L Authentification de Librex dans Active Directory (Kerberos)



Documents pareils
S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

Guide de configuration pour accès au réseau Wifi sécurisé 802.1X


NAS 206 Utiliser le NAS avec Windows Active Directory

Préparation à l installation d Active Directory

Administration d un client Windows XP professionnel

Comment utiliser mon compte alumni?

Paramétrage des navigateurs

Cours 420-KEG-LG, Gestion de réseaux et support technique. Atelier No2 :

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères

COMMENT AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L ANTIVIRUS FIREWALL V3

Guide Utilisateur pour accès au réseau WiFi sécurisé 802.1X

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Configuration de Outlook Express 6 pour utilisation avec belgacom.net

Procédure d'installation complète de Click&Decide sur un serveur

Espace pro. Installation des composants avec Firefox. Pour. Windows XP Vista en 32 et 64 bits Windows 7 en 32 et 64 bits

INSTALLER JOOMLA! POUR UN HEBERGEMENT LINUX

IPS-Firewalls NETASQ SPNEGO

Notice d installation et d utilisation du blog nomade avec un nouveau blog

Configuration de GFI MailArchiver

Vous pouvez à présent à reconfigurer votre messagerie en cliquant ici.

Chapitre 2 Accès aux partages depuis votre système d'exploitation

VTX FTP. Transfert de fichiers business par FTP - Manuel de l'utilisateur. Informations complémentaires : info@vtx.

Accès au Serveur de PAIE «SPV» par INTERNET Paramétrage du poste de travail «Windows»

INSTALLATION DE WINDOWS 2000 SERVER POUR BCDI3. par. G.Haberer, A.Peuch, P.Saadé

GUIDE D INSTALLATION INTERNET haute vitesse

Service de certificat

Service Informatique et Télématique (SITEL), Emile-Argand 11, 2009 Neuchâtel, Tél ,

Guide SQL Server 2008 pour HYSAS

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Microsoft Hosted Exchange 2010 DOCUMENT D EXPLOITATION

Sommaire 1 CONFIGURER SA MESSAGERIE 2 2 CONSULTER VOS MAILS SUR INTERNET (WEBMAIL) 7 3 PROBLEMES POSSIBLES 8

INSTALLATION DE L AGENT CT EASY BACKUP LAN REV 1.0/

Les différentes méthodes pour se connecter

Guide pour la configuration d adresse

Présentation, mise en place, et administration d'ocs Inventory et de GLPI

Installation 1K-Serveur

TUTO 15 : Comment ajouter un ordinateur dans le domaine «Ecole»? École Numérique Rurale. 1.Préparation du poste informatique...1

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

HTTP Commander. Table des matières. 1-Présentation de HTTP Commander

Les Utilisateurs dans SharePoint

Authentification unique Eurécia

Lancez le setup, après une phase de décompression, la fenêtre d installation des prérequis apparaît, il faut les installer :

Installation d'un Active Directory et DNS sous Windows Server 2008

Avec PICASA. Partager ses photos. Avant de commencer. Picasa sur son ordinateur. Premier démarrage

EJBCA PKI Open Source

Corrigé de l'atelier pratique du module 8 : Implémentation de la réplication

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

AD FS avec Office 365 Guide d'installation e tape par e tape

Installation et configuration du serveur syslog sur Synology DSM 4.0

Accès à la messagerie électronique HES

PARAMETRER LA MESSAGERIE SOUS THUNDERBIRD

(Fig. 1 :assistant connexion Internet)

1. Présentation du TP

DIASER Pôle Assistance Rectorat

Guide détaillé pour Microsoft Windows Server Update Services 3.0 SP2

Configuration d'un annuaire LDAP

Créer une connexion entre Sage CRM et Sage Etendue pour émettre directement des devis et commandes

Guide de configuration de SQL Server pour BusinessObjects Planning

L accès à distance du serveur

Mise en route et support Envision 10 SQL server (Avril 2015) A l'intention de l'administrateur SQL Server et de l administrateur Envision

Connecteur Zimbra pour Outlook 2007 et 2010 (ZCO) w

Récupérer les documents stockés sur l ENTG

Guide d'installation du connecteur Outlook 4

Sauvegarder ses données avec Syncback Windows 98, 2000, Me, NT, XP

Manuel Utilisateur MISE A JOUR DU CLIENT SOFIE VERS LA VERSION 5. v0.99

Mise en place SSO. Mise en place SSO. 1. Installation de Tomcat sur le serveur OCR (Windows) 2. Ajout des librairies. by LegalBox

GPI Gestion pédagogique intégrée

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

Installation du point d'accès Wi-Fi au réseau

Sauvegarde et restauration de données

Exécution de PCCOMPTA à distance sous Terminal Server 2003.

