Connexion à un annuaire LDAP externe
Le LDAP externe est un annuaire auquel votre firewall multifonctions Stormshield Network va se connecter.
Etape 1 : Choix de l’annuaire
Sélectionnez la base LDAP correspondant à votre choix. Ceci est la première étape de la configuration de cet annuaire.
Cochez la case Connexion à un annuaire LDAP externe et cliquez sur Suivant.
Etape 2 : Accès à l’annuaire
Nom de domaine | Nom permettant d'identifier l'annuaire interne lorsque plusieurs annuaires sont définis sur le firewall. Dans une configuration comportant des annuaires multiples, ce nom devra compléter l'identifiant de l'utilisateur pour réaliser une authentification (identifiant@nom_de_domaine). Il est donc fortement conseillé de renseigner un nom de domaine DNS dans ce champ. EXEMPLE |
Serveur | Vous devez choisir un objet correspondant à votre serveur LDAP au sein de la liste déroulante. Cet objet doit être créé au préalable et référencer l'adresse IP de votre serveur LDAP. |
Port | Vous devez renseigner le port d'écoute de votre serveur LDAP. Le port par défaut est : 389. |
Domaine racine (Base DN) | Vous devez renseigner le Domaine racine (DN) de votre annuaire. Le DN représente le nom d’une entrée, sous la forme d’un chemin d’accès à celle-ci, depuis le sommet de l’arborescence. Vous pouvez remplir le champ avec le nom du Domaine Racine (DN). EXEMPLE |
Accès en lecture seulement | Si cette case est cochée, vous ne pourrez effectuer aucune action d’écriture sur l'annuaire LDAP externe. |
Connexion anonyme | Cette option permet de ne pas renseigner d'identifiant et de mot de passe pour se connecter à l'annuaire LDAP externe. Le serveur LDAP doit bien évidemment autoriser les connexions anonymes. Lorsque cette case est cochée, les champs Identifiant et Mot de passe deviennent inactifs (grisés) |
Identifiant | Un compte administrateur permettant au firewall de se connecter sur votre serveur LDAP et d'effectuer des modifications (droits en lecture et écriture) sur certains champs. Nous vous recommandons de créer un compte spécifique pour le firewall et de lui attribuer les droits uniquement sur les champs qui lui sont nécessaires. EXEMPLE |
Mot de passe | Le mot de passe associé à l’identifiant pour vous connecter sur le serveur LDAP. L’icône « clé » () permet d’afficher le mot de passe en clair pour vérifier qu’il n’est pas erroné. Ce champ est inactif lorsque la case Connexion anonyme a été cochée. |
Cliquez sur Terminer pour afficher l'écran de l'annuaire LDAP externe.
Écran de l’annuaire LDAP externe
Une fois que la configuration de l’annuaire LDAP effectuée, vous accédez au LDAP externe qui présente les éléments suivants :
Onglet « Configuration»
La page affichée présente une fenêtre récapitulative des informations saisies pour votre LDAP externe et différents services concernant l’accès à votre annuaire.
Annuaire distant
Activer l’utilisation de l’annuaire utilisateur | Cette option permet de démarrer le service LDAP. Si la case n’est pas cochée, le module est inactif. |
Serveur | Ce champ reprend le nom du serveur que vous avez préalablement rempli à la page précédente. |
Port | Ce champ reprend le port d’écoute que vous avez préalablement sélectionné à la page précédente. |
Domaine racine (Base DN) | Le Domaine racine de votre annuaire tel que défini lors de sa création. EXEMPLE |
Identifiant | L’identifiant permettant au firewall de se connecter sur votre serveur LDAP. |
Mot de passe | Le mot de passe créé sur le firewall pour vous connecter sur le serveur LDAP. |
Connexion sécurisée (SSL)
Pour pouvoir établir une connexion sécurisée (LDAPS) entre le firewall et l'annuaire, il est nécessaire que le serveur hébergeant l'annuaire externe supporte et utilise l'une des suites de chiffrement suivantes :
- TLS_AES_128_GCM_SHA256 (0x1301) (TLS1.3),
- TLS_CHACHA20_POLY1305_SHA256 (0x1303) (TLS1.3),
- TLS_AES_256_GCM_SHA384 (0x1302) (TLS1.3),
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b),
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f),
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e),
- TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca9),
- TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8),
- TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xccaa),
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c),
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030),
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x009f),
Avec, pour les suites basées sur ECDHE, des courbes elliptiques appartenant obligatoirement à l'un des groupes listés ci-dessous :
- x25519 (0x001d),
- secp256r1 (0x0017),
- x448 (0x001e),
- secp521r1 (0x0019),
- secp384r1 (0x0018).
