Paramètres avancés du registre d'utilisateurs LDAP (Lightweight Directory Access Protocol)

Cette page permet de configurer les paramètres du registre d'utilisateurs LDAP lorsque des utilisateurs et des groupes se trouvent dans un annuaire LDAP externe.

Pour visualiser la page d'administration :
  1. Cliquez sur Sécurité > Sécurité globale.
  2. Sous Référentiel du compte d'utilisateur, cliquez sur Registre LDAP autonome puis sur Configurer.
  3. Sous Propriétés supplémentaires, cliquez sur Paramètres avancés de registres d'utilisateurs LDAP (Lightweight Directory Access Protocol).

Les valeurs par défaut pour tous les filtres d'utilisateurs et relatifs au groupe sont déjà indiquées dans les zones appropriées. Vous pouvez modifier ces valeurs en fonction de vos besoins. Ces valeurs par défaut dépendent du type de serveur LDAP sélectionné dans le panneau de paramètres Registre LDAP autonome. Si ce type est modifié, par exemple de Netscape en Secureway, les filtres par défaut sont automatiquement modifiés. Si les valeurs des filtres par défaut sont modifiées, le type du serveur LDAP devient Personnalisé pour indiquer que des filtres personnalisés sont utilisés. Lorsque la sécurité est activée et que ces propriétés sont modifiées, accédez au panneau Sécurité globale et cliquez sur Valider ou OK pour valider les modifications.

Filtre d'utilisateurs

Indique le filtre d'utilisateurs LDAP qui recherche des utilisateurs dans le registre.

Cette option est généralement utilisée pour les affectations de rôle de sécurité aux utilisateurs et précise sur quelle propriété doit porter la recherche des utilisateurs dans le service d'annuaire. Par exemple, pour rechercher des utilisateurs en fonction de leur ID, indiquez (&(uid=%v)(objectclass=inetOrgPerson)). Pour plus d'informations sur cette syntaxe, reportez-vous à la documentation du service d'annuaire LDAP.

Type de données : Chaîne
Filtre de groupes

Indique le filtre de groupes LDAP qui recherche des groupes dans le registre d'utilisateurs.

Cette option est généralement utilisée pour les affectations de rôle de sécurité aux groupes et précise sur quelle propriété doit porter la recherche des groupes dans le service d'annuaire. Pour plus d'informations sur cette syntaxe, reportez-vous à la documentation du service d'annuaire LDAP.

Type de données : Chaîne
Mappe d'ID utilisateur

Indique le filtre LDAP qui mappe le nom abrégé d'un utilisateur vers une entrée LDAP.

Indique les informations représentant les utilisateurs lorsque ces derniers s'affichent. Par exemple, pour afficher des entrées du type object class = inetOrgPerson par ID, indiquez inetOrgPerson:uid. Cette zone accepte plusieurs paires objectclass:property séparées par des points-virgules (;).

Type de données : Chaîne
Mappe d'ID de groupe

Indique le filtre LDAP qui mappe le nom abrégé d'un groupe vers une entrée LDAP.

Indique l'information représentant les groupes lorsque ces derniers apparaissent. Par exemple, pour afficher les groupes par leur nom, indiquez *:cn. Dans cet exemple, le caractère générique * permet de lancer une recherche sur toute classe d'objets. Cette zone accepte plusieurs paires objectclass:property, séparées par des points-virgules (;).

Type de données : Chaîne
Mappe d'ID membre de groupe

Indique le filtre LDAP qui identifie les relations entre les utilisateurs et les groupes.

Pour les types d'annuaire SecureWay et Domino, cette zone accepte plusieurs paires classeobjet:propriété délimitées par un point-virgule (;). Dans la paire objectclass:property, la valeur de la classe d'objets est identique à celle définie dans le filtre de groupe et la propriété correspond à l'attribut member. Si la valeur de la classe d'objets ne correspond pas à la classe d'objets du filtre de groupe, l'autorisation peut échouer si les groupes sont mappés à des rôles de sécurité. Pour plus d'informations sur cette syntaxe, reportez-vous à la documentation du service d'annuaire LDAP.

Pour IBM Directory Server, Sun ONE et Active Directory, cette zone accepte plusieurs paires attributgroupe:attributmembre délimitées par un point-virgule (;). Ces paires sont utilisées pour rechercher les appartenances d'un utilisateur à des groupes en énumérant tous les attributs de groupe d'un utilisateur donné. Par exemple, la paire d'attributs membrede:membre est utilisée par Active Directory et ibm-touslesgroupes:membre est utilisée par IBM Directory Server. Cette zone indique quelle propriété d'une classe d'objets détient la liste des membres appartenant au groupe représenté par cette classe. Pour les serveurs d'annuaire pris en charge, voir "Services d'annuaire pris en charge".

Type de données : Chaîne
Filtre utilisateur Kerberos

Spécifie la valeur du filtre utilisateur Kerberos. Cette valeur peut être modifiée lorsque Kerberos est actif et configuré comme l'une des méthodes d'authentification favorites.

Type de données : Chaîne
Mode de mappage des certificats

Indique si les certificats X.509 doivent être mappés dans un annuaire LDAP par nom distinctif exact (EXACT_DN) ou par filtre de certificats (CERTIFICATE_FILTER). Choisissez CERTIFICATE_FILTER si vous souhaitez utiliser le filtre de certificats spécifié pour le mappage.

Type de données : Chaîne
Filtre de certificats

Indique la propriété de mappage de certificat de filtre pour le filtre LDAP. Le filtre est utilisé pour mapper des attributs dans le certificat de client pour les entrées du registre LDAP.

Si plusieurs entrées LDAP correspondent à la spécification du filtre au cours de l'exécution, l'authentification échoue car la correspondance est alors considérée comme ambiguë. La syntaxe ou structure de ce filtre est : (&(uid=${SubjectCN})(objectclass=inetOrgPerson)). La partie gauche de la spécification de filtre est un attribut LDAP qui dépend du schéma que votre serveur LDAP doit utiliser. La partie droite de la spécification du filtre est l'un des attributs publics du certificat de votre client. La partie de droite doit commencer par le signe dollar ($) et une accolade ouvrante ({) et se terminer par une accolade fermante (}). Vous pouvez utiliser les valeurs d'attribut de certificat suivantes dans la partie droite de la spécification du filtre. L'utilisation des minuscules et des majuscules dans les chaînes est importante :
  • ${UniqueKey}
  • ${PublicKey}
  • ${IssuerDN}
  • ${Issuer<xx>}

    <xx> est remplacé par les caractères représentant un composant valide du nom distinctif de l'émetteur. Par exemple, vous devez utiliser ${IssuerCN} pour le nom commun de l'émetteur (Issuer Common Name).

  • ${NotAfter}
  • ${NotBefore}
  • ${SerialNumber}
  • ${SigAlgName}
  • ${SigAlgOID}
  • ${SigAlgParams}
  • ${SubjectDN}
  • ${Subject<xx>}

    où <xx> est remplacé par les caractères représentant un composant valide du nom distinctif du sujet. Par exemple, vous devez utiliser ${SubjectCN} pour le nom commun du sujet (Subject Common Name).

  • ${Version}
Type de données : Chaîne



Les liens marqués (en ligne) requièrent un accès à Internet.

Tâches associées
Référence associée
Paramètres de registre LDAP autonome


Nom du fichier : usec_advldap.html