test

Guide de l'administrateur d'entreprise de Sun Identity Manager 8.1

ProcedurePour configurer un magasin de données de type annuaire

Pour configurer un magasin de données de type annuaire, procédez comme suit :

  1. Choisissez Annuaire dans le menu Type de magasin de données. Des options supplémentaires s'affichent.

    Figure 5–16 La Page Configuration du magasin de données : Annuaire

    Figure illustrant un exemple de la page Configuration du magasin de données pour le type Annuaire

  2. Vous devez spécifier les informations de connexion et d'authentification suivantes pour un magasin de données de type Annuaire.

    Configurez les options suivantes :

    • Hôte. Entrez l'adresse IP ou le nom de l’hôte sur lequel le serveur LDAP est exécuté.

    • Port TCP. Saisissez le port TCP/IP utilisé pour communiquer avec le serveur LDAP.

      • Si vous utilisez SSL, ce port est en général le 636.

      • Si vous n'utilisez pas SSL, ce port est en général le 389.

    • SSL. Cochez cette option pour connecter le serveur LDAP en utilisant SSL.

    • Serveurs de basculement. Liste tous les serveurs utilisés pour le basculement en cas de panne du serveur préféré. Saisissez les informations suivantes dans le format indiqué, conforme aux URL LDAP version 3 standard décrites dans le document RFC 2255 :


      ldap://ldap.example.com:389/o=LdapFailover

      Seule la partie de l'hôte, du port et du nom distinctif (dn) de l'URL sont pris en compte dans ce paramètre.

      Ainsi, si le serveur préféré tombe en panne, JNDI se connecte automatiquement au prochain serveur disponible de la liste.

    • Utilisateur DN. Saisissez le DN utilisé pour l'authentification sur le serveur LDAP lors de la réalisation des mises à jour (par défaut cn=Directory Manager).

    • Password (Mot de passe). Saisissez le mot de passe de l'utilisateur principal.

    • Contextes de base. Spécifiez un ou plusieurs points de départ pouvant être utilisés par Identity Manager pour rechercher des utilisateurs dans l'arborescence LDAP (par défaut dc=MYDOMAIN,dc=com).

      Identity Manager effectue des recherches lorsqu'il essaie de découvrir des utilisateurs depuis le serveur LDAP ou lorsqu'il recherche les groupes dont sont membres les utilisateurs.

    • Classe d’objets. Saisissez une ou plusieurs classes d'objets à utiliser pour créer de nouveaux objets utilisateur dans l'arborescence LDAP (la valeur par défaut est la classe supérieure).

      Chaque entrée doit figurer sur une ligne distincte. N'utilisez pas de virgules ni d'espaces pour séparer les entrées.

      Certains serveurs LDAP exigent que vous spécifiiez toutes les classes d'objets dans une hiérarchie de classes. Par exemple, il se peut que vous ayez besoin de spécifier top, person, organizationalperson et inetorgperson, au lieu de seulement inetorgperson.

    • Filtre LDAP pour la récupération de comptes. Saisissez un filtre LDAP pour contrôler les comptes qui seront retournés de la ressource LDAP. Si vous ne spécifiez pas de filtre, Identity Manager retourne tous les comptes qui incluent toutes les classes d'objets spécifiées.

    • Inclure toutes les classes d’objet dans le filtre de recherche. Cochez cette case pour que tous les comptes incluent toutes les classes d'objets spécifiées et correspondent au Filtre LDAP pour la récupération des comptes.

      Remarque –

      Vous devez activer cette option lorsqu'aucun filtre de recherche n'est spécifié. Si vous désactivez cette option, les comptes qui n'incluent pas toutes les classes d'objets spécifiées peuvent être chargés dans Identity Manager en utilisant la fonctionnalité Réconciliation ou Charger à partir de la ressource.

      Après le chargement, l'attribut objectclass du compte n'est pas mis à jour automatiquement. Si un attribut d'une classe d'objet manquante apparaît au niveau de l'interface administrateur, l'attribution d'une valeur à cet attribut, sans modification de l'attribut objectclass, échoue. Pour éviter un tel problème, annulez la valeur objectclass dans le formulaire Réconciliation ou Charger à partir de la ressource.

    • Attribut de nom d’utilisateur. Saisissez le nom de l'attribut LDAP mappé vers le nom de l'utilisateur Identity Manager lors de la détection des utilisateurs depuis l'annuaire. Ce nom est souvent uid ou cn.

