Connexion à un annuaire LDAP externe de type PosixAccount
Étape 1 : Choix de l’annuaire
Sélectionnez la base LDAP correspondant à votre choix. Ceci est la première étape de la configuration de cet annuaire.
Cochez la case Connexion à un annuaire LDAP externe de type PosixAccount et cliquez sur Suivant.
Étape 2 : Accès à l’annuaire
Nom de domaine | Nom permettant d'identifier l'annuaire interne lorsque plusieurs annuaires sont définis sur le firewall. Dans une configuration comportant des annuaires multiples, ce nom devra compléter l'identifiant de l'utilisateur pour réaliser une authentification (identifiant@nom_de_domaine). Il est donc fortement conseillé de renseigner un nom de domaine DNS dans ce champ. |
Serveur | Vous devez choisir un objet correspondant à votre serveur LDAP au sein de la liste déroulante. Cet objet doit être créé au préalable et référencer l'adresse IP de votre serveur LDAP. |
Port | Vous devez renseigner le port d'écoute de votre serveur LDAP. Le port par défaut est : TCP/389 (objet ldap). |
Domaine racine (Base DN) | Vous devez renseigner le Domaine racine (DN) de votre annuaire. Le DN représente le nom d’une entrée, sous la forme d’un chemin d’accès à celle-ci, depuis le sommet de l’arborescence. Vous pouvez remplir le champ avec le nom du Domaine AD ou celui du Domaine Racine (DN). EXEMPLE |
Connexion anonyme | En cochant cette case, la connexion à l’annuaire LDAP ne requiert pas l’utilisation d’un identifiant et de son mot de passe associé. Dans ce cas, les champs Identifiant et Mot de passe sont grisés. |
Identifiant | Un compte administrateur permettant au firewall de se connecter sur votre serveur LDAP et d'effectuer des modifications (droits en lecture et écriture) sur certains champs. Nous vous recommandons de créer un compte spécifique pour le firewall et de lui attribuer les droits uniquement sur les champs qui lui sont nécessaires. EXEMPLE |
Mot de passe | Le mot de passe associé à l’identifiant pour vous connecter sur le serveur LDAP. L’icône « clé » () permet d’afficher le mot de passe en clair pour vérifier qu’il n’est pas erroné. |
REMARQUE
La connexion à un annuaire externe de type PosixAccount est obligatoirement réalisée en lecture seule. Il n’est donc pas possible de créer des utilisateurs ou groupes depuis l’interface d’administration Web du firewall.
Cliquez sur Terminer pour afficher l'écran de l'annuaire LDAP externe.
Écran de l’annuaire LDAP externe
Une fois que la configuration de l’annuaire LDAP effectuée, vous accédez au LDAP externe qui présente les éléments suivants :
Onglet « Configuration »
La page affichée présente une fenêtre récapitulative des informations saisies pour votre LDAP externe et différents services concernant l’accès à votre annuaire.
Annuaire distant
Activer l’utilisation de l’annuaire utilisateur | Cette option permet de démarrer le service LDAP. Si la case n’est pas cochée, le module est inactif. |
Serveur | Ce champ reprend le nom du serveur que vous avez préalablement rempli à la page précédente. |
Port | Ce champ reprend le port d’écoute que vous avez préalablement sélectionné à la page précédente. |
Domaine racine (Base DN) | Le Domaine racine de votre annuaire tel que défini lors de sa création. EXEMPLE |
Identifiant | L’identifiant permettant au firewall de se connecter sur votre serveur LDAP. |
Mot de passe | Le mot de passe créé sur le firewall pour vous connecter sur le serveur LDAP. |
Connexion sécurisée (SSL)
Pour pouvoir établir une connexion sécurisée (LDAPS) entre le firewall et l'annuaire, il est nécessaire que le serveur hébergeant l'annuaire externe supporte et utilise l'une des suites de chiffrement suivantes :
- TLS_AES_128_GCM_SHA256 (0x1301) (TLS1.3),
- TLS_CHACHA20_POLY1305_SHA256 (0x1303) (TLS1.3),
- TLS_AES_256_GCM_SHA384 (0x1302) (TLS1.3),
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b),
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f),
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e),
- TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca9),
- TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8),
- TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xccaa),
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c),
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030),
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x009f),
Avec, pour les suites basées sur ECDHE, des courbes elliptiques appartenant obligatoirement à l'un des groupes listés ci-dessous :
- x25519 (0x001d),
- secp256r1 (0x0017),
- x448 (0x001e),
- secp521r1 (0x0019),
- secp384r1 (0x0018).
