Zoom sur Newtest LDAP intégration



Documents pareils
Internet. Web Sécurité Optimisation

HTTP HTTP. IUT1 dpt SRC L Isle d Abeau Jean-françois Berdjugin. Introduction et architecture Messages Authentification Conclusion

Internet Information Server. Conçu et réalisé par Denis Szalkowski Formateur consultant

Langage W4. Note technique W4 Engine

La double authentification dans SharePoint 2007

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

Serveurs de noms Protocoles HTTP et FTP

Chapitre 1 Windows Server

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole :

CAHIER DES CHARGES D IMPLANTATION

HTTP 1.1. HyperText Transfer Protocol TCP IP ...


GPI Gestion pédagogique intégrée

Configuration d'un annuaire LDAP

Serveurs et environnements de développement. Serveur Web

L3 informatique TP n o 2 : Les applications réseau

Installation de SharePoint Foundation 2013 sur Windows 2012

LES ACCES ODBC AVEC LE SYSTEME SAS

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée Virtual Server de Microsoft

Manuel d installation

VXPERT SYSTEMES. CITRIX NETSCALER 10.1 et SMS PASSCODE 6.2. Guide d installation et de configuration pour Xenapp 6.5 avec SMS PASSCODE 6.

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Les cahiers pratiques de Anonymat.org. SocksCap32. Edition du 20 Octobre 2000

CGI et SSI. La programmation CGI. Sources. Objectifs. Qu'est ce qu'un programme CGI? CGI

Fiche Produit Desktop Popup

Introduction à Sign&go Guide d architecture

IPS-Firewalls NETASQ SPNEGO

Guide d installation BiBOARD

Description de la maquette fonctionnelle. Nombre de pages :

Rôles serveur Notion de Groupe de Travail Active Directory Utilisation des outils d administration Microsoft Windows Server 2008

SQL Server et Active Directory

Guide de mise à jour BiBOARD

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Soutenance de projet. Mise en place d une solution de reporting

Installation d'un TSE (Terminal Serveur Edition)

Guide de migration BiBOARD V10 -> v11

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

Installation de Premium-RH

UserLock Quoi de neuf dans UserLock? Version 6

Couche applica,on. h.p- web Cgi javascript

MEGA Web Front-End Installation Guide MEGA HOPEX V1R1 FR. Révisé le : 5 novembre 2013 Créé le : 31 octobre Auteur : Noé LAVALLEE

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)

Utilisation du plugin AppliDis SLB (Smart Load Balancing)

DESCRIPTION DU PLUGIN D AUTHENTIFICATION AVEC CAS POUR SPIP

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Les GPO 2012 server R2 (appliqués à Terminal Serveur Edition)

Configuration du FTP Isolé Active Directory

Installation de SCCM 2012 (v2)

UserLock Guide de Démarrage rapide. Version 8.5

Installation de SQL Server Reporting Services avec l intégration dans un site Windows SharePoint Services V3

Logiciel : GLPI Version : SYNCRHONISATION DE GLPI AVEC ACTIVE DIRECTORY. Auteur : Claude SANTERO Config. : Windows 2003.

vcenter Server 1. Interface Lancez le vsphere Client et connectez vous à vcenter Server. Voici la page d accueil de vcenter Server.

Guide d installation d AppliDis Free Edition sur Windows Serveur 2008 R2

Fiche Produit MediaSense Extensions

(structure des entêtes)

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

T4E.fr présente SSRPM, son offre de reset de mot de passe en self service

Système Principal (hôte) 2008 Enterprise x64

Installer Enterprise Miner 5.1 en SAS environnement Windows

Mise en route et support Envision 10 SQL server (Avril 2015) A l'intention de l'administrateur SQL Server et de l administrateur Envision

Fiche Produit IPS Manager Assistant

Encryptions, compression et partitionnement des données

Guide Tenrox R8.7 de configuration de Microsoft Reporting Services

WebSSO, synchronisation et contrôle des accès via LDAP

Application des Spécifications détaillées pour la Retraite, architecture portail à portail

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

Zeus V3.XX :: PRE-REQUIS TECHNIQUES

Joomla! Création et administration d'un site web - Version numérique

Sécuriser les applications web de l entreprise

Recycle Bin (Corbeille Active directory)

Service d'authentification LDAP et SSO avec CAS

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft

Création d un compte Exchange (Vista / Seven)

FORMATION CXA01 CITRIX XENAPP & WINDOWS REMOTE DESKTOP SERVICES

Annuaire LDAP, SSO-CAS, ESUP Portail...

