GPI 2012 Implantation de l authentification LDAP Version mise à jour le 25 septembre 2015

annexe GPI 2012 Implantation de l authentification LDAP Version mise à jour le 25 septembre 2015 Septembre 2015

Table des matières PRINCIPES DE FONCTIONNEMENT... 3 ACTIVATION DE L AUTHENTIFICATION LDAP... 3 PRÉALABLES À L UTILISATION DE L AUTHENTIFICATION LDAP... 4 STRATÉGIES D IMPLANTATION DE L AUTHENTIFICATION LDAP... 5 CRÉATION D UN CERTIFICAT POUR LES ÉCHANGES SSL AVEC UN SERVEUR «EDIRECTORY».. 6 EXPORTATION D UN CERTIFICAT D AUTORITÉ DE CERTIFICATION À PARTIR D UN SERVEUR «NETWARE»... 9 CRÉATION D UN CERTIFICAT POUR LES ÉCHANGES SSL AVEC UN SERVEUR «OPENLDAP»... 11 EXPORTATION D UN CERTIFICAT D AUTORITÉ DE CERTIFICATION À PARTIR D UN SERVEUR «LINUX»... 11 CONFIGURATION DE LA CONSOLE DE GESTION MICROSOFT POUR IMPORTER UN CERTIFICAT D AUTORITÉ DE CERTIFICATION SUR LE SERVEUR INTERNET DE L APPLICATION (ENVIRONNEMENT WINDOWS SERVEUR 2003)... 12 IMPORTATION D UN CERTIFICAT D AUTORITÉ DE CERTIFICATION SUR LE SERVEUR INTERNET DE L APPLICATION (ENVIRONNEMENT WINDOWS SERVEUR 2003)... 15 IMPORTATION D UN CERTIFICAT D AUTORITÉ DE CERTIFICATION SUR LE SERVEUR INTERNET DE L APPLICATION (ENVIRONNEMENT WINDOWS SERVEUR 2008 ET WINDOWS 2012)... 17 ANNEXE A PARAMÈTRES DE CONFIGURATION LDAP POUR GPI INTERNET... 18 ANNEXE B PARAMÈTRES DE CONFIGURATION LDAP POUR SPI... 19 Septembre 2015

GPI 2012 Implantation de l authentification LDAP L authentification LDAP d une application Internet permet à un utilisateur de se connecter en utilisant son code d utilisateur et son mot de passe provenant d un serveur LDAP. Un certificat X.509 est requis pour ne pas exposer les mots de passe. Principes de fonctionnement Au démarrage d une application Internet en mode d authentification LDAP, les actions suivantes sont effectuées : L'application s assure que le code d utilisateur est présent de façon unique dans le serveur LDAP lorsqu il est de type «edirectory» ou «OpenLDAP». L application valide le mot de passe de l utilisateur au serveur LDAP. Activation de l authentification LDAP Pour configurer adéquatement LDAP pour la fonctionnalité Mozaïk-Dossier mobile, consultez l ANNEXE H du GUIDE D INSTALLATION DES FONCTIONNALITÉS INTERNET DE GPI 2012. L authentification LDAP est activée lorsque la case «Authentification LDAP» est cochée dans l éditeur graphique MLX de l application Internet. La liste des paramètres à configurer par l outil MLX est définie dans les annexes suivantes : ANNEXE A PARAMÈTRES DE CONFIGURATION LDAP POUR GPI INTERNET ANNEXE B PARAMÈTRES DE CONFIGURATION LDAP POUR SPI Les échanges SSL sont activés si le numéro du port choisi est 636. Il faut alors gérer les certificats servant aux échanges SSL. Il est à noter que les échanges SSL ne sont pas nécessaires lors de l usage de l authentification LDAP vers un serveur de type Microsoft Active Directory. GRICS, 2012-2015 3

