L'onglet Annuaire LDAP

Cet onglet affiche les utilisateurs et groupes définis dans les annuaires configurés sur le firewall.

Pour accéder aux données d’un utilisateur ou d'un groupe afin de les afficher ou les modifier, sélectionnez l'utilisateur ou le groupe dans la grille des CN (partie gauche de l'écran) : les informations le concernant s'affichent dans la colonne de droite.

Pour connaître les caractères autorisés ou interdits des différents champs à renseigner, reportez-vous à la section Noms autorisés.

La grille

Elle se compose de une à trois colonnes :

  • La colonne CN, affichée par défaut, qui reprend le nom des utilisateurs et des groupes sous la forme identifiant@annuaire,
  • La colonne DN, masquée par défaut, qui affiche le Distinguished Name de l'utilisateur ou du groupe (champs CN, OU, O et DC caractérisant l'utilisateur ou le groupe dans son annuaire de référence),
  • La colonne TOTP, masquée par défaut, qui contient une coche verte pour chaque utilisateur authentifié par une méthode TOTP (Time-based One Time Password - Mot de passe à usage unique basé sur le temps).

Détails d'un utilisateur

Onglet Compte

Identifiant (non modifiable) L’identifiant de connexion de l’utilisateur sélectionné.
Nom (non modifiable) Le nom de l’utilisateur sélectionné.
Prénom (non modifiable) Le prénom de l’utilisateur sélectionné.
E-mail Indique l’adresse e-mail de l’utilisateur sélectionné.
Téléphone Le numéro de téléphone de l’utilisateur sélectionné.
Description Description relative à l’utilisateur sélectionné.
Créer ou modifier le mot de passe En cliquant sur cette option, vous pouvez créer le mot de passe d’authentification de l’utilisateur dans une fenêtre spécifique, affichant également le niveau de sécurité.

NOTE
Pour autoriser l’utilisateur à modifier son mot de passe lui-même, il faut vous rendre dans le module Utilisateurs > Authentification, onglet Profils du portail captif, zone Configuration avancée > Mot de passe des utilisateurs.

TOTP

Ce cadre n'est affiché que lorsque l'utilisateur sélectionné s'est authentifié sur le firewall via la méthode TOTP.

Code TOTP à vérifier Ce champ permet de vérifier la validité d'un code TOTP utilisé pour se connecter aux services du firewall soumis à l'authentification TOTP.
Réinitialiser l'enrôlement En cliquant sur ce bouton, vous réinitialisez l'enrôlement TOTP de l'utilisateur : à la prochaine connexion aux services du firewall soumis à l'authentification TOTP, cet utilisateur devra donc de nouveau suivre la procédure complète d'enrôlement TOTP.

NOTE
Il n'est pas possible du supprimer de la base TOTP un utilisateur ayant les droits d'administration.

Onglet Certificat

Cet onglet vous permet :

  • D'afficher le certificat x509 de l'utilisateur lorsque ce certificat existe et a été publié dans l'annuaire LDAP,
  • De créer l'identité de l'utilisateur lorsque celle-ci n'existe pas dans la PKI,
  • De supprimer le certificat de l'utilisateur dans l'annuaire LDAP.

La PKI ne possédant pas d'Autorité de certification pas défaut, vous devez en créer une afin de gérer les certificats des utilisateurs : il faut vous rendre dans le module Objets > Certificats et PKI, bouton Ajouter > Ajouter une autorité racine.

Ce certificat peut servir dans deux cas : authentification via SSL et accès en VPN au firewall avec un client mobile IPsec. Ce certificat peut aussi être utilisé par d'autres applications.

Onglet Membre des groupes

Il permet d’inclure l’utilisateur dans un ou plusieurs groupes :

  1. Cliquez sur le bouton Ajouter.
    Une ligne vierge vient s’ajouter au tableau des groupes.
  2. Sélectionnez la flèche à droite du champ.
    Un menu déroulant vous propose une liste de groupes existants.
  3. Cliquez sur le groupe souhaité et validez votre choix en cliquant sur le bouton Appliquer.
    L'utilisateur est ajouté dans le tableau.