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server

Pré-requis pour les serveurs Windows 2003, Windows 2008 R2 et Windows 2012

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Préparation à l installation d Active Directory

Chapitre 02. Configuration et Installation

Dans l'épisode précédent

Installation Windows 2000 Server

Oracle Developer Suite 10g. Guide de l installation. Vista & Seven

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

INSTALLATION DE PEGASUS MAIL 3.12 c FR Avec l interface Harp

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server 3, 3.5

KAJOUT WASSIM INTERNET INFORMATION SERVICES (IIS) 01/03/2013. Compte-rendu sur ISS KAJOUT Wassim

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

avast! EP: Installer avast! Small Office Administration

Tutorial Terminal Server sous

Corrigé de l'atelier pratique du module 5 : Analyse de SQL Server

MANUEL D INSTALLATION DE WATCHDOC 2011 (EVALUATION)

Installation FollowMe Q server

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

Préconisations Techniques & Installation de Gestimum ERP

SERVEUR HTTP Administration d apache

OpenLDAP, un outil d administration Réseau. Une implémentation d OpenLDAP

WDpStats Procédure d installation

Conception d'une plate-forme collaborative Microsoft SharePoint 2003

Transcription:

Zoom sur Newtest LDAP intégration L a suite Newtest doit s intégrer parfaitement dans votre Système d Information afin, notamment, d en faciliter l usage. La version NEP 2.1.1 ne déroge pas à cette règle en vous proposant de bénéficier du Single Sign On (SSO) au niveau de Newtest Management Console (NMC) et de Newtest Reporting (NRS). Vous et vos équipes pourrez donc accéder directement à vos interfaces Newtest sans devoir vous ré-authentifier. L authentification unique via le LDAP devient un point central de l architecture SI. Site A Site B Site Z Utilisateur Utilisateur Utilisateur MailServer Newtest NMC Supervision& Gestion Application LDAP SI AD NRS reporting Ged extranet Intranet SAS au capital de 549,728 euros RCS Nanterre B 327 139 309 info@ip label.com l 1

Quels sont les prérequis techniques? L a solution SSO Newtest se base sur le LDAP Active Directory de Microsoft. Les prérequis sont donc les suivants : Disposer d un LDAP de type Microsoft Active Directory Avoir l option LD AD sur la gamme de produits Newtest. Cette nouvelle fonctionnalité est soumise à la licence «LDAP authentification» au niveau du serveur NMC Avoir un compte utilisateur qui dispose des droits pour naviguer dans l Active Directory Avoir Newtest Management Console (NMC) et Newtest Reporting (NRS) dans le même domaine que l AD Etre capable de naviguer dans la racine de l AD à partir du NMC et du NRS avec le compte utilisateur S assurer que l URL du LDAP (de type LDAP://domain_name) est accessible Etre mono domaine Comment fonctionne Newtest SSO? N ous utilisons l information auth_login contenue dans le header HTTP. Nous mémorisons dans nos repository une association groupe AD et type de profil utilisateur Newtest. Lors de la demande de connexion, nous extrayons de l AD les membres appartenant aux groupes AD présents dans nos repository et vérifions l appartenance de l utilisateur à un de ces groupes. Si cela est le cas, nous créons dynamiquement l utilisateur au niveau des systèmes Newtest en utilisant les informations de l AD et en lui appliquant les droits du profil utilisateur associé au groupe AD. L authentification SSO Newtest se base sur deux nouvelles URL : Pour NMC : http://<nep-address>/nmcsso/login.aspx Pour NRS : http://<nep-address>/nrssso/login.aspx Ces deux répertoires virtuels de IIS pointent sur les mêmes ressources Web que les sites avec authentification standard Newtest, à la différence que seul l accès authentification Windows est autorisé. L analyse LDAP se contente d interroger LDAP sur les groupes de l utilisateur. Un droit en lecture suffit. L analyse des groupes d appartenance se base sur les «member of» du LDAP pour l utilisateur demandeur de login. La récupération du user s effectue par l analyse du HTTP header à travers la lecture de la variable auth_login. SAS au capital de 549,728 euros RCS Nanterre B 327 139 309 info@ip label.com l 2

