Utilisation d'un serveur Active Directory avec Configuration Manager

Pour utiliser un serveur Active Directory en tant que référentiel pour les données de Configuration Manager, vous devez étendre le schéma du serveur afin de prendre en charge les classes d'objet et les attributs utilisés pour stocker les données de configuration. Un fichier d'extension de schéma nommé apoc-ad.ldf est disponible dans le sous-répertoire ad de l'outil de déploiement de Configuration Manager fourni sur le CD-ROM Management Tools. Pour plus d'informations, reportez-vous à la section concernant l'outil de déploiement.

Pour importer le fichier apoc-ad.ldf dans le schéma Active Directory, procédez comme suit :

1. Activez les extensions de schéma. Reportez-vous à la documentation d'Active Directory pour plus d'informations sur l'exécution de cette opération.

2. Exécutez la commande suivante à partir de l'invite de commande : ldifde -i -c "DC=Sun,DC=COM" <BaseDN> -f apoc-ad-registry.ldf.

   ---

   Remarque –

   Remplacez <BaseDN> par le DN de base d'Active Directory.

   ---

Utilisez l'outil de déploiement pour préparer le serveur Active Directory au stockage des données de configuration. Le schéma ayant déjà été étendu lors l'étape d'installation précédente, il vous suffit d'exécuter le script createServiceTree. Il doit être démarré à partir du répertoire de l'outil de déploiement par n'importe quel utilisateur, en exécutant la commande suivante : ./createServiceTree. Le script demande à l'utilisateur d'indiquer des informations sur la base de données Active Directory. Un fichier de mappage par défaut utilisant les classes d'objet et les attributs typiques d'Active Directory est fourni dans le sous-répertoire ad du répertoire de l'outil de déploiement. Vous pouvez déployer ce fichier nommé OrganisationalMapping en écrasant le fichier du même nom dans le répertoire principal de l'outil de déploiement avant de lancer createServiceTree.

À partir de ce moment, vous pouvez utiliser le serveur Active Directory avec Configuration Manager. Lors de l'installation de Configuration Manager, saisissez le DN complet et le mot de passe d'un utilisateur disposant de droits d'accès en lecture sur l'arborescence. Il peut s'agir d'un utilisateur ne pouvant pas utiliser Active Directory à d'autres fins. Reportez-vous à la documentation Active Directory pour plus d'informations sur la configuration d'un utilisateur de ce type. En outre, l'ordinateur qui exécute Configuration Manager doit connaître le nom de domaine d'Active Directory. Pour ce faire, ajoutez une ligne mappant l'adresse IP du serveur Active Directory avec son nom de domaine dans le fichier /etc/hosts de cet ordinateur.

Pour pouvoir extraire les données de configuration d'un hôte Java Desktop System, cet hôte doit également connaître le nom de domaine d'Active Directory. L'authentification de l'utilisateur de Java Desktop System peut s'effectuer de deux manières différentes : de façon anonyme et à l'aide de GSSAPI.

• Pour effectuer l'authentification à l'aide de connexions anonymes, le serveur Active Directory doit être configuré pour accorder des droits de lecture à tous les utilisateurs. Reportez-vous à la documentation Active Directory pour plus d'informations sur l'exécution de cette opération.

• Pour procéder à l'authentification à l'aide de GSSAPI, vous devez modifier le fichier /etc/krb5.conf, qui spécifie les paramètres Kerberos, afin de définir le domaine Active Directory et de désigner le serveur Active Directory en tant que centre de distribution de clés (Key Distribution Center ou KDC). Ce fichier doit également spécifier, en tant que types de chiffrement par défaut, les types DES pris en charge par Active Directory, à savoir des-cbc-crc et des-cbc-md5. Reportez-vous à la documentation Kerberos pour plus d'informations sur l'exécution de cette opération. Avant d'accéder aux données de configuration, vous devez obtenir des informations d'identification valides pour l'utilisateur connecté à Java Desktop System. Vous pouvez extraire ces informations manuellement en exécutant la commande kinit et en saisissant le mot de passe de l'utilisateur défini dans Active Directory. D'autres schémas peuvent générer automatiquement ces informations d'identification au moment de la connexion. Reportez-vous à la documentation de Java Desktop System pour plus d'informations.