Pour ouvrir cette page, effectuer un clic sur l'onglet Utilisateurs de la boîte de dialogue Configurer le poste serveur.
Cet onglet permet de définir le mode d'authentification (contrôle du profil et du mot de passe) et de déclarer les utilisateurs autorisés à se connecter au poste serveur.
Cet onglet contient les deux pages suivantes :
- Profils, présentant la liste des profils utilisateurs définis,
- Mode d'authentification, affichant les paramètres relatifs au mode d'authentification.
Page "Profils"
La liste
Utilisateurs
Liste des utilisateurs inscrits pour le serveur.
La liste présente, pour chaque utilisateur :
- le nom,
- la désignation,
- le contexte, c'est-à-dire le chemin d'accès, sur le serveur, aux objets issus de la compilation des parties "serveur" des programmes Visual/Web.
Les fonctionnalités de gestion (création, modification, suppression) sont accessibles par le menu contextuel associé à la liste.
Page "Mode d'authentification"
Les informations saisies
Mode d'authentification
Liste des modes d'authentification implémentés par le Middleware Adélia.
Adelia
L'authentification est faite exclusivement par le Middleware Adélia.
Authentification LDAP simple
Après avoir vérifié que l'utilisateur est déclaré, l'authentification est déléguée à un serveur LDAP, en mode simple.
Dans ce mode le profil et le mot de passe circulent en clair sur le réseau entre le serveur Middleware et le serveur LDAP.
Authentification LDAP simple (SSL)
Après avoir vérifié que l'utilisateur est déclaré, l'authentification est déléguée à un serveur LDAP, en mode SSL.
- Dans ce mode le profil et le mot de passe circulent de façon cryptée sur le réseau entre le serveur Middleware et le serveur LDAP.
- Il faut installer le certificat SSL correspondant au serveur LDAP dans le magasin des certificats Windows ou Java du serveur Middleware.
Pour ce faire :
- En Windows : Faire un double clic sur le certificat, puis suivre l'assistant.
- En Java : Le magasin "truststore" est spécifié par la propriété système "the javax.net.ssl.trustStore". Les magasins par défaut recherchés sont <java-home>/lib/security/jssecacerts, puis <java-home>/lib/security/cacerts dans le cas où la propriété n'est pas renseignée.
Commande d'importation du certificat : keytool -import -alias <MyCert> -file<MyCertFile.crt> -keystore <myTruststore>
Paramètre de la JVM : java -Djavax.net.ssl.trustStore=<MyTruststore>
LDAP négocié (Windows)
Après avoir vérifié que l'utilisateur est déclaré, l'authentification est déléguée à un serveur LDAP, en mode négocié Windows (le contexte de sécurité est négocié entre Kerberos et NTLM). Ce mode ne peut être utilisé qu'entre un serveur Middleware Windows et un serveur LDAP Active Directory.
Dans ce mode, l'authentification est réalisée de façon sécurisée entre le serveur Middleware et le serveur LDAP.
Attention : Si le compte Invité est activé au niveau des utilisateurs de l'Active Directory, un utilisateur non inscrit au niveau de l'Active Directory - mais inscrit dans la liste des utilisateurs Middleware - verra son authentification acceptée sans contrôle de mot de passe.
Recherche d'utilisateur LDAP
Après avoir vérifié que l'utilisateur est déclaré (si la case Utilisateur défaut LDAP n'est pas cochée), l'authentification est déléguée à un serveur LDAP , en mode de recherche d'utilisateur.
Dans ce mode, une première connexion est faite au serveur LDAP avec un profil générique spécifié en paramètre, pour effectuer une recherche de l'utilisateur LDAP correspondant au profil Adélia, en fonction des paramètres de recherche spécifiés.
Si l'utilisateur LDAP est trouvé, une seconde authentification est faite avec le mot de passe de l'utilisateur.
Dans ce mode, les profils et les mots de passe circulent en clair sur le réseau entre le serveur Middleware et le serveur LDAP.
Recherche d'utilisateur LDAP (SSL)
Après avoir vérifié que l'utilisateur est déclaré (si la case Utilisateur défaut LDAP n'est pas cochée), l'authentification est déléguée à un serveur LDAP , en mode de recherche d'utilisateur.
Dans ce mode, une première connexion est faite au serveur LDAP avec un profil générique spécifié en paramètre, pour effectuer une recherche de l'utilisateur LDAP correspondant au profil Adélia, en fonction des paramètres de recherche spécifiés.
Si l'utilisateur LDAP est trouvé, une seconde authentification est faite avec le mot de passe de l'utilisateur.
- Dans ce mode, le profil et le mot de passe circulent de façon cryptée sur le réseau entre le serveur Middleware et le serveur LDAP.
- Il faut installer le certificat SSL correspondant au serveur LDAP dans le magasin des certificats Windows du serveur Middleware.
