Connexion à un annuaire Microsoft Active Directory

A l’instar des annuaires interne et externe, l’Active Directory propose les mêmes fonctionnalités de gestion des utilisateurs développées par Microsoft, et utilisant le système d’exploitation Windows.

Étape 1 : Choix de l’annuaire

Sélectionnez l’annuaire correspondant à votre choix. Ceci est la première étape de la configuration de cet annuaire.

Cochez la case Connexion à un annuaire Microsoft Active Directory et cliquez sur Suivant.

Étape 2 : Accès à l’annuaire

Nom de domaine Nom permettant d'identifier l'annuaire interne lorsque plusieurs annuaires sont définis sur le firewall. Dans une configuration comportant des annuaires multiples, ce nom devra compléter l'identifiant de l'utilisateur pour réaliser une authentification (identifiant@nom_de_domaine). Il est donc fortement conseillé de renseigner un nom de domaine DNS dans ce champ.
Serveur Vous devez choisir un objet correspondant à votre serveur LDAP au sein de la liste déroulante. Cet objet doit être créé au préalable et référencer l'adresse IP de votre serveur LDAP.
Port Vous devez renseigner le port d'écoute de votre serveur LDAP. Le port par défaut est : 389.
Domaine racine (Base DN) Vous devez renseigner le Domaine racine (DN) de votre annuaire. Le DN représente le nom d’une entrée, sous la forme d’un chemin d’accès à celle-ci, depuis le sommet de l’arborescence.

EXEMPLE
Le domaine AD est "compagnie.com", le domaine Racine (Base DN) est "o=compagnie,dc=com".

Identifiant Un compte administrateur permettant au firewall de se connecter sur votre serveur LDAP et d'effectuer des modifications (droits en lecture et écriture) sur certains champs. Nous vous recommandons de créer un compte spécifique pour le firewall et de lui attribuer les droits uniquement sur les champs qui lui sont nécessaires.

EXEMPLE
cn=Administrateur,cn=utilisateurs

Mot de passe Le mot de passe associé à l’identifiant pour vous connecter sur le serveur LDAP.
L’icône « clé » () permet d’afficher le mot de passe en clair pour vérifier qu’il n’est pas erroné.

Cliquez sur Terminer pour afficher l'écran de l'annuaire Microsoft Active Directory.

Écran de l’annuaire Microsoft Active Directory

Onglet « Configuration »

Une fois que la configuration de l’annuaire effectuée, vous accédez à l’Active Directory qui présente les éléments suivants : 

Activer l’utilisation de l’annuaire utilisateur Cette option permet de démarrer le service LDAP.
Si la case n’est pas cochée, le module est inactif.
Serveur Ce champ reprend le nom du serveur que vous avez préalablement rempli à la page précédente.
Port Ce champ reprend le port d’écoute que vous avez préalablement sélectionné à la page précédente.
Domaine racine (Base DN) Le Domaine racine de votre annuaire tel que défini lors de sa création.

EXEMPLE
o=compagnie,dc=org

Identifiant L’identifiant permettant au firewall de se connecter sur votre serveur LDAP.

EXEMPLE
cn=Administrateur,cn=utilisateurs

Mot de passe Le mot de passe créé sur le firewall pour vous connecter sur le serveur LDAP.

Connexion sécurisée (SSL)

Pour pouvoir établir une connexion sécurisée (LDAPS) entre le firewall et l'annuaire, il est nécessaire que le serveur hébergeant l'annuaire externe supporte et utilise l'une des suites de chiffrement suivantes :

  • TLS_AES_128_GCM_SHA256 (0x1301) (TLS1.3),
  • TLS_CHACHA20_POLY1305_SHA256 (0x1303) (TLS1.3),
  • TLS_AES_256_GCM_SHA384 (0x1302) (TLS1.3),
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b),
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f),
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e),
  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca9),
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8),
  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xccaa),
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c),
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030),
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x009f),

Avec, pour les suites basées sur ECDHE, des courbes elliptiques appartenant obligatoirement à l'un des groupes listés ci-dessous :

  • x25519 (0x001d),
  • secp256r1 (0x0017),
  • x448 (0x001e),
  • secp521r1 (0x0019),
  • secp384r1 (0x0018).

 

Activer l’accès en SSL Cette option permet d’effectuer une vérification de votre certificat numérique généré par l’autorité racine du firewall.
Les informations sont chiffrées en SSL. Cette méthode utilise le port 636.
L’accès public au LDAP est protégé avec le protocole SSL.

NOTE
Si cette option n’est pas cochée, l’accès est non chiffré.

Vérifier le certificat selon une Autorité de certification Lors d’une connexion à la base LDAP, le firewall vérifie que le certificat a bien été délivré par l’Autorité de certification (CA) spécifiée ci-dessous.
Sélectionner une Autorité de certification de confiance Cette option permet de sélectionner l’Autorité de certification qui sera utilisée pour vérifier le certificat serveur délivré par le serveur LDAP, afin d’assurer  l’authenticité de la connexion à ce serveur.
Vous pouvez cliquer sur l’icône « loupe » () pour effectuer une recherche de la CA correspondante.

NOTE
Cette case sera grisée par défaut si les deux options ci-dessus ne sont pas cochées.

