Authentification sur le serveur LDAP à l'aide de la carte d'authentification (Authentification de carte LDAP-IC)

Présentation

Vous pouvez configurer les réglages de sorte que l'authentification soit effectuée sur le serveur LDAP à l'aide de l'ID de carte enregistré dans la carte d'authentification (LDAP-Auth. Carte IC).

L'authentification s'effectue uniquement en plaçant la carte IC. Ceci améliore la sécurité sans empêcher les utilisateurs d'utiliser facilement la machine.

Pour procéder à l'authentification avec la carte d'authentification, suivez la procédure ci-dessous pour configurer les réglages.

  1. Activer l'utilisation de l'Unité d'authentification (type carte IC) sur la machine

    Explication supplémentaireL'Unité d'authentification (type carte IC) doit être configurée par votre ingénieur S.A.V. Pour plus de détails, contactez le S.A.V.

  2. Configuration des réglages de base de la fonction LDAP-Auth. Carte IC

  3. Configurez les options suivantes en fonction de votre environnement

    Objet

    Référence

    Communication avec le serveur LDAP en utilisant SSL

    [Utilisation de la communication SSL]

Configuration des réglages de base de la fonction LDAP-Auth. Carte IC

  1. En mode Administrateur, sélectionnez [Auth.Util/Compte Départ.] - [Réglages LDAP/Auth. Carte IC] - [Réglages LDAP/Auth. Carte IC] et définissez [Réglages LDAP/Auth. Carte IC] sur [ON] (par défaut : [OFF]).

  2. En mode administrateur, sélectionnez [Auth.Util/compte départ.] - [Réglages LDAP/auth. carte -IC] - [Enregistrer serveur], et cliquez sur [Modifier].

  3. Cliquez sur [Modifier] dans [1er serveur], puis configurez les paramètres suivants.

    Paramètres

    Description

    [Nom du serveur d'authentification LDAP carte IC]

    Entrez le nom de votre groupe serveur d'authentification (avec 32 caractères max.).

    Attribuez un nom vous permettant d'identifier facilement le groupe serveur d'authentification.

    [Authentification par serveur externe]

    Sélectionnez le groupe serveur d'authentification externe utilisé pour y associer l'authentification LDAP par carte IC.

    Quand l'authentification LDAP par carte IC réussit, les informations d'authentification utilisateur sont enregistrées sur la machine pour la gestion des utilisateurs sur la machine. Ces informations d'authentification comprennent le nom de l'utilisateur et le nom du serveur d'authentification externe. Le nom du serveur d'authentification externe sélectionné ici est enregistré sur la machine avec le nom d'utilisateur.

    [Aucune sélection] est spécifié par défaut.

    [Configuration infos enregistrement carte]

    En cas d'authentification réalisée sur la machine avec une carte IC non enregistrée sur le serveur LDAP, indiquez si vous souhaitez enregistrer la carte IC en question sur le serveur LDAP.

    Si [ON] est sélectionné, configurez les réglages suivants.

    • [Enregistrement séquentiel carte serveur] : spécifiez le serveur sur lequel enregistrer les informations de carte. Si vous sélectionnez [Serveur principal pour enreg. carte], les informations de la carte sont enregistrées sur le serveur dont l'authentification a réussi entre le serveur principal et le serveur secondaire.

    • [Attribut nom utilisateur] : spécifiez l'attribut à rechercher en tant que nom d'utilisateur.

    [OFF] est spécifié par défaut.

    [Type caractères infos carte durant recherche]

    Sélectionnez la méthode de conversion des chaînes de recherche de l'ID carte via le serveur LDAP.

    Lorsque les informations d'attribut de carte sur le serveur sont sensibles à la casse, vous pouvez dans certains cas convertir le type de caractère de la chaîne de recherche et réduire consécutivement la vitesse de recherche.

    • [Lettres majuscules/minuscules] : convertit l'ID carte en lettres majuscules ou minuscules pour effectuer une recherche.

    • [Lettres majuscules] : convertit l'ID carte en lettres majuscules pour effectuer une recherche.

    • [Lettres minuscules] : convertit l'ID carte en lettres minuscules pour effectuer une recherche.

    [Lettres majuscules/minuscules] est spécifié par défaut.

    [Adresse du serveur]

    Saisissez l'adresse du serveur LDAP à utiliser pour l'authentification de l'ID utilisateur de la carte IC.

    Utilisez l'un des formats suivants.

    • Exemple d'entrée de nom d'hôte : "host.example.com"

    • Exemple d'entrée d'adresse IP (IPv4) : "192.168.1.1"

    • Exemple d'entrée d'adresse IP (IPv6) : "fe80::220:6bff:fe10:2f16"

    [Nº port]

    Le cas échéant, modifiez le numéro de port du serveur LDAP.

    Normalement, vous pouvez utiliser le numéro de port d'origine.

