Configuration LDAP sysPass

De EjnTricks

Cet article présente la configuration d'un annuaire LDAP dans sysPass. Lors de la première connexion des utilisateurs, les comptes sont automatiquement créés dans l'application mais sont inactifs. Un "administrateur" devra les activer.


Hand-icon.png Votre avis

Nobody voted on this yet

 You need to enable JavaScript to vote


Dependencies.gif Pré requis

Les receherches LDAP sur les comptes sont assez génériques. Cependant, la classe des comptes doit être une parmi les suivantes.

  • inetOrgPerson
  • person
  • simpleSecurityObject

La recherhce de l'identifiant est réalisé sur les deux attributs suivants.

  • cn
  • uid

Enfin, dans le cas d'un filtre sur un groupe, celui-ci s'effectue sur l'attribut technique memberOf. Dans le cas de l'utilisation de OpenLDAP, il donc est nécessaire d'installer l'overlay memberOf. Le filtre est effectué sur


Icon-Configuration-Settings.png Déclaration annuaire

Une fois l'annuaire LDAP installé, il faut le déclarer au niveau de sysPass, avec un compte administrateur. Ceci s'effectue dans la section LDAP de l'interface d'administration.


La déclaration de l'annuaire s'effectue à l'aide des paramètres suivants, dans le cadre de cette installation.

Paramètre Valeur Description
Serveur localhost Nom du serveur où est installer l'annuaire LDAP.
Utilisateur de connexion cn=admin,dc=ejnserver,dc=fr Identifiant du compte de connexion.
Mot de passe de connexion XXX Mot de passe du compte.

Il est possible de visualiser le mot de passe en survolant l'idône représentant un oeil.

Base de recherche ou=people,dc=ejnserver,dc=fr Branche de recherche des utilisateurs.

Des paramètres complémentaires sont disponibles concernant les groupes, mais seront expliqués dans un prochain paragraphe.

Attention, dans le cadre de l'utilisation de OpenLDAP, il ne faut pas activer l'option Active Directory qui entraîne des paramètres spécifiques à l'annuaire Active Directory.

Enfin, l'authentification sur l'annuaire doit être activée en cliquant sur le bouton en face du paramètre Activer l'annuaire LDAP.


Run-icon.png Test

La déclaration de l'annuaire peut être validée en cliquant sur l'icône en face du label Vérifier. Dans le cadre de cette installation, les paramètres sont les suivants et la vérification est validée.


Une fois validée, il suffit de sauvegarder la modification en cliquant sur l'icône en bas du formulaire.


User-group-icon.png Filtre groupe

Dans le paragraphe précédent, la configuration est assez simple et n'inclue aucun filtre sur l'appartenance à un groupe. La mise en place de cette restriction n'est pas aussi intuitive et il est nécessaire de comprendre les concept mis en place au sein de l'application.

Configuration-icon.png Configuration

L'objectif est de filtrer les utilisateurs pouvant se connecter en fonction de l'appartenance à un groupe LDAP, soit syspassUsers dans la brache ou=groups,dc=ejnserver,dc=fr. L'aide, affichée en survollant le point d'inintérrogation, indique que le groupe doit se situé dans l'arborescence de la base de recherche, spécifiée dans le paramètre Base de recherche.

Donc à première vue, cette restriction semble nécessiter que le groupe est dans la même branche que les utilisateurs, contradictoire avec l'organisation mise en place. En effet, deux branches ont été créées pour les groupes et les utilisateurs, dans le cadre de cette installation.

  • ou=groups,dc=ejnserver,dc=fr pour les groupes;
  • ou=people,dc=ejnserver,dc=fr pour les utilisateurs.

Cependant, la recherche s'effectue depuis la racine et dans l'intégralité de la hierarchie.

La configuration précédente est donc modifiée afin de spécifier les valeurs suivantes.

Paramètre Valeur Description
Serveur localhost Nom du serveur où est installer l'annuaire LDAP.
Utilisateur de connexion cn=admin,dc=ejnserver,dc=fr Identifiant du compte de connexion.
Mot de passe de connexion XXX Mot de passe du compte.

Il est possible de visualiser le mot de passe en survolant l'idône représentant un oeil.

Base de recherche dc=ejnserver,dc=fr Branche de recherche des utilisateurs.
Groupe syspassUsers Nom du groupe pour filtrer les utilisateurs.


L'outil de vérification permet de vérifier que le filtre appliqué a un impact sur le nombre de résultats.

Cependant, n'importe quel compte dans la branche de recherche est validé lors de la connexion. Ceci fait l'objet du ticket 321 au près de l'équipe, pour la version 1.2.0.18.

Afin d'avoir un filtre sur le groupe actif, il est nécessaire de spécifier le DN complet du groupe et non pas uniquement le nom. La base de recherche doit toujours contenir la branche pour les groupes et les utilisateurs comme explicités précédement. La configuration est donc la suivante. La configuration précédente est donc modifiée afin de spécifier les valeurs suivantes.

Paramètre Valeur Description
Serveur localhost Nom du serveur où est installer l'annuaire LDAP.
Utilisateur de connexion cn=admin,dc=ejnserver,dc=fr Identifiant du compte de connexion.
Mot de passe de connexion XXX Mot de passe du compte.

Il est possible de visualiser le mot de passe en survolant l'idône représentant un oeil.

Base de recherche dc=ejnserver,dc=fr Branche de recherche des utilisateurs.
Groupe cn=syspassUsers,ou=groups,dc=ejnserver,dc=fr Nom du groupe pour filtrer les utilisateurs.


Lors de la configuration de l'annuaire LDAP, il est possible d'affecter un groupe et profil affecté aux nouveaux utilisateurs. Dans le cadre de cette installation, un groupe Utilisateurs a été créé ainsi qu'un profil Utilisateur. Ces valeurs sont disponibles dans les listes de choix.

Il est alors possible de sélectionner le groupe par défaut en sélectionnant la valeur dans la liste de choix.


De même pour le profil, il faut choisir la valeur dans la liste.


Warning-icon.png Précaution compte administrateur

Une attention particluière doit être portée sur le compte d'administration. En effet, la base de recherce a été remontée d'un niveau. Par conséquent, le compte cn=admin,dc=ejnserver,dc=fr rentre dans le périmètre de recherche.

Or lors de l'initialisation, le compte administrateur a été créé avec l'identifiant admin. Il y a donc une collision entre le compte déclaré dans sysPass et celui de l'annuaire et après validation de la configuration, il n'est plus possible de se connecter avec le compte d'administration.


Motpasse-utilisateur.png Première connexion