La sécurité LDAP comprend trois composants :
Objets de sécurité LDAP
Arborescence LDAP
Nom distinctif
Les objets LDAP utilisés pour l'authentification se présentent comme suit :
Unité organisationnelle (UO) : objectClass organizationalUnit (OU)
Un objet Unité organisationnelle est similaire à un répertoire Windows. Pour LDAP, il contient généralement les objets Groupe ou Utilisateur.
Groupe (CN) : objectClass group (CN) [également posixGroup]
De la même façon qu'une unité organisationnelle est similaire à un répertoire, un objet Groupe est similaire à un fichier. L'objet Groupe contient un attribut de membre qui est une liste de noms distinctifs définissant les utilisateurs de ce groupe.
Utilisateur (CN) : objectClass user (CN) [également organizationalPerson]
Similaire à un fichier, l'objet Utilisateur décrit une seule personne dans la structure LDAP. Contrairement à un groupe, un objet Utilisateur ne comprend pas de liste. A la place, ses attributs décrivent un utilisateur avec autant de détails que nécessaire.
La structure des entrées LDAP correspond à l'arborescence des répertoires et des fichiers sous UNIX et Windows. Quand vous configurez le groupe de base et l'utilisateur principal lors de la configuration du serveur Weblogic, il est essentiel que vous utilisiez l'arborescence pour créer le nom distinctif de l'objet.
Le nom distinctif est une valeur associée à chaque objet LDAP pour le distinguer des autres objets. Cette valeur est basée sur la structure arborescente décrite ci-dessus. Pour créer un nom distinctif, vous partez généralement de l'objet que vous nommez en haut de l'arborescence, de sorte que le nom distinctif pour l'utilisateur John Doe pourrait être :
CN=johndoe,OU=Users,OU=VSMGUI,DC=yourfirm,DC=com
Le type d'objet est généralement en majuscules dans le nom distinctif mais les minuscules sont également valides. Pour le nom de l'objet, la casse doit correspondre exactement à la casse du nom réel. En outre, il ne doit y avoir aucun espace entre les virgules et les types d'objet. Les seuls espaces qui doivent exister dans un nom distinctif sont ceux présents dans le nom de l'objet ; ainsi le nom distinctif pour les administrateurs VSM pourrait être :
CN=VSM Admins,OU-Groups,OU=VSMGUI,DC=yourfirm,DC=com
Dans Weblogic, une restriction s'applique concernant les noms distinctifs valides. Certains caractères pouvant potentiellement être ajoutés à un nom distinctif ne sont pas autorisés par le serveur Weblogic. Ces caractères sont la virgule (,), le signe plus (+), les guillemets (”), la barre oblique inverse (\), les chevrons (< et >) et le point-virgule (;).
Parmi ceux-ci, le plus courant est la virgule, en particulier si le nom d'utilisateur se présente sous la forme Smith, John. C'est généralement le cas dans Active Directory, encore que tout nom distinctif peut comporter l'un de ces caractères. Cela s'avère important car l'un des utilisateurs est toujours configuré comme étant l'utilisateur Principal, soit celui qui autorise l'accès au serveur LDAP. Si l'un de vos noms distinctifs contient un de ces caractères, l'utilisateur Principal doit être ajouté en tant qu'utilisateur spécial avec un nom distinctif correspondant différent.
Remarques :
Selon l'environnement du client, il est probable que la configuration par défaut décrite ci-dessus ne soit pas adaptée au schéma de disposition LDAP défini pour des organisations différentes. Par exemple, les informations de groupe peuvent se trouver dans une sous-arborescence complétement distincte, de sorte que des groupes peuvent exister dans un répertoire où des groupes sont définis et peuvent être nommés groupes VSMGUI. Les utilisateurs pourraient se trouver dans une sous-arborescence complétement distincte et être nommés Utilisateurs VWMGUI. L'unité organisationnelle VSMGUI peut ne pas avoir à être définie du tout. Ces modifications d'emplacement créeront un nom distinctif différent dans la configuration Weblogic qui devra être défini en conséquence.
Vous pouvez configurer les utilisateurs de deux façons. En général, vous ajouterez les noms des utilisateurs qui existent déjà à une unité organisationnelle et vous en ferez le répertoire de base des utilisateurs (User Base Directory). Si vous préférez, vous pouvez également définir le répertoire de base des utilisateurs sur n'importe quel objet LDAP de type conteneur, pour rendre disponibles tous les membres de ce groupe pour utilisation dans VSM GUI.
La configuration des valeurs dans le serveur LDAP requiert généralement un accès de sécurité au serveur LDAP. Si vous configurez un nouveau serveur, vous devriez pouvoir accéder au serveur LDAP en tant qu'administrateur.
Accordez une attention particulière aux valeurs de nom distinctif (Principal, User Base DN et Group Base DN), et assurez-vous que les valeurs Name Filter définissent correctement les valeurs Attribute et Object Class. Pour que l'authentification fonctionne, tout doit correspondre parfaitement aux valeurs Active Directory.