L Authentification de Librex dans Active Directory (Kerberos) 1) Configurer Active Directory a) Créer le compte utilisateur qui sera utilisé par Librex pour accéder à Active Directory. Sur le serveur de domaine, accéder à «Active Directory Users and Computers». Créer l utilisateur «Librex HTTP» avec le nom de login «librexhttp». Cocher l option «Password never expires». Dans la section «Account options», cocher l'option suivante : «Do not require Kerberos preauthentication» P.s : On recommande toujours que le nom de compte soit librexhttp b) Créer le SPN correspondant à cet utilisateur. Ouvrir une fenêtre DOS. Taper la commande «setspn a [SPN_name] librexhttp». Vérifier que SPN_name correspond à : [service]/[nom serveur]+[domain] E.g : setspn a HTTP/vplogig031.hexatek.hexatek.com librexhttp P.s On recommande de toujours utiliser le nom du service comme HTTP c) Générer le fichier de keytab (pour les installations de Librex sur les machines non Windows ou non contrôlées par Active Directory)
Ouvrir une fenêtre DOS. Taper la commande «ktpass princ [SPN_Name]@[REALM] pass <mot de passe de l utilisateur librexhttp> mapuser [user logon name]\[nom de compte librex] -crypto All ptype KRB5_NT_PRINCIPAL out [nom du fichier keytab]». E.g : ktpass princ HTTP/vplogic031.hexatek.hexatek.com@HEXATEK.HEXATEK.COM pass cxs234 mapuser HEXATEK\librexhttp -crypto All ptype KRB5_NT_PRINCIPAL out librexhttp.keytab Déposer le fichier de keytab dans C:\LibrexData (ou répertoire correspondant) 2) Opérations à faire dans l'environnement du serveur Librex a) Donner les droits de lecture/écriture aux répertoires (ou correspondants) au compte librexhttp (ou autre enregistré avec ce même but) : C:\LibrexData et C:\LibrexServer b) Ajouter le compte librexhttp (ou autre enregistré avec ce même but) dans le service "LibrexServer" (ou LibrexServer 3) dans l'entretien des services windows et ensuite redémarrer le service windows "LibrexServer" (ou LibrexServer 3). Voici l'exemple : 3) Configurer Librex a) Créer une connexion de type Kerberos depuis la fenêtre d administration des "Connexions" ou directement depuis la fenêtre d administration "LDAP et Active Directory". Étapes : Ouvrir la fenêtre d'administration, aller dans l'entretien "Connexions" et appuyer sur "Créer", ou plus facile encore : ouvrir la fenêtre d'administration, cliquer sur "LDAP et Active Directory", appuyer sur "Modifier" et dans l'onglet "Authentification Kerberos", appuyer sur le bouton "Créer" :
b) Saisir les informations suivantes pour créer la connexion Kerberos Saisir un nom pour cette connexion Saisir dans l'adresse URL le nom et le domaine de la machine du contrôleur du domaine Cocher l'option "Utiliser le compte que le serveur librex roule" Saisir le SPN défini dans l'item 1-b Saisir le nom du domaine(realm) Appuyer sur "Ok" c) Dans la fenêtre d administration " LDAP et Active Directory", modifier la liste déroulante "Authentification par API" pour choisir le meilleur API pour valider les «credentials» envoyés par le client Librex : GSS/Generic - Choisir ceci si la machine du serveur Librex est non Windows ou elle ne fait pas partie du Realm du contrôleur de domaine (Active Directory). Pour plus d'info pour configurer GSS voir l item 3-d SSPI/Windows - Choisir ceci si la machine du serveur Librex est Windows et fait partie du Realm du contrôleur de domaine et si Librex est parti avec le compte librexhttp (ou autre compte similaire). Voir Item 2-b. d) Configurer GSS/Generic pour une machine serveur Librex qui n'est pas Windows ou ne fait pas partie du Realm du contrôleur de domaine (Active Directory). Si votre machine ne correspond pas à ces critères ne pas tenir compte de cette section. Voir par la suite les étapes pour configurer GSS au niveau du serveur (le client Librex n'a pas cette option) :
d-1) Ajouter dans le fichier login-conf.xml (dans le répertoire du coté serveur C:\LibrexServer\server\librex\conf\) l'extrait ci-dessous et modifier les champs : principal, kdc, realm et keytab au besoin : <application-policy name="com.sun.security.jgss.accept"> <authentication> <login-module code="com.sun.security.auth.module.krb5loginmodule" flag="required"> <module-option name="debug">true</module-option> <module-option name="principal">http/vplogic031.hexatek.hexatek.com</moduleoption> <module-option name="kdc">serveur02.hexatek.hexatek.com</module-option> <module-option name="realm">hexatek.hexatek.com</module-option> <module-option name="storekey">true</module-option> <module-option name="usekeytab">true</module-option> <module-option name="donotprompt">true</module-option> <module-option name="keytab">c:/librexdata/librexhttp.keytab</module-option> </login-module> </authentication> </application-policy> d-2) Ajouter dans le fichier properties-service.xml (dans le répertoire du coté serveur C:\LibrexServer\server\librex\deploy\) les «attributes»: realm et kdc au besoin : <attribute name="properties"> java.security.krb5.realm=hexatek.hexatek.com java.security.krb5.kdc=serveur02.hexatek.hexatek.com </attribute> d-3) Télécharger "Java Cryptography Extension (JCE) Unlimited Strength" pour la version 1.6 de la JVM (http://www.oracle.com/technetwork/java/javase/downloads/jce-6- download-429243.html). Ensuite, décompresser le fichier jce_policy-6.zip et déplacer les fichiers "local_policy.jar" et "US_export_policy.jar" vers le répertoire du coté serveur c:\librexserver\bin\jre1.6.0_31\lib\security et remplacer les fichiers existants par ceux du fichier jce_policy-6.zip. Il est maintenant possible de démarrer le serveur Librex.
