Documentation

Annuaire LDAP

Les annuaires LDAP peuvent être utilisés pour authentifier les utilisateurs Vulture.

Paramètres de connexion à l’annuaire

repo-ldap

  • Repository name : Nom permettant de désigner l’entrepôt. Ce nom sera utilisé ailleurs dans les interfaces de la GUI.

  • Host : Adresse IPv4 ou IPv6 pour contacter l’annuaire. Les noms d’hôtes ne sont pas permis, afin éviter les latences liées aux requêtes DNS
  • Port : Numéro de port TCP pour contacter l’annuaire
  • Protocol : LDAPv2 ou LDAPv3 en fonction de la configuration de votre annuaire
  • Encryption scheme : Aucun (déconseillé) / LDAPS / Start-TLS
  • Service account DN : DN du compte de service utilisé par Vulture. Ce compte de service est utilisé pour le bind LDAP afin de rechercher les utilisateurs et les groupes. C’est également ce compte qui va réaliser les opérations d’administration sur l’annuaire, comme par exemple le changement d’un mot de passe utilisateur. Il doit donc avoir les privilèges permettant d’effectuer ces actions
  • Service account password : Le mot de passe associé au compte de service
  • Base DN : Le suffixe de recherche par défaut dans l’annuaire LDAP

Il n’est pas possible de sauvegarder la configuration LDAP sans cliquer sur “TEST LDAP Connection”. Cela permet de vérifier que la connexion à l’annuaire et le bind du compte de services fonctionnent parfaitement. En ca d’erreur Vulture vous affichera la raison technique de l’échec. Généralement les échecs sont liés à:

  • Un filtrage réseau: Vulture n’arrive pas à contacter l’annuaire sur l’adresse IP et le port indiqués
  • Un problème de DN ou de mot de passe incorrect
  • Un problème SSL/TLS lié à un manque de confiance dans le certificat présenté par le serveur LDAP

Résolution des problèmes de connexions TLS Vulture 3 est plus strict en sécurité que les versions précédentes. Aussi il refusera de se connecter au serveur LDAP si le certificat présenté n’est pas signé par une autorité de certification en laquelle Vulture a confiance. Pour ajouter des autorités de confiance dans Vulture, voici la procédure à suivre:

  1. Déposer votre certificat racine (“ca.crt” dans cet exemple) via SSH sur Vulture dans le répertoire /etc/ssl
    • _scp ca.crt vlt-adm@:/etc/ssl/ca.crt_
  2. Ajouter la ligne suivante dans le fichier /usr/local/etc/openldap/ldap.conf
    • TLS_CACERT /etc/ssl/ca.crt
  3. Ceci est non conseillé, mais pour les tests vous pouvez
    1. Ignorer la vérification de la chaine de confiance serveur via la directive TLS_REQUIRE_CERT never
    2. Ignorer la vérification du nom du certificat serveur via la directive TLS_REQCERT never

Paramètres utilisateurs:

ldap-user

  • User search scope : Profondeur de recherche des utilisateurs
    • subtree: Recherche dans branche indiquée (“User DN”) et dans toutes les sous-branches (déconseillé)
    • one: Recherche dans la branche indiquée (“User DN”) et dans la branche du dessous
    • base: Recherche uniquement dans la branche indiquée (“User DN”)
  • User DN : Branche à partir de laquelle il faut rechercher les utilisateurs. Le suffixe de la branche est automatiquement ajouté (base DN), il ne faut pas le rajouter.
  • User attribute : Attribut LDAP utilisé comme login utilisateur. Vulture effectuera ses recherches d’utilisateur sur ce champ (le nom du compte saisi dans la mire d’authentification Vulture sera mappé sur ce champ LDAP)
  • User search filter : Filtre LDAP utilisé pour rechercher les utilisateurs dans l’annuaire. Essayez de faire le filtre le plus restreint possible pour optimiser les performances et la sécurité
  • Account locked filter : Filtre LDAP permettant à Vulture de savoir si le compte est verrouillé. Ce filtre optionnel est utilisé par le portail Vulture pour personnaliser le parcours d’authentification
  • Need change password filter : Filtre LDAP permettant à Vulture de savoir si le compte est verrouillé. Ce filtre optionnel est utilisé par le portail Vulture pour personnaliser le parcours d’authentification
  • Group attribute : Attribut LDAP permettant à Vulture de connaitre les groupes auxquels appartient l’utilisateur. Cet attribut est utilisé pour personnaliser le parcours d’authentification et faire du contrôle d’accès aux applications.
  • Mobile attribute : Attribut LDAP permettant à Vulture de récupérer le numéro de téléphone de l’utilisateur. Cet attribut est utilisé pour personnaliser le parcours utilisateur et envoyer les jetons OTP par SMS.
  • Email attribute : Attribut LDAP permettant à Vulture de récupérer l’adresse email de l’utilisateur. Cet attribut est utilisé pour personnaliser le parcours utilisateur et envoyer les jetons OTP par SMS.

En cliquant sur “Test User authentication settings” Vulture vous permet de saisir un login / mot de passe afin de valider le bon fonctionnement de l’authentification utilisateur: Si l’authentification réussie, Vulture renverra les attributs de l’utilisateur. Si elle échoue, Vulture indiquera la raison de l’échec.

Paramètres de groupe:

ldap-group

  • Group search scope : Profondeur de recherche des groupes
    • subtree: Recherche dans branche indiquée (“Group DN”) et dans toutes les sous-branches (déconseillé)
    • one: Recherche dans la branche indiquée (“Group DN”) et dans la branche du dessous
    • base: Recherche uniquement dans la branche indiquée (“Group DN”)
  • Group DN : Branche à partir de laquelle il faut rechercher les groupes. Le suffixe de la branche est automatiquement ajouté (base DN), il ne faut pas le rajouter.
  • Group attribute : Attribut LDAP utilisé comme nom de groupe. Vulture effectuera ses recherches de groupes sur ce champ.
  • Group search filter : Filtre LDAP utilisé pour rechercher les groupes dans l’annuaire. Essayez de faire le filtre le plus restreint possible pour optimiser les performances et la sécurité
  • Members attribute : Attribut LDAP utilisé pour récupérer les membres du group. Cet attribut est utilisé pour personnaliser le parcours d’authentification et faire du contrôle d’accès aux applications.

En cliquant sur “Test Group settings” Vulture vous permet de saisir un nom de groupe afin de valider son existence dans l’annuaire. Si la recherche réussie, Vulture renverra les attributs du groupe. Si elle échoue, Vulture indiquera la raison de l’échec.

Paramètres OAuth2

A lire avant d’aller plus loin: Principes de fonctionnement du responder OAuth2

ldap-group