Requête HTTP Transit AUTH_LOGIN VIDE http header Accès anonyme Rejet code 401 Rejet code 401+liste des authentifications supportés client Requête HTTP header iis newtest authentification windows Ldap ad server Transit AUTH_LOGIN user windows http header Authentification windows Requête LDAP sur le user Auth_LOGIN pour collecte de member of Si ok accès home page si ko accès login.aspx Accès home page si ok sinon login.aspx Le basculement de l authentification Newtest vers l authentification SSO LDAP AD s appuie sur la configuration du Virtual Directory NMC ainsi que sur les mécanismes de IIS. Pour diagnostiquer, rapidement, le bon format du HTTP header, nous fournissons, à la racine de nos sites, une page de test «httpheader.asp». Celle-ci vous permet de vérifier la présence et la valeur de la variable auth_login SAS au capital de 549,728 euros RCS Nanterre B 327 139 309 info@ip label.com l 3

Exemple ALL_HTTP ALL_RAW Juillet 2011 Variables APPL_MD_PATH APPL_PHYSICAL_PATH AUTH_PASSWORD AUTH_TYPE AUTH_USER CERT_COOKIE CERT_FLAGS CERT_ISSUER CERT_KEYSIZE CERT_SECRETKEYSIZE CERT_SERIALNUMBER CERT_SERVER_ISSUER CERT_SERVER_SUBJECT CERT_SUBJECT CONTENT_LENGTH 0 CONTENT_TYPE Values HTTP_CONNECTION:Keep-Alive HTTP_ACCEPT:image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/xshockwave-flash, application/vnd.ms-excel, application/vnd.mspowerpoint, application/msword, */* HTTP_ACCEPT_LANGUAGE:fr HTTP_COOKIE:NOPAut=Username=sysadmin&Password=E83 56458D210FB897885E7B35F4CAB4 HTTP_HOST:west HTTP_USER_AGENT:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;.NET CLR 1.1.4322;.NET CLR 2.0.50727; InfoPath.1) HTTP_UA_CPU:x86 Connection: Keep-Alive Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* Accept-Language: fr Cookie: NOPAut=Username=sysadmin&Password=E8356458D210FB8 97885E7B35F4CAB4 Host: west User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;.NET CLR 1.1.4322;.NET CLR 2.0.50727; InfoPath.1) UA-CPU: x86 /LM/W3SVC/1/ROOT/nmc F:\nmc_210\Web\ SAS au capital de 549,728 euros RCS Nanterre B 327 139 309 info@ip label.com l 4

GATEWAY_INTERFACE CGI/1.1 HTTPS Off HTTPS_KEYSIZE HTTPS_SECRETKEYSIZE HTTPS_SERVER_ISSUER HTTPS_SERVER_SUBJECT INSTANCE_ID 1 INSTANCE_META_PATH /LM/W3SVC/1 LOCAL_ADDR 192.168.5.61 LOGON_USER PATH_INFO /nmc/httpheader.asp PATH_TRANSLATED F:\nmc_210\Web\httpheader.asp QUERY_STRING REMOTE_ADDR 192.168.5.200 REMOTE_HOST 192.168.5.200 REMOTE_USER REQUEST_METHOD GET SCRIPT_NAME /nmc/httpheader.asp SERVER_NAME west SERVER_PORT 80 SERVER_PORT_SECURE 0 SERVER_PROTOCOL HTTP/1.0 SERVER_SOFTWARE Microsoft-IIS/6.0 URL /nmc/httpheader.asp HTTP_CONNECTION Keep-Alive image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, HTTP_ACCEPT application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* HTTP_ACCEPT_LANGUAGE HTTP_COOKIE HTTP_HOST HTTP_USER_AGENT HTTP_UA_CPU fr NOPAut=Username=sysadmin&Password=E8356458D210FB8 97885E7B35F4CAB4 west Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1;.NET CLR 1.1.4322;.NET CLR 2.0.50727; InfoPath.1) x86 SAS au capital de 549,728 euros RCS Nanterre B 327 139 309 info@ip label.com l 5

