Vous consultez actuellement l'aide de la version:

LDAP (Lightweight Directory Access Protocol) est un protocole utilisé pour accéder aux services d’annuaire centralisé. Cela permet de réduire l’effort de gestion des comptes utilisateur, car plusieurs applications peuvent accéder à ces comptes. L’un de ces serveurs LDAP est Active Directory. LDAP est souvent utilisé pour appliquer l’authentification unique, qui permet à un utilisateur d’accéder à plusieurs applications après s’être connecté une seule fois.

Les comptes utilisateur peuvent être synchronisés entre le serveur LDAP et le référentiel, les détails du compte LDAP étant enregistrés dans le référentiel. Cela permet d’affecter les comptes aux groupes de référentiel pour attribuer les autorisations et les privilèges requis.

Le référentiel utilise l’authentification LDAP pour authentifier ces utilisateurs, avec les informations d’identification transmises au serveur LDAP pour la validation, ce qui est requis avant d’autoriser l’accès au référentiel. Pour améliorer les performances, les informations d’identification validées peuvent être mises en cache par le référentiel, avec un délai d’expiration pour s’assurer que la revalidation se produit après une période appropriée.

Lorsqu’un compte est supprimé du serveur LDAP, la validation n’est plus effectuée et l’accès au référentiel est donc refusé. Les informations sur les comptes LDAP enregistrés dans le référentiel peuvent également être purgées.

L’utilisation de tels comptes est transparente pour vos utilisateurs, lesquels ne voient aucune différence entre les comptes d’utilisateur et de groupe créés à partir de LDAP et ceux créés uniquement dans le référentiel.

 

Dans AEM 6, la prise en charge de LDAP est fournie avec une nouvelle implémentation qui requiert un type de configuration différent de celui des versions précédentes.

Toutes les configurations LDAP sont désormais disponibles en tant que configurations OSGi. Elles peuvent être configurées via la console de gestion Web à l’adresse :
http://serveraddress:4502/system/console/configMgr

Pour que LDAP fonctionne avec AEM, vous devez créer trois configurations OSGi :

  1. Un fournisseur d’identités LDAP
  2. Un gestionnaire de synchronisation
  3. Un module de connexion externe

Remarque :

Regardez Module de connexion externe Oak - Authentification avec LDAP et au-delà pour découvrir en détail les modules de connexion externes.

Configuration du fournisseur d’identités LDAP

Le fournisseur d’identités LDAP est utilisé pour définir la manière dont les utilisateurs sont extraits du serveur LDAP.  

Il figure dans la console de gestion sous le nom Fournisseur d’identités LDAP Oak Apache Jackrabbit.

Les options de configuration suivantes sont disponibles pour le fournisseur d’identités LDAP :

Nom du fournisseur LDAP Nom de la configuration de ce fournisseur LDAP.
Nom d’hôte du serveur LDAP
Nom d’hôte du serveur LDAP
Port du serveur LDAP Port du serveur LDAP
Utiliser SSL Indique si une connexion SSL (LDAP) doit être utilisée.
Utiliser TLS Indique si TLS doit être démarré lors de la connexion.
Désactiver la vérification du certificat Indique si la validation du certificat de serveur doit être désactivée.
DN de liaison DN de l’utilisateur à des fins d’authentification. Si ce champ n’est pas renseigné, la liaison est anonyme.
Mot de passe de liaison Mot de passe de l’utilisateur à des fins d’authentification
Délai d’expiration de recherche Délai avant expiration d’une recherche
Taille active max du pool d’administration Taille active maximale du pool de connexion d’administrateur.
Taille active max pool d’utilisateurs Taille active maximale du pool de connexion d’utilisateur.
DN utilisateur de base DN des recherches d’utilisateur
Classes d’objet utilisateur Liste des classes d’objets qu’une entrée d’utilisateur doit contenir.
Attribut d’ID d’utilisateur Nom de l’attribut qui contient l’ID d’utilisateur.
Filtre supplémentaire d’utilisateur Filtre LDAP supplémentaire à utiliser dans la recherche d’utilisateurs. Le filtre final est formaté comme suit : '(&(<idAttr>=<userId>)(objectclass=<objectclass>)<extraFilter>)' (user.extraFilter)
Chemins d’accès DN utilisateur Contrôle si le DN doit être utilisé pour calculer une portion du chemin d’accès intermédiaire.
DN de base de groupe DN de base des recherches de groupe.
Classes d’objets de groupe Liste des classes d’objets qu’une entrée de groupe doit contenir.
Attribut de nom de groupe Nom de l’attribut qui contient le nom de groupe.
Filtre supplémentaire de groupe Filtre LDAP supplémentaire à utiliser dans la recherche de groupes. Le filtre final est formaté comme suit : '(&(<nameAttr>=<groupName>)(objectclass=<objectclass>)<extraFilter>)'
Chemins d’accès DN groupe Contrôle si le DN doit être utilisé pour calculer une portion du chemin d’accès intermédiaire.
Attribut de membre de groupe Attribut de groupe qui contient le(s) membre(s) d’un groupe.