Guide d'installation NSi Mobile. Version 6.2

FTP / WebDeploy /WebDAV. Manuel

Guide de mise à jour BiBOARD

Installation de Windows 2000 Serveur

Business Sharepoint Contenu

Création de votre compte de messagerie IMAP

POVERELLO KASONGO Lucien SIO 2, SISR SITUATION PROFESSIONNELLE OCS INVENTORY NG ET GLPI

Logiciel : GLPI Version : SYNCRHONISATION DE GLPI AVEC ACTIVE DIRECTORY. Auteur : Claude SANTERO Config. : Windows 2003.

TUTORIEL: INSTALLATION D'UN SERVEUR LOCAL SOUS WINDOWS 7 POUR APPINVENTOR version du 06/04/2013

Manuel BlueFolder ADMINISTRATION

AUTORISER LES PARTAGES RESEAUX ET IMPRIMANTE SOUS L'ANTIVIRUS FIREWALL PRO V1

GUIDE DE L UTILISATEUR

Accès aux ressources informatiques de l ENSEEIHT à distance

AFTEC SIO 2. Christophe BOUTHIER Page 1

Guide d installation CLX.PayMaker Office (3PC)

Installation d un manuel numérique 2.0

Kerberos/AD/LDAP/Synchro

TUTORIAL ULTRAVNC (EDITION 2)

Censio Tutorial Sharepoint Cloud Connector exporter les données d un fichier plat dans Sharepoint Online. Version 1.

Avant-propos 1. Avant-propos Organisation du guide À qui s'adresse ce guide?...4

1 INTRODUCTION 2 2 PRE-REQUIS Export du certificat du serveur Date et heure du système Téléchargement du logiciel du terminal 2

COMMUNICATION TECHNIQUE N TCV060 Ed. 01. OmniVista 4760 Nb de pages : 18 Date : URGENTE NON URGENTE TEMPORAIRE DEFINITIVE

Service d'authentification LDAP et SSO avec CAS

Installation et paramétrage de Fedora dans VirtualBox.

FreeNAS Shere. Par THOREZ Nicolas

Solutions informatiques

Guide de l utilisateur. Synchronisation de l Active Directory

Transcription:

L Authentification de Librex dans Active Directory (Kerberos) 1) Configurer Active Directory a) Créer le compte utilisateur qui sera utilisé par Librex pour accéder à Active Directory. Sur le serveur de domaine, accéder à «Active Directory Users and Computers». Créer l utilisateur «Librex HTTP» avec le nom de login «librexhttp». Cocher l option «Password never expires». Dans la section «Account options», cocher l'option suivante : «Do not require Kerberos preauthentication» P.s : On recommande toujours que le nom de compte soit librexhttp b) Créer le SPN correspondant à cet utilisateur. Ouvrir une fenêtre DOS. Taper la commande «setspn a [SPN_name] librexhttp». Vérifier que SPN_name correspond à : [service]/[nom serveur]+[domain] E.g : setspn a HTTP/vplogig031.hexatek.hexatek.com librexhttp P.s On recommande de toujours utiliser le nom du service comme HTTP c) Générer le fichier de keytab (pour les installations de Librex sur les machines non Windows ou non contrôlées par Active Directory)

Ouvrir une fenêtre DOS. Taper la commande «ktpass princ [SPN_Name]@[REALM] pass <mot de passe de l utilisateur librexhttp> mapuser [user logon name]\[nom de compte librex] -crypto All ptype KRB5_NT_PRINCIPAL out [nom du fichier keytab]». E.g : ktpass princ HTTP/vplogic031.hexatek.hexatek.com@HEXATEK.HEXATEK.COM pass cxs234 mapuser HEXATEK\librexhttp -crypto All ptype KRB5_NT_PRINCIPAL out librexhttp.keytab Déposer le fichier de keytab dans C:\LibrexData (ou répertoire correspondant) 2) Opérations à faire dans l'environnement du serveur Librex a) Donner les droits de lecture/écriture aux répertoires (ou correspondants) au compte librexhttp (ou autre enregistré avec ce même but) : C:\LibrexData et C:\LibrexServer b) Ajouter le compte librexhttp (ou autre enregistré avec ce même but) dans le service "LibrexServer" (ou LibrexServer 3) dans l'entretien des services windows et ensuite redémarrer le service windows "LibrexServer" (ou LibrexServer 3). Voici l'exemple : 3) Configurer Librex a) Créer une connexion de type Kerberos depuis la fenêtre d administration des "Connexions" ou directement depuis la fenêtre d administration "LDAP et Active Directory". Étapes : Ouvrir la fenêtre d'administration, aller dans l'entretien "Connexions" et appuyer sur "Créer", ou plus facile encore : ouvrir la fenêtre d'administration, cliquer sur "LDAP et Active Directory", appuyer sur "Modifier" et dans l'onglet "Authentification Kerberos", appuyer sur le bouton "Créer" :

