ONYX - 9.0
Authentification LDAP
Sommaire
Configuration d'un serveur Mapping ONYX avec un annuaire LDAP
Ce document décrit la configuration à mettre en oeuvre afin d'activer l'authentification LDAP sur un serveur Mapping ONYX.
Ce mode d'authentification permet aux utilisateurs de se connecter à l'interface Web du serveur Mapping ONYX en utilisant le même identifiant et le même mot de passe que sur Windows ou sur les autres applications qu'il utilise au quotidien.
Pré-requis
- Serveur Apache version 2.4
- Le module apache mod_ldap doit être installé et activé
- Exemple :
yum install mod_ldap(sur Centos ou Redhat)
- Un annuaire LDAP (Active Directory, OpenLdap...) doit être accessible du serveur Mapping et sa configuration connue :
- - Adresse IP ou DNS du serveur
- - Utilisateur ayant accès à l'annuaire (bind)
Principe
La configuration LDAP de Mapping doit se faire en priorité du côté serveur Web Apache afin de garantir une authentification sécurisée.
Configuration Apache
Modification du fichier httpd.conf
- Si ce n'est pas déjà le cas, simplifier la configuration "Mapping" de ce fichier comme suit :
- - Supprimer le noeud
<Directory /xxxxx/xxxxx/MapHTTPServer/cgi-bin>(le noeud xml complet avec tout son contenu et la balise de fin</Directory>) - - Supprimer
AllowOverride all - - Supprimer
Order allow,deny - - Supprimer
Allow from all
- - Supprimer le noeud
- Ajouter les instructions d'authentification LDAP
- - AuthType Basic
- - AuthName Identification
- - AuthBasicProvider ldap : activation de l'authentification LDAP
- - AuthLDAPBindDN : DN complet de l'utilisateur utilisé pour accéder à l'annuaire LDAP en lecture
- - AuthLDAPBindPassword : mot de passe de cet utilisateur
- - AuthLDAPURL : URL du serveur LDAP, emplacement racine des utilisateurs et filtre de recherche
- - LDAPReferrals off : Désactivation des redirections vers les serveurs LDAP alternatifs
- - Require valid-user : Permet de laisser passer uniquement les utilisateurs pouvant s'authentifier
- Pour plus d'information, une documentation détaillée sur l'authentification LDAP sous Apache est disponible à l'emplacement suivant : https://httpd.apache.org/docs/current/fr/mod/mod_authnz_ldap.html
- Supprimer (ou renommer) le fichier
MapHTTPServer/.htaccessdans l'arborescence Mapping
- Exemple : /apps/mapping/MapHTTPServer/.htaccess ou c:\Mapping\M-Processing Server\MapHTTPServer\.htaccess
Exemple de configuration dans le fichier httpd.conf
#BEGIN_MAPPING_v9.0xxxxx
#DO NOT MODIFY THIS BLOCK. It will be automatically updated.
Listen 8002
<VirtualHost *:8002>
ServerName 127.0.0.1
DocumentRoot "C:/MAPPING/M-ProcessingServer/MapHTTPServer"
ScriptAlias /cgi-bin/ "C:/MAPPING/M-ProcessingServer/MapHTTPServer/cgi-bin/"
<Directory "C:/MAPPING/M-ProcessingServer/MapHTTPServer">
AuthType Basic
AuthName Identification
AuthBasicProvider ldap
AuthLDAPBindDN "CN=Jacques Dewael, OU=Current, OU=Mapping, DC=mapping400, DC=local"
AuthLDAPBindPassword "a54G$2!="
AuthLDAPURL "ldap://192.168.1.5/dc=mapping,dc=local?sAMAccountName?sub?(objectClass=person)"
LDAPReferrals Off
Require valid-user
Options None
</Directory>
</VirtualHost>
#END_MAPPING_v9.0.xxxxx
Remarques
- Pour des raisons de compatibilité avec l'interface du Workflow Mapping, il n'est pas possible à ce jour de se connecter avec le "userPrincipalName" (user@domain.xxx). Cette restriction sera levée dans une version ultérieure.
Impacts sur la configuration Mapping
L'utilisateur "administrateur" du serveur Mapping est spécifié dans le fichier de configuration "mapping.conf", via le paramètre "USER_ADMIN". Par défaut, sa valeur est "mapadmin".
Cela implique donc de (au choix) :
- - Créer un utilisateur "mapadmin" dans l'annuaire ldap
- - Modifier la valeur du paramètre "USER_ADMIN" afin d'y renseigner le nom de login d'un utilisateur de l'annuaire ldap déjà existant ou créé pour l'occasion en respectant les normes de nommage.