SAS au capital de 549,728 euros RCS Nanterre B 327 139 309 info@ip label.com l 6

Quelles sont les spécificités de la configuration des produits Newtest pour le SSO? P our la configuration du SSO sous Newtest, nous vous conseillons de vous procurer la documentation d implémentation. Toutefois, voici les éléments spécifiques nécessaires au bon fonctionnement de l interconnexion de l AD et de Newtest. Les clés de registres Windows De nouvelles clés de registres Windows sont créées : base HKLM\SOFTWARE\Auditec sa\newtest SERVER clé valeur chaîne ADPassword : mot de passe de l utilisateur du domaine clé valeur chaîne ADUsername : utilisateur du domaine ayant les droits de lecture au niveau du serveur LDAP Clé de registre serveur reporting base HKLM\SOFTWARE\Auditec sa\enterpriseportal clé valeur chaîne ADPassword : mot de passe de l utilisateur du domaine clé valeur chaîne ADUsername : utilisateur du domaine ayant les droits de lecture au niveau du serveur LDAP Les mots de passe sont cryptés durant l utilisation de notre utilitaire configtool (installdir\web\bin). Si pour une nécessité quelconque, vous deviez mettre à jour les données des registres Windows, utilisez la commande : configtool -adu «nom de l utilisateur» -adp «mot de passe de l utilisateur» Les paramètres d application Associés aux clés de registres, de nouveaux paramètres d application sont liés à l option LDAP. Ils sont configurables via le menu de Gestion des paramètres d application : LDAPServerAddress : URL LDAP utilisée pour toutes les requêtes vers l AD LDAPAuthentification : booléen d activation de l authentification LDAP SAS au capital de 549,728 euros RCS Nanterre B 327 139 309 info@ip label.com l 7

Comment activer le SSO au niveau du NMC et du NRS? C ette nouvelle fonctionnalité est soumise à la licence «LDAP authentification» au niveau du serveur NMC. Il faut donc : Disposer d une licence ayant l option LDAP activée ; Activer l authentification LDAP via les paramètres d application ; Configurer l utilisateur AD et le mot de passe utilisé pour l interrogation de l AD ; Renseigner l URL du LDAP : Configurer les règles AD (menu utilisateurs/règles AD) : association groupe AD et profil utilisateur Newtest ; Attention les règles AD Newtest (association groupe AD et profil utilisateur Newtest) ne se configurent qu au niveau du serveur NMC. Ces même règles seront diffusées à Newtest Reporting via le DWH par les lots ETL. Un déclenchement de transfert de données NMC/DWH et DWH /Newtest Reporting est donc nécéssaire avant l utilisation du SSO Newtest au niveau du NRS. SAS au capital de 549,728 euros RCS Nanterre B 327 139 309 info@ip label.com l 8

Quelles sont les éléments de l AD interrogés et obligatoires pour un bon fonctionnement avec Newtest? otre interrogation LDAP est basée sur certains champs de l AD. N Pour les groupes (génération des associations groupes AD profil utilisateur Newtest) : Nom Obligatoire Valeur objectclass Oui group grouptype Oui -2147483646 ou - 2147483640 cn Oui distinguishedname Oui samaccountname Oui member Non Pour les utilisateurs (vérification d appartenance au groupe AD référencés dans Newtest et création du compte local Newtest): Nom Obligatoire Valeur objectclass Oui user objectcategory Oui person samaccountname Oui distinguishedname Oui userprincipalname Oui sn Non givenname Non mail Non homephone Non Nous parcourrons l AD à partir de la racine. Mais seul certains types de groupe sont éligibles pour l association groupe AD et profil utilisateur Newtest. SAS au capital de 549,728 euros RCS Nanterre B 327 139 309 info@ip label.com l 9

