Authentification sur le serveur LDAP à l'aide de la carte d'authentification (LDAP-Auth. Carte IC)
Présentation
Vous pouvez configurer les réglages de sorte que l'authentification soit effectuée sur le serveur LDAP à l'aide de l'ID de carte enregistré dans la carte d'authentification (LDAP-Auth. Carte IC).
L'authentification s'effectue uniquement en plaçant la carte IC. Ceci améliore la sécurité sans empêcher les utilisateurs d'utiliser facilement la machine.
Pour procéder à l'authentification avec la carte d'authentification, suivez la procédure ci-dessous pour configurer les réglages.
Activer l'utilisation de l'Unité d'authentification (type carte IC) sur la machine
L'Unité d'authentification (type carte IC) doit être configurée par votre ingénieur S.A.V. Pour des détails, contactez le S.A.V.
Configuration des réglages de base de la fonction LDAP-Auth. Carte IC
Définissez les options suivantes en fonction de votre environnement
Objet
Référence
Communiquez avec le serveur LDAP à l'aide de SSL
Compenser l'arrêt du serveur LDAP
[Définition d'une authentification secondaire en cas d'arrêt d'un serveur LDAP]
Autoriser l'utilisateur à enregistrer l'ID de la carte IC sur le serveur LDAP
[Réglage pour autoriser l'utilisateur à enregistrer la carte IC sur le serveur LDAP]
Configuration des réglages de base de la fonction LDAP-Auth. Carte IC
En mode Administrateur, sélectionnez [Auth.Util/Compte Départ.] - [Réglages LDAP/Auth. Carte IC] - [Réglages LDAP/Auth. Carte IC] et définissez [Réglages LDAP/Auth. Carte IC] sur [ON] (par défaut : [OFF]).
En mode Administrateur, sélectionnez [Auth.Util/Compte Départ.] - [Réglages LDAP/Auth. Carte IC] - [Enregistrer serveur] - [Editer], puis enregistrez les informations du serveur LDAP à utiliser pour l'authentification de l'ID utilisateur de la carte IC.
Paramètres
Description
[Adresse serveur]
Saisissez l'adresse du serveur LDAP à utiliser pour l'authentification de l'ID utilisateur de la carte IC.
Utilisez l'un des formats suivants.
Exemple d'entrée de nom d'hôte : "host.example.com"
Exemple d'entrée d'adresse IP (IPv4) : "192.168.1.1"
Exemple d'entrée d'adresse IP (IPv6) : "fe80::220:6bff:fe10:2f16"
[Numéro de port]
Le cas échéant, modifiez le numéro de port du serveur LDAP.
Normalement, vous pouvez utiliser le numéro de port d'origine.
[389] est spécifié par défaut.
[Base recherche 1] à [Base recherche 3]
Spécifiez le point de départ et la plage de recherche d'un utilisateur à authentifier.
[Base de recherc.] : spécifiez le point de départ d'une recherche (255 caractères max.).
Exemple de saisie : "cn=users,dc=example,dc=com"[Plage de recherche] : sélectionnez une plage de recherche arborescente. [Arborescence entière] est spécifié par défaut.
La sélection [Arborescence entière] effectue la recherche en incluant la structure arborescente sous le point de départ entré. La sélection de [Hiérarchie suivante uniquement] permet de rechercher uniquement le niveau directement situé sous le point de départ entré. Dans ce cas, le niveau du point de départ n'est pas inclus dans la cible de recherche.
[Délai attente]
Si besoin est, modifiez le délai d'expiration pour limiter la communication avec le serveur LDAP.
[60] s est spécifié par défaut.
[Réglages Généraux]
Sélectionnez la méthode d'authentification pour vous connecter au serveur LDAP.
Sélectionnez une méthode appropriée pour la méthode d'authentification utilisée pour votre serveur LDAP.
[Simple]
[Digest-MD5]
[GSS-SPNEGO]
[NTLM v1]
[NTLM v2]
[Simple] est spécifié par défaut.