Configuration du gestionnaire de synchronisation

Le gestionnaire de synchronisation définit comment les utilisateurs et les groupes du fournisseur d’identités sont synchronisés avec le référentiel.

Il se trouve sous le nom Gestionnaire de synchronisation par défaut Apache Jackrabbit Oak dans la console de gestion.

Les options de configuration suivantes sont disponibles pour le gestionnaire de synchronisation :

Nom du gestionnaire de synchronisation Nom de la configuration de synchronisation.
Délai d’expiration d’utilisateur Délai avant expiration d’un utilisateur synchronisé.
Appartenance automatique d’utilisateur Liste des groupes auxquels un utilisateur synchronisé est automatiquement ajouté.
Mappage des propriétés d’utilisateur Liste de définition de mappage de propriétés locales à partir de propriétés externes.
Préfixe de chemin d’accès d’utilisateur Préfixe de chemin d’accès utilisé pour créer de nouveaux utilisateurs.
Expiration d’appartenance d’utilisateur Délai au bout duquel l’appartenance expire.
Profondeur d’imbrication de l’appartenance d’utilisateur Retourne la profondeur maximale d’imbrication de groupe lorsque les relations d’appartenance sont synchronisées. Une valeur égale à 0 désactive la recherche de l’appartenance à un groupe. Une valeur égale à 1 ajoute uniquement les groupes directs d’un utilisateur. Cette valeur est sans effet lorsque des groupes individuels uniquement sont synchronisés dans le cadre de la synchronisation d’un ancêtre d’appartenance d’utilisateur.
Délai d’expiration de groupe Délai avant l’expiration d’un groupe synchronisé.
Appartenance automatique de groupe Liste des groupes auxquels un groupe synchronisé est automatiquement ajouté.
Mappage des propriétés de groupe Liste de définition de mappage de propriétés locales à partir de propriétés externes.
Préfixe de chemin d’accès de groupe Préfixe de chemin d’accès utilisé pour créer de nouveaux groupes.

Module de connexion externe

Le module de connexion externe est placé sous Module de connexion externe Apache Jackrabbit Oak, dans la console de gestion.

Remarque :

Le module de connexion externe Apache Jackrabbit Oak met en œuvre les spécifications JAAS (Java Authentication and Authorization Service). Voir le Guide de référence de la sécurité Oracle Java officiel pour plus d’informations.

Son objectif est de définir quel fournisseur d’identités et quel gestionnaire de synchronisation utiliser, reliant ainsi les deux modules.

Les options de configuration suivantes sont disponibles :

Rang JAAS Spécifie le rang (l’ordre de tri) de cette entrée de module de connexion. Les entrées sont triées dans l’ordre décroissant (les configurations ayant une valeur de rang supérieure apparaissent en premier).
Indicateur de contrôle JAAS Propriété indiquant si un module de connexion est REQUIS, NÉCESSAIRE, SUFFISANT ou FACULTATIF. Voir la documentation de la configuration JAAS pour plus de détails sur la signification de ces indicateurs.
Domaine JAAS Nom de domaine (ou nom d’application) par rapport auquel le module de connexion est enregistré. Si aucun nom de domaine n’est indiqué, le module de connexion est enregistré avec un domaine par défaut tel que configuré dans la configuration Felix JAAS.
Nom du fournisseur d’identités Nom du fournisseur d’identités.
Nom du gestionnaire de synchronisation Nom du gestionnaire de synchronisation.

Remarque :

Si vous envisagez plusieurs configurations LDAP avec votre instance AEM, vous devez créer des fournisseurs d’identité et des gestionnaires de synchronisation distincts pour chaque configuration.

Configuration de LDAP via SSL

Vous pouvez configurer AEM 6 pour vous authentifier auprès de LDAP via SSL en suivant la procédure ci-dessous :

  1. Cochez la case Utiliser SSL ou Utiliser TLS lorsque vous configurez le Fournisseur d’identités LDAP.

  2. Configurez le gestionnaire de synchronisation et le module de connexion externe en fonction de votre configuration.

  3. Installez les certificats SSL sur votre machine virtuelle Java si nécessaire. Pour ce faire, vous pouvez utiliser l’outil keytool :

    keytool -import -alias localCA -file <emplacement du certificat> -keystore <emplacement du certificat>

  4. Testez la connexion au serveur LDAP.

Création de certificats SSL

Les certificats auto-signés peuvent être utilisés lors de la configuration d’AEM pour s’authentifier auprès d’AEM via SSL. Voici un exemple de méthode de travail utilisée pour générer des certificats à utiliser avec AEM.

