Configurer le LDAP de Kwartz

baseDN

Une des grandes forces de Kwartz est l’intégration de l’annuaire LDAP, sorte de base de données regroupant entre autre les utilisateurs du domaine, la liste des machines …

Ainsi vous pouvez très bien utiliser cet annuaire pour authentifier vos utilisateurs dans divers services compatibles LDAP (comme GRR, Claroline, Moodle, WordPress, phpBB, Roundcube etc.). A cela quelques avantages :

  • Un identifiant et un mot de passe unique pour toutes vos applications
  • La répercutions sur tous les services en cas de changement de mot de passe.
  • Récupération et interaction des données contenu dans l’annuaire (adresse mail, groupe d’appartenance …)
  • La possibilité ouverte d’installer par la suite un système de centralisation d’authentification (SSO) pour simplifier l’accessibilité aux utilisateurs qui n’auront plus qu’à se logguer une seule fois pour accéder à tous les services mis à leur disposition (mais c’est déjà un autre sujet)

L’utilisation du LDAP de Kwartz nécessite de connaître quelques paramètres important.

La Base DN est toujours sous la forme dc=domain,dc=local. Elle est composée par les éléments de l’identification de votre domaine Kwartz.

Dans Kwartz~Control (https://adresse-de-votre-serveur:9999; généralement en local : https://172.16.0.253:9999) rendez vous dans la section Réseaux/identification du serveur. Là dans le champs Réseau TCP/IP – Nom de domaine; vous trouverez les composants du DN du LDAP de Kwartz.

Base DN de Kwartz

Pour exemple; si Nom de domaine : domaine.fr on obtient le DN suivant: dc=domaine,dc=fr

Le port LDAP, il s’agit du port standard des annuaires LDAP à savoir le port 389.

Liaison anonyme : En l’état actuel des choses et pour des raisons évidentes de sécurité, seul IRIS technologies (Développeurs de Kwartz) possèdent les identifiants de l’administrateur LDAP. Administrateur qui est le seul habilité à modifier directement les entrées de l’annuaire LDAP, je vous laisse imaginer les dégâts si ce contrôle tombait en de mauvaises mains. Finalement la liason anonyme suffit à récupérer toutes les données nécessaire.

Version : Le LDAP de Kwartz est en version 3 mais doit être compatible avec une version 2 (a vérifier)

Pour aller plus loin

Les prochaines informations pourraient vous paraitre un peu obscure, elles ne sont pas essentielles mais permettent d’affiner et donc de sécuriser les accès au LDAP de Kwartz par les modules d’authentification des divers services liés ( GRR, WordPress, Rouncube …)

Le plus souvent, pour une identification simple des utilisateurs, affinez votre DN en ajoutant l’attribut ou=users. Votre DN devient alors ou=users,dc=domaine,dc=fr ( ! attention à la caste, la configuration du DN accepte rarement les majuscules !).

Si dans la configuration du module d’authentification, on vous propose un champs filtre, vous pouvez y inscrire objectClass=sambaSamAccount afin de ne limiter l’accès qu’aux comptes utilisateurs (winadmin compris mais exclusion des groupes). Pour exclure winadmin mettre objectClass=kwartzAccount à la place (Cette fois il est souvent primordial de respecter la caste).

Souvent on vous demande de renseigner le userDN ou BindUser et son password affilié. Il s’agit en fait de l’admin ldap. Laisser ces champs vides permet dans la plupart des cas d’établir une liaison anonyme.

Si vous voulez consulter un exemple de configuration de module d’authentification je ne saurais trop vous conseiller l’excellent article Authentification des utilisateurs Kwartz dans WordPress de ce même site !

You can leave a response, or trackback from your own site.

Leave a Reply