Autoriser des administrateurs à se connecter via un serveur LDAP ou Radius

Le serveur SMC peut être lié à un serveur LDAP et/ou à un serveur Radius pour autoriser des utilisateurs de l'entreprise à administrer un parc de firewalls.

Ce type d'authentification est prévu pour fonctionner avec un serveur LDAP de type Active Directory sur Microsoft Windows Server 2016 et 2019 ou OpenLDAP version 2.5 minimum et un serveur Radius sur Microsoft Windows Server 2016 et 2019.

Lorsque le super administrateur tente de se connecter, le serveur SMC recherche l'identifiant et le mot de passe dans sa base locale d'utilisateurs.

Lorsqu'un administrateur simple tente de se connecter, le serveur SMC recherche l'identifiant et le mot de passe d'abord sur le serveur Radius, puis sur le serveur LDAP si ces informations ne sont pas trouvées, puis dans sa base locale.

La configuration de l'authentification via serveur LDAP ou Radius s'effectue dans l'interface web d'administration de SMC.

Pour autoriser des administrateurs à se connecter au serveur SMC via un serveur LDAP ou Radius, suivez les trois étapes suivantes expliquées plus en détails ci-dessous :

  1. Configurer la connexion au serveur LDAP ou Radius,
  2. Tester la connexion au serveur,
  3. Autoriser des utilisateurs et définir leurs droits d'accès.

Pour configurer et activer la connexion à un serveur LDAP :

  1. Dans le menu Maintenance > Serveur SMC > Administrateurs, cliquez sur Modifier les paramètres de l'authentification.
    Bouton Modifier les paramètres de l'authentification locale
  2. Dans l'onglet LDAP, cochez Authentification LDAP activée.
  3. Remplissez les champs suivants :
    ChampDescription
    Type de serveurServeur de type Active Directory ou OpenLDAP
    Hôte

    Adresse IP ou FQDN du serveur LDAP principal.

    S'il s'agit du FQDN du serveur, le service DNS doit être configuré au préalable.

    Dans le cas où vous utilisez le protocole SSL pour sécuriser la connexion au serveur LDAP, le nom de l'Hôte doit être identique au nom commun (CN) du certificat du serveur LDAP.

    Hôte de secours

    Optionnel - Adresse IP ou FQDN du serveur LDAP de secours.

    S'il s'agit du FQDN du serveur, le service DNS doit être configuré au préalable.

    Seul ce paramètre est nécessaire pour le serveur LDAP de secours, les autres paramètres sont ceux du serveur principal.

    PortNuméro de port pour accéder au serveur LDAP : par défaut port 636 si le SSL est activé, port 389 sinon
    Base DNBase DN permettant d'accéder au serveur LDAP, répondant au format suivant : dc=sub,dc=domain,dc=com. La Base DN peut également porter sur un emplacement plus précis de l'Active Directory, par exemple une unité d'organisation : ou=unit,dc=domain,dc=com

    Identifiant

    Ce champ s'affiche si le type de serveur est Active Directory. Identifiant de l'administrateur permettant de faire une requête au serveur LDAP Active Directory.

    DN Administrateur

    Ce champ s'affiche si le type de serveur est OpenLDAP.

    DN de l'administrateur (sans la base DN) permettant de faire une requête au serveur LDAP OpenLDAP.

    Mot de passeMot de passe permettant de se connecter au serveur LDAP
    Sécuriser avec SSLSi l'option est activée, la connexion au serveur LDAP est sécurisée via les protocoles SSL/TLS.
    Lorsque le SSL est activé, le port par défaut est modifié en conséquence.
    Si le SSL est activé, le serveur SMC ne vérifie pas par défaut l'autorité de certification ayant signé le certificat du serveur LDAP.
    Vérifier l'identité de la CA du serveur LDAPCette option permet de vérifier l'autorité de certification ayant signé le certificat du serveur LDAP, lorsque le SSL est activé. Fournissez le certificat de l'autorité de certification dans le champ ci-dessous.
    CertificatCe champ permet de transférer sur le serveur SMC le certificat de l'autorité de certification ayant signé le certificat utilisé par le serveur LDAP pour la connexion sécurisée via SSL.

Pour configurer et activer la connexion à un serveur Radius :

  1. Dans le menu Maintenance > Serveur SMC > Administrateurs, cliquez sur Modifier les paramètres de l'authentification.
    Bouton Modifier les paramètres de l'authentification locale
  2. Dans l'onglet Radius, cochez Authentification Radius activée.
  3. Remplissez les champs suivants :
    ChampDescription
    HôteAdresse IP ou FQDN du serveur Radius.
    S'il s'agit du FQDN du serveur, le service DNS doit être configuré au préalable.
    PortNuméro de port pour accéder au serveur Radius : par défaut port 1812
    Clé prépartagée

    Clé secrète partagée afin de s'authentifier sur le serveur

    Serveur de secours - Optionnel
    Hôte

    Adresse IP ou FQDN du serveur Radius de secours.