b) Saisir les informations suivantes pour créer la connexion Kerberos Saisir un nom pour cette connexion Saisir dans l'adresse URL le nom et le domaine de la machine du contrôleur du domaine Cocher l'option "Utiliser le compte que le serveur librex roule" Saisir le SPN défini dans l'item 1-b Saisir le nom du domaine(realm) Appuyer sur "Ok" c) Dans la fenêtre d administration " LDAP et Active Directory", modifier la liste déroulante "Authentification par API" pour choisir le meilleur API pour valider les «credentials» envoyés par le client Librex : GSS/Generic - Choisir ceci si la machine du serveur Librex est non Windows ou elle ne fait pas partie du Realm du contrôleur de domaine (Active Directory). Pour plus d'info pour configurer GSS voir l item 3-d SSPI/Windows - Choisir ceci si la machine du serveur Librex est Windows et fait partie du Realm du contrôleur de domaine et si Librex est parti avec le compte librexhttp (ou autre compte similaire). Voir Item 2-b. d) Configurer GSS/Generic pour une machine serveur Librex qui n'est pas Windows ou ne fait pas partie du Realm du contrôleur de domaine (Active Directory). Si votre machine ne correspond pas à ces critères ne pas tenir compte de cette section. Voir par la suite les étapes pour configurer GSS au niveau du serveur (le client Librex n'a pas cette option) :

d-1) Ajouter dans le fichier login-conf.xml (dans le répertoire du coté serveur C:\LibrexServer\server\librex\conf\) l'extrait ci-dessous et modifier les champs : principal, kdc, realm et keytab au besoin : <application-policy name="com.sun.security.jgss.accept"> <authentication> <login-module code="com.sun.security.auth.module.krb5loginmodule" flag="required"> <module-option name="debug">true</module-option> <module-option name="principal">http/vplogic031.hexatek.hexatek.com</moduleoption> <module-option name="kdc">serveur02.hexatek.hexatek.com</module-option> <module-option name="realm">hexatek.hexatek.com</module-option> <module-option name="storekey">true</module-option> <module-option name="usekeytab">true</module-option> <module-option name="donotprompt">true</module-option> <module-option name="keytab">c:/librexdata/librexhttp.keytab</module-option> </login-module> </authentication> </application-policy> d-2) Ajouter dans le fichier properties-service.xml (dans le répertoire du coté serveur C:\LibrexServer\server\librex\deploy\) les «attributes»: realm et kdc au besoin : <attribute name="properties"> java.security.krb5.realm=hexatek.hexatek.com java.security.krb5.kdc=serveur02.hexatek.hexatek.com </attribute> d-3) Télécharger "Java Cryptography Extension (JCE) Unlimited Strength" pour la version 1.6 de la JVM (http://www.oracle.com/technetwork/java/javase/downloads/jce-6- download-429243.html). Ensuite, décompresser le fichier jce_policy-6.zip et déplacer les fichiers "local_policy.jar" et "US_export_policy.jar" vers le répertoire du coté serveur c:\librexserver\bin\jre1.6.0_31\lib\security et remplacer les fichiers existants par ceux du fichier jce_policy-6.zip. Il est maintenant possible de démarrer le serveur Librex.