Pour retirer un groupe, sélectionnez-le et cliquez sur le bouton Supprimer.

Le nombre maximum est de 50 groupes par utilisateur.

Détails d'un groupe

Détails

Nom du groupe (non modifiable) Le nom du groupe sélectionné.
Description Description relative au groupe sélectionné.

La grille présente sous le cadre Détails affiche les utilisateurs appartenant au groupe sélectionné.

Pour ajouter un utilisateur au groupe :

  1. Cliquez sur le bouton Ajouter.
    Une ligne vierge vient s’ajouter au tableau des groupes.
  2. Sélectionnez la flèche à droite du champ.
    Un menu déroulant vous propose la liste des utilisateurs présents dans l'annuaire.
  3. Cliquez sur l'utilisateur souhaité et validez votre choix en cliquant sur le bouton Appliquer.
    L'utilisateur est ajouté dans le tableau.
  4. Cliquez sur Appliquer pour enregistrer la modification.

Pour retirer un utilisateur du groupe, sélectionnez-le et cliquez sur le bouton Supprimer.

Les actions possibles

La barre de recherche

Pour rechercher un utilisateur ou un groupe d’utilisateurs, saisissez tout ou partie de son nom, son prénom et / ou son identifiant (login) : tous les utilisateurs et / ou groupes d’utilisateurs pour lesquels ces champs contiennent les caractères saisis sont affichés.

EXEMPLE
Si vous saisissez la lettre « a » dans la barre de recherche, la liste en dessous fera apparaître tous les utilisateurs ou groupes d’utilisateurs possédant un « a » dans leur nom et / ou prénom.

Le filtre

Ce bouton permet de choisir le type de CN à afficher. Un menu déroulant vous propose les choix suivants :

Groupes et utilisateurs Matérialisée par l’icône , cette option permet d’afficher les utilisateurs et les groupes d’utilisateurs dans la liste .
Utilisateurs Matérialisée par l’icône , cette option permet d’afficher uniquement les utilisateurs dans la liste.
Groupes Matérialisée par l’icône , cette option permet d’afficher uniquement les groupes d’utilisateurs dans la liste.

Le filtre sur les annuaires

Lorsque plusieurs annuaires sont configurés sur le firewall, ce bouton permet de filtrer l'affichage des utilisateurs et / ou groupes en fonction de l'annuaire sélectionné.

Ajouter un utilisateur

  1. Pour créer un utilisateur, cliquez sur Ajouter un utilisateur puis sélectionnez l'annuaire concerné.
  2. Renseignez au moins son Identifiant, son Nom et attribuez-lui un Mot de passe.
    Pour lui associer un certificat, vous devrez indiquer une adresse e-mail valide.
    Les différents champs disponibles lors de la création d'un utilisateur sont les suivants :

Compte

Identifiant (login)

Identifiant de connexion de l’utilisateur.

Ce champ est obligatoire.
Nom

Nom de l’utilisateur.

Ce champ est obligatoire.
Prénom Prénom de l’utilisateur.
Mail Adresse e-mail de l’utilisateur.
Celle-ci sera nécessaire pour la création d'un certificat pour l'utilisateur.
Téléphone Numéro de téléphone de l’utilisateur.
Description Description indicative à l’utilisateur.

NOTE
Les champs « Identifiant », « Nom » et « Prénom » ne seront plus modifiables après leur création.

Mot de passe d'authentification

Mot de passe

Saisissez le mot de passe de l’utilisateur.

Ce champ est obligatoire.
Confirmez le mot de passe

Renseignez de nouveau ce mot de passe.

Ce champ est obligatoire.
Robustesse du mot de passe Une jauge indiquant la robustesse du mot de passe choisi est affichée.
  1. Cliquez sur Suivant puis sélectionnez éventuellement les groupes disponibles dans l'annuaire de référence que vous souhaitez affecter à l'utilisateur.
  2. Cliquez sur Terminer pour valider la création de votre utilisateur.

