Si vous le souhaitez, vous pouvez utiliser un annuaire LDAP (Lightweight Directory Access Protocol) pour authentifier les utilisateurs sur votre système IBM® WebSphere DataPower XC10 Appliance.
Avant de commencer
Vous devez disposer de droits d'accès d'administrateur du dispositif pour réaliser ces étapes.
Pourquoi et quand exécuter cette tâche
L'utilisation d'un serveur LDAP pour authentifier les utilisateurs est facultative.
Si vous décidez d'utiliser un serveur LDAP externe, vous devez établir une correspondance entre tous les utilisateurs de votre système IBM WebSphere DataPower XC10 Appliance et ceux de l'annuaire LDAP spécifié. L'attribut nom d'utilisateur est utilisé pour authentifier les utilisateurs du système IBM WebSphere DataPower XC10 Appliance dans l'annuaire LDAP. Les utilisateurs ne figurant pas dans l'annuaire LDAP ne peuvent pas être authentifiés.
Vous pouvez configurer votre serveur LDAP de manière qu'il utilise un port sécurisé. Le certificat SSL (Secure Sockets Layer) du serveur LDAP doit être délivré par une
autorité de certification (CA) publique certifiée qui se trouve déjà dans le fichier <JAVA_HOME>/jre/lib/security/cacerts. WebSphere DataPower XC10 Appliance ne permet pas d'utiliser des certificats auto-signés.
Procédure
- Accédez au panneau Paramètres. Procédez de l'une des manières suivantes :
- Dans la barre de menus située dans la partie supérieure de l'interface utilisateur de WebSphere DataPower XC10 Appliance, sélectionnez .
- Dans la page Bienvenue, cliquez sur le lien Personnaliser les paramètres dans la section Etape 1 : configurez l'appareil.
- Développez l'entrée Sécurité.
- Configurez votre dispositif pour authentifier les utilisateurs à l'aide d'un annuaire LDAP.
- Pour activer ce mécanisme, cochez la case en regard de l'option Activer l'authentification LDAP. Par défaut, la case Activer l'authentification LDAP n'est pas sélectionnée.
La sélection de cette case indique à WebSphere DataPower XC10 Appliance d'utiliser le serveur LDAP pour authentifier les utilisateurs lors de leur connexion.
- Entrez l'URL du fournisseur JNDI. Exemple pour un annuaire LDAP non SSL :
ldap://mycompany.com:389/
ou
ldap://mycompany.com/
Si aucun port n'est spécifié de manière explicite, le numéro de port
par défaut est 389. Exemple pour un annuaire LDAP SSL : ldaps://mycompany.com:636/
ou
ldaps://mycompany.com/
Si aucun port n'est spécifié de manière explicite, le numéro de port
par défaut est 636.
- Entrez le nom distinctif JNDI de base (utilisateurs). Exemple :
CN=users,DC=mycompany,DC=com
- Entrez le nom distinctif JNDI de base (groupes). Exemple :
DC=mycompany,DC=com
- Entrez le filtre de recherche (utilisateurs). Exemple :
(&(sAMAccountName={0})(objectcategory=user)) ou uid={0}
Remarque : L'ID utilisateur est incorporé dans l'espace réservé "{0}". "{0}" est remplacé
par l'ID utilisateur de connexion saisi dans l'écran de connexion.
- Entrez l'authentification de sécurité JNDI. Cette zone est facultative sauf si votre serveur LDAP n'autorise pas les requêtes LDAP anonymes. Exemple :
CN=Administrator,CN=users,DC=mycompany,DC=com
- Entrez le mot de passe. Cette zone correspondant aux données d'identification de sécurité JNDI
est facultative, sauf si votre serveur LDAP n'autorise pas les requêtes LDAP anonymes.
- Testez les paramètres d'authentification LDAP que vous avez définis. Vous pouvez tester les paramètres que vous avez définis pour configurer l'authentification avec le serveur LDAP. Cette section vous permet d'exécuter des requêtes LDAP afin de rechercher des utilisateurs ou des groupes.
- Cliquez sur Test des paramètres d'authentification LDAP pour développer cette
section.
- Pour tester un nom d'utilisateur, entrez un nom d'utilisateur dans la zone
Utilisateur LDAP, puis cliquez sur le bouton Test de requête LDAP. Exemple :
utilisateur_test@us.ibm.com
Si la requête aboutit, le message suivant s'affiche : Nom distinctif d'utilisateur LDAP trouvé : <informations utilisateur>. Si la requête échoue, un message d'erreur s'affiche.
- Pour tester un nom de groupe, entrez un nom de groupe dans la zone Groupe LDAP, puis
cliquez sur le bouton Test de requête LDAP associé. Exemple :
Groupe test
Si la requête aboutit, le message suivant s'affiche : Nom distinctif de groupe LDAP trouvé : <informations utilisateur>. Si la requête échoue, un message d'erreur s'affiche.
Résultats
Vous avez défini un annuaire LDAP pour authentifier les utilisateurs externes qui accèdent à l'
interface utilisateur.
Que faire ensuite
La maîtrise du contrôle d'accès des utilisateurs aux différentes zones de votre environnement constitue un élément important de votre solution de sécurité.
Pour plus d'informations sur la gestion des utilisateurs et des groupes et de leurs autorisations, reportez-vous à la rubrique
Gestion des utilisateurs et des groupes.