[Nom de connexion]
Connectez-vous au serveur LDAP, et entrez l'ID utilisateur à rechercher (avec 64 caractères max.).
[Code d'accès]
Saisissez le mot de passe du nom d'utilisateur que vous avez saisi dans [Nom de connexion] (64 caractères max., à l'exclusion de ").
Pour saisir (modifier) le mot de passe, cochez la case [Le mot de passe a été modifié.], puis saisissez un nouveau mot de passe.
[Nom de domaine]
Entrez le nom de domaine pour la connexion au serveur LDAP (avec 64 caractères max.).
Si [GSS-SPNEGO] est sélectionné pour [Système d'authentification], saisissez le nom de domaine Active Directory.
[Utiliser la Soumission]
Indiquez si vous souhaitez utiliser la fonction de soumission, le cas échéant.
Faites un choix approprié compatible avec l'environnement du serveur LDAP.
[OUI] est spécifié par défaut.
[Rechercher attribut]
Entrez l'attribut pour l'emplacement d'enregistrement des informations de carte IC (63 caractères max., - compris).
L'attribut doit commencer par une lettre de l'alphabet.
[uid] est spécifié par défaut.
[Nom utilis.]
Sélectionnez le mode d'obtention du nom d'utilisateur lors de la connexion à cette machine.
[Utiliser Carte ID] : ne sélectionner cette option que si les informations de carte IC sont enregistrées sur le serveur. Utiliser Carte ID : utilise l'ID de carte de la carte IC comme nom d'utilisateur.
[Acquisition...] : sélectionner cette option si des informations d'utilisateur autres que les informations de carte IC sont enregistrées sur le serveur. Utilise le nom d'utilisateur récupéré sur le serveur. Saisissez l'attribut à rechercher en tant que nom d'utilisateur ("uid") dans [Attribut Nom utilisateur].
Si [OUI] est sélectionné dans [Configuration infos enregistrement carte][Acquisition...] est sélectionné. Toute modification est alors impossible. Puis, l'attribut spécifié dans [Configuration infos enregistrement carte] s'affiche dans [Attribut nom d'utilisateur]. Pour des détails sur [Configuration infos enregistrement carte], voir [Réglage pour autoriser l'utilisateur à enregistrer la carte IC sur le serveur LDAP] .
[Utiliser Carte ID] est spécifié par défaut.
[Connexion Serveur Externe]
Sélectionnez le nom du serveur externe à utiliser comme information d'authentification enregistrée sur cette machine.
Les informations d'authentification sont enregistrées sur cette machine lorsque l'authentification LDAP-Carte IC est correctement effectuée. Ces informations d'authentification comprennent le nom de l'utilisateur et le nom du serveur externe.
En tant qu'information d'authentification à enregistrer sur cette machine, le nom du serveur externe enregistré sur cette machine peut être enregistré.
[Aucune sélection] est spécifié par défaut.
Utilisation de la communication SSL
La communication entre cette machine et le serveur LDAP est cryptée avec SSL.
Configurez le réglage si votre environnement requiert une communication avec cryptage SSL avec le serveur LDAP.
En mode Administrateur, sélectionnez [Auth.Util/Compte Départ.] - [Réglages LDAP/Auth. Carte IC] - [Enregistrer serveur] - [Editer], puis configurez les paramètres suivants.
Paramètres | Description | |
---|---|---|
[Utiliser SSL] | Sélectionnez cette case à cocher pour utiliser la communication SSL. [OFF] (non sélectionné) est spécifié par défaut. | |
[Numéro de port (SSL)] | Si nécessaire, modifiez le numéro de port de communication SSL. Normalement, vous pouvez utiliser le numéro de port d'origine. [636] est spécifié par défaut. | |
[Réglages Niveau Vérification Certificat] | Pour vérifier le certificat, sélectionnez les éléments à vérifier. Si vous sélectionnez [Confirmer] à chaque élément, le certificat est vérifié pour chaque élément. | |
[Date d'expiration] | Vérifiez si le certificat est encore valide. [Confirmer] est spécifié par défaut. | |
[CN] | Vérifiez si le CN (nom commun) du certificat correspond à l'adresse du serveur. [Ne pas confirmer] est spécifié par défaut. | |
[Utilisation Touche] | Vérifiez si le certificat est utilisé conformément à l'utilisation prévue approuvée par l'émetteur du certificat. [Ne pas confirmer] est spécifié par défaut. | |
[Chaîne] | Vérifiez si la chaîne du certificat (chemin du certificat) présente un problème. La chaîne est validée par référencement des certificats externes gérés sur cette machine. [Ne pas confirmer] est spécifié par défaut. | |
[Confirmation Date d'expiration] | Vérifiez si le certificat a expiré. Vérifiez l'expiration du certificat dans l'ordre suivant.