La liste de tous les types présents dans l Active Directory ainsi que tous les groupes utilisables sont donnés dans le tableau ci-dessous : les groupes «global» et «universel» de type security Group Scope Domain local Global Universal Group Type Security NOK OK OK Distribution NOK NOK NOK Quels sont les flux de données LDAP/AD /Newtest? Notons trois mécanismes bien distincts : définition des associations groupe AD et profil utilisateur Newtest : ce mécanisme se base sur : o interrogation à partir du root de l AD de tous les groupes de type global ou universel o utilisation de l utilisateur et mot de passe des clés de registre pour collecter la liste des groupes AD o utilisation de l URL LDAP de tblconfig pour l interrogation de l AD contrôle des droits d accès d un utilisateur du domaine en SSO o récupération des groupes AD des ADRules de la base Newtest o liste de tous les «member of» de ces groupes en utilisant l utilisateur AD de la registry o vérification de la présence de l utilisateur dans un de ces groupes o si test OK création de l utilisateur s il n existe pas et s il appartient à un groupe de règles démarrage de session o si test KO refus de connexion si l utilisateur n appartient pas à un des groupes de règles contrôle des droits d accès d un utilisateur de domaine se signant via la page d authentification Newtest o test de connexion à l AD en utilisant identifiant et mot de passe saisie dans la page d authentification Newtest o si test OK récupération des groupes AD des ADRules de la base Newtest SAS au capital de 549,728 euros RCS Nanterre B 327 139 309 info@ip label.com l 10

liste de tous les «member of» de ces groupes en utilisant l utilisateur AD de la registry vérification de la présence de l utilisateur dans un de ces groupes si test OK création de l utilisateur si il n existe pas et s il appartient à un groupe de règles démarrage de session si test KO refus de connexion si l utilisateur n appartient pas à un des groupes de règles SAS au capital de 549,728 euros RCS Nanterre B 327 139 309 info@ip label.com l 11

Soit pour le contrôle des droits d accès d un utilisateur du domaine en SSO : NEP user Web Browser Htlm header AUTH_USER Query NEP URL IIS 5 Home page access Serveur LDAP NEP WEB SITE Home Page NEP WEB SITE Login Page 2 Query member of Ad group On LDAP://DEV_DOMAIN Check auth_user is member 3 Query Ad rules Ad Groups 1 Create user if necessary NMC Databases 4 SAS au capital de 549,728 euros RCS Nanterre B 327 139 309 info@ip label.com l 12

Soit pour la définition des associations groupe AD et profil utilisateur Newtest : NEP user Nep Administration profile IIS Serveur LDAP NEP WEB SITE Adrules Page Query Ad group Global and universal on root domain On LDAP://DEV_DOMAIN With Aduser and Adpassword 1 Write Ad rules Bind Ad Groups and Newtest user profile 2 NMC Databases SAS au capital de 549,728 euros RCS Nanterre B 327 139 309 info@ip label.com l 13

Soit pour le contrôle des droits d accès d un utilisateur de domaine se signant via la page d authentification Newtest : NEP user Query NEP URL IIS 6 Home page access 1 Connexion with user/password LDAP://DEV_DOMAIN 3 Serveur LDAP NEP WEB SITE Home Page NEP WEB SITE Login Page Query member of Ad group On LDAP://DEV_DOMAIN Check auth_user is a member 4 Query Ad rules Ad Groups 2 NMC Databases Create user if necessary 5 SAS au capital de 549,728 euros RCS Nanterre B 327 139 309 info@ip label.com l 14

Comment installer cette fonctionnalité? Le document Newtest_LDAP_v11_EN.pdf permet la mise en service et la configuration des différents éléments du SSO sous Newtest. SAS au capital de 549,728 euros RCS Nanterre B 327 139 309 info@ip label.com l 15

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back