Novell Confidential Manual (FRA) 28 October 2003
Novell
Pilote DirXML
®
pour LDAP
1 . 7
1 6 j u i n 2 0 0 4
G U I D E D ’ I M P L É M E N T A T I O N w w w . n o v e l l . c o m
Novell Confidential Manual (FRA) 28 October 2003
Mentions légales
Novell exclut toute garantie relative au contenu ou à l’utilisation de cette documentation. En particulier, Novell ne garantit pas que cette documentation est exhaustive ni exempte d’erreurs. Novell se réserve en outre le droit de réviser cette publication à tout moment et sans préavis.
Par ailleurs, Novell exclut toute garantie relative à tout logiciel, notamment toute garantie, expresse ou implicite, que le logiciel présenterait des qualités spécifiques ou qu’il conviendrait à un usage particulier. Novell se réserve en outre le droit de modifier à tout moment tout ou partie des logiciels Novell, sans notification préalable de ces modifications à quiconque.
L’exportation ou la réexportation de ce produit est interdite dès lors qu’elle enfreint les lois et réglementations applicables, y compris, de façon non limitative, les réglementations des États-Unis en matière d’exportation ou la législation en vigueur dans votre pays de résidence.
Copyright © 2002-2004 Novell, Inc. Tous droits réservés. Cette publication ne peut être reproduite, photocopiée, stockée sur un système de recherche documentaire ou transmise, même en partie, sans le consentement écrit explicite préalable de l’éditeur.
Brevets américains n° 5,349,642 ; 5,608,903 ; 5,671,414 ; 5,677,851 ; 5,758,344 ; 5,784,560 ; 5,818,936 ; 5,828,882 ; 5,832,275 ; 5,832,483 ;
5,832,487 ; 5,870,561 ; 5,870,739 ; 5,873,079 ; 5,878,415 ; 5,884,304 ; 5,919,257 ; 5,933,503 ; 5,933,826 ; 5,946,467 ; 5,956,718 ; 6,016,499 ;
6,065,017 ; 6,105,062 ; 6,105,132 ; 6,108,649 ; 6,167,393 ; 6,286,010 ; 6,308,181 ; 6,345,266 ; 6,424,976 ; 6,516,325 ; 6,519,610 ; 6,539,381 ;
6,578,035 ; 6,615,350 ; 6,629,132. Brevets en cours d’homologation.
Novell, Inc.
404 Wyman Street, Suite 500
Waltham, MA 02451
États-Unis www.novell.com
Guide d’implémentation du pilote DirXML pour LDAP
16 juin 2004
Documentation en ligne : pour accéder à la documentation en ligne de ce produit (et d’autres produits Novell) et obtenir les mises à jour, consultez le site www.novell.com/documentation.
Novell Confidential Manual (FRA) 28 October 2003
Marques commerciales de Novell
DirXML est une marque déposée de Novell, Inc. aux États-Unis et dans d’autres pays.
eDirectory est une marque de Novell, Inc.
NetWare est une marque déposée de Novell, Inc. aux États-Unis et dans d’autres pays.
Novell est une marque déposée de Novell, Inc. aux États-Unis et dans d’autres pays.
Nsure est une marque de Novell, Inc.
SUSE est une marque déposée de SUSE LINUX AG, une société Novell.
Autres marques commerciales
Toutes les marques commerciales de fabricants tiers appartiennent à leur propriétaire respectif.
Novell Confidential Manual (FRA) 28 October 2003
Novell Confidential Manual (FRA) 28 October 2003
Sommaire
Présentation du pilote DirXML pour LDAP 9
Installation du pilote LDAP 15
Mise à niveau 29
Personnalisation du pilote LDAP 31
Dépannage 45
Mises à jour 47
Sommaire
5
Novell Confidential Manual (FRA) 28 October 2003
6
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
À propos de ce guide
Ce guide explique comment installer et configurer le pilote DirXML
®
pour LDAP.
Ce guide contient les sections suivantes :
Chapitre 1, « Présentation du pilote DirXML pour LDAP », page 9
Chapitre 2, « Installation du pilote LDAP », page 15
Chapitre 3, « Mise à niveau », page 29
Chapitre 4, « Personnalisation du pilote LDAP », page 31
Chapitre 5, « Dépannage », page 45
Annexe A, « Mises à jour », page 47
Documentation supplémentaire
Pour plus de détails sur Nsure
TM
Identity Manager, reportez-vous au site Web de documentation d’Identity Manager (http://www.novell.com/documentation/french/dirxml20) .
Pour plus d’informations sur d’autres pilotes DirXML, reportez-vous aux Guides d’implémentation des pilotes (http://www.novell.com/documentation/french/dirxmldrivers/ index.html) .
Mises à jour de la documentation
Pour une version plus récente de ce document, consultez le site Web de documentation sur les pilotes DirXML (http://www.novell.com/documentation/french/dirxmldrivers) .
Conventions utilisées dans la documentation
Dans cette documentation, le symbole « supérieur à » (>) est utilisé pour séparer deux opérations dans une étape de procédure ainsi que deux éléments dans un chemin de références croisées.
Le symbole de marque (
®
,
TM
, etc.) indique une marque de Novell
®
. L’astérisque (*) indique une marque commerciale de fabricant tiers.
Commentaires de l’utilisateur
Vos commentaires et suggestions sur le présent guide et sur les autres documents qui accompagnent Novell Identity Manager nous intéressent. Envoyez un message électronique
à proddoc@novell.com.
À propos de ce guide
7
Novell Confidential Manual (FRA) 28 October 2003
8
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
1
Présentation du pilote DirXML pour LDAP
Cette section comprend les rubriques suivantes :
« Présentation du pilote », page 9
« Nouvelles fonctionnalités », page 10
« Configuration par défaut du pilote », page 11
Présentation du pilote
Le pilote DirXML
®
pour LDAP permet de synchroniser les données entre Novell
®
eDirectory
TM et les annuaires compatibles LDAP. Ce pilote s’exécute sur toutes les plates-formes prises en charge par eDirectory, y compris Windows*, NetWare
®
, Linux*, Solaris* et AIX*. Il peut s’exécuter n’importe où dès lors qu’un serveur DirXML ou un chargeur distant DirXML fonctionne.
Le pilote utilise le protocole LDAP (Lightweight Directory Access Protocol) pour la synchronisation bidirectionnelle des modifications entre eDirectory et l’annuaire compatible
LDAP connecté.
Le pilote peut choisir entre deux méthodes de publication pour reconnaître les modifications apportées aux données et les transmettre à eDirectory via Nsure
TM
Identity Manager.
Méthode de journal des modifications
Cette méthode est préférable lorsqu’un journal des modifications est disponible. Les journaux des modifications se trouvent aux emplacements suivants :
Netscape* Directory Server
iPlanet* Directory Server
IBM* SecureWay Directory
Critical Path* InJoin* Directory
Oracle* Internet Directory
Méthode de recherche LDAP
Certains serveurs n’utilisent pas le mécanisme du journal des modifications. La méthode de recherche LDAP permet au pilote LDAP d’acheminer des données concernant le serveur
LDAP vers eDirectory.
Aucun logiciel supplémentaire ni aucune modification de l’annuaire compatible LDAP n’est nécessaire.
Compte tenu de la souplesse de ce modèle de communication, le pilote permet la synchronisation des données avec des annuaires compatibles LDAP exécutés sur des plates-formes non prises en charge par eDirectory, telles que HP/UX*, OS/400* et OS/390*.
9
Présentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
Nouvelles fonctionnalités
« Fonctionnalités du pilote », page 10
« Fonctionnalités d’Identity Manager », page 11
Fonctionnalités du pilote
Cette fonction fournit des informations sur les nouvelles fonctionnalités du pilote.
Un seul exemple de configuration, et non deux, est fourni ; il permet de choisir entre le placement Simple et le placement En miroir dans des structures hiérarchiques.
Un paramètre pilote facultatif a été ajouté, permettant de spécifier les classes d’objets
préférés. Reportez-vous à « Classes d’objets préférés », page 35 .
La prise en charge de la synchronisation des mots de passe d’Identity Manager a été ajoutée.
Le module d’interface pilote fonctionne de la même façon, mais de nouvelles règles ont été ajoutées à l’exemple de configuration du pilote pour la prise en charge de la synchronisation des mots de passe Identity Manager.
Vous pouvez définir ou modifier le mot de passe LDAP en utilisant un mot de passe d’Identity
Manager ; vous pouvez également vérifier que le mot de passe LDAP correspond au mot de passe d’Identity Manager.
Vous pouvez aussi utiliser une feuille de style pour fabriquer un mot de passe à renvoyer à
Identity Manager, par exemple un mot de passe basé sur le nom de famille de l’utilisateur.
Toutefois, LDAP ne peut pas fournir pas le mot de passe LDAP courant de l’utilisateur à
Identity Manager.
Reportez-vous aux descriptions des différents scénarios à la section Implementing Password
Synchronization (Mise en œuvre de la synchronisation des mots de passe) dans le
Novell
Nsure Identity Manager 2 Administration Guide (Guide d’administration Novell Nsure
Identity Manager 2)
.
Méthode de publication de recherche LDAP
Traditionnellement, le pilote LDAP peut détecter les modifications apportées à un serveur
LDAP uniquement en lisant son journal des modifications. Toutefois, certains serveurs n’utilisent pas le mécanisme de journal des modifications, qui ne fait en réalité pas partie de la norme LDAP. S’il n’y a pas eu de journal des modifications, le pilote LDAP n’a pas pu acheminer de données concernant ces serveurs LDAP vers eDirectory.
La nouvelle méthode de publication de recherche LDAP ne nécessite pas de journal des modifications. Pour détecter les modifications, cette méthode utilise les recherches LDAP standard, puis compare les résultats d’un intervalle de recherche au suivant.
Vous pouvez utiliser la méthode de publication de recherche LDAP en remplacement de la méthode traditionnelle de publication du journal des modifications. Le pilote DirXML pour
LDAP prend en charge les deux méthodes. Toutefois, la méthode du journal des modifications est avantageuse en termes de performance ; en outre, il s’agit de la méthode à préférer si un journal des modifications est disponible.
10
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
Fonctionnalités d’Identity Manager
Pour obtenir des informations sur les nouvelles caractéristiques de Nsure
TM
Identity Manager, reportez-vous à la section What’s New in Identity Manager 2? (Nouveautés d’Identity
Manager 2 ?) dans le
Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration Novell Nsure Identity Manager 2)
.
Configuration par défaut du pilote
Les principes fondamentaux d’Identity Manager sont expliqués dans le Novell Nsure Identity
Manager 2 Administration Guide (Guide d’administration de Novell Nsure Identity Manager 2) .
Cette section décrit les scénarios de mise en œuvre, les ajouts et les exceptions spécifiques
à ce pilote.
Flux de données
Canaux Éditeur et Abonné
Le pilote prend en charge les canaux Éditeur et Abonné :
Le canal Éditeur lit les données du journal des modifications de l’annuaire LDAP ou d’une recherche LDAP, puis les envoie à l’annuaire eDirectory via le moteur DirXML.
Par défaut, le canal Éditeur vérifie le journal toutes les 20 secondes. Il est capable de traiter jusqu’à 1 000 entrées simultanément, en commençant par la première entrée non traitée.
Le canal Abonné détecte les objets eDirectory ajoutés ou modifiés et émet des commandes
LDAP qui permettent de répercuter ces modifications dans l’annuaire LDAP.
Filtres
Identity Manager utilise des filtres pour contrôler les objets et les attributs partagés. Les configurations de filtre par défaut du pilote LDAP permettent de partager des objets et des attributs, comme illustré ci-dessous :
Figure 1 Filtres du pilote LDAP
Répertoire LDAP
Utilisateur
CN
Description
Numéro de téléphone de télécopie
Prénom
Initials
Adresse électronique
L
OU
Nom
Numéro de téléphone
Titre
ID unique
Certificat utilisateur
Unité organisationnelle
OU
Abonné
Éditeur
eDirectory
inetOrgPerson
cn description facsimiletelephonenumber prénom initials
l courrier ou sn telephonenumber titre uid usercertificate
Unité organisationnelle
ou
Présentation du pilote DirXML pour LDAP
11
Novell Confidential Manual (FRA) 28 October 2003
Règles
Les règles permettent de contrôler la synchronisation des données entre le pilote et eDirectory.
Elles peuvent être définies à l’aide des deux options de préconfiguration fournies avec le pilote LDAP.
L’option Simple met en œuvre une structure simple pour les utilisateurs dans les deux annuaires.
Avec cette configuration, lorsque des objets utilisateur sont créés dans un annuaire, ils sont placés dans la racine du conteneur que vous avez spécifié pendant la configuration du pilote pour l’autre annuaire. (Le nom du conteneur n’a pas besoin d’être le même dans eDirectory et dans l’annuaire LDAP). Lorsque des objets existants sont mis à jour, leur contexte est conservé.
L’option Miroir fait correspondre la structure hiérarchique des deux annuaires.
Dans cette configuration, lorsque des objets Utilisateur sont créés dans un annuaire, ils sont placés au niveau hiérarchique correspondant dans le conteneur en miroir de l’autre annuaire.
Lorsque des objets existants sont mis à jour, leur contexte est conservé.
Si l’on excepte la règle de placement et le fait que la configuration simple ne permet pas de synchroniser des objets Unité organisationnelle, les règles définies dans ces fichiers sont identiques.
Le tableau suivant fournit des informations sur les règles par défaut. Ces règles, ainsi que les règles individuelles qu’elles contiennent, peuvent être personnalisées via Novell iManager, comme
expliqué au Chapitre 4, « Personnalisation du pilote LDAP », page 31 .
Règle
Mapping (Assignation)
Publisher Create (Création du canal Éditeur)
Publisher Placement
(Placement du canal Éditeur)
Matching (Concordance)
Description
Assigne l’objet Utilisateur eDirectory, ainsi que les propriétés sélectionnées, à un objet inetOrgPerson LDAP.
Assigne l’objet Unité organisationnelle eDirectory à un objet organizationalUnit LDAP.
Par défaut, plus d’une dizaine de propriétés standard sont assignées. Par ailleurs, la première fois que vous ouvrez la règle d’assignation de schéma dans Novell iManager, le pilote lit le schéma LDAP, ce qui facilite l’assignation de propriétés supplémentaires (si nécessaire).
Indique que, pour qu’un objet Utilisateur puisse être créé dans eDirectory, les attributs cn, sn et mail doivent être définis. Pour qu’un objet Unité organisationnelle puisse être créé, l’attribut ou doit être défini.
Avec l’option de placement simple, les nouveaux objets Utilisateur créés dans l’annuaire LDAP sont placés dans le conteneur eDirectory que vous spécifiez lorsque vous importez la configuration du pilote. L’objet Utilisateur est nommé avec la valeur cn.
L’option de placement En miroir permet de placer les nouveaux objets Utilisateur créés dans l’annuaire LDAP dans le conteneur eDirectory mis en miroir avec le conteneur LDAP des objets.
Indique que, lorsque les attributs de messagerie concordent, un objet Utilisateur de eDirectory est identique à un objet inetOrgPerson de l’annuaire LDAP.
12
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
Règle Description
Subscriber Create (Création du canal Abonné)
Indique que, pour qu’un objet Utilisateur puisse être créé dans l’annuaire LDAP, les attributs CN, Surname et Internet Email
Address doivent être définis. Pour qu’un objet Unité organisationnelle puisse être créé, l’attribut OU doit être défini.
Subscriber Placement
(Placement du canal Abonné)
Si vous choisissez l’option de placement simple pendant l’importation de la configuration du pilote, les nouveaux objets
Utilisateur créés dans eDirectory sont placés dans le conteneur
Users\Active de l’annuaire LDAP.
Si vous choisissez le placement En miroir pendant l’importation de la configuration du pilote, les nouveaux objets Utilisateur créés dans eDirectory sont placés dans le conteneur de l’annuaire LDAP qui met en miroir le conteneur eDirectory de l’objet.
Présentation du pilote DirXML pour LDAP
13
Novell Confidential Manual (FRA) 28 October 2003
14
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
2
Installation du pilote LDAP
Cette section vous fournit des informations sur les points suivants :
« Considérations relatives à la planification », page 15
« Configuration système requise », page 16
Considérations relatives à la planification
Cette section vous fournit des informations sur les points suivants :
« Emplacement d’installation du pilote LDAP », page 15
« Informations à collecter », page 16
« Connaissances supposées concernant la source de données LDAP », page 16
Emplacement d’installation du pilote LDAP
Un pilote DirXML
®
peut être installé sur le même ordinateur que Novell
®
eDirectory
TM
et le moteur DirXML. On parle alors de configuration locale.
Dans le cadre d’une configuration locale, installez le pilote LDAP sur le même ordinateur que eDirectory et le moteur DirXML, comme indiqué ci-dessous.
Figure 2 Configuration locale
Synchronisation
eDirectory
DirXML
(toute plate-forme eDirectory)
Pilote DirXML pour LDAP
Répertoire LDAP
(toute plate-forme de serveur LDAP)
S’il s’avère difficile de réaliser une configuration locale en raison de contraintes de plates-formes ou de règles, il est possible d’installer un pilote DirXML sur l’ordinateur qui héberge l’application cible. On parle alors de configuration distante.
Bien qu’il soit possible d’installer le pilote LDAP dans une configuration distante, cela n’apporte que peu de souplesse ; en effet, ce pilote :
peut s’exécuter sur n’importe quelle plate-forme eDirectory ;
communique avec le serveur LDAP, sur n’importe quelle plate-forme du réseau, via le protocole LDAP.
Installation du pilote LDAP
15
Novell Confidential Manual (FRA) 28 October 2003
Informations à collecter
Pendant les procédures d’installation et de configuration, les informations suivantes vous seront demandées :
Faut-il utiliser l’option Simple ou En miroir pour la synchronisation de la structure hiérarchique ? Reportez-vous à
.
Dans quels conteneurs des annuaires eDirectory et LDAP voulez-vous stocker les objets synchronisés ?
Quel objet Utilisateur eDirectory faut-il assigner comme équivalent de sécurité pour le pilote ? Quels objets doivent être exclus de la synchronisation ?
Quels objet et mot de passe LDAP doivent être utilisés pour permettre au pilote d’accéder
à l’annuaire LDAP ?
Pour plus d’informations, reportez-vous à
« Importation du pilote », page 25 .
Connaissances supposées concernant la source de données LDAP
Si vous utilisez le canal Éditeur pour envoyer des données à eDirectory sur des modifications apportées dans l’annuaire LDAP, vous devez comprendre les deux méthodes que le pilote utilise pour acheminer des données :
Méthode de journal des modifications
Le journal des modifications est un mécanisme dans un annuaire LDAP. Le journal des modifications peut fournir des informations sur les événements LDAP pour le pilote.
Cette méthode est préférable lorsqu’un journal des modifications est disponible.
Méthode de recherche LDAP
Comme tous les serveurs LDAP n’utilisent aucun journal des modifications, cette méthode permet au pilote LDAP d’acheminer des données concernant le serveur LDAP vers eDirectory.
Configuration système requise
Novell Nsure
TM
Identity Manager 2 ou version ultérieure
La configuration requise pour Identity Manager 2 ou version ultérieure
Si vous utilisez la méthode du journal des modifications, un des annuaires LDAP suivants :
Netscape Directory Server 4.x ou 6.
iPlanet Directory Server 5.0 ou version ultérieure
IBM SecureWay Directory 3.2, 4.1.1 ou 5.1
Critical Path* InJoin* Directory 3.1
Oracle Internet Directory 2.1.1 ou version ultérieure
SunOne 5.2
16
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
Installation
Cette section vous fournit des informations sur les points suivants :
« Installation du pilote LDAP », page 17
« Installation du pilote », page 23
Installation du pilote LDAP
Le pilote DirXML pour LDAP peut être installé en même temps que d’autres pilotes DirXML au cours de l’installation du moteur DirXML. Reportez-vous à la section Installation dans le
Novell
Nsure Identity Manager 2 Administration Guide (Guide d’administration Novell Nsure Identity
Manager 2)
.
Comme l’expliquent les sections suivantes, vous pouvez également installer le pilote séparément, une fois le moteur DirXML installé.
Installation sur Windows
Installez le pilote DirXML pour LDAP sur un serveur équipé de Windows 2003 ou de
Windows 2000 avec Support Pack 2.
1
Lancez le programme d’installation à partir du CD d’Identity Manager 2.0 ou de l’image de téléchargement.
Si le programme d’installation ne s’exécute pas automatiquement, vous pouvez lancer
\nt\install.exe.
2
3
Dans la boîte de dialogue Bienvenue, cliquez sur Suivant, puis acceptez l’accord de licence.
Dans la première boîte de dialogue Présentation DirXML, passez en revue les informations, puis cliquez sur Suivant.
Cette boîte de dialogue vous fournit des informations sur les points suivants :
Un serveur DirXML
Un système serveur connecté DirXML
4
Dans la deuxième boîte de dialogue Présentation DirXML, passez en revue les informations, puis cliquez sur Suivant.
Cette boîte de dialogue vous fournit des informations sur les points suivants :
Un serveur d’administration Web
Les utilitaires DirXML
5
Dans la boîte de dialogue Sélectionnez les composants à installer, sélectionnez uniquement
Serveur DirXML, puis cliquez sur Suivant.
Installation du pilote LDAP
17
Novell Confidential Manual (FRA) 28 October 2003
Figure 3 Case à cocher Serveur DirXML
6
Dans la boîte de dialogue Sélectionner des pilotes pour l’installation du moteur, sélectionnez uniquement LDAP, puis cliquez sur Suivant.
Figure 4 Case à cocher LDAP
Vous ne pouvez pas désélectionner la case Schéma DirXML, qui est grisée. Par la suite, le programme d’installation prolongera le schéma pour activer le fonctionnement du pilote qui vient d’être installé.
7
8
Dans la boîte de dialogue Mise à niveau de DirXML, cliquez sur OK.
Dans la boîte de dialogue Extension du schéma, entrez un nom d’utilisateur et un mot de passe, puis cliquez sur Suivant.
9
Dans la boîte de dialogue Résumé, passez en revue les options sélectionnées, puis cliquez sur
Terminer.
18
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
10
Dans la boîte de dialogue Installation terminée, cliquez sur Fermer.
Installation sur NetWare
1
Sur le serveur NetWare
®
, insérez le CD d’Identity Manager 2.0 et montez-le comme un volume.
Pour monter le CD, saisissez m cdrom.
2
3
4
5
(Conditionnel) Si l’utilitaire graphique n’est pas chargé, chargez-le en saisissant startx.
Dans l’utilitaire graphique, cliquez sur l’icône Novell, puis sur Installer.
Dans la boîte de dialogue Produits installés, cliquez sur Ajouter.
Dans la boîte de dialogue Chemin d’accès source, recherchez et sélectionnez le fichier product.ni.
Figure 5 Boîte de dialogue Chemin d’accès source
5a
Recherchez et développez le volume CD (NSURE_IDM_2) que vous avez monté précédemment.
5b
Développez l’annuaire nw, sélectionnez product.ni, puis cliquez sur OK deux fois.
6
7
Dans la boîte de dialogue Bienvenue, cliquez sur Suivant, puis acceptez l’accord de licence.
Dans la boîte de dialogue Installation de DirXML, sélectionnez uniquement Serveur
DirXML, puis cliquez sur Suivant.
Installation du pilote LDAP
19
Novell Confidential Manual (FRA) 28 October 2003
Désélectionnez ce qui suit :
Composants Web DirXML
Utilitaires
8
Dans la boîte de dialogue Sélectionner des pilotes pour l’installation du moteur, sélectionnez uniquement Texte délimité.
Désélectionnez ce qui suit :
Moteur DirXML
Tous les pilotes sauf LDAP
9
Dans la boîte de dialogue Mise à niveau de DirXML, cliquez sur OK.
Dans cette boîte de dialogue, vous êtes invité à activer la licence du pilote dans un délai de 90 jours.
10
Dans la boîte de dialogue Extension du schéma, entrez un nom d’utilisateur et un mot de passe, puis cliquez sur Suivant.
11
Dans la boîte de dialogue Résumé, passez en revue les options sélectionnées, puis cliquez sur
Terminer.
12
Cliquez sur Fermer.
Installation sur Linux, Solaris ou AIX
Par défaut, le pilote DirXML pour LDAP est installé lorsque vous installez le moteur DirXML. Si le pilote n’a toujours pas été installé à ce stade, cette section peut vous aider à l’installer.
Au fur et à mesure que vous avancez dans le programme d’installation, vous pouvez revenir à une section précédente (écran) en saisissant previous
.
1
2
En mode terminal, connectez-vous en tant qu’utilisateur racine (root).
Insérez le CD d’Identity Manager 2.0 et montez-le.
En règle générale, le CD est monté automatiquement. Vous pouvez monter le CD manuellement. Par exemple, pour SUSE
®
, saisissez mount /media/cdrom.
3
Accédez au répertoire « setup ».
Plate-forme
Red Hat
SUSE
Solaris
AIX
Chemin
/mnt/cdrom/linux/setup/
/media/cdrom/linux/setup/
/cdrom/solaris/nsure_idm_2/setup/
/media/cdrom/aix/setup/
20
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
Figure 6 Chemin Linux vers le programme d’installation
4
Lancez le programme d’installation.
Par exemple, pour SUSE, exécutez ./dirxml_linux.bin.
5
6
Dans la section Introduction, appuyez sur la touche Entrée.
Appuyez sur la touche Entrée jusqu’à ce que vous atteignez l’invite Do You Accept the Terms of This License Agreement (Acceptez-vous les termes de cet accord de licence), saisissez y pour accepter la licence, puis appuyez à nouveau sur la touche Entrée.
Figure 7 Invite d’acceptation de la licence
7
Dans la section Choose Install Set (Sélectionnez les paramètres d’installation), sélectionnez l’option Customize (Personnaliser).
Saisissez 4, puis appuyez sur la touche Entrée.
Installation du pilote LDAP
21
Novell Confidential Manual (FRA) 28 October 2003
Figure 8 Invite de sélection de l’option Customize (Personnaliser)
8
Dans la section Choose Product Features (Choisissez les fonctions du produit), désélectionnez toutes les fonctionnalités sauf LDAP, puis appuyez sur la touche Entrée.
Pour désélectionner une fonctionnalité, saisissez son numéro. Saisissez une virgule entre les fonctionnalités que vous désélectionnez.
Figure 9 Options de la section Choose Product Features (Choisissez les fonctions du produit)
9
Dans la section Pre-Installation Summary (Résumé avant installation), revoyez les options.
22
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
Figure 10 Section Résumé avant installation
Pour revenir à une section précédente, saisissez previous
, puis appuyez sur la touche
Entrée.
Pour continuer, appuyez sur la touche Entrée.
10
Une fois l’installation terminée, quittez-la en appuyant sur la touche Entrée.
Installation du pilote
Aucune tâche d’installation n’est nécessaire si vous mettez à niveau un pilote existant.
Si vous utilisez le pilote LDAP pour la première fois, vous devez effectuer les tâches de configuration décrites dans les sections suivantes :
« Préparation du serveur LDAP », page 23
« Importation du pilote », page 25
« Démarrage du pilote », page 27
« Migration et resynchronisation des données », page 27
« Activation du pilote », page 27
Préparation du serveur LDAP
Si vous utilisez le pilote uniquement pour synchroniser des données depuis eDirectory vers le serveur LDAP (via un canal Abonné), la plupart des serveurs et applications LDAP fonctionnent sans configuration supplémentaire.
Si, en revanche, vous souhaitez synchroniser des données de eDirectory après que des entrées du serveur LDAP ont été modifiées (via un canal Éditeur), vous devez effectuer au moins deux tâches de configuration sur le serveur LDAP avant de pouvoir exécuter le pilote.
Créez un objet Utilisateur qui dispose des droits requis pour permettