Configuration LDAP sysPass
Cet article présente la configuration d'un annuaire LDAP dans sysPass. Lors de la première connexion des utilisateurs, les comptes sont automatiquement créés dans l'application mais sont inactifs. Un "administrateur" devra les activer.
Sommaire
Votre avis
| Nobody voted on this yet
|
|
Pré requis
Les receherches LDAP sur les comptes sont assez génériques. Cependant, la classe des comptes doit être une parmi les suivantes.
- inetOrgPerson
- person
- simpleSecurityObject
La recherhce de l'identifiant est réalisé sur les deux attributs suivants.
- cn
- uid
Enfin, dans le cas d'un filtre sur un groupe, celui-ci s'effectue sur l'attribut technique memberOf. Dans le cas de l'utilisation de OpenLDAP, il donc est nécessaire d'installer l'overlay memberOf. Le filtre est effectué sur
Déclaration annuaire
Une fois l'annuaire LDAP installé, il faut le déclarer au niveau de sysPass, avec un compte administrateur. Ceci s'effectue dans la section LDAP de l'interface d'administration.
La déclaration de l'annuaire s'effectue à l'aide des paramètres suivants, dans le cadre de cette installation.
| Paramètre | Valeur | Description |
|---|---|---|
| Serveur | localhost | Nom du serveur où est installer l'annuaire LDAP. |
| Utilisateur de connexion | cn=admin,dc=ejnserver,dc=fr | Identifiant du compte de connexion. |
| Mot de passe de connexion | XXX | Mot de passe du compte.
Il est possible de visualiser le mot de passe en survolant l'idône représentant un oeil. |
| Base de recherche | ou=people,dc=ejnserver,dc=fr | Branche de recherche des utilisateurs. |
Des paramètres complémentaires sont disponibles concernant les groupes, mais seront expliqués dans un prochain paragraphe.
Attention, dans le cadre de l'utilisation de OpenLDAP, il ne faut pas activer l'option Active Directory qui entraîne des paramètres spécifiques à l'annuaire Active Directory.
Enfin, l'authentification sur l'annuaire doit être activée en cliquant sur le bouton en face du paramètre Activer l'annuaire LDAP.
Test
La déclaration de l'annuaire peut être validée en cliquant sur l'icône en face du label Vérifier. Dans le cadre de cette installation, les paramètres sont les suivants et la vérification est validée.
Une fois validée, il suffit de sauvegarder la modification en cliquant sur l'icône en bas du formulaire.
Filtre groupe
Dans le paragraphe précédent, la configuration est assez simple et n'inclue aucun filtre sur l'appartenance à un groupe. La mise en place de cette restriction n'est pas aussi intuitive et il est nécessaire de comprendre les concept mis en place au sein de l'application.
Configuration
L'objectif est de filtrer les utilisateurs pouvant se connecter en fonction de l'appartenance à un groupe LDAP, soit syspassUsers dans la brache ou=groups,dc=ejnserver,dc=fr. L'aide, affichée en survollant le point d'inintérrogation, indique que le groupe doit se situé dans l'arborescence de la base de recherche, spécifiée dans le paramètre Base de recherche.
Donc à première vue, cette restriction semble nécessiter que le groupe est dans la même branche que les utilisateurs, contradictoire avec l'organisation mise en place. En effet, deux branches ont été créées pour les groupes et les utilisateurs, dans le cadre de cette installation.
- ou=groups,dc=ejnserver,dc=fr pour les groupes;
- ou=people,dc=ejnserver,dc=fr pour les utilisateurs.
Cependant, la recherche s'effectue depuis la racine et dans l'intégralité de la hierarchie.
La configuration précédente est donc modifiée afin de spécifier les valeurs suivantes.
| Paramètre | Valeur | Description |
|---|---|---|
| Serveur | localhost | Nom du serveur où est installer l'annuaire LDAP. |
| Utilisateur de connexion | cn=admin,dc=ejnserver,dc=fr | Identifiant du compte de connexion. |
| Mot de passe de connexion | XXX | Mot de passe du compte.
Il est possible de visualiser le mot de passe en survolant l'idône représentant un oeil. |
| Base de recherche | dc=ejnserver,dc=fr | Branche de recherche des utilisateurs. |
| Groupe | syspassUsers | Nom du groupe pour filtrer les utilisateurs. |
L'outil de vérification permet de vérifier que le filtre appliqué a un impact sur le nombre de résultats.
Cependant, n'importe quel compte dans la branche de recherche est validé lors de la connexion. Ceci fait l'objet du ticket 321 au près de l'équipe, pour la version 1.2.0.18.
Afin d'avoir un filtre sur le groupe actif, il est nécessaire de spécifier le DN complet du groupe et non pas uniquement le nom. La base de recherche doit toujours contenir la branche pour les groupes et les utilisateurs comme explicités précédement. La configuration est donc la suivante. La configuration précédente est donc modifiée afin de spécifier les valeurs suivantes.
| Paramètre | Valeur | Description |
|---|---|---|
| Serveur | localhost | Nom du serveur où est installer l'annuaire LDAP. |
| Utilisateur de connexion | cn=admin,dc=ejnserver,dc=fr | Identifiant du compte de connexion. |
| Mot de passe de connexion | XXX | Mot de passe du compte.
Il est possible de visualiser le mot de passe en survolant l'idône représentant un oeil. |
| Base de recherche | dc=ejnserver,dc=fr | Branche de recherche des utilisateurs. |
| Groupe | cn=syspassUsers,ou=groups,dc=ejnserver,dc=fr | Nom du groupe pour filtrer les utilisateurs. |
Lors de la configuration de l'annuaire LDAP, il est possible d'affecter un groupe et profil affecté aux nouveaux utilisateurs. Dans le cadre de cette installation, un groupe Utilisateurs a été créé ainsi qu'un profil Utilisateur. Ces valeurs sont disponibles dans les listes de choix.
Il est alors possible de sélectionner le groupe par défaut en sélectionnant la valeur dans la liste de choix.
De même pour le profil, il faut choisir la valeur dans la liste.
Précaution compte administrateur
Une attention particluière doit être portée sur le compte d'administration. En effet, la base de recherce a été remontée d'un niveau. Par conséquent, le compte cn=admin,dc=ejnserver,dc=fr rentre dans le périmètre de recherche.
Or lors de l'initialisation, le compte administrateur a été créé avec l'identifiant admin. Il y a donc une collision entre le compte déclaré dans sysPass et celui de l'annuaire et après validation de la configuration, il n'est plus possible de se connecter avec le compte d'administration.
