ONYX - 9.0 - Authentification LDAP
Différence entre versions
(→Principe) |
(→Remarques) |
||
Ligne 60 : | Ligne 60 : | ||
− | + | '''Remarques''' | |
- Pour des raisons de compatibilité avec l'interface du Workflow Mapping, il n'est pas possible à ce jour de se connecter avec le "userPrincipalName" (user@domain.xxx). Cette restriction sera levée dans une version ultérieure. | - Pour des raisons de compatibilité avec l'interface du Workflow Mapping, il n'est pas possible à ce jour de se connecter avec le "userPrincipalName" (user@domain.xxx). Cette restriction sera levée dans une version ultérieure. | ||
Version du 24 septembre 2019 à 12:05
Sommaire
Configuration d'un serveur Mapping ONYX avec un annuaire LDAP
Ce document décrit la configuration à mettre en oeuvre afin d'activer l'authentification LDAP sur un serveur Mapping ONYX.
Pré-requis
- Serveur Apache version 2.4
- Le module apache mod_ldap doit être installé et activé
- Exemple :
yum install mod_ldap
(sur Centos ou Redhat)
- Un annuaire LDAP (Active Directory, OpenLdap...) doit être accessible du serveur Mapping et sa configuration connue :
- - Adresse IP ou DNS du serveur
- - Utilisateur ayant accès à l'annuaire (bind)
Principe
La configuration LDAP de Mapping doit se faire en priorité du côté serveur Web Apache afin de garantir une authentification sécurisée.
Configuration Apache
Modification du fichier httpd.conf
- Si ce n'est pas déjà le cas, simplifier la configuration "Mapping" de ce fichier comme suit :
- - Supprimer le noeud
<Directory /xxxxx/xxxxx/MapHTTPServer/cgi-bin>
(le noeud xml complet avec tout son contenu et la balise de fin</Directory>
) - - Supprimer
AllowOverride all
- - Supprimer
Order allow,deny
- - Supprimer
Allow from all
- - Supprimer le noeud
- Ajouter les instructions d'authentification LDAP
- - AuthType Basic
- - AuthName Identification
- - AuthBasicProvider ldap : activation de l'authentification LDAP
- - AuthLDAPBindDN : DN complet de l'utilisateur utilisé pour accéder à l'annuaire LDAP en lecture
- - AuthLDAPBindPassword : mot de passe de cet utilisateur
- - AuthLDAPURL : URL du serveur LDAP, emplacement racine des utilisateurs et filtre de recherche
- - LDAPReferrals off : Désactivation des redirections vers les serveurs LDAP alternatifs
- - Require valid-user : Permet de laisser passer uniquement les utilisateurs pouvant s'authentifier
- Pour plus d'information, une documentation détaillée sur l'authentification LDAP sous Apache est disponible à l'emplacement suivant : https://httpd.apache.org/docs/current/fr/mod/mod_authnz_ldap.html
- Supprimer (ou renommer) le fichier
MapHTTPServer/.htaccess
dans l'arborescence Mapping
Exemple de configuration dans le fichier httpd.conf
#BEGIN_MAPPING_v9.0xxxxx #DO NOT MODIFY THIS BLOCK. It will be automatically updated. Listen 8002 <VirtualHost *:8002> ServerName 127.0.0.1 DocumentRoot "C:/MAPPING/M-ProcessingServer/MapHTTPServer" ScriptAlias /cgi-bin/ "C:/MAPPING/M-ProcessingServer/MapHTTPServer/cgi-bin/" <Directory "C:/MAPPING/M-ProcessingServer/MapHTTPServer"> AuthType Basic AuthName Identification AuthBasicProvider ldap AuthLDAPBindDN "CN=Jacques Dewael, OU=Current, OU=Mapping, DC=mapping400, DC=local" AuthLDAPBindPassword "a54G$2!=" AuthLDAPURL "ldap://192.168.1.5/dc=mapping,dc=local?sAMAccountName?sub?(objectClass=person)" LDAPReferrals Off Require valid-user Options None </Directory> </VirtualHost> #END_MAPPING_v9.0.xxxxx
Remarques
- Pour des raisons de compatibilité avec l'interface du Workflow Mapping, il n'est pas possible à ce jour de se connecter avec le "userPrincipalName" (user@domain.xxx). Cette restriction sera levée dans une version ultérieure.
Impacts sur la configuration Mapping
L'utilisateur "administrateur" du serveur Mapping est spécifié dans le fichier de configuration "mapping.conf", via le paramètre "USER_ADMIN". Par défaut, sa valeur est "mapadmin".
Cela implique donc de (au choix) :
- - Créer un utilisateur "mapadmin" dans l'annuaire ldap
- - Modifier la valeur du paramètre "USER_ADMIN" afin d'y renseigner le nom de login d'un utilisateur de l'annuaire ldap déjà existant ou créé pour l'occasion en respectant les normes de nommage.