[Ne pas confirmer] est spécifié par défaut. |
Définition d'une authentification secondaire en cas d'arrêt d'un serveur LDAP
Lorsque le serveur LDAP est installé, vous pouvez définir un serveur d'authentification secondaire prêt à prendre le relais en cas d'arrêt du serveur d'authentification primaire.
La définition d'un serveur d'authentification secondaire permet d'activer la poursuite de l'authentification via LDAP-IC, même en cas d'arrêt du serveur d'authentification primaire normalement utilisé.
En mode Administrateur, sélectionnez [Auth.Util/Compte Départ.] - [Réglages LDAP/Auth. carte IC] - [Réglages serveur d'authentification secondaire], puis configurez les réglages suivants.
Paramètres
Description
[Réglages serveur d'authentification secondaire]
pour utiliser le serveur d'authentification secondaire, sélectionnez [Activer].
[OFF] est spécifié par défaut.
[Réglages reconnexion]
Spécifiez le délai de reconnexion au serveur d'authentification primaire.
[Régler Intervalle de reconnexion] est spécifié par défaut.
[Se reconnecter pour chaque connexion] : se connecte au serveur d'authentification primaire chaque fois que l'authentification est réalisée sur la machine. Si le serveur d'authentification primaire est arrêté, la machine est connectée au serveur d'authentification secondaire.
[Régler Intervalle de reconnexion] : connexion au serveur d'authentification secondaire en cas d'arrêt du serveur d'authentification primaire pendant l'authentification de la machine. Ensuite, la machine est connectée au serveur d'authentification secondaire en cas d'authentification et ce jusqu'à expiration du délai spécifié dans [Heure de reconnexion]. Après expiration du délai spécifié dans [Heure de reconnexion], la machine est reconnectée au serveur d'authentification primaire en cas d'authentification.
En mode administrateur, sélectionnez [Authentification utilisateur/compte département] - [Réglages LDAP/authentification carte IC] - [Enregistrer serveur d'authentification secondaire] et cliquez sur [Modifier] pour configurer les réglages suivants.
Paramètres
Description
[Adresse serveur]
Saisissez l'adresse du serveur LDAP.
Utilisez l'un des formats suivants.
Exemple d'entrée de nom d'hôte : "host.example.com"
Exemple d'entrée d'adresse IP (IPv4) : "192.168.1.1"
Exemple d'entrée d'adresse IP (IPv6) : "fe80::220:6bff:fe10:2f16"
[Numéro de port]
Le cas échéant, modifiez le numéro de port du serveur LDAP.
Normalement, vous pouvez utiliser le numéro de port d'origine.
[389] est spécifié par défaut.
[Base recherche 1] à [Base recherche 3]
Spécifiez le point de départ et la plage de recherche d'un utilisateur à authentifier.
[Base de recherc.] : spécifiez le point de départ d'une recherche (255 caractères max.).
Exemple de saisie : "cn=users,dc=example,dc=com"[Plage de recherche] : sélectionnez une plage de recherche arborescente. [Arborescence entière] est spécifié par défaut.
La sélection [Arborescence entière] effectue la recherche en incluant la structure arborescente sous le point de départ entré. La sélection de [Hiérarchie suivante uniquement] permet de rechercher uniquement le niveau directement situé sous le point de départ entré. Dans ce cas, le niveau du point de départ n'est pas inclus dans la cible de recherche.