Authentification unique (SSO)
Après avoir vérifié que l'utilisateur est déclaré (si la case Utilisateur défaut LDAP n'est pas cochée), l'authentification est faite en mode Kerberos en utilisant directement les identifiants de la session Windows du client.
Dans ce mode, le mot de passe n'est pas utilisé. Le client doit explicitement demander une connexion négociée en indiquant le profil "*SSO".
Dans ce mode, seules les connexions SSO sont autorisées. Si un profil/mot de passe est soumis au démon, la connexion sera refusée (profil/mot de passe invalide).
Serveur LDAP
Nom d'hôte du serveur LDAP à utiliser.
Port
Numéro du port du serveur LDAP à utiliser (généralement 389 en mode simple ou négocié Windows, et 636 en mode SSL).
Serveur de secours
Nom d'hôte du serveur LDAP à utiliser en secours, en cas de défaillance du serveur principal.
Paramètre optionnel.
Port
Numéro du port du serveur LDAP de secours à utiliser.
Paramètre optionnel.
Domaine par défaut
Nom du domaine Windows par défaut des utilisateurs.
S'il est renseigné et qu'aucun domaine n'a été indiqué pour l'utilisateur (pas de "\" dans le nom de l'utilisateur), ce dernier sera utilisé pour qualifier l'utilisateur.
Ce paramètre n'est pas disponible en mode "Recherche d'utilisateur". Dans ce cas, il est obligatoire de renseigner le filtre DN.
Cette notion de domaine est utilisée lorsque les utilisateurs correspondent aux comptes Windows gérés par Active Directory.
Masque DN
Masque pour la recherche de l'utilisateur LDAP. Le nom de l'utilisateur est substitué dans le filtre, soit sur le caractère de substitution % (pour compatibilité ascendante, seule la première occurrence est substituée), soit sur les occurrences de la chaîne {0}.
Le masque DN n'est pris en compte que si le champ Domaine par défaut n'est pas renseigné. En mode "Recherche d'utilisateur", ce champ contient le filtre de recherche.
Par exemple :
"cn=% ou=myGroup" (% sera substitué par l'utilisateur).
"(|(sAMAccountName={0})(mail={0}))"
Profil LDAP
Profil de connexion générique pour l'exécution des recherches d'utilisateur. Il est possible de ne pas renseigner ce paramètre si le serveur supporte les connexions anonymes.
Ce champ n'est actif que si le mode d'authentification est "Recherche d'utilisateur".
Mot de passe
Mot de passe du profil de connexion générique pour l'exécution des recherches d'utilisateur. Il est possible de ne pas renseigner ce paramètre si le serveur supporte les connexions anonymes.
Ce champ n'est actif que si le mode d'authentification est "Recherche d'utilisateur".
Base utilisateur
Répertoire de base pour la recherche de l'utilisateur.
Ce champ n'est actif que si le mode d'authentification est "Recherche d'utilisateur".
Attribut utilisateur
Nom de l'attribut contenant l'identifiant de l'utilisateur dans les résultats de la recherche.
Ce champ n'est actif que si le mode d'authentification est "Recherche d'utilisateur".
Portée de recherche
Portée de la recherche.
Valeurs possibles :
BASE |
Limite la recherche à l'objet de base. |
ONE |
Limite la recherche à l'objet de base et à ses fils immédiats. |
SUB |
Inclut l'objet de base et l'ensemble de ses descendants dans la recherche. Il s'agit de la valeur par défaut. |
Contexte
Chemin d'accès du répertoire où se situe la partie serveur des programmes Visual Adélia pour les utilisateurs non-inscrits lorsque la case Utilisateur défaut LDAP est cochée.
Ce champ n'est actif que lorsque la case Utilisateur défaut LDAP est cochée.
Les cases à cocher
Autoriser l'authentification unique (SSO)
Cette option est active si le mode d'authentification est Adélia ou LDAP.
Case cochée |
Le middleware acceptera les connexions classiques avec utilisateur et mot de passe et les connexions négociées en mode SSO (utilisateur *SSO). |
Case non cochée |
Seule l'authentification par profil/mot de passe est autorisée. |
Utilisateur défaut LDAP ou SSO
Cette option n'est pas active en authentification Adélia, sauf si la case Autoriser l'authentification unique (SSO) est cochée.
Case cochée |
Les profils Middleware non-inscrits dans la liste des utilisateurs mais authentifiés sur le serveur LDAP sont autorisés à se connecter au serveur Middleware. |
Case non cochée |
Seuls les profils Middleware inscrits dans la liste des utilisateurs et authentifiés sur le serveur LDAP sont autorisés à se connecter au serveur Middleware. |
Les boutons
Configurer
Validation des modifications effectuées et fermeture de la boîte de dialogue.
Annuler
Fermeture de la boîte de dialogue sans valider les modifications effectuées.
Raccourci-clavier : Echap.
Appliquer
Validation des modifications effectuées sans fermer la boîte de dialogue.