Configuration avancée

Serveur de secours Ce champ permet de définir un serveur de remplacement au cas où le serveur principal serait injoignable. Vous pouvez le sélectionner parmi la liste d’objets proposés dans la liste déroulante.
Port Renseignez le port d'écoute de votre serveur LDAP de secours.
Il peut être différent du port d'écoute du serveur principal.
Le port par défaut est : 389 (ldap).
Utiliser le compte du firewall pour vérifier l'authentification des utilisateurs sur l'annuaire Lorsque cette case est cochée, le firewall utilise l'identifiant déclaré lors de la création de l'annuaire pour vérifier auprès du serveur LDAP les droits d'un utilisateur lorsque celui-ci s'authentifie.
Dans le cas contraire, le firewall utilise le compte de l'utilisateur pour effectuer cette vérification.

Vous pouvez cliquer sur Appliquer pour valider votre configuration.

Onglet « Structure»

Accès en lecture

Filtre de sélection des utilisateurs Lors de l’utilisation du firewall en interaction avec une base externe, seuls les utilisateurs correspondants au filtre seront utilisés. Par défaut ce filtre correspond à ObjectClass = InetOrgPerson.
Filtre de sélection des groupes d’utilisateurs Lors de l’utilisation du firewall en interaction avec une base externe, seuls les Groupes d’utilisateurs correspondants au filtre seront utilisés. Par défaut ce filtre correspond à ObjectClass = GroupOfNames.

L’annuaire est en lecture seule. La création d’utilisateurs et de groupes ne sera pas autorisée : Si cette case est cochée, vous ne pourrez effectuer aucune action d’écriture.

Correspondance d’attributs

Appliquer un modèle : Ce bouton vous propose de choisir parmi 3 serveurs LDAP, celui que vous appliquerez pour définir vos attributs :

  • OpenLDAP
  • Microsoft Active Directory (AD)
  • Open Directory 
Attributs de l’annuaire externe Cette colonne représente la valeur donnée à l’attribut au sein de l’annuaire externe.

EXEMPLES
Cn= COMPAGNIE
telephoneNumber= +33 (0)3 61 96 30
mail = salesadmin@compagnie.com

Configuration avancée

Hachage des mots de passe : La méthode de chiffrement des mots de passe des nouveaux utilisateurs.

Certaines méthodes d'authentification (comme LDAP) doivent stocker le mot de passe utilisateur sous la forme d'un hash (résultat d'une fonction de hachage appliquée au mot de passe) qui évite le stockage en clair de ce mot de passe.

Vous devez choisir la méthode de hash désirée parmi :

SHA « Secure Hash Algorithm ». Cette méthode de chiffrement permet d’établir une chaîne de caractères de 160 bits ou octets (appelé « clé ») qui sert de référence pour l’identification.
MD5 « Message Digest ». Cet algorithme permet de vérifier l’intégrité des données saisies, en générant une « clé MD5 », de 128 bits.

REMARQUE
Cette méthode possédant un nombre d’octets moins élevé, et par conséquent, un niveau de sécurité plus faible, celle-ci est moins robuste aux attaques.

SSHA « Salt Secure Hash Algorithm ». Repose sur le même principe que SHA, mais contient en plus une fonction de « salage » de mot de passe, qui consiste à ajouter une séquence de bit aux données saisies, afin de les rendre encore moins lisibles.

NOTE
Cette variante de SHA utilise une valeur aléatoire pour diversifier l'empreinte du mot de passe. Deux mots de passe identiques auront ainsi deux empreintes différentes.


Cette méthode de chiffrement est la plus sécurisée et son utilisation est fortement recommandée.
SMD5 « Salt Message Digest ». Repose sur le même principe que MD5, avec la fonction de salage de mot de passe en plus.
CRYPT Le mot de passe est protégé par l'algorithme CRYPT, dérivé de l'algorithme DES permettant le chiffrement par bloc, en utilisant des clés de 56 bits.
Il est peu conseillé, possédant un niveau de sécurité relativement faible.
Aucune Pas de chiffrement du mot de passe, celui-ci est stocké en clair.

AVERTISSEMENT
Cette méthode est très peu recommandée car vos données ne sont pas protégées.

 
Branche ‘utilisateurs’Donnez le nom de la branche LDAP pour stocker les utilisateurs.

EXEMPLE
ou=users

Branche ‘groupes’Donnez le nom de la branche LDAP pour stocker les groupes d'utilisateurs.

EXEMPLE
ou=groups

Branche de l’autorité de certificationCe champ définit l’emplacement de l’autorité de certification présente dans la base LDAP externe. Cet emplacement est notamment utilisé lors de la recherche de la CA utilisé pour la méthode d’authentification SSL.

NOTE
Il n’est pas indispensable de configurer ce champ mais dans ce cas, pour que la méthode d’authentification SSL fonctionne, il faut spécifier la CA dans la liste des CA de confiance dans la configuration de la méthode SSL.


(Voir menu Utilisateurs > module Authentification > onglet Méthodes disponibles : il faut ajouter la méthode d’authentification Certificat (SSL) et indiquer la CA dans la colonne de droite « Autorités de confiance (C.A) » )

Vous pouvez cliquer sur Appliquer pour valider votre configuration.