CONFIGURATION DES ANNUAIRES

LDAP est un protocole standard permettant de gérer des annuaires, c’est-à-dire d’accéder à des bases d’informations sur les utilisateurs d’un réseau par l’intermédiaire de protocoles TCP/IP.

Les firewalls Stormshield Network embarquent une base LDAP interne. Celle-ci stocke les informations relatives aux utilisateurs devant s’authentifier pour passer au travers du firewall. En plus de cet annuaire interne, il est également possible de connecter le firewall jusqu'à quatre bases LDAP externes qui se trouvent sur des machines distantes.

Le module de Configuration des annuaires (accessible dans le menu Utilisateurs > Configuration des annuaires) comporte un assistant de configuration en première page, vous proposant de choisir votre annuaire et de l’initialiser.

  • Connexion à un annuaire Microsoft Active Directory,
  • Connexion à un annuaire LDAP externe,
  • Connexion à un annuaire LDAP externe de type PosixAccount,
  • Création d’un LDAP interne.

En fonction de votre choix, l'étape suivante est variable, la configuration d'un LDAP externe réclamant plus de renseignements.

Pour connaître les caractères autorisés ou interdits des différents champs à renseigner, reportez-vous à la section Noms autorisés.

Selon votre modèle de firewall, un nombre maximum détermine l’ensemble des utilisateurs pouvant être authentifiés simultanément. Cette délimitation est indiquée dans la section Utilisateurs.

Chacune des configurations de ces annuaires comporte 3 étapes, sélectionnez la base LDAP choisie en cochant la case correspondante.

Pour pouvoir établir une connexion sécurisée (LDAPS) entre le firewall et l'annuaire, il est nécessaire que le serveur hébergeant l'annuaire externe supporte et utilise l'une des suites de chiffrement suivantes :

  • TLS_AES_128_GCM_SHA256 (0x1301) (TLS1.3),
  • TLS_CHACHA20_POLY1305_SHA256 (0x1303) (TLS1.3),
  • TLS_AES_256_GCM_SHA384 (0x1302) (TLS1.3),
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xc02b),
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f),
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e),
  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca9),
  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xcca8),
  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (0xccaa),
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xc02c),
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030),
  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x009f),

Avec, pour les suites basées sur ECDHE, des courbes elliptiques appartenant obligatoirement à l'un des groupes listés ci-dessous :

  • x25519 (0x001d),
  • secp256r1 (0x0017),
  • x448 (0x001e),
  • secp521r1 (0x0019),
  • secp384r1 (0x0018).