Configurer la Synchronisation des utilisateurs d'active Directory 1) Créer la connexion LDAP a) Créer la connexion de type Ldap dans l'entretien "Connexions" ou dans l'entretien "LDAP et Active Directory". Pour ça, il faut ouvrir le client Librex, ouvrir la fenêtre d'administration, aller dans l'entretien "Connexions" et appuyer sur "Créer". Ou, plus simple encore : ouvrir la fenêtre d'administration, cliquer sur "LDAP et Active Directory", appuyer sur "Modifier" et, dans l'onglet "Options de synchronisation", appuyer sur le bouton "Créer" : b) Saisir les informations suivantes pour créer la connexion LDAP : Saisir un nom pour cette connexion Saisir dans l'adresse l'url LDAP du serveur Active Directory avec le format suivant : ldap://[nom.serveur.domaine]:[porte] Déterminer le type d'authentification (SIMPLE ou DIGEST-MD5) Saisir le nom du compte LDAP utilisé pour se connecter Saisir le mot de passe du compte utilisé pour se connecter Appuyer sur "Ok" c) Dans l'onglet d'options de synchronisation, choisir la connexion LDAP dans la liste déroulante. Note : la connexion va être déjà définie si la connexion a été créée à partir du bouton "Créer" de cette fenêtre d'entretien. 2) Choisir une option de synchronisation
Dans l'entretien "LDAP et Active Directory" et dans l'onglet "Options de synchronisation", 5 options sont disponibles pour faire la synchronisations des utilisateurs d'active Directory dans Librex : Synchroniser tous les utilisateurs du domaine Synchroniser les utilisateurs dans les groupes Synchroniser les utilisateurs saisis manuellement Synchroniser les groupes saisis manuellement Configurations avancées Information sur les options de synchronisation : a) Synchroniser tous les utilisateurs du domaine Avec cette option, la tâche cédulée va ramasser tous les utilisateurs du contrôleur de domaine défini par la connexion choisie. Après avoir coché cette option, il faut aller à l onglet "Configuration tous utilisateurs" pour définir le base de recherche ("Search Base") dans une liste déroulante utilisée pour faire la synchronisation.
b) Synchroniser les utilisateurs dans les groupes Avec cette option, la tâche cédulée va être capable d importer tous les utilisateurs qui appartiennent à un groupe (note : juste les utilisateurs, pas le groupe). Après avoir cliqué cette option, l'onglet "Configuration utilisateurs dans groupes" sera disponible et il faut y choisir au moins un groupe dans la liste de droite. Si la liste est vide ou si le groupe choisi n'est pas disponible, il est toujours possible modifier la base de recherche ("Search base") pour remplir de nouveau la liste de droite.
c) Synchroniser les utilisateurs saisis manuellement Avec cette option, la tâche cédulée va ramasser uniquement les utilisateurs choisis. Après avoir cliqué cette option, l'onglet "Configuration juste utilisateurs" va rendre disponible cet onglet qui est semblable à l onglet "Configuration utilisateurs dans groupes", sauf que la liste de droite ne permet que des utilisateurs et non des groupes. Les utilisateurs à synchroniser vont être seulement les utilisateurs choisis et être transférés par la liste à gauche. Choisir la base de recherche ("Search Base") est très important. d) Synchroniser les groupes saisis manuellement Cette option est semblable à l'option «Synchroniser les utilisateurs dans les groupes», la seule différence étant que la tâche cédulée va synchroniser et sauvegarder les groupes et faire le lien dans Librex avec les utilisateurs synchronisés. Une fois coché, l'onglet "Configuration utilisateurs et groupes" est rendu disponible. Mettre la bonne base de recherche ("Search base") est important pour saisir le groupe souhaité. e) Configurations Avancées Cette option est disponible pour les cas où les options standard ne sont pas capables de combler un besoin particulier. Pour ce cas, il est possible de générer une requête LDAP directe pour saisir des utilisateurs et des groupes. 3) Céduler la tâche LDAP
Dans la fenêtre d'administration, vous pourrez trouver la tâche cédulée système "Tâche LDAP". Elle est responsable d'appliquer les configurations faites par l'entretien "LDAP et Active Directory". Elle est installée automatiquement à partir de la mise à jour de Librex et pour l'entretenir il faut appuyer sur "Modifier" lorsque "Tâche LDAP" est sélectionné. Après avoir choisi la tâche système pour effectuer des modifications, aller dans l'onglet Cédule et définir une date de début et une heure de début. L heure de fin n'est pas obligatoire dans ce cas. Dans l'onglet "LDAP et Active Directory", il y a une option à cocher : "Synchroniser tous les utilisateurs et les groupes à partir de la prochaine cédule". Si cette case est cochée, la recherche sur le serveur Active Directory va synchroniser tous les objets sans tenir compte des dernières modifications de la dernière cédule.