ONYX - 9.0 - Authentification LDAP

Différence entre versions

De MappingDoc
(Configuration d'un serveur Mapping ONYX avec un annuaire LDAP)
(Configuration Apache)
Ligne 35 : Ligne 35 :
 
#:- '''Require valid-user''' : Permet de laisser passer uniquement les utilisateurs pouvant s'authentifier
 
#:- '''Require valid-user''' : Permet de laisser passer uniquement les utilisateurs pouvant s'authentifier
 
#: Pour plus d'information, une documentation détaillée sur l'authentification LDAP sous Apache est disponible à l'emplacement suivant : https://httpd.apache.org/docs/current/fr/mod/mod_authnz_ldap.html<br><br>
 
#: Pour plus d'information, une documentation détaillée sur l'authentification LDAP sous Apache est disponible à l'emplacement suivant : https://httpd.apache.org/docs/current/fr/mod/mod_authnz_ldap.html<br><br>
# Supprimer (ou renommer) le fichier <code>MapHTTPServer/.htaccess</code> dans l'arborescence Mapping
+
# Supprimer (ou renommer) le fichier <code>MapHTTPServer/.htaccess</code> dans l'arborescence Mapping ''(/apps/mapping/MapHTTPServer/.htaccess ou c:\Mapping\M-Processing Server\MapHTTPServer\.htaccess)''
  
  

Version du 24 septembre 2019 à 12:34

Configuration d'un serveur Mapping ONYX avec un annuaire LDAP

Ce document décrit la configuration à mettre en oeuvre afin d'activer l'authentification LDAP sur un serveur Mapping ONYX.

Ce mode d'authentification permet aux utilisateurs de se connecter à l'interface Web du serveur Mapping ONYX en utilisant le même identifiant et le même mot de passe que sur Windows ou sur les autres applications qu'il utilise au quotidien.

Pré-requis

- Serveur Apache version 2.4

- Le module apache mod_ldap doit être installé et activé

Exemple : yum install mod_ldap (sur Centos ou Redhat)

- Un annuaire LDAP (Active Directory, OpenLdap...) doit être accessible du serveur Mapping et sa configuration connue :

- Adresse IP ou DNS du serveur
- Utilisateur ayant accès à l'annuaire (bind)

Principe

La configuration LDAP de Mapping doit se faire en priorité du côté serveur Web Apache afin de garantir une authentification sécurisée.

Configuration Apache

Modification du fichier httpd.conf

  1. Si ce n'est pas déjà le cas, simplifier la configuration "Mapping" de ce fichier comme suit :
    - Supprimer le noeud <Directory /xxxxx/xxxxx/MapHTTPServer/cgi-bin> (le noeud xml complet avec tout son contenu et la balise de fin </Directory>)
    - Supprimer AllowOverride all
    - Supprimer Order allow,deny
    - Supprimer Allow from all
  2. Ajouter les instructions d'authentification LDAP
    - AuthType Basic
    - AuthName Identification
    - AuthBasicProvider ldap : activation de l'authentification LDAP
    - AuthLDAPBindDN : DN complet de l'utilisateur utilisé pour accéder à l'annuaire LDAP en lecture
    - AuthLDAPBindPassword : mot de passe de cet utilisateur
    - AuthLDAPURL : URL du serveur LDAP, emplacement racine des utilisateurs et filtre de recherche
    - LDAPReferrals off : Désactivation des redirections vers les serveurs LDAP alternatifs
    - Require valid-user : Permet de laisser passer uniquement les utilisateurs pouvant s'authentifier
    Pour plus d'information, une documentation détaillée sur l'authentification LDAP sous Apache est disponible à l'emplacement suivant : https://httpd.apache.org/docs/current/fr/mod/mod_authnz_ldap.html

  3. Supprimer (ou renommer) le fichier MapHTTPServer/.htaccess dans l'arborescence Mapping (/apps/mapping/MapHTTPServer/.htaccess ou c:\Mapping\M-Processing Server\MapHTTPServer\.htaccess)


Exemple de configuration dans le fichier httpd.conf

#BEGIN_MAPPING_v9.0xxxxx
#DO NOT MODIFY THIS BLOCK. It will be automatically updated.
Listen 8002
<VirtualHost *:8002>
 	ServerName 127.0.0.1
	DocumentRoot "C:/MAPPING/M-ProcessingServer/MapHTTPServer"
	ScriptAlias /cgi-bin/ "C:/MAPPING/M-ProcessingServer/MapHTTPServer/cgi-bin/"
	<Directory "C:/MAPPING/M-ProcessingServer/MapHTTPServer">
              AuthType Basic
              AuthName Identification
              AuthBasicProvider ldap
              AuthLDAPBindDN "CN=Jacques Dewael, OU=Current, OU=Mapping, DC=mapping400, DC=local"
              AuthLDAPBindPassword "a54G$2!="
              AuthLDAPURL "ldap://192.168.1.5/dc=mapping,dc=local?sAMAccountName?sub?(objectClass=person)"
              LDAPReferrals Off
              Require valid-user
              Options None
	</Directory>
</VirtualHost>
#END_MAPPING_v9.0.xxxxx


Remarques - Pour des raisons de compatibilité avec l'interface du Workflow Mapping, il n'est pas possible à ce jour de se connecter avec le "userPrincipalName" (user@domain.xxx). Cette restriction sera levée dans une version ultérieure.

Impacts sur la configuration Mapping

L'utilisateur "administrateur" du serveur Mapping est spécifié dans le fichier de configuration "mapping.conf", via le paramètre "USER_ADMIN". Par défaut, sa valeur est "mapadmin".

Cela implique donc de (au choix) :

- Créer un utilisateur "mapadmin" dans l'annuaire ldap
- Modifier la valeur du paramètre "USER_ADMIN" afin d'y renseigner le nom de login d'un utilisateur de l'annuaire ldap déjà existant ou créé pour l'occasion en respectant les normes de nommage.