Configurer la Synchronisation des utilisateurs d'active Directory 1) Créer la connexion LDAP a) Créer la connexion de type Ldap dans l'entretien "Connexions" ou dans l'entretien "LDAP et Active Directory". Pour ça, il faut ouvrir le client Librex, ouvrir la fenêtre d'administration, aller dans l'entretien "Connexions" et appuyer sur "Créer". Ou, plus simple encore : ouvrir la fenêtre d'administration, cliquer sur "LDAP et Active Directory", appuyer sur "Modifier" et, dans l'onglet "Options de synchronisation", appuyer sur le bouton "Créer" : b) Saisir les informations suivantes pour créer la connexion LDAP : Saisir un nom pour cette connexion Saisir dans l'adresse l'url LDAP du serveur Active Directory avec le format suivant : ldap://[nom.serveur.domaine]:[porte] Déterminer le type d'authentification (SIMPLE ou DIGEST-MD5) Saisir le nom du compte LDAP utilisé pour se connecter Saisir le mot de passe du compte utilisé pour se connecter Appuyer sur "Ok" c) Dans l'onglet d'options de synchronisation, choisir la connexion LDAP dans la liste déroulante. Note : la connexion va être déjà définie si la connexion a été créée à partir du bouton "Créer" de cette fenêtre d'entretien. 2) Choisir une option de synchronisation

Dans l'entretien "LDAP et Active Directory" et dans l'onglet "Options de synchronisation", 5 options sont disponibles pour faire la synchronisations des utilisateurs d'active Directory dans Librex : Synchroniser tous les utilisateurs du domaine Synchroniser les utilisateurs dans les groupes Synchroniser les utilisateurs saisis manuellement Synchroniser les groupes saisis manuellement Configurations avancées Information sur les options de synchronisation : a) Synchroniser tous les utilisateurs du domaine Avec cette option, la tâche cédulée va ramasser tous les utilisateurs du contrôleur de domaine défini par la connexion choisie. Après avoir coché cette option, il faut aller à l onglet "Configuration tous utilisateurs" pour définir le base de recherche ("Search Base") dans une liste déroulante utilisée pour faire la synchronisation.

b) Synchroniser les utilisateurs dans les groupes Avec cette option, la tâche cédulée va être capable d importer tous les utilisateurs qui appartiennent à un groupe (note : juste les utilisateurs, pas le groupe). Après avoir cliqué cette option, l'onglet "Configuration utilisateurs dans groupes" sera disponible et il faut y choisir au moins un groupe dans la liste de droite. Si la liste est vide ou si le groupe choisi n'est pas disponible, il est toujours possible modifier la base de recherche ("Search base") pour remplir de nouveau la liste de droite.

c) Synchroniser les utilisateurs saisis manuellement Avec cette option, la tâche cédulée va ramasser uniquement les utilisateurs choisis. Après avoir cliqué cette option, l'onglet "Configuration juste utilisateurs" va rendre disponible cet onglet qui est semblable à l onglet "Configuration utilisateurs dans groupes", sauf que la liste de droite ne permet que des utilisateurs et non des groupes. Les utilisateurs à synchroniser vont être seulement les utilisateurs choisis et être transférés par la liste à gauche. Choisir la base de recherche ("Search Base") est très important. d) Synchroniser les groupes saisis manuellement Cette option est semblable à l'option «Synchroniser les utilisateurs dans les groupes», la seule différence étant que la tâche cédulée va synchroniser et sauvegarder les groupes et faire le lien dans Librex avec les utilisateurs synchronisés. Une fois coché, l'onglet "Configuration utilisateurs et groupes" est rendu disponible. Mettre la bonne base de recherche ("Search base") est important pour saisir le groupe souhaité. e) Configurations Avancées Cette option est disponible pour les cas où les options standard ne sont pas capables de combler un besoin particulier. Pour ce cas, il est possible de générer une requête LDAP directe pour saisir des utilisateurs et des groupes. 3) Céduler la tâche LDAP

Dans la fenêtre d'administration, vous pourrez trouver la tâche cédulée système "Tâche LDAP". Elle est responsable d'appliquer les configurations faites par l'entretien "LDAP et Active Directory". Elle est installée automatiquement à partir de la mise à jour de Librex et pour l'entretenir il faut appuyer sur "Modifier" lorsque "Tâche LDAP" est sélectionné. Après avoir choisi la tâche système pour effectuer des modifications, aller dans l'onglet Cédule et définir une date de début et une heure de début. L heure de fin n'est pas obligatoire dans ce cas. Dans l'onglet "LDAP et Active Directory", il y a une option à cocher : "Synchroniser tous les utilisateurs et les groupes à partir de la prochaine cédule". Si cette case est cochée, la recherche sur le serveur Active Directory va synchroniser tous les objets sans tenir compte des dernières modifications de la dernière cédule.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back