Activer lauthentification

LDAP
 Historique du document
Version Date Auteur Modifications effectues
1.0 25/06/2008 Laurent SEYMAN Cration du document
1.1 01/03/2010 Laurent SEYMAN Modification et mise la charte graphique 2010
1.2 16/07/2012 Laurent SEYMAN Modification et mise la charte graphique 2012
1.3 16/07/2013 Laurent SEYMAN Mise jour pour EasyVista 2013

Ce document explique la mise en place de lauthentification LDAP dans EasyVista.

2
Sommaire
A. Principe de fonctionnement 4
A.1. Authentification laide des informations EasyVista..............................4
A.2. Authentification laide des informations de lannuaire LDAP..............4

B. Activation de lauthentification LDAP dans EasyVista 4

C. Le menu Authentification LDAP 5

C.1. Dsactivation du paramtre de double authentification..........................5
C.2. Test de lauthentification.............................................................................6
C.2.1. Test laide dun utilisateur prsent dans lActive Directory 6
C.2.2. Test laide dun utilisateur prsent dans EasyVista 7

D. Le menu Habilitation LDAP 8

D.1. Utiliser lhabilitation LDAP pour grer les profils.....................................8
D.2. Utiliser lhabilitation LDAP pour grer les domaines...............................9

E. Connatre le nom des colonnes utiliser 11

F. Les consquences de lactivation 11

F.1. Impossibilit de se connecter laide des informations du compte
EasyVista....................................................................................................11
F.2. Disparition du cadenas de saisie du mot de passe................................12

G. Notion de domaine et de profil par dfaut 12

3
A. Principe de fonctionnement

A.1. Authentification laide des informations

EasyVista
Lors de la connexion EasyVista les lments permettant lidentification de lutilisateur sont recherchs :

dans la table des utilisateurs (AM_EMPLOYEE) pour le login et le mot de passe

dans la table des profils (AM_PROFIL) pour le profil *

dans la table des domaines (AM_DOMAIN) pour le domaine **

* les utilisateurs sans domaine pourront nanmoins se connecter lapplication avec un profil par dfaut dfini
dans le module dAdministration et le menu Paramtrages > Paramtres divers. La rgle de gestion sappelle
ID du profil par dfaut et attend que lon renseigne lidentifiant du profil utiliser (valeur issue du champ
PROFIL_ID de AM_PROFIL)

**lassociation dun domaine un utilisateur nest pas obligatoire, en son absence, lutilisateur se connectera sur
le domaine Toute la socit.

A.2. Authentification laide des informations de

lannuaire LDAP
Lauthentification LDAP propose dutiliser les lments dauthentification utilisateur situs au niveau de lannuaire
LDAP de votre socit en lieu et place de ceux stocks dans EasyVista pour les informations suivantes :

mot de passe

profil

domaine
(la liaison entre lutilisateur EasyVista et lannuaire tant ralise via le login qui doit tre commun).

B. Activation de lauthentification LDAP

dans EasyVista
Lactivation de lauthentification LDAP seffectue depuis le module dAdministration et le menu Authentification
LDAP. Les paramtres permettant de se connecter lannuaire LDAP doivent tre fournis par ladministrateur de
lannuaire. Lexemple qui suit explique comment configurer lauthentification LDAP dans la VMware de formation
sur la base de dmonstration (40000). Sur cette base de test, aucun mot de passe nest requis pour la connexion,
seul le login utilisateur (kleblanc) sera saisi.

Lcran est spar en deux parties :

Authentification LDAP : qui concerne la gestion des login et mot de passe

4
 Habilitation LDAP : qui concerne la gestion des profils et domaines
La premire partie peut tre utilise seule. La seconde ncessite que la premire soit active.