  1. Assurez-vous qu’une bibliothèque SSL est installée et fonctionne. Cette procédure utilise OpenSSL comme exemple.

  2. Créez un fichier de configuration OpenSSL personnalisée (cnf). Vous pouvez effectuer ceci en copiant le fichier de configuration openssl.cnf par défaut et en le personnalisant. Sur les systèmes UNIX, ce fichier se trouve généralement dans /usr/lib/ssl/openssl.cnf

  3. Créez la clé racine CA en exécutant la commande ci-dessous sur un terminal :

    openssl genpkey -algorithm [algorithme de clé publique] -out certificatefile.key -pkeyopt [option d’algorithme de clé publique]

     

  4. Créez ensuite un certificat auto-signé :

    openssl req -new -x509 -days [nombre de jours de certification] -key certificatefile.key -out root-ca.crt -config CA/openssl.cnf

  5. Examinez le certificat nouvellement généré pour vous assurer que tout est en règle :

    openssl x509 -noout -text -in root-ca.crt

  6. Assurez-vous que tous les dossiers spécifiés dans le fichier de configuration de certificat (.cnf) existent. Si ce n’est pas le cas, créez-les.

  7. Créez une source aléatoire, en exécutant, par exemple :

    openssl rand -out private/.rand 8192

  8. Déplacez les fichiers .pem créés vers les emplacements définis dans le fichier .cnf.

  9. Enfin, ajoutez le certificat au KeyStore Java.

Activation de la journalisation du débogage

Vous pouvez activer la journalisation du débogage pour le fournisseur d’identités LDAP et le module de connexion externe afin de résoudre les problèmes de connexion.

Pour activer la journalisation du débogage, procédez comme suit :

  1. Accédez à la console de gestion Web.
  2. Recherchez « Apache Sling Logging Logger Configuration » et créez deux journaux avec les options suivantes :
  • Niveau de consignation : Débogage
  • Fichier journal logs/ldap.log
  • Schéma de message : {0,date,dd.MM.yyyy HH:mm:ss.SSS} *{4}* [{2}] {3} {5}
  • Journal : org.apache.jackrabbit.oak.security.authentication.ldap
  • Niveau de consignation : Débogage
  • Fichier journal : logs/external.log
  • Schéma de message : {0,date,dd.MM.yyyy HH:mm:ss.SSS} *{4}* [{2}] {3} {5}
  • Journal : org.apache.jackrabbit.oak.spi.security.authentication.external

À propos de l’affiliation de groupe

Les utilisateurs synchronisés via LDAP peuvent faire partie de différents groupes dans AEM. Ces groupes peuvent être des groupes LDAP externes qui seront ajoutés à AEM dans le cadre du processus de synchronisation, mais il peut également s’agir de groupes ajoutés séparément et ne faisant pas partie du schéma d’affiliation de groupe LDAP d’origine.

Dans la plupart des cas, il peut s’agir de groupes ajoutés par un administrateur AEM local ou par n’importe quel autre fournisseur d’identités.

Si un utilisateur est supprimé d’un groupe sur le serveur LDAP, cette suppression est également reflétée au niveau d’AEM lors de la synchronisation. Néanmoins, toutes les autres affiliations de groupe de l’utilisateur qui n’ont pas été ajoutées par LDAP restent en place.

AEM détecte et gère la purge des utilisateurs des groupes externes à l’aide de la propriété rep:externalId. Cette propriété est automatiquement ajoutée aux utilisateurs ou aux groupes synchronisés par le gestionnaire de synchronisation et contient des informations sur le fournisseur d’identités d’origine.

Pour plus d’informations, voir la documentation d’Apache Oak relative à la Synchronisation des utilisateurs et des groupes.

Problèmes connus

Si vous envisagez d’utiliser LDAP via SSL, assurez-vous que les certificats que vous utilisez sont créés sans l’option de commentaire Netscape. Si cette option est activée, l’authentification échoue avec une erreur de négociation SSL.

Ce produit est distribué sous licence Creative Commons Attribution - Pas d’utilisation commerciale - Partage à l’identique 3.0 non transposé  Les publications Twitter™ et Facebook ne sont pas couvertes par les dispositions Creative Commons.

Mentions légales   |   Politique de confidentialité en ligne