[Délai attente]
Si besoin est, modifiez le délai d'expiration pour limiter la communication avec le serveur LDAP.
[60] s est spécifié par défaut.
[Réglages Généraux]
Sélectionnez la méthode d'authentification pour vous connecter au serveur LDAP.
Sélectionnez une méthode appropriée pour la méthode d'authentification utilisée pour votre serveur LDAP.
[Simple]
[Digest-MD5]
[GSS-SPNEGO]
[NTLM v1]
[NTLM v2]
[Simple] est spécifié par défaut.
[Nom de connexion]
Connectez-vous au serveur LDAP, et entrez l'ID utilisateur à rechercher (avec 64 caractères max.).
[Code d'accès]
Saisissez le mot de passe du nom d'utilisateur que vous avez saisi dans [Nom de connexion] (64 caractères max., à l'exclusion de ").
Pour saisir (modifier) le mot de passe, cochez la case [Le mot de passe a été modifié.], puis saisissez un nouveau mot de passe.
[Nom de domaine]
Entrez le nom de domaine pour la connexion au serveur LDAP (avec 64 caractères max.).
Si [GSS-SPNEGO] est sélectionné pour [Système d'authentification], saisissez le nom de domaine Active Directory.
[Utiliser la Soumission]
Indiquez si vous souhaitez utiliser la fonction de soumission, le cas échéant.
Faites un choix approprié compatible avec l'environnement du serveur LDAP.
[OUI] est spécifié par défaut.
[Rechercher attribut]
Entrez l'attribut pour l'emplacement d'enregistrement des informations de carte IC (63 caractères max., - compris).
L'attribut doit commencer par une lettre de l'alphabet.
[uid] est spécifié par défaut.
[Nom utilis.]
Sélectionnez le mode d'obtention du nom d'utilisateur lors de la connexion à cette machine.
[Utiliser Carte ID] : ne sélectionner cette option que si les informations de carte IC sont enregistrées sur le serveur. Utiliser Carte ID : utilise l'ID de carte de la carte IC comme nom d'utilisateur.
[Acquisition...] : sélectionner cette option si des informations d'utilisateur autres que les informations de carte IC sont enregistrées sur le serveur. Utilise le nom d'utilisateur récupéré sur le serveur. Saisissez l'attribut à rechercher en tant que nom d'utilisateur ("uid") dans [Attribut Nom utilisateur].
Si [OUI] est sélectionné dans [Configuration infos enregistrement carte][Acquisition...] est sélectionné. Toute modification est alors impossible. Puis, l'attribut spécifié dans [Configuration infos enregistrement carte] s'affiche dans [Attribut nom d'utilisateur]. Pour des détails sur [Configuration infos enregistrement carte], voir [Réglage pour autoriser l'utilisateur à enregistrer la carte IC sur le serveur LDAP] .
[Utiliser Carte ID] est spécifié par défaut.
En cas de cryptage SSL d'une communication avec le serveur LDAP, sélectionnez [Authentification utilisateur/compte département] - [Réglages LDAP/authentification carte IC] - [Enregistrer serveur d'authentification secondaire] en mode administrateur et cliquez sur [Modifier] pour configurer les réglages suivants.
Paramètres
Description
[Utiliser SSL]
Sélectionnez cette case à cocher pour utiliser la communication SSL.
[OFF] (non sélectionné) est spécifié par défaut.
[Numéro de port (SSL)]
Si nécessaire, modifiez le numéro de port de communication SSL.
Normalement, vous pouvez utiliser le numéro de port d'origine.
[636] est spécifié par défaut.
[Réglages Niveau Vérification Certificat]
Pour vérifier le certificat, sélectionnez les éléments à vérifier.
Si vous sélectionnez [Confirmer] à chaque élément, le certificat est vérifié pour chaque élément.
[Date d'expiration]
Vérifiez si le certificat est encore valide.
[Confirmer] est spécifié par défaut.
[CN]
Vérifiez si le CN (nom commun) du certificat correspond à l'adresse du serveur.
