Connexion à un annuaire Microsoft Active Directory
A l’instar des annuaires interne et externe, l’Active Directory propose les mêmes fonctionnalités de gestion des utilisateurs développées par Microsoft, et utilisant le système d’exploitation Windows.
Étape 1 : Choix de l’annuaire
Sélectionnez l’annuaire correspondant à votre choix. Ceci est la première étape de la configuration de cet annuaire.
Cochez la case Connexion à un annuaire Microsoft Active Directory et cliquez sur Suivant.
Étape 2 : Accès à l’annuaire
Nom de domaine | Nom permettant d'identifier l'annuaire interne lorsque plusieurs annuaires sont définis sur le firewall. Dans une configuration comportant des annuaires multiples, ce nom devra compléter l'identifiant de l'utilisateur pour réaliser une authentification (identifiant@nom_de_domaine). Il est donc fortement conseillé de renseigner un nom de domaine DNS dans ce champ. |
Serveur | Vous devez choisir un objet correspondant à votre serveur LDAP au sein de la liste déroulante. Cet objet doit être créé au préalable et référencer l'adresse IP de votre serveur LDAP. |
Port | Vous devez renseigner le port d'écoute de votre serveur LDAP. Le port par défaut est : 389. |
Domaine racine (Base DN) | Vous devez renseigner le Domaine racine (DN) de votre annuaire. Le DN représente le nom d’une entrée, sous la forme d’un chemin d’accès à celle-ci, depuis le sommet de l’arborescence. EXEMPLE |
Identifiant | Un compte administrateur permettant au firewall de se connecter sur votre serveur LDAP et d'effectuer des modifications (droits en lecture et écriture) sur certains champs. Nous vous recommandons de créer un compte spécifique pour le firewall et de lui attribuer les droits uniquement sur les champs qui lui sont nécessaires. EXEMPLE |
Mot de passe | Le mot de passe associé à l’identifiant pour vous connecter sur le serveur LDAP. L’icône « clé » () permet d’afficher le mot de passe en clair pour vérifier qu’il n’est pas erroné. |
Cliquez sur Terminer pour afficher l'écran de l'annuaire Microsoft Active Directory.
Écran de l’annuaire Microsoft Active Directory
Onglet « Configuration »
Une fois que la configuration de l’annuaire effectuée, vous accédez à l’Active Directory qui présente les éléments suivants :
Activer l’utilisation de l’annuaire utilisateur | Cette option permet de démarrer le service LDAP. Si la case n’est pas cochée, le module est inactif. |
Serveur | Ce champ reprend le nom du serveur que vous avez préalablement rempli à la page précédente. |
Port | Ce champ reprend le port d’écoute que vous avez préalablement sélectionné à la page précédente. |
Domaine racine (Base DN) | Le Domaine racine de votre annuaire tel que défini lors de sa création. EXEMPLE |
Identifiant | L’identifiant permettant au firewall de se connecter sur votre serveur LDAP. EXEMPLE |
Mot de passe | Le mot de passe créé sur le firewall pour vous connecter sur le serveur LDAP. |
Connexion sécurisée (SSL)
Pour pouvoir établir une connexion sécurisée (LDAPS) entre le firewall et l'annuaire, il est nécessaire que le serveur hébergeant l'annuaire externe supporte et utilise l'une des suites de chiffrement suivantes :
- TLS_AES_128_GCM_SHA256 (0x1301) (TLS1.3),
- TLS_CHACHA20_POLY1305_SHA256 (0x1303) (TLS1.3),
- TLS_AES_256_GCM_SHA384 (0x1302) (TLS1.3),
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b),
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f),
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e),
- TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca9),
- TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8),
- TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xccaa),
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c),
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030),
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x009f),
Avec, pour les suites basées sur ECDHE, des courbes elliptiques appartenant obligatoirement à l'un des groupes listés ci-dessous :
- x25519 (0x001d),
- secp256r1 (0x0017),
- x448 (0x001e),
- secp521r1 (0x0019),
- secp384r1 (0x0018).
Activer l’accès en SSL | Cette option permet d’effectuer une vérification de votre certificat numérique généré par l’autorité racine du firewall. Les informations sont chiffrées en SSL. Cette méthode utilise le port 636. L’accès public au LDAP est protégé avec le protocole SSL. NOTE |
Vérifier le certificat selon une Autorité de certification | Lors d’une connexion à la base LDAP, le firewall vérifie que le certificat a bien été délivré par l’Autorité de certification (CA) spécifiée ci-dessous. |
Sélectionner une Autorité de certification de confiance | Cette option permet de sélectionner l’Autorité de certification qui sera utilisée pour vérifier le certificat serveur délivré par le serveur LDAP, afin d’assurer l’authenticité de la connexion à ce serveur. Vous pouvez cliquer sur l’icône « loupe » () pour effectuer une recherche de la CA correspondante. NOTE |
Configuration avancée
Serveur de secours | Ce champ permet de définir un serveur de remplacement au cas où le serveur principal serait injoignable. Vous pouvez le sélectionner parmi la liste d’objets proposés dans la liste déroulante. |
Port | Renseignez le port d'écoute de votre serveur LDAP de secours. Il peut être différent du port d'écoute du serveur principal. Le port par défaut est : 389 (ldap). |
Utiliser le compte du firewall pour vérifier l'authentification des utilisateurs sur l'annuaire | Lorsque cette case est cochée, le firewall utilise l'identifiant déclaré lors de la création de l'annuaire pour vérifier auprès du serveur LDAP les droits d'un utilisateur lorsque celui-ci s'authentifie. Dans le cas contraire, le firewall utilise le compte de l'utilisateur pour effectuer cette vérification. |
Vous pouvez cliquer sur Appliquer pour valider votre configuration.
Onglet « Structure»
Accès en lecture
Filtre de sélection des utilisateurs | Lors de l’utilisation du firewall en interaction avec une base externe, seuls les utilisateurs correspondants au filtre seront utilisés. Par défaut ce filtre correspond à ObjectClass = InetOrgPerson. |
Filtre de sélection des groupes d’utilisateurs | Lors de l’utilisation du firewall en interaction avec une base externe, seuls les Groupes d’utilisateurs correspondants au filtre seront utilisés. Par défaut ce filtre correspond à ObjectClass = GroupOfNames. |
L’annuaire est en lecture seule. La création d’utilisateurs et de groupes ne sera pas autorisée : Si cette case est cochée, vous ne pourrez effectuer aucune action d’écriture.
Correspondance d’attributs
Appliquer un modèle : Ce bouton vous propose de choisir parmi 3 serveurs LDAP, celui que vous appliquerez pour définir vos attributs :
- OpenLDAP
- Microsoft Active Directory (AD)
- Open Directory
Attributs de l’annuaire externe | Cette colonne représente la valeur donnée à l’attribut au sein de l’annuaire externe. EXEMPLES |
Configuration avancée
Hachage des mots de passe : La méthode de chiffrement des mots de passe des nouveaux utilisateurs.
Certaines méthodes d'authentification (comme LDAP) doivent stocker le mot de passe utilisateur sous la forme d'un hash (résultat d'une fonction de hachage appliquée au mot de passe) qui évite le stockage en clair de ce mot de passe.
Vous devez choisir la méthode de hash désirée parmi :
SHA | « Secure Hash Algorithm ». Cette méthode de chiffrement permet d’établir une chaîne de caractères de 160 bits ou octets (appelé « clé ») qui sert de référence pour l’identification. |
MD5 | « Message Digest ». Cet algorithme permet de vérifier l’intégrité des données saisies, en générant une « clé MD5 », de 128 bits. REMARQUE |
SSHA | « Salt Secure Hash Algorithm ». Repose sur le même principe que SHA, mais contient en plus une fonction de « salage » de mot de passe, qui consiste à ajouter une séquence de bit aux données saisies, afin de les rendre encore moins lisibles. NOTE Cette méthode de chiffrement est la plus sécurisée et son utilisation est fortement recommandée. |
SMD5 | « Salt Message Digest ». Repose sur le même principe que MD5, avec la fonction de salage de mot de passe en plus. |
CRYPT | Le mot de passe est protégé par l'algorithme CRYPT, dérivé de l'algorithme DES permettant le chiffrement par bloc, en utilisant des clés de 56 bits. Il est peu conseillé, possédant un niveau de sécurité relativement faible. |
Aucune | Pas de chiffrement du mot de passe, celui-ci est stocké en clair. AVERTISSEMENT |
Branche ‘utilisateurs’ | Donnez le nom de la branche LDAP pour stocker les utilisateurs. EXEMPLE |
Branche ‘groupes’ | Donnez le nom de la branche LDAP pour stocker les groupes d'utilisateurs. EXEMPLE |
Branche de l’autorité de certification | Ce champ définit l’emplacement de l’autorité de certification présente dans la base LDAP externe. Cet emplacement est notamment utilisé lors de la recherche de la CA utilisé pour la méthode d’authentification SSL. NOTE (Voir menu Utilisateurs > module Authentification > onglet Méthodes disponibles : il faut ajouter la méthode d’authentification Certificat (SSL) et indiquer la CA dans la colonne de droite « Autorités de confiance (C.A) » ) |
Vous pouvez cliquer sur Appliquer pour valider votre configuration.