Академический Документы
Профессиональный Документы
Культура Документы
LDAP
Historique du document
Version Date Auteur Modifications effectues
1.0 25/06/2008 Laurent SEYMAN Cration du document
1.1 01/03/2010 Laurent SEYMAN Modification et mise la charte graphique 2010
1.2 16/07/2012 Laurent SEYMAN Modification et mise la charte graphique 2012
1.3 16/07/2013 Laurent SEYMAN Mise jour pour EasyVista 2013
2
Sommaire
A. Principe de fonctionnement 4
A.1. Authentification laide des informations EasyVista..............................4
A.2. Authentification laide des informations de lannuaire LDAP..............4
3
A. Principe de fonctionnement
* les utilisateurs sans domaine pourront nanmoins se connecter lapplication avec un profil par dfaut dfini
dans le module dAdministration et le menu Paramtrages > Paramtres divers. La rgle de gestion sappelle
ID du profil par dfaut et attend que lon renseigne lidentifiant du profil utiliser (valeur issue du champ
PROFIL_ID de AM_PROFIL)
**lassociation dun domaine un utilisateur nest pas obligatoire, en son absence, lutilisateur se connectera sur
le domaine Toute la socit.
mot de passe
profil
domaine
(la liaison entre lutilisateur EasyVista et lannuaire tant ralise via le login qui doit tre commun).
4
Habilitation LDAP : qui concerne la gestion des profils et domaines
La premire partie peut tre utilise seule. La seconde ncessite que la premire soit active.
DN utilisateur : chemin daccs aux entres de lannuaire (FQDN ou Fully Qualified Domain
Name) : CN=easyvista,OU=users,DC=EASYVISTA,DC=COM
Mot de passe : mot de passe pour se connecter lannuaire (dans la VMware la valeur par dfaut
est staff)
5
C.2. Test de lauthentification
Une fois les diffrents paramtres renseigns et la case dauthentification coche, il est impratif de sauvegarder
Lors de la prochaine connexion avec le login de nlewis, la connexion sera refuse car il nest plus possible de se
connecter sans saisir le mot de passe (staff).
Pour parachever la dmonstration nous allons modifier le mot de passe de lutilisateur nlewis visible dans
lannuaire AD de la VMware de formation. Compte tenu de la prsence dun systme dexploitation non serveur
(Windows XP), un outil tiers nomm ADAM est utilis pour simuler la prsence dun annuaire LDAP.
Aprs avoir lanc ADAM ADSI Edit, on change le mot de passe de lutilisateur Lewis, Naomi laide du menu
Reset Password :
6
7
Il faut ensuite se connecter EasyVista en saisissant le mot de passe LDAP dfini ltape prcdente :
Seuls les utilisateurs bnficiant dun login et dun mot de passe renseigns dans lannuaire LDAP ont la facult
de se connecter EasyVista. Par consquent si nous tentons de nous connecter avec le login fasset, la
connexion choue. Nous allons ractiver la double authentification. Nous allons nous connecter EasyVista
laide du compte de lutilisateur systme lequel chappe aux rgles imposes par lauthentification LDAP.(pour la
VmWare uniquement login : adminezv et mot de passe : admin).
Dans le menu Parameters > Other Parameters du module Administration, la valeur du paramtre {ADMIN}
CHECK_EZV_LOGIN va tre positionne TRUE (via lassistant Update) afin de bnficier dune
authentification mixte (EasyVista + LDAP) :
Lorsque la double authentification est active, il est indispensable que les utilisateurs susceptibles de se
connecter lapplication disposent dun mot de passe soit dans lannuaire LDAP, soit dans EasyVista. Nous
allons ainsi affecter un mot de passe Pachelbel, Fabien depuis le menu Access Management > Employees
lassistant Change password :
8
Il ne reste plus alors qu se reconnecter avec le mot de passe qui vient dtre saisi pour sauthentifier laide des
donnes prsentes dans EasyVista (vs LDAP).
Aprs avoir lanc ADAM, nous allons rattacher lidentifiant du profil Asset Management (9) lattribut rid de
lutilisateur kleblanc :
Note : il est important que le type de champ corresponde la valeur saisie (ici un nombre entier).
9
Nous allons reporter le nom de lattribut dans la zone correspondante de la section Habilitation LDAP :
Il faut enregistrer les modifications effectues l'aide du bouton puis relancer le service smoServer
avant de se connecter l'aide du login kleblanc. Une fois connect, on constate, sur l'interface EasyVista, la
prsence du module Asset Management attestant de la prise en compte du nouveau profil :
Voici, titre dinformation la liste des domaines existants dans la base de jeu dessai (table AM_DOMAIN) :
Nous souhaitons donner kleblanc, la possibilit de se connecter sur les domaines France (15), USA (10) et
Portugal (20). Il nous faut donc un champ multi-valeur pour saisir les ID de domaines.
10
Nous allons stocker ces valeurs dans lattribut nomm url accessible dans les proprits du compte de kleblanc :
puis enregistrer les modifications avant de redmarrer le service Smoserver. Une fois connect dans EasyVista
l'aide du compte kleblanc, nous constatons la prsence de la liste de choix de domaines :
11
E. Connatre le nom des colonnes utiliser
Dans le cas o lon utilise un vritable annuaire Active Directory intgr Windows, il est possible d'exporter ce
dernier sous forme d'un fichier texte l'aide de la commande DOS : csvde -f nomdufichier.txt
Voici ce que cela donne dans le cas des exemples utiliss sur le prsent document pour le profil et les domaines :
Si vous ne parvenez pas vous authentifier, vous pouvez toujours utiliser les login et mot de passe du compte
systme : ADMINEZV et ADMIN (attention la casse du mot de passe est importante).
12
F.2. Disparition du cadenas de saisie du mot de
passe
Le cadenas permettant la dfinition et le changement du mot de passe utilisateur nest plus affich sur linterface *
proximit du nom de lutilisateur connect parce que cette information nest plus gre dans EasyVista :
AVANT :
APRES :
13
Lors de la cration dun utilisateur dans EasyVista, celui-ci se voit attribuer un profil ainsi quun ou plusieurs
domaines. En labsence daffectation de profil, lemploy ne pourra pas se connecter EasyVista sauf dans le
cas o il a t dfini un profil par dfaut dans le menu Paramtrages > Paramtres divers. Ce profil sera celui
utilis par les utilisateurs sans profil :
La valeur par dfaut est 0 ce qui revient dsactiver cette fonctionnalit. La valeur attendue ici est celle associe
au profil dans la table AM_PROFIL (colonne PROFIL_ID). Dans la base de jeu dessai standard voici les valeurs
correspondant aux diffrents profils (contenu de la table AM_PROFIL) :
14