Ajouter un groupe

  1. Pour créer un groupe, cliquez sur Ajouter un groupe puis sélectionnez l'annuaire concerné.
  2. Renseignez au moins le Nom du groupe.
    Les différents champs disponibles lors de la création d'un groupe sont les suivants :

Détails

Nom du groupe

Donnez un nom à votre groupe afin de l’identifier dans la grille.

Ce champ est obligatoire.

NOTE
Vous ne pourrez plus changer le nom de votre groupe une fois ce dernier créé.
Description Vous pouvez décrire le groupe et modifier le contenu de sa description dès que vous le souhaitez.
Remplir ce champ reste facultatif mais néanmoins recommandé.

Membres

Membre initial

Sélectionnez un premier membre à ajouter dans le groupe.

Ce champ est obligatoire : un nouveau groupe ne peut pas être vide.
  1. Cliquez sur Créer pour valider la création de votre utilisateur.

Supprimer un utilisateur ou un groupe

Pour un groupe ou un utilisateur ne possédant pas de certificat issu de la PKI du firewall

  1. Sélectionnez l’utilisateur ou le groupe à supprimer.
  2. Cliquez sur Supprimer.
    Une fenêtre affichant le message « Confirmez-vous l’effacement de l’utilisateur <nom de l’utilisateur> » s’affiche.
  3. Cliquez sur Oui.

Pour un utilisateur possédant un certificat issu de la PKI du firewall

  1. Sélectionnez l’utilisateur à supprimer.
  2. Cliquez sur Supprimer.
    Une fenêtre affichant le message « Confirmez-vous l’effacement de l’utilisateur <nom de l’utilisateur> » s’affiche.
  3. Saisissez le Mot de passe de la CA (mot de passe de l'autorité émettrice du certificat).
  4. Cochez la case Exporter la CRL après sa mise à jour si vous souhaitez conserver une copie de la CRL.
  5. Dans ce cas, choisissez le Format du fichier d'export de la CRL :
    • Format Base64 (PEM),
    • Format binaire (DER).
  1. Cliquez sur Appliquer.
  2. Si vous avez choisi d'exporter la CRL, une fenêtre vous présente le lien de téléchargement du fichier d'export de la CRL.

Vérifier l’utilisation

Matérialisé par l’icône , ce bouton vous renseigne sur les groupes dont vos utilisateurs font partie, ainsi que sur l’utilisation de l’utilisateur ou du groupe dans le reste de la configuration.

EXEMPLE
Le filtrage :
  1. Sélectionnez l’utilisateur ou le groupe pour lequel vous souhaitez vérifier l’utilisation.
  2. Cliquez sur le bouton Vérifier l’utilisation.
    L’arborescence des menus de gauche vous présente votre utilisateur / groupe (par son identifiant) au sein de l’onglet User ans groups, et affiche la liste des groupes dont celui-ci fait partie, ainsi que son utilisation dans la configuration du firewall.

Réinitialiser l'enrôlement TOTP de l'utilisateur

Ce bouton n'est disponible que lorsque l'utilisateur sélectionné s'est authentifié sur le firewall via la méthode TOTP.

En cliquant sur ce bouton, vous réinitialisez l'enrôlement TOTP de l'utilisateur : à la prochaine connexion aux services du firewall soumis à l'authentification TOTP, cet utilisateur devra donc de nouveau suivre la procédure complète d'enrôlement TOTP.

NOTE
Il n'est pas possible du supprimer de la base TOTP un utilisateur ayant les droits d'administration.

Accéder au module Droits d'accès

Ce raccourci permet d'afficher directement les droits d'accès de l'utilisateur situés dans le module Utilisateurs > Droits d'accès.

Les interactions

Certaines opérations, listées dans la barre des tâches, peuvent être réalisées en effectuant un clic droit sur la grille des utilisateurs / groupes (grille CN) :

  • Supprimer (l'utilisateur ou le groupe sélectionné),
  • Vérifier l'utilisation (de l'utilisateur ou du groupe sélectionné),
  • Réinitialiser l'enrôlement TOTP de l'utilisateur sélectionné.