Activer l’accès en SSL | Cette option permet d’effectuer une vérification de votre certificat numérique généré par l’autorité racine du firewall. Les informations sont chiffrées en SSL. Cette méthode utilise le port 636. L’accès public au LDAP est protégé avec le protocole SSL. NOTE |
Vérifier le certificat auprès d'une Autorité racine | Lors d’une connexion à la base LDAP, le firewall vérifie que le certificat a bien été délivré par l’Autorité de certification (CA) spécifiée en-dessous. |
Sélectionner une Autorité de certification de confiance | Cette option permet de sélectionner l’Autorité de certification qui sera utilisée pour vérifier le certificat serveur délivré par le serveur LDAP, afin d’assurer l’authenticité de la connexion à ce serveur. NOTE |
Configuration avancée
Serveur de secours |
Ce champ permet de définir un serveur de remplacement au cas où le serveur principal tomberait. Vous pouvez le sélectionner parmi la liste d’objets proposés dans la liste déroulante. En cliquant sur le bouton Tester l’accès à l’annuaire au-dessous de ce champ, une fenêtre vous précisera si votre serveur principal est opérationnel. Vous pourrez cliquer sur OK. |
Port | Renseignez le port d'écoute de votre serveur LDAP de secours. Il peut être différent du port d'écoute du serveur principal. Le port par défaut est : 389 (ldap). |
Utiliser le compte du firewall pour vérifier l'authentification des utilisateurs sur l'annuaire | Lorsque cette case est cochée, le firewall utilise l'identifiant déclaré lors de la création de l'annuaire pour vérifier auprès du serveur LDAP les droits d'un utilisateur lorsque celui-ci s'authentifie. Dans le cas contraire, le firewall utilise le compte de l'utilisateur pour effectuer cette vérification. |
Cliquez sur Appliquer pour valider votre configuration.
Onglet « Structure»
Accès en lecture
Filtre de sélection des utilisateurs | Lors de l’utilisation du firewall en interaction avec une base externe, seuls les utilisateurs correspondant au filtre seront utilisés. Par défaut ce filtre correspond à ObjectClass = InetOrgPerson. |
Filtre de sélection des groupes d’utilisateurs | Lors de l’utilisation du firewall en interaction avec une base externe, seuls les groupes d’utilisateurs correspondant au filtre seront utilisés. Par défaut ce filtre correspond à ObjectClass = PosixGroup. |
L’annuaire est en lecture seule. La création d’utilisateurs et de groupes ne sera pas autorisée : la connexion aux annuaires LDAP externes de type POSIX étant obligatoirement en lecture seule, cette case est automatiquement cochée et l'option est grisée.
Correspondance d’attributs
Appliquer un modèle : Ce bouton vous propose de choisir parmi 3 serveurs LDAP, celui que vous appliquerez pour définir vos attributs :
- OpenLDAP : serveur LDAP.
- Microsoft Active Directory (AD) : services d’annuaires LDAP pour les systèmes d’exploitation sous Windows.
- Open Directory : répertoire de sites web sous licence Open Directory
Attributs de l’annuaire externe | Cette colonne représente la valeur donnée à l’attribut au sein de l’annuaire externe. Pour un annuaire LDAP de type PosixAccount, l’attribut Stormshield member prend la valeur memberUid. |
Configuration avancée
Hachage des mots de passe : La méthode de chiffrement des mots de passe des nouveaux utilisateurs.
Certaines méthodes d'authentification (comme LDAP) doivent stocker le mot de passe utilisateur sous la forme d'un hash (résultat d'une fonction de hachage appliquée au mot de passe) qui évite le stockage en clair de ce mot de passe.
Vous devez choisir la méthode de hachage désirée parmi :
SHA | « Secure Hash Algorithm ». Cette méthode de chiffrement permet d’établir une chaîne de caractères de 160 bits ou octets (appelé « clé ») qui sert de référence pour l’identification. |
MD5 | « Message Digest ». Cet algorithme permet de vérifier l’intégrité des données saisies, en générant une « clé MD5 », de 128 bits. REMARQUE |
SSHA | « Salt Secure Hash Algorithm ». Repose sur le même principe que SHA, mais contient en plus une fonction de « salage » de mot de passe, qui consiste à ajouter une séquence de bit aux données saisies, afin de les rendre encore moins lisibles. NOTE Cette méthode de chiffrement est la plus sécurisée et son utilisation est fortement recommandée. |
SMD5 | « Salt Message Digest ». Repose sur le même principe que MD5, avec la fonction de salage de mot de passe en plus. |
CRYPT | Le mot de passe est protégé par l'algorithme CRYPT, dérivé de l'algorithme DES permettant le chiffrement par bloc, en utilisant des clés de 56 bits. Il est peu conseillé, possédant un niveau de sécurité relativement faible. |
Aucune | Pas de chiffrement du mot de passe, celui-ci est stocké en clair. AVERTISSEMENT |
Branche ‘utilisateurs’ | Pour un annuaire externe de type PosixAccount, ce champ n’est pas disponible. |
Branche ‘groupes’ | Pour un annuaire externe de type PosixAccount, ce champ n’est pas disponible. |
Branche de l’autorité de certification | Ce champ définit l’emplacement de l’autorité de certification présente dans la base LDAP externe. Cet emplacement est notamment utilisé lors de la recherche de la CA utilisé pour la méthode d’authentification SSL. NOTE (Voir menu Utilisateurs >module Authentification > onglet Méthodes disponibles : il faut ajouter la méthode d’authentification Certificat (SSL) et indiquer la CA dans la colonne de droite « Autorités de confiance (C.A) » ) |
Vous pouvez cliquer sur Appliquer pour valider votre configuration.