Connexion à un annuaire LDAP externe

Le LDAP externe est un annuaire auquel votre firewall multifonctions Stormshield Network va se connecter.

Etape 1 : Choix de l’annuaire

Sélectionnez la base LDAP correspondant à votre choix. Ceci est la première étape de la configuration de cet annuaire.

Cochez la case Connexion à un annuaire LDAP externe et cliquez sur Suivant.

Etape 2 : Accès à l’annuaire

Nom de domaine

Nom permettant d'identifier l'annuaire interne lorsque plusieurs annuaires sont définis sur le firewall. Dans une configuration comportant des annuaires multiples, ce nom devra compléter l'identifiant de l'utilisateur pour réaliser une authentification (identifiant@nom_de_domaine). Il est donc fortement conseillé de renseigner un nom de domaine DNS dans ce champ.

 

Exemple

compagnie.com.

Serveur

Vous devez choisir un objet correspondant à votre serveur LDAP au sein de la liste déroulante. Cet objet doit être créé au préalable et référencer l'adresse IP de votre serveur LDAP.

Port

Vous devez renseigner le port d'écoute de votre serveur LDAP. Le port par défaut est : 389.

Domaine racine (Base DN)

Vous devez renseigner le Domaine racine (DN) de votre annuaire. Le DN représente le nom d’une entrée, sous la forme d’un chemin d’accès à celle-ci, depuis le sommet de l’arborescence. Vous pouvez remplir le champ avec le nom du Domaine Racine (DN).

 

Exemple de DN

Le domaine LDAP est "compagnie.com", le domaine Racine (Base DN) est "dc=compagnie,dc=com".

Accès en lecture seulement Si cette case est cochée, vous ne pourrez effectuer aucune action d’écriture sur l'annuaire LDAP externe.
Connexion anonyme

Cette option permet de ne pas renseigner d'identifiant et de mot de passe pour se connecter à l'annuaire LDAP externe. Le serveur LDAP doit bien évidemment autoriser les connexions anonymes.

 

Lorsque cette case est cochée, les champs Identifiant et Mot de passe deviennent inactifs (grisés)

Identifiant

Un compte administrateur permettant au firewall de se connecter sur votre serveur LDAP et d'effectuer des modifications (droits en lecture et écriture) sur certains champs.

Nous vous recommandons de créer un compte spécifique pour le firewall et de lui attribuer les droits uniquement sur les champs qui lui sont nécessaires.

 

Exemple

cn=id

 

Ce champ est inactif lorsque la case Connexion anonyme a été cochée.

Mot de passe

Le mot de passe associé à l’identifiant pour vous connecter sur le serveur LDAP.

NOTE

L’icône « clé » () permet d’afficher le mot de passe en clair pour vérifier qu’il n’est pas erroné.

 

Ce champ est inactif lorsque la case Connexion anonyme a été cochée.

Cliquez sur Terminer pour afficher l'écran de l'annuaire LDAP externe.

Ecran de l’annuaire LDAP externe

Une fois que la configuration de l’annuaire LDAP effectuée, vous accédez au LDAP externe qui présente les éléments suivants :

Onglet « Configuration»

La page affichée présente une fenêtre récapitulative des informations saisies pour votre LDAP externe et différents services concernant l’accès à votre annuaire.

Annuaire distant

Activer l’utilisation de l’annuaire utilisateur

Cette option permet de démarrer le service LDAP.

Si la case n’est pas cochée, le module est inactif.

Serveur

Ce champ reprend le nom du serveur que vous avez préalablement rempli à la page précédente.

Port

Ce champ reprend le port d’écoute que vous avez préalablement sélectionné à la page précédente.

Domaine racine (Base DN)

Le Domaine racine de votre annuaire tel que défini lors de sa création.

 

Exemple

dc=compagnie,dc=org

Identifiant

L’identifiant permettant au firewall de se connecter sur votre serveur LDAP.

Mot de passe

Le mot de passe créé sur le firewall pour vous connecter sur le serveur LDAP.

Connexion sécurisée (SSL)

Activer l’accès en SSL

Cette option permet d’effectuer une vérification de votre certificat numérique généré par l’autorité racine du firewall.

 

Les informations sont chiffrées en SSL. Cette méthode utilise le port 636.

 

L’accès public au LDAP est protégé avec le protocole SSL.

NOTE

Si cette option n’est pas cochée, l’accès est non chiffré.

Vérifier le certificat selon une Autorité de certification

Lors d’une connexion à la base LDAP, le firewall vérifie que le certificat a bien été délivré par l’Autorité de certification (CA) spécifiée ci-dessous.

Autorité de certification

Cette option permet de sélectionner l’Autorité de certification qui sera utilisée pour vérifier le certificat serveur délivré par le serveur LDAP, afin d’assurer  l’authenticité de la connexion à ce serveur.

Vous pouvez cliquer sur l’icône « loupe » () pour effectuer une recherche de la CA correspondante.

NOTE

Cette case sera grisée par défaut si l’option précédente Vérifier que le nom du serveur correspond au FQDN présenté dans le certificat SSL n’est pas cochée.