Implantation de l authentification LDAP GPI 2012 Selon le serveur utilisé et si vous utilisez votre propre certificat, vous aurez à exécuter un ou plusieurs des points suivants : 1. Création d un certificat pour les échanges SSL avec un serveur «edirectory». Point à surveiller : la valeur de l attribut CN du certificat lors de la création du certificat. 2. Exportation du certificat d autorité de certification à partir d un serveur «Netware». C est le ou les certificats d autorité qui ont servi lors de la création d un certificat dans l étape précédente. 3. Création d un certificat pour les échanges SSL avec un serveur «OpenLDAP». Point à surveiller : la valeur de l attribut CN du certificat lors de la création du certificat. 4. Exportation d un certificat d autorité de certification à partir d un serveur «Linux». C est le ou les certificats d autorité qui ont servi lors de la création d un certificat dans l étape précédente. 5. Configuration de la console de gestion Microsoft pour importer un certificat d autorité de certification sur le serveur Internet de l application. 6. Importation de certificats d autorité de certification sur le serveur Internet de l application. Préalables à l utilisation de l authentification LDAP 1. Vous devez avoir fait la conversion des codes d utilisateurs de la banque de l application pour qu ils correspondent à leurs valeurs respectives dans le serveur LDAP. 2. Normalement cette étape a déjà été faite pour les utilisateurs de l application Windows. 3. Un utilitaire permettant cette conversion (ConversionCodesBD.exe) pour une banque de données se trouve dans le répertoire SQL\UTIL de l application Windows. 4. La documentation de l utilitaire se trouve dans le Guide technique Utilitaire de conversion des codes d utilisateurs de l application Windows. 5. Lorsque l application Internet n est pas liée à la banque d une application Windows, l utilitaire a été livré avec l application Internet ou les codes d utilisateurs ont déjà été créés dans la banque avec leurs valeurs correspondant au serveur LDAP. 6. Si vous avez un certificat non reconnu, vous devez l installer sur le serveur Web. 4

GPI 2012 Implantation de l authentification LDAP Stratégies d implantation de l authentification LDAP L implantation de l authentification LDAP dans un organisme peut se faire selon plusieurs scénarios : 1. Pour permettre à un sous-ensemble d utilisateurs d accéder à l application en mode authentification LDAP : Les utilisateurs qui n utilisent pas le mode d authentification LDAP utilisent une instance de l application Internet dans laquelle l authentification LDAP n est pas activée. Convertissez les codes des utilisateurs visés afin de faire correspondre leurs codes d utilisateurs dans la banque à ceux du serveur LDAP. Installez une nouvelle instance de l application Internet en mode d authentification LDAP. 2. Pour permettre à tous les utilisateurs d une application Internet d accéder à l application en mode identification unique : Convertissez tous les codes des utilisateurs afin de faire correspondre leurs codes d utilisateurs dans la banque à ceux du serveur LDAP. Installez une instance de l application Internet en mode d authentification LDAP. Si l application est déjà installée, vous pouvez configurer le serveur LDAP à l aide de l utilitaire MLX.EXE. GRICS, 2012-2015 5

Implantation de l authentification LDAP GPI 2012 Création d un certificat pour les échanges SSL avec un serveur «edirectory» Suite au démarrage du programme ConsoleOne de Novell, positionnez-vous sur l unité organisationnelle qui contient le serveur. Dans le menu contextuel de l unité organisationnelle, sélectionnez Nouveau Objet. Dans la fenêtre Nouvel objet, choisissez «NDSPKI:Key Material» et cliquez sur le bouton OK. 6

GPI 2012 Implantation de l authentification LDAP Identifiez le certificat dans le champ Nom du certificat, cochez la case d option Personnalisée et cliquez sur le bouton Suivant. Cochez la case d option Autorité de certification organisationnelle et cliquez sur le bouton Suivant. Cochez la case d option SSL ou TLS, sélectionnez la case à cocher «Permettre l exportation d une clé privée» et cliquez sur le bouton Suivant. GRICS, 2012-2015 7

Implantation de l authentification LDAP GPI 2012 Éditez le champ de saisie Sujet à l aide du bouton Éditer. Il est primordial que le CN corresponde au nom dans le DNS du serveur LDAP et que ce nom soit utilisé dans la configuration du MLX. Fixez la période de validité au maximum et cliquez sur le bouton Suivant. Cochez la case d option Certificat de votre organisation et cliquez sur le bouton Suivant. Cliquez sur le bouton Terminer. 8

GPI 2012 Implantation de l authentification LDAP Exportation d un certificat d autorité de certification à partir d un serveur «Netware» Toujours dans le programme ConsoleOne, localisez le certificat d autorité de certification dans l unité organisationnelle et affichez-en les propriétés. Choisissez l onglet Certificats Certificat de racine approuvée. Cliquez sur le bouton Exporter. GRICS, 2012-2015 9

Implantation de l authentification LDAP GPI 2012 Cochez la case d option Non pour ne pas exporter la clé privée et cliquez sur le bouton Suivant. Cochez la case d option Fichier au format Base64, entrez un nom de fichier avec l extension cer et cliquez sur le bouton Suivant. Cliquez sur le bouton Terminer. Il faut copier le certificat autorite-edirectory.cer sur le serveur Internet de l application. 10

