAPReferrals Off
Require valid-user
Options None
</Directory>
</VirtualHost>
#END_MAPPING_v9.0.xxxxx
Remarques
- Pour des raisons de compatibilité avec l'interface du Workflow Mapping, il n'est pas possible à ce jour de se connecter avec le "userPrincipalName" (user@domain.xxx).
