Déclarer un annuaire "LDAP"

La déclaration d'un annuaire "LDAP" sur le serveur SDMC permet à l'utilisateur final de partager ses documents protégés avec tous les utilisateurs présents dans l'annuaire sans avoir besoin d'importer manuellement leurs certificats.

  • SDS for C&M est compatible avec les annuaires "LDAP" de type OpenLDAP et Active Directory pour Windows Server 2008, 2012 et 2016.
  • Les certificats doivent avoir été au préalable publiés dans l'annuaire par la PKI, par exemple Stormshield Data Authority Manager (SDAM).
  • Les certificats doivent contenir une adresse e-mail dans un de leurs champs.
  1. Dans l'interface d'administration du serveur SDMC, sélectionnez le menu de gauche Politiques.
  2. Dans la section LDAP, activez la recherche d'utilisateurs via LDAP. Les paramètres LDAP s'affichent.

Zone LDAP

  1. Remplissez les Paramètres du serveur LDAP :
    • Nom du serveur LDAP : indiquez le nom de votre serveur LDAP,
    • Activer LDAPS : cliquez pour activer le protocole SSL et sécuriser les connexions LDAP,
    • Port : indiquez un numéro de port LDAP si vous ne souhaitez pas utiliser le port par défaut,
    • Version du protocole : choisissez la version du protocole.
  2. Remplissez les Paramètres de recherche des utilisateurs et certificats :
    • Base : indiquez la branche de l'arbre ("dn" pour Distinguished Name) à partir de laquelle SDS for C&M doit effectuer les recherches,
    • Rechercher dans les sous-arbres: cliquez pour activer la recherche sur tous les niveaux en dessous de la base de recherche,
    • Nom usuel : indiquez la valeur souhaitée pour cet attribut si la valeur par défaut cn ne convient pas.
    • Certificat : indiquez la valeur souhaitée pour cet attribut si la valeur par défaut userCertificate ne convient pas.

Lors de la protection ou du partage d'un document, un utilisateur peut rechercher des collaborateurs dans l'annuaire LDAP. Cette recherche est basée uniquement sur les attributs distinguishedName pour Active Directory et EntryDN pour OpenLDAP. Ces attributs permettent de récupérer le DN de l'utilisateur.

  1. Remplissez les paramètres Authentification alternative. Ceux-ci sont optionnels et sont appliqués uniquement si l'authentification par défaut en mode Single sign-on (SSO) échoue.

Plusieurs modes d’authentification sont disponibles pour accéder à votre annuaire "LDAP".

  • Mode SSO : Mécanisme d'identification qui utilise les identifiants de connexion au système d'exploitation pour accéder à l'annuaire "LDAP". C'est le mode par défaut pour les clients Windows. Il n'est pas disponible pour les clients Windows situés hors du domaine de l'Active Directory, ni pour les clients macOS.
  • Authentification simple : Mécanisme d'identification universel, par lequel l'identifiant et le mot de passe sont envoyés en clair sur le réseau. Pour le mettre en œuvre, entrez dans les champs Connexion DN et Mot de passe les mots-clés et le mot de passe fournis par l'administrateur de l'annuaire "LDAP". C'est le mode par défaut pour les clients macOS. Sous Windows, il est utilisé si le mode SSO échoue. Dans ce mode, il est fortement recommandé d'activer le paramètre LDAPS.
  • Authentification anonyme : Si le mode d'authentification SSO ne fonctionne pas, et que les champs Connexion DN et/ou Mot de passe sont vides, l'authentification sera anonyme.

  1. Cliquez sur Enregistrer en haut à droite de la fenêtre.