GPI 2012 Implantation de l authentification LDAP Création d un certificat pour les échanges SSL avec un serveur «OpenLDAP» À la console du serveur «Linux», créez un certificat à l aide de la commande openssl. Le certificat créé en sera un d autorité de certification valide pour 10 ans ayant comme CN le nom au DNS du serveur «Linux». Redémarrez LDAP par la commande service ldap restart. Exportation d un certificat d autorité de certification à partir d un serveur «Linux» L exportation du certificat autorite-openldap.cer se limite à copier ce fichier sur le serveur Internet de l application. GRICS, 2012-2015 11

Implantation de l authentification LDAP GPI 2012 Configuration de la console de gestion Microsoft pour importer un certificat d autorité de certification sur le serveur Internet de l application (Environnement Windows Serveur 2003) Pour démarrer la console de gestion, exécutez mmc. Pour ouvrir la fenêtre d ajout d un composant, sélectionnez Fichier Ajouter/Supprimer un composant. À la fenêtre Ajouter/Supprimer, cliquez sur le bouton Ajouter. 12

GPI 2012 Implantation de l authentification LDAP À la fenêtre Ajout d'un composant, sélectionnez Certificats et cliquez sur le bouton Ajouter. À la fenêtre Composant logiciel, cochez la case d option Le compte de l ordinateur et cliquez sur le bouton Suivant. À la fenêtre Sélectionner un ordinateur, cochez la case d option L ordinateur local et cliquez sur le bouton Terminer. Cliquez sur le bouton Fermer. GRICS, 2012-2015 13

Implantation de l authentification LDAP GPI 2012 Cliquez sur le bouton OK. Enregistrez votre console sur le bureau en la nommant Certificats.msc pour y accéder au besoin. Pour ce faire, sélectionnez Fichier Enregistrer sous. Positionnez-vous sur le bureau, identifiez le fichier Certificats.msc et cliquez sur le bouton Enregistrer. 14

GPI 2012 Implantation de l authentification LDAP Importation d un certificat d autorité de certification sur le serveur Internet de l application (Environnement Windows Serveur 2003) Démarrez la console Certificats.msc. Sélectionnez la hiérarchie suivante : Racine de la console Autorités de certification racines Certificats et par le menu contextuel de Certificats, sélectionnez Toutes les tâches Importer. Cliquez sur le bouton Suivant à la fenêtre de bienvenue. GRICS, 2012-2015 15

Implantation de l authentification LDAP GPI 2012 Entrez le nom du fichier et cliquez sur le bouton Suivant. Cliquez sur le bouton Suivant. Cliquez sur le bouton Terminer. 16

GPI 2012 Implantation de l authentification LDAP Importation d un certificat d autorité de certification sur le serveur Internet de l application (Environnement Windows Serveur 2008 et Windows 2012) Démarrez la console IIS. Dans la liste des connexions, cliquez sur le serveur. Dans la liste des fonctionnalités de IIS sous le regroupement IIS, cliquez sur l icône «Certificats de serveur». Faites l action «Ouvrir la fonctionnalité». Faites l action «Importer». Indiquez où se trouve le fichier de certificat ainsi que le mot de passe qui lui est associé et cliquez sur OK. Le certificat est maintenant importé sur le serveur Web. GRICS, 2012-2015 17

Implantation de l authentification LDAP GPI 2012 Annexe A Paramètres de configuration LDAP pour GPI Internet La configuration de ces paramètres peut se faire par l outil MLX.EXE qui se retrouve dans le répertoire BIN de la fonctionnalité GPI Internet. Voici la liste des paramètres configurables : CONFIGURATION SYSTÈME GRICS Configuration LDAP La configuration LDAP permet à l administrateur de définir les paramètres de connexion à un ou plusieurs serveurs LDAP. Ces serveurs serviront à l authentification des utilisateurs de l application Internet. La case à cocher indique si l application authentifie les utilisateurs dans un serveur LDAP. L identification du serveur permet de saisir le nom du serveur. Il est préférable d y mettre le nom tel que défini au DNS même si le nom NETBIOS et l adresse IP sont valides. Si les échanges SSL sont utilisés, le nom doit correspondre à celui défini dans le certificat. Le type de serveur indique si le serveur est «Active Directory» de Microsoft ou «OpenLDAP» ou «edirectory» de Novell. Les accès au serveur se font par un port TCP (généralement 389 ou 636 si les échanges se font en utilisant SSL). Les échanges en utilisant SSL nécessitent un certificat sur le serveur LDAP et le certificat CA correspondant sur le serveur IIS. Il est inutile d utiliser les échanges SSL pour AD. Le contexte a un format particulier selon le type de serveur et il correspond au domaine si l annuaire est «Active Directory» de Microsoft (ex. : cs.qc.ca). Il correspond optionnellement à une suite de «OU» et à l organisation dans le cas de «edirectory» de Novell (ex. : OU=eleves,O=cs). Il correspond optionnellement à une suite de «OU» et obligatoirement à une suite de «DC» pour le type «OpenLDAP» (ex. : OU=eleves,DC=cs,DC=qc,DC=ca). Le délai d attente indique le temps pendant lequel il n y aura aucune tentative de connexion faite à ce serveur, car celui-ci n était pas disponible lors de la dernière tentative de connexion. La valeur de l utilisateur doit identifier celui-ci dans un format spécifique à chaque type de serveur. La notation code@domaine est utilisée pour «Active Directory» (ex. : public@cs.qc.ca). Le «DN» complet est fourni pour «edirectory» (ex. : CN=public,OU=applications,O=cs) et pour «OpenLDAP» (ex. : UID=public,OU=applications,DC=cs,DC=qc,DC=ca). L utilisateur saisi doit avoir la permission d accéder à tous les utilisateurs de l annuaire «OpenLDAP» ou «edirectory» en mode lecture. La valeur de l utilisateur est utilisée pour récupérer l identifiant complet (le «DN») de l utilisateur qui veut s authentifier. Elle est également utilisée pour effectuer l autodiagnostic du serveur LDAP, et ce, pour tous les types de serveurs LDAP. Le mot de passe est associé à l utilisateur et est utilisé au besoin. Serveur LDAP 1 Serveur LDAP 2 Serveur LDAP 3 Serveur LDAP 4 Serveur LDAP 5 18