Activer l’accès en SSL | Cette option permet d’effectuer une vérification de votre certificat numérique généré par l’autorité racine du firewall. Les informations sont chiffrées en SSL. Cette méthode utilise le port 636. L’accès public au LDAP est protégé avec le protocole SSL. NOTE |
Vérifier le certificat selon une Autorité de certification | Lors d’une connexion à la base LDAP, le firewall vérifie que le certificat a bien été délivré par l’Autorité de certification (CA) spécifiée ci-dessous. |
Autorité de certification | Cette option permet de sélectionner l’Autorité de certification qui sera utilisée pour vérifier le certificat serveur délivré par le serveur LDAP, afin d’assurer l’authenticité de la connexion à ce serveur. Vous pouvez cliquer sur l’icône « loupe » () pour effectuer une recherche de la CA correspondante. NOTE |
Configuration avancée
Serveur de secours | Ce champ permet de définir un serveur de remplacement au cas où le serveur principal serait injoignable. Vous pouvez le sélectionner parmi la liste d’objets proposés dans la liste déroulante. |
Port | Renseignez le port d'écoute de votre serveur LDAP de secours. Il peut être différent du port d'écoute du serveur principal. Le port par défaut est : 389 (ldap). |
Utiliser le compte du firewall pour vérifier l'authentification des utilisateurs sur l'annuaire | Lorsque cette case est cochée, le firewall utilise l'identifiant déclaré lors de la création de l'annuaire pour vérifier auprès du serveur LDAP les droits d'un utilisateur lorsque celui-ci s'authentifie. Dans le cas contraire, le firewall utilise le compte de l'utilisateur pour effectuer cette vérification. |
Cliquez sur Appliquer pour valider votre configuration.
Onglet « Structure»
Accès en lecture
Filtre de sélection des utilisateurs | Lors de l’utilisation du firewall en interaction avec une base externe, seuls les utilisateurs correspondants au filtre seront utilisés. Par défaut ce filtre correspond à ObjectClass = InetOrgPerson. |
Filtre de sélection des groupes d’utilisateurs | Lors de l’utilisation du firewall en interaction avec une base externe, seuls les Groupes d’utilisateurs correspondants au filtre seront utilisés. Par défaut ce filtre correspond à ObjectClass = GroupOfNames. |
L’annuaire est en lecture seule. La création d’utilisateurs et de groupes ne sera pas autorisée : Si cette case est cochée, vous ne pourrez effectuer aucune action d’écriture.
Correspondance d’attributs
Appliquer un modèle : Ce bouton vous propose de choisir parmi 3 serveurs LDAP, celui que vous appliquerez pour définir vos attributs :
- OpenLDAP : serveur LDAP.
- Microsoft Active Directory (AD) : services d’annuaires LDAP pour les systèmes d’exploitation sous Windows.
- Open Directory : répertoire de sites web sous licence Open Directory
Attributs de l’annuaire externe | Cette colonne représente la valeur donnée à l’attribut au sein de l’annuaire externe. EXEMPLES |
Configuration avancée
Hachage des mots de passe : La méthode de chiffrement des mots de passe des nouveaux utilisateurs.
Certaines méthodes d'authentification (comme LDAP) doivent stocker le mot de passe utilisateur sous la forme d'un hash (résultat d'une fonction de hachage appliquée au mot de passe) qui évite le stockage en clair de ce mot de passe.
Vous devez choisir la méthode de hash désirée parmi :
SHA | « Secure Hash Algorithm ». Cette méthode de chiffrement permet d’établir une chaîne de caractères de 160 bits ou octets (appelé « clé ») qui sert de référence pour l’identification. |
MD5 | « Message Digest ». Cet algorithme permet de vérifier l’intégrité des données saisies, en générant une « clé MD5 », de 128 bits. REMARQUE |
SSHA | « Salt Secure Hash Algorithm ». Repose sur le même principe que SHA, mais contient en plus une fonction de « salage » de mot de passe, qui consiste à ajouter une séquence de bit aux données saisies, afin de les rendre encore moins lisibles. NOTE Cette méthode de chiffrement est la plus sécurisée et son utilisation est fortement recommandée. |
SMD5 | « Salt Message Digest ». Repose sur le même principe que MD5, avec la fonction de salage de mot de passe en plus. |
CRYPT | Le mot de passe est protégé par l'algorithme CRYPT, dérivé de l'algorithme DES permettant le chiffrement par bloc, en utilisant des clés de 56 bits. Il est peu conseillé, possédant un niveau de sécurité relativement faible. |
Aucune | Pas de chiffrement du mot de passe, celui-ci est stocké en clair. AVERTISSEMENT |
Branche ‘utilisateurs’ | Donnez le nom de la branche LDAP pour stocker les utilisateurs. EXEMPLE |
Branche ‘groupes’ | Donnez le nom de la branche LDAP pour stocker les groupes d'utilisateurs. EXEMPLE |
Branche de l’autorité de certification | Ce champ définit l’emplacement de l’autorité de certification présente dans la base LDAP externe. Cet emplacement est notamment utilisé lors de la recherche de la CA utilisé pour la méthode d’authentification SSL. NOTE |
Vous pouvez cliquer sur Appliquer pour valider votre configuration.