C. Le menu Authentification LDAP

Actif : pour activer lauthentification LDAP

Serveur LDAP : nom ou adresse IP de la machine hbergeant lannuaire LDAP

Port : port utilis pour se connecter lannuaire LDAP (gnralement 389)

DN utilisateur : chemin daccs aux entres de lannuaire (FQDN ou Fully Qualified Domain
Name) : CN=easyvista,OU=users,DC=EASYVISTA,DC=COM

Mot de passe : mot de passe pour se connecter lannuaire (dans la VMware la valeur par dfaut
est staff)

Base DN : nud partir duquel seffectue la recherche

Attribut de login : renseigner uniquement si ladministrateur LDAP a remplac lattribut par

dfaut nomm sAMAccountName par un autre

C.1. Dsactivation du paramtre de double

authentification
Dans le menu Paramtrages > Paramtres divers du module Administration, il est important de modifier la
valeur du paramtre {ADMIN} CHECK_EZV_LOGIN FALSE (TRUE par dfaut) afin que lauthentification LDAP
seffectue exclusivement laide de la valeur renseigne dans lannuaire. Sinon en labsence de valeur
renseigne dans lannuaire, le mot de passe sera recherch dans la table des employs dEasyVista :

5
C.2. Test de lauthentification
Une fois les diffrents paramtres renseigns et la case dauthentification coche, il est impratif de sauvegarder

les modifications laide du bouton .

UN REDEMARRAGE DU SERVICE SMOSERVEUR EST IMPERATIF !

Lors de la prochaine connexion avec le login de nlewis, la connexion sera refuse car il nest plus possible de se
connecter sans saisir le mot de passe (staff).

C.2.1. Test laide dun utilisateur prsent dans lActive Directory

Pour parachever la dmonstration nous allons modifier le mot de passe de lutilisateur nlewis visible dans
lannuaire AD de la VMware de formation. Compte tenu de la prsence dun systme dexploitation non serveur
(Windows XP), un outil tiers nomm ADAM est utilis pour simuler la prsence dun annuaire LDAP.

Aprs avoir lanc ADAM ADSI Edit, on change le mot de passe de lutilisateur Lewis, Naomi laide du menu
Reset Password :

On saisit alors un nouveau mot de passe pour cet utilisateur :

6
7
Il faut ensuite se connecter EasyVista en saisissant le mot de passe LDAP dfini ltape prcdente :

C.2.2. Test laide dun utilisateur prsent dans EasyVista

Seuls les utilisateurs bnficiant dun login et dun mot de passe renseigns dans lannuaire LDAP ont la facult
de se connecter EasyVista. Par consquent si nous tentons de nous connecter avec le login fasset, la
connexion choue. Nous allons ractiver la double authentification. Nous allons nous connecter EasyVista
laide du compte de lutilisateur systme lequel chappe aux rgles imposes par lauthentification LDAP.(pour la
VmWare uniquement login : adminezv et mot de passe : admin).

Dans le menu Parameters > Other Parameters du module Administration, la valeur du paramtre {ADMIN}
CHECK_EZV_LOGIN va tre positionne TRUE (via lassistant Update) afin de bnficier dune
authentification mixte (EasyVista + LDAP) :

Lorsque la double authentification est active, il est indispensable que les utilisateurs susceptibles de se
connecter lapplication disposent dun mot de passe soit dans lannuaire LDAP, soit dans EasyVista. Nous
allons ainsi affecter un mot de passe Pachelbel, Fabien depuis le menu Access Management > Employees
lassistant Change password :

Note : le mot de passe doit comporter au moins 6 caractres.

8
Il ne reste plus alors qu se reconnecter avec le mot de passe qui vient dtre saisi pour sauthentifier laide des
donnes prsentes dans EasyVista (vs LDAP).

D. Le menu Habilitation LDAP

Ce menu permet de dporter la gestion des profils et domaines au niveau de lannuaire LDAP. Au lieu daller
chercher dans EasyVista les informations requises pour la connexion de lutilisateur, le systme dauthentification
ira les rcuprer dans lannuaire LDAP. Afin dutiliser cette fonctionnalit, il est ncessaire que les paramtres
soient renseigns et activs dans la partie Habilitation LDAP.

D.1. Utiliser lhabilitation LDAP pour grer les

profils
Nous allons stocker le profil de lutilisateur kleblanc dans lannuaire LDAP. Pour lheure celui-ci dispose du
domaine Service desk Responsable lui donnant accs au module Operation auquel nous allons substituer le
profil Asset Management. Lannuaire LDAP va stocker non pas les libells des profils mais les ID de profils quil
est possible de connatre en regardant le contenu de la table AM_PROFIL :

Aprs avoir lanc ADAM, nous allons rattacher lidentifiant du profil Asset Management (9) lattribut rid de
lutilisateur kleblanc :

Note : il est important que le type de champ corresponde la valeur saisie (ici un nombre entier).