    • Attribut de nom d’affichage. Saisissez le nom d'attribut du compte de ressource dont la valeur est utilisée pour l'affichage du nom de ce compte.

    • Attribut de tri VLV. Saisissez le nom d'un attribut de tri à utiliser pour les index VLV sur la ressource.

    • Utiliser blocs. Cochez cette case pour récupérer et traiter les utilisateurs par blocs.

      Lorsque vous effectuez des opérations sur un grand nombre d'utilisateurs, traiter les utilisateurs par blocs réduit le volume de mémoire utilisé par l'opération.

    • Comptage de blocs. Saisissez le nombre maximal d'utilisateurs à regrouper en blocs pour le traitement.

    • Attr. de membre de groupe Saisissez le nom de l'attribut membre de groupe à mettre à jour avec le nom distinctif de l'utilisateur quand un utilisateur est ajouté au groupe.

      Le nom de cet attribut dépend de la classe d'objet du groupe. Par exemple, Sun JavaTM System Enterprise Edition Directory Server et d'autres serveurs LDAP utilisent des groupes avec la classe d'objets groupOfUniqueNames et l'attribut uniqueMember. D'autres serveurs LDAP utilisent des groupes avec la classe d'objets groupOfUniqueNames et l'attribut membre.

    • Algorithme de hachage du mot de passe. Saisissez un algorithme pouvant être utilisé par Identity Manager pour hacher le mot de passe. Les valeurs prises en charge sont les suivantes :

      • SSHA,

      • SHA,

      • SMD5,

      • MD5.

      Si vous spécifiez 0 ou laissez ce champ vide, Identity Manager ne hachera pas les mots de passe et stockera les mots de passe en clair dans LDAP à moins que le serveur LDAP ne procède au hachage. Sun Java System Enterprise Edition Directory Server, par exemple, hache les mots.

    • Attribut de changement de nom. Cochez cette case pour autoriser les modifications visant à changer l'attribut utilisateur représentant le nom distinctif (DN) relatif le plus à gauche. Les modifications changent fréquemment les attributs de nommage en uid ou cn.

    • Méthode d’activation LDAP.

      • Laissez ce champ vide pour que la ressource utilise l'assignation de mots de passe pour les actions d'activation et de désactivation.

      • Saisissez le mot-clé nsmanageddisabledrole, le mot-clé nsaccountlock ou le nom de la classe à utiliser dans le cadre d'une action d'activation pour les utilisateurs de cette ressource.

    • Paramètre d’activation LDAP. Saisissez une valeur en fonction de la façon dont vous avez rempli le champ Méthode d’activation LDAP :

      • Si vous avez spécifié le mot-clé nsmanageddisabledrole, vous devez entrer une valeur au format suivant :


        IDMAttribute=CN=nsmanageddisabledrole,baseContext

      • Si vous avez spécifié le mot-clé nsaccountlock, vous devez entrer une valeur au format suivant :


        IDMAttribute=true

      • Si vous avez spécifié un nom de classe, vous devez entrer une valeur au format suivant :


        IDMAttribute
      Remarque –

      Pour plus d'informations sur les champs Méthode d'activation LDAP et Paramètre d'activation LDAP, voir le document Sun Identity Manager 8.1 Resources Reference.

    • Utiliser le contrôle des résultats paginés. Cochez cette case pour utiliser le contrôle des résultats paginés de LDAP à la place du contrôle VLV pour l’itérateur de compte lors de la réconciliation.

      Remarque –

      La ressource doit prendre en charge le contrôle de pagination simple.

    • Maintenir l’appartenance au groupe LDAP. Cochez cette case pour que l'adaptateur conserve l'appartenance au groupe LDAP lors du renommage ou de la suppression d'utilisateurs.

      Si vous n'activez pas cette option, la ressource LDAP conserve l'appartenance au groupe.

  3. Testez la configuration de votre magasin de données en cliquant sur le bouton Vérifier la connexion.

    Un message s'affiche confirmant que la connexion a réussi ou indiquant une erreur de configuration.

  4. Lorsque vous avez terminé, cliquez sur Enregistrer puis sur Suivant pour passer à la page Configuration de la notification de l’approvisionneur.

    Remarque –

    Pour pouvoir créer des utilisateurs sur une ressource LDAP, vous devez commencer par définir des attributs de compte valides, ainsi qu'un modèle d'identification.