Paramètres LDAP (Lightweight Directory Access Protocol) avancés

Cette page permet de configurer les paramètres LDAP (Lightweight Directory Access Protocol) lorsque les utilisateurs et les groupes se trouvent dans un annuaire LDAP externe.

Pour visualiser cette page de la console d'administration, cliquez sur Sécurité > Registre d'utilisateurs > LDAP Paramètres LDAP avancés.

Les valeurs par défaut pour tous les filtres d'utilisateurs et relatifs au groupe sont déjà indiquées dans les zones appropriées. Vous pouvez modifier ces valeurs en fonction de vos besoins. Ces valeurs par défaut dépendent du type de serveur LDAP sélectionné dans le panneau Paramètres LDAP. Si ce type est modifié (par exemple de Netscape en Secureway) les filtres par défaut sont automatiquement modifiés. Si les valeurs des filtres par défaut sont modifiées, le type du serveur LDAP devient Personnalisé pour indiquer que des filtres personnalisés sont utilisés. Lorsque la sécurité est activée et que certaines de ces propriétés sont modifiées, ouvrez la fenêtre Sécurité globale et cliquez sur Valider ou OK pour valider les modifications.

Onglet Configuration

Filtre d'utilisateurs
Indique le filtre utilisateur LDAP qui recherche des utilisateurs dans le registre.

Cette option est généralement utilisée pour l'affectation de rôles de sécurité aux utilisateurs. Elle précise sur quelle propriété doit porter la recherche des utilisateurs dans le service d'annuaire. Par exemple, pour rechercher des utilisateurs à partir de leur ID utilisateur, indiquez (&(uid=%v)(objectclass=inetOrgPerson)). Pour plus d'informations sur cette syntaxe, reportez-vous à la documentation du service d'annuaire LDAP.

Type de données : Chaîne
Filtre de groupes
Indique le filtre de groupe LDAP qui recherche des groupes dans le registre d'utilisateurs.

Cette option est généralement utilisée pour l'affectation de rôles de sécurité aux groupes. Elle précise sur quelle propriété doit porter la recherche des groupes dans le service d'annuaire. Pour plus d'informations sur cette syntaxe, reportez-vous à la documentation du service d'annuaire LDAP.

Type de données : Chaîne
Mappe d'ID utilisateur
Indique le filtre LDAP qui mappe le nom abrégé d'un utilisateur vers une entrée LDAP.

Indique l'information représentant les utilisateurs lorsque ces derniers s'affichent. Par exemple, pour afficher des entrées du type object class = inetOrgPerson par ID, indiquez inetOrgPerson:uid. Cette zone accepte plusieurs paires objectclass:property séparées par des points-virgules (;).

Type de données : Chaîne
Mappe d'ID de groupe
Indique le filtre LDAP qui mappe le nom abrégé d'un groupe vers une entrée LDAP.

Indique l'information représentant les groupes lorsque ces derniers apparaissent. Par exemple, pour afficher les groupes par leur nom, indiquez *:cn. Dans cet exemple, le caractère générique * permet de lancer une recherche sur toute classe d'objets. Cette zone accepte plusieurs paires objectclass:property séparées par des points-virgules (;).

Type de données : Chaîne
Mappe d'ID de membre de groupe
Indique le filtre LDAP qui identifie l'utilisateur en fonction des relations de groupe.

Pour les types d'annuaire SecureWay, Netscape et Domino, cette zone accepte plusieurs paires classeobjet:propriété délimitées par un point-virgule (;). Dans la paire classeobjet:propriété, l'élément classeobjet est identique à celui défini dans Filtres de groupe et la propriété correspond à l'attribut member. Lorsque l'élément classeobjet ne correspond pas à celui défini dans Filtres de groupe, l'autorisation peut échouer si des groupes sont mappés à des rôles de sécurité. Pour plus d'informations sur cette syntaxe, reportez-vous à la documentation du service d'annuaire LDAP.

Pour IBM Directory Server, iPlanet Directory Server et Active Directory, cette zone accepte plusieurs paires (attributgroupe:attributmembre) délimitées par un point-virgule (;). Ces paires sont utilisées pour rechercher les appartenances d'un utilisateur à des groupes en énumérant tous les attributs de groupe d'un utilisateur donné. Par exemple, la paire d'attributs (membrede:membre) est utilisée parActive Directory et (ibm-touslesgroupes:membre) est utilisée par IBM Directory Server. Cette zone indique quelle propriété d'une classe d'objet détient la liste des membres appartenant au groupe représenté par cette classe. Pour les serveurs d'annuaire pris en charge, voir "Services d'annuaire pris en charge".

Type de données : Chaîne
Mode de mappage des certificats
Indique si les certificats X.509 doivent être mappés dans un annuaire LDAP par nom distinctif exact (EXACT_DN) ou par filtre de certificats (CERTIFICATE_FILTER). Choisissez CERTIFICATE_FILTER si vous souhaitez utiliser le filtre de certificats spécifié pour le mappage.
Type de données : Chaîne
Filtre de certificats
Indique s'il est nécessaire d'utiliser le filtre de propriété de mappage de certificat afin d'indiquer le filtre LDAP, qui est utilisé pour mapper les attributs dans le certificat client vers les entrées du registre LDAP.

Pour activer cette zone, cliquez sur CERTIFICATE_FILTER pour le mappage des certificats. Si plusieurs entrées LDAP correspondent à la spécification du filtre au cours de l'exécution, l'authentification échoue car la correspondance est alors considérée comme ambiguë. La syntaxe ou structure de ce filtre est la suivante : LDAP attribute=${attribut de certificat client} (par exemple, uid=${SubjectCN}). La partie gauche de la spécification du filtre est un attribut LDAP qui dépend du schéma d'utilisation pour lequel votre serveur LDAP est configuré. La partie droite de la spécification du filtre est l'un des attributs publics du certificat de votre client. La partie de droite doit commencer par le signe dollar ($) et une accolade ouvrante ({) et se terminer par une accolade fermante (}). Vous pouvez utiliser les valeurs d'attribut de certificat suivantes dans la partie droite de la spécification du filtre. L'utilisation des minuscules et des majuscules dans les chaînes est importante.

  • ${UniqueKey}
  • ${PublicKey}
  • ${PublicKey}
  • ${Issuer}
  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectCN}
  • ${Version}

Type de données : Chaîne

Informations connexes

Boutons de la console d'administration
Caractéristiques de la page de la console d'administration
Paramètres de portée de la console d'administration
Paramètres de filtrage de la console d'administration
Paramètres des préférences de la console d'administration
Paramètres LDAP (Lightweight Directory Access Protocol)