[Ne pas confirmer] est spécifié par défaut.
[Utilisation Touche]
Vérifiez si le certificat est utilisé conformément à l'utilisation prévue approuvée par l'émetteur du certificat.
[Ne pas confirmer] est spécifié par défaut.
[Chaîne]
Vérifiez si la chaîne du certificat (chemin du certificat) présente un problème.
La chaîne est validée par référencement des certificats externes gérés sur cette machine.
[Ne pas confirmer] est spécifié par défaut.
[Confirmation Date d'expiration]
Vérifiez si le certificat a expiré.
Vérifiez l'expiration du certificat dans l'ordre suivant.
Service OCSP (Online Certificate Status Protocol)
CRL (Certificate Revocation List)
[Ne pas confirmer] est spécifié par défaut.
Pour vérifier l'état de connexion du serveur d'authentification primaire et du serveur d'authentification secondaire, sélectionnez [Authentification utilisateur/compte département] - [Etat de connexion au serveur primaire/secondaire] - [Authentification LDAP/carte IC] en mode administrateur. Si [Connexion autorisée] s'affiche, vous pouvez vous connecter aux deux serveurs d'authentification, primaire et secondaire.
Réglage pour autoriser l'utilisateur à enregistrer la carte IC sur le serveur LDAP
Lorsque l'authentification est réalisée sur la machine à l'aide d'une carte IC non enregistrée sur le serveur LDAP, configurez un réglage pour autoriser l'utilisateur à enregistrer la carte IC sur le serveur LDAP.
L'utilisateur peut enregistrer les informations d'une nouvelle carte IC sur le serveur LDAP, ce qui réduit d'autant la charge de l'utilisateur ou de l'administrateur.
En mode Administrateur, sélectionnez [Auth.Util/Compte Départ.] - [Réglages LDAP/Auth. Carte IC] - [Configuration infos enregistrement carte] - [Configuration infos enregistrement carte], puis configurez les paramètres suivants.
Paramètres | Description |
---|---|
[Configuration infos enregistrement carte] | Pour enregistrer la carte IC sur le serveur LDAP lorsque l'authentification est réalisée sur la machine à l'aide d'une carte IC non enregistrée sur le serveur LDAP, sélectionnez [OUI]. Si [OUI] est sélectionné, entrez l'attribut tel que "uid" à rechercher en tant que nom d'utilisateur dans [Attribut nom d'utilisateur]. [OFF] est spécifié par défaut. |
Si [OUI] est sélectionné dans [Configuration infos enregistrement carte] le réglage de [Réglages LDAP/Auth. Carte IC] est modifié comme illustré ci-dessous.
Si l'utilisation du serveur d'authentification secondaire n'est pas spécifiée :
Le [nom utilisateur] de [Enregistrement serveur] est réglé sur [Acquisition..].
Le même attribut que celui spécifié dans [Attribut nom d'utilisateur] de ce paramètre est réglé sur [Attribut nom d'utilisateur] de [Enregistrement serveur].
Si l'utilisation du serveur d'authentification secondaire est spécifiée :
Le [nom utilisateur] de [Enregistrement serveur] est réglé sur [Acquisition..].
Le même attribut que celui spécifié dans [Attribut nom d'utilisateur] de ce paramètre est réglé sur [Attribut nom d'utilisateur] de [Enregistrement serveur].
Le [nom utilisateur] de [Enregistrer serveur d'authentification secondaire] est réglé sur [Acquisition..].
Le même attribut que celui spécifié dans [Attribut nom d'utilisateur] de ce paramètre est réglé sur [Attribut nom d'utilisateur] de [Enregistrer serveur d'authentification secondaire].
Pour utiliser cette fonction, vous devez préconfigurer un réglage permettant à l'utilisateur d'enregistrer les informations de carte IC. Sur le panneau de contrôle de cette machine, sélectionnez [Réglages administrateur] - [Réglage système] - [Accès restreint utilisateur] - [Accès restreint à param. tâches], réglez [Enregistrement infos biométrique/carte IC] sur [Autorisé] (par défaut : [Interdit]).