    S'il s'agit du FQDN du serveur, le service DNS doit être configuré au préalable.

    PortNuméro de port pour accéder au serveur Radius : par défaut port 1812
    Clé prépartagéeClé secrète partagée afin de s'authentifier sur le serveur

Pour tester la connexion aux serveurs LDAP ou Radius, utilisez les outils ldapsearch ou radtest disponibles en ligne de commande sur le serveur SMC.

Tester la connexion aux serveurs LDAP

Utilisez les paramètres suivants avec la commande ldapsearch afin de tester la connexion à un serveur LDAP et effectuer une recherche dans l'annuaire :

Paramètre Description
-h Adresse IP ou FQDN du serveur LDAP
-p Port du serveur LDAP. Si non renseigné, le port 389 est utilisé par défaut
-D

Nom distinctif utilisé pour s'authentifier sur le serveur.

Ce nom doit correspondre à une entrée spécifique de l'annuaire et doit être autorisé à faire des recherches dans l'annuaire.
-W Si renseigné, un mot de passe pour l'authentification sera demandé avant de lancer la recherche
-b baseDN utilisé pour la recherche dans l'annuaire

EXEMPLE
ldapsearch -h 1.2.3.4 -p 567 -D "CN=Administrator,CN=Users,DC=mydomain,DC=com" -W -b "CN=Users,DC=mydomain,DC=com"

Tester la connexion aux serveurs Radius

Utilisez la commande radtest pour vérifier qu'un utilisateur existe sur le serveur Radius.

EXEMPLE
radtest <user-id> <user-password> <Radius-server-ip> <Radius-server-port> <pre-shared-key>exemple d'utilisation de l'outil radtest

Pour autoriser des utilisateurs LDAP ou Radius à s'authentifier sur le serveur SMC, le super administrateur doit les ajouter dans la liste des administrateurs dans l'interface web d'administration.

Les utilisateurs peuvent faire partie de groupes LDAP ou Radius.

NOTE
Pour que des utilisateurs appartenant à un groupe OpenLDAP puissent s'authentifier sur SMC, vous devez configurer l'attribut memberOf sur le serveur OpenLDAP. Pour plus d'informations, reportez-vous à la section Modifier les attributs LDAP utilisés par défaut par SMC.

Le menu Maintenance > Serveur SMC > Administrateurs de l'interface web d'administration permet d'associer des droits d'accès à chaque utilisateur ou groupe d'utilisateurs.

Pour ajouter un utilisateur simple, reportez-vous à la section Gérer les administrateurs.

Pour ajouter un groupe d'utilisateurs LDAP ou Radius :

  1. Dans le menu Administrateurs, cliquez sur Ajouter un groupe LDAP/Radius.Bouton Ajouter un groupe LDAP Radius

  2. Complétez les champs et sélectionnez les droits d'accès nécessaires aux membres du groupe.

    • Dans le cas d'un serveur d'authentification LDAP, indiquez le DN du groupe,

    • Dans le cas d'un serveur d'authentification Radius, indiquez l'identifiant du groupe.

Si un administrateur possède un compte nominatif et est en même temps membre d'un ou plusieurs groupes, les droits qui s'appliquent sont ceux de son compte nominatif.

NOTE
Les identifiants des utilisateurs authentifiés via l'annuaire LDAP ne doivent pas contenir d'espace pour se connecter au serveur SMC.

Dans la fenêtre Serveur SMC > Administrateurs > Ajouter un administrateur, les champs Identifiant et DN LDAP correspondent par défaut aux attributs LDAP suivants :

Identifiant

  • sAMAccountName si le serveur est un ActiveDirectory

  • uid si le serveur est un OpenLDAP
DN LDAP

  • distinguishedName et dn

SMC s'appuie également sur l'attribut memberOf, à configurer manuellement sur le serveur LDAP, pour rechercher les groupes auxquels appartient un utilisateur.

Les variables d'environnement suivantes permettent de modifier ces trois attributs :

  • FWADMIN_LDAP_FIELD_NAME_LOGIN

  • FWADMIN_LDAP_FIELD_NAME_DN

  • FWADMIN_LDAP_FIELD_NAME_MEMBEROF

Pour modifier leur valeur :

  1. Connectez-vous au serveur SMC via la console de votre hyperviseur ou en SSH.
  2. Dans le fichier /data/config/fwadmin-env.conf.local, modifiez les valeurs de ces variables d'environnement.
  3. Redémarrez le serveur avec la commande nrestart fwadmin-server.