9
Nous allons reporter le nom de lattribut dans la zone correspondante de la section Habilitation LDAP :

Il faut enregistrer les modifications effectues l'aide du bouton puis relancer le service smoServer
avant de se connecter l'aide du login kleblanc. Une fois connect, on constate, sur l'interface EasyVista, la
prsence du module Asset Management attestant de la prise en compte du nouveau profil :

D.2. Utiliser lhabilitation LDAP pour grer les

domaines
La gestion des domaines peut seffectuer via lhabilitation LDAP en complment de la gestion des profils ceci
prs que si un utilisateur ne peut avoir quun seul profil associ, il est susceptible de se voir affecter plusieurs
domaines. Par consquent il faudra utiliser pour le stockage de lidentifiant du (des) domaine(s) un champ
susceptible de recevoir plusieurs valeurs. Dans ce cas on va encore utiliser un identifiant mais cette fois il sagira
de lID du (des) domaine(s)

Voici, titre dinformation la liste des domaines existants dans la base de jeu dessai (table AM_DOMAIN) :

Nous souhaitons donner kleblanc, la possibilit de se connecter sur les domaines France (15), USA (10) et
Portugal (20). Il nous faut donc un champ multi-valeur pour saisir les ID de domaines.

10
Nous allons stocker ces valeurs dans lattribut nomm url accessible dans les proprits du compte de kleblanc :

Nous allons reporter le nom de la colonne utiliser dans EasyVista :

puis enregistrer les modifications avant de redmarrer le service Smoserver. Une fois connect dans EasyVista
l'aide du compte kleblanc, nous constatons la prsence de la liste de choix de domaines :

11
E. Connatre le nom des colonnes utiliser
Dans le cas o lon utilise un vritable annuaire Active Directory intgr Windows, il est possible d'exporter ce
dernier sous forme d'un fichier texte l'aide de la commande DOS : csvde -f nomdufichier.txt

Voici ce que cela donne dans le cas des exemples utiliss sur le prsent document pour le profil et les domaines :

F. Les consquences de lactivation

F.1. Impossibilit de se connecter laide des

informations du compte EasyVista
La principale consquence de lactivation de lauthentification LDAP est quil nest plus possible de se connecter
avec les login et mot de passe habituels (sauf si ceux dfinis dans lannuaire LDAP sont identiques ceux dfinis
dans EasyVista). En outre, lorsque le mode dauthentification mixte est activ, la dfinition et donc la saisie dun
mot de passe est requise pour la connexion (y compris si lutilisateur est dfini exclusivement dans EasyVista).

Si vous ne parvenez pas vous authentifier, vous pouvez toujours utiliser les login et mot de passe du compte
systme : ADMINEZV et ADMIN (attention la casse du mot de passe est importante).

12
F.2. Disparition du cadenas de saisie du mot de
passe
Le cadenas permettant la dfinition et le changement du mot de passe utilisateur nest plus affich sur linterface *
proximit du nom de lutilisateur connect parce que cette information nest plus gre dans EasyVista :

AVANT :

APRES :

G. Notion de domaine et de profil par dfaut

En labsence dattribution de domaine via lassistant Mettre jour les domaines, lutilisateur se verra affecter les
mmes domaines que ceux associs au compte sous lequel seffectue la cration de sa fiche. Lorsquon utilise le
module dintgration et le connecteur Employs pour crer des comptes demploys, ces derniers ne se verront
affecter aucun domaine prcis ce qui se traduira par lquivalent du domaine Toute la socit.

13
Lors de la cration dun utilisateur dans EasyVista, celui-ci se voit attribuer un profil ainsi quun ou plusieurs
domaines. En labsence daffectation de profil, lemploy ne pourra pas se connecter EasyVista sauf dans le
cas o il a t dfini un profil par dfaut dans le menu Paramtrages > Paramtres divers. Ce profil sera celui
utilis par les utilisateurs sans profil :

La valeur par dfaut est 0 ce qui revient dsactiver cette fonctionnalit. La valeur attendue ici est celle associe
au profil dans la table AM_PROFIL (colonne PROFIL_ID). Dans la base de jeu dessai standard voici les valeurs
correspondant aux diffrents profils (contenu de la table AM_PROFIL) :

14