GPI 2012 Implantation de l authentification LDAP Annexe B Paramètres de configuration LDAP pour SPI La configuration de ces paramètres peut se faire par l outil MLX.EXE qui se retrouve dans le répertoire BIN de la fonctionnalité SPI Internet. Voici la liste des paramètres configurables : CONFIGURATION SYSTÈME GRICS Configuration LDAP La configuration LDAP permet à l administrateur de définir les paramètres de connexion à un ou plusieurs serveurs LDAP. Ces serveurs serviront à l authentification des utilisateurs de l application Internet. La case à cocher indique si l application authentifie les utilisateurs dans un serveur LDAP. L identification du serveur permet de saisir le nom du serveur. Il est préférable d y mettre le nom tel que défini au DNS même si le nom NETBIOS et l adresse IP sont valides. Si les échanges SSL sont utilisés, le nom doit correspondre à celui défini dans le certificat. Le type de serveur indique si le serveur est «Active Directory» de Microsoft ou «OpenLDAP» ou «edirectory» de Novell. Les accès au serveur se font par un port TCP (généralement 389 ou 636 si les échanges se font en utilisant SSL). Les échanges en utilisant SSL nécessitent un certificat sur le serveur LDAP et le certificat CA correspondant sur le serveur IIS. Il est inutile d utiliser les échanges SSL pour AD. Le contexte a un format particulier selon le type de serveur et il correspond au domaine si l annuaire est «Active Directory» de Microsoft (ex. : cs.qc.ca). Il correspond optionnellement à une suite de «OU» et à l organisation dans le cas de «edirectory» de Novell (ex. : OU=eleves,O=cs). Il correspond optionnellement à une suite de «OU» et obligatoirement à une suite de «DC» pour le type «OpenLDAP» (ex. : OU=eleves,DC=cs,DC=qc,DC=ca). Le délai d attente indique le temps pendant lequel il n y aura aucune tentative de connexion faite à ce serveur, car celui-ci n était pas disponible lors de la dernière tentative de connexion. La valeur de l utilisateur doit identifier celui-ci dans un format spécifique à chaque type de serveur. La notation code@domaine est utilisée pour «Active Directory» (ex. : public@cs.qc.ca). Le «DN» complet est fourni pour «edirectory» (ex. : CN=public,OU=applications,O=cs) et pour «OpenLDAP» (ex. : UID=public,OU=applications,DC=cs,DC=qc,DC=ca). L utilisateur saisi doit avoir la permission d accéder à tous les utilisateurs de l annuaire «OpenLDAP» ou «edirectory» en mode lecture. La valeur de l utilisateur est utilisée pour récupérer l identifiant complet (le «DN») de l utilisateur qui veut s authentifier. Elle est également utilisée pour effectuer l autodiagnostic du serveur LDAP, et ce, pour tous les types de serveurs LDAP. Le mot de passe est associé à l utilisateur et est utilisé au besoin. Serveur LDAP 1 Serveur LDAP 2 Serveur LDAP 3 Serveur LDAP 4 Serveur LDAP 5 GRICS, 2012-2015 19

GPI 2012 Soutien : (514) 251-3721, option 2 Site Web : www.grics.ca Courriel : gpj@grics.ca 5100, rue Sherbrooke Est Bureau 300, 3 e étage Montréal (Québec) H1V 3R9