 

Configuration avancée

Serveur de secours

Ce champ permet de définir un serveur de remplacement au cas où le serveur principal serait injoignable. Vous pouvez le sélectionner parmi la liste d’objets proposés dans la liste déroulante.

Utiliser le compte du firewall pour vérifier l'authentification des utilisateurs sur l'annuaire

Lorsque cette case est cochée, le firewall utilise l'identifiant déclaré lors de la création de l'annuaire pour vérifier auprès du serveur LDAP les droits d'un utilisateur lorsque celui-ci s'authentifie.

 

Dans le cas contraire, le firewall utilise le compte de l'utilisateur pour effectuer cette vérification.

Cliquez sur Appliquer pour valider votre configuration.

Onglet « Structure»

Accès en lecture

Filtre de sélection des utilisateurs

Lors de l’utilisation du firewall en interaction avec une base externe, seuls les

utilisateurs correspondants au filtre seront utilisés. Par défaut ce filtre correspond à ObjectClass = InetOrgPerson.

Filtre de sélection des groupes d’utilisateurs

Lors de l’utilisation du firewall en interaction avec une base externe, seuls les

Groupes d’utilisateurs correspondants au filtre seront utilisés. Par défaut ce filtre correspond à ObjectClass = GroupOfNames.

L’annuaire est en lecture seule. La création d’utilisateurs et de groupes ne sera pas autorisée : Si cette case est cochée, vous ne pourrez effectuer aucune action d’écriture.

Correspondance d’attributs

Appliquer un modèle : Ce bouton vous propose de choisir parmi 3 serveurs LDAP, celui que vous appliquerez pour définir vos attributs :

  • OpenLDAP : serveur LDAP.
  • Microsoft Active Directory (AD) : services d’annuaires LDAP pour les systèmes d’exploitation sous Windows.
  • Open Directory : répertoire de sites web sous licence Open Directory
 
Attributs de l’annuaire externe

Cette colonne représente la valeur donnée à l’attribut au sein de l’annuaire externe.

 

Exemples :

Cn=COMPAGNIE

telephoneNumber= +33 (0)3 61 96 30

mail = salesadmin@compagnie.com

Configuration avancée

Hachage des mots de passe : La méthode de chiffrement des mots de passe des nouveaux utilisateurs.

Certaines méthodes d'authentification (comme LDAP) doivent stocker le mot de passe utilisateur sous la forme d'un hash (résultat d'une fonction de hachage appliquée au mot de passe) qui évite le stockage en clair de ce mot de passe.

 

Vous devez choisir la méthode de hash désirée parmi :

SHA

« Secure Hash Algorithm ». Cette méthode de chiffrement permet d’établir une chaîne de caractères de 160 bits ou octets (appelé « clé ») qui sert de référence pour l’identification.

 

MD5

« Message Digest ». Cet algorithme permet de vérifier l’intégrité des données saisies, en générant une « clé MD5 », de 128 bits.

REMARQUE

Cette méthode possédant un nombre d’octets moins élevé, et par conséquent, un niveau de sécurité plus faible, celle-ci est moins robuste aux attaques.

SSHA

« Salt Secure Hash Algorithm ». Repose sur le même principe que SHA, mais contient en plus une fonction de « salage » de mot de passe, qui consiste à ajouter une séquence de bit aux données saisies, afin de les rendre encore moins lisibles.

NOTE

Cette variante de SHA utilise une valeur aléatoire pour diversifier l'empreinte du mot de passe. Deux mots de passe identiques auront ainsi deux empreintes différentes.

 

Cette méthode de chiffrement est la plus sécurisée et son utilisation est fortement recommandée.

SMD5

« Salt Message Digest ». Repose sur le même principe que MD5, avec la fonction de salage de mot de passe en plus.

CRYPT

Le mot de passe est protégé par l'algorithme CRYPT, dérivé de l'algorithme DES permettant le chiffrement par bloc, en utilisant des clés de 56 bits.

 

Il est peu conseillé, possédant un niveau de sécurité relativement faible.

Aucune

Pas de chiffrement du mot de passe, celui-ci est stocké en clair.

AVERTISSEMENT

Cette méthode est très peu recommandée car vos données ne sont pas protégées.

 

Branche ‘utilisateurs’

Donnez le nom de la branche LDAP pour stocker les utilisateurs.

Exemple
ou=users.

Branche ‘groupes’

Donnez le nom de la branche LDAP pour stocker les groupes d'utilisateurs.

Exemple

ou=groups.

Branche de l’autorité de certification

Ce champ définit l’emplacement de l’autorité de certification présente dans la base LDAP externe. Cet emplacement est notamment utilisé lors de la recherche de la CA utilisé pour la méthode d’authentification SSL.

NOTE

Il n’est pas indispensable de configurer ce champ mais dans ce cas, pour que la méthode d’authentification SSL fonctionne, il faut spécifier la CA dans la liste des CA de confiance dans la configuration de la méthode SSL.

(Voir menu Utilisateurs\module Authentification\onglet Méthodes disponibles : il faut ajouter la méthode d’authentification Certificat (SSL) et indiquer la CA dans la colonne de droite « Autorités de confiance (C.A) » )

Vous pouvez cliquer sur Appliquer pour valider votre configuration.