    [389] est spécifié par défaut.

    [Base recherche 1] à [Base recherche 3]

    Spécifiez le point de départ et la plage de recherche d'un utilisateur à authentifier.

    • [Base de recherc.] : spécifiez le point de départ d'une recherche (255 caractères max.).
      Exemple de saisie : "cn=users,dc=example,dc=com"

    • [Plage de recherche] : sélectionnez une plage de recherche arborescente. [Arborescence entière] est spécifié par défaut.
      La sélection [Arborescence entière] effectue la recherche en incluant la structure arborescente sous le point de départ entré. La sélection de [Hiérarchie suivante uniquement] permet de rechercher uniquement le niveau directement situé sous le point de départ entré. Dans ce cas, le niveau du point de départ n'est pas inclus dans la cible de recherche.

    [Délai attente]

    Si besoin est, modifiez le délai d'expiration pour limiter la communication avec le serveur LDAP.

    [60] s est spécifié par défaut.

    [Paramètres généraux]

    Sélectionnez la méthode d'authentification pour vous connecter au serveur LDAP.

    Sélectionnez une méthode appropriée pour la méthode d'authentification utilisée pour votre serveur LDAP.

    • [Simple]

    • [Digest-MD5]

    • [GSS-SPNEGO]

    • [NTLM v1]

    • [NTLM v2]

    [Simple] est spécifié par défaut.

    [Identifiant de l'utilisateur]

    Connectez-vous au serveur LDAP, et entrez le nom d'utilisateur à rechercher (avec 64 caractères max.).

    À cette étape, entrez l'utilisateur (nom) qui appartient à un groupe administrateur spécifique sur le serveur LDAP.

    [Code d'accès]

    Saisissez le mot de passe de l'utilisateur que vous avez saisi dans [Nom de connexion] (64 caractères max., à l'exclusion de ").

    Pour saisir (modifier) le mot de passe, cochez la case [Le mot de passe a été modifié.], puis saisissez un nouveau mot de passe.

    [Nom Domaine]

    Entrez le nom de domaine pour la connexion au serveur LDAP (avec 64 caractères max.).

    Si [GSS-SPNEGO] est sélectionné pour [Système d'authentification], saisissez le nom de domaine Active Directory.

    [Utiliser la Soumission]

    Indiquez si vous souhaitez utiliser la fonction de soumission, le cas échéant.

    Faites un choix approprié compatible avec l'environnement du serveur LDAP.

    [OUI] est spécifié par défaut.

    [Attribut de recherche]

    Entrez l'attribut pour l'emplacement d'enregistrement des informations de carte IC (63 caractères max., - compris).

    L'attribut doit commencer par une lettre de l'alphabet.

    [uid] est spécifié par défaut.

    [Nom utilis.]

    Sélectionnez le mode d'obtention du nom d'utilisateur lors de la connexion à cette machine.

    • [Utiliser Carte ID] : ne sélectionner cette option que si les informations de carte IC sont enregistrées sur le serveur. Utiliser Carte ID : utilise l'ID de carte de la carte IC comme nom d'utilisateur.

    • [Acquisition...] : sélectionner cette option si des informations d'utilisateur autres que les informations de carte IC sont enregistrées sur le serveur. Utilise le nom d'utilisateur récupéré sur le serveur. Saisissez l'attribut à rechercher en tant que nom d'utilisateur ("uid") dans [Attribut Nom utilisateur].
      Si [OUI] est sélectionné dans [Configuration infos enregistrement carte][Acquisition...] est sélectionné. Toute modification est alors impossible. Puis, l'attribut spécifié dans [Configuration infos enregistrement carte] s'affiche dans [Attribut nom d'utilisateur].

    [Utiliser Carte ID] est spécifié par défaut.

    [Rech. service de répertoires]

    Si vous sélectionnez [Active Directory], vous pouvez limiter une cible de recherche d'authentification aux utilisateurs. Toutefois, en cas de cible de recherche d'authentification limitée aux utilisateurs, l'identification de la cible de recherche intervient sur le serveur. Le temps d'authentification risque donc être plus long. Cette fonction est disponible si le serveur d'authentification est réglé sur Active Directory (Windows Server 2008 ou ultérieur).

    [Autre] est spécifié par défaut.

  4. Cliquez sur [Modifier] dans [2 serveur] selon vos besoins, puis configurez les paramètres suivants.

    Paramètres

    Description

    [Configuration 2 serveur]

    Indiquez si vous souhaitez utiliser le serveur secondaire.

    En groupant deux serveurs, vous pouvez alterner entre les deux pour effectuer l'authentification en cas d'arrêt de l'un d'entre eux.

    [OFF] est spécifié par défaut.

    [Fonction Round Robin]

    Sélectionnez ou non de vous connecter alternativement au serveur principal et au serveur secondaire.

    Si vous sélectionnez [Activer], vous pouvez vous connecter alternativement aux serveur principal et secondaire pour distribuer la charge du serveur.

    [Désactiver] est spécifié par défaut.

    [Paramètres Reconnexion]

    Configurez un réglage vous permettant de vous connecter au serveur secondaire lorsque la connexion de la machine au serveur principal est impossible. Lorsque la fonction d'alternance est activée, ce paramètre permet aussi la connexion au serveur principal lorsque la connexion de la machine au serveur secondaire est impossible.

    • [Se reconnecter pour chaque connexion] : se connecte au serveur primaire chaque fois que l'authentification est réalisée sur la machine. Si le serveur primaire est arrêté, la machine est connectée au serveur d'authentification secondaire.

    • [Régler Intervalle de reconnexion] : connexion au serveur d'authentification secondaire en cas d'arrêt du serveur d'authentification principal pendant l'authentification de la machine. Ensuite, la machine est connectée au serveur secondaire en cas d'authentification et ce jusqu'à expiration du délai spécifié dans [Heure de reconnexion]. Après expiration du délai spécifié dans [Heure de reconnexion], la machine est reconnectée au serveur primaire en cas d'authentification.

    [Régler Intervalle de reconnexion] est spécifié par défaut.

    [Configuration infos enregistrement carte]

    En cas d'authentification réalisée sur la machine avec une carte IC non enregistrée sur le serveur LDAP, indiquez si vous souhaitez enregistrer la carte IC en question sur le serveur LDAP.

    • [Identique au 1er serveur] : sélectionnez [Activer] pour utiliser le même réglage que pour le serveur principal. Pour utiliser un réglage différent de celui du serveur principal, sélectionnez [Désactiver] et spécifiez l'attribut à rechercher en tant que nom d'utilisateur dans [Attribut nom utilisateur].

    Informations sur le serveur secondaire

    Spécifiez les informations requises.

    Pour des détails sur les réglages, voir l'étape 3.

  5. Sur le panneau de contrôle, sélectionnez [Utilitaire] - [Réglages administrateur] - [Authentification utilisateur/suivi de compte] - [Réglages périphérique authentification] - [Réglages généraux] - [Authentification par carte] - [Réglage Type carte IC ]. Autorisez ensuite la carte IC à utiliser et définisse le serveur LDAP comme serveur d'authentification.

    Explication supplémentairePour des détails sur [Réglage Type Carte IC], voir [Paramètres généraux] .

Tips
  • Pour vérifier l'état de connexion du serveur d'authentification primaire et du serveur d'authentification secondaire, sélectionnez [Authentification utilisateur/compte département] - [Connexion au serveur d'authentification] - [Authentification LDAP/carte IC] en mode administrateur. Si [Connexion activée] est affiché, vous pouvez vous connecter aux deux serveurs d'authentification primaire et secondaire.

Utilisation de la communication SSL

La communication entre cette machine et le serveur LDAP est cryptée avec SSL.

Configurez le réglage si votre environnement requiert un cryptage SSL pour la communication avec le serveur LDAP.

En mode Administrateur, sélectionnez [Auth.Util/Compte Départ.] - [Réglages LDAP/Auth. Carte IC] - [Enregistrer serveur] - [Éditer], puis configurez les paramètres suivants.

Paramètres

Description

[Activer SSL]

Sélectionnez cette case à cocher pour utiliser la communication SSL.

[DÉSACTIVÉ] (non sélectionné) est spécifié par défaut.

[Numéro de port(SSL)]

Si nécessaire, modifiez le numéro de port de communication SSL.

Normalement, vous pouvez utiliser le numéro de port d'origine.

[636] est spécifié par défaut.

[Réglages Niveau Vérification Certificat]

Pour vérifier le certificat, sélectionnez les éléments à vérifier.

Si vous sélectionnez [Confirmer] à chaque élément, le certificat est vérifié pour chaque élément.

[Date d'expiration]

Vérifiez si le certificat est encore valide.

[Confirmer] est spécifié par défaut.

[CN]

Vérifiez si le CN (nom commun) du certificat correspond à l'adresse du serveur.

[Ne pas confirmer] est spécifié par défaut.

[Utilisation Touche]

Vérifiez si le certificat est utilisé conformément à l'utilisation prévue approuvée par l'émetteur du certificat.

[Ne pas confirmer] est spécifié par défaut.

[Chaîne]

Vérifiez si la chaîne du certificat (chemin du certificat) présente un problème.

La chaîne est validée par référencement des certificats externes gérés sur cette machine.

[Ne pas confirmer] est spécifié par défaut.

[Confirmation Date d'expiration]

Vérifiez si le certificat a expiré.

Vérifiez l'expiration du certificat dans l'ordre suivant.

  • Service OCSP (Online Certificate Status Protocol)

  • CRL (Certificate Revocation List)

[Ne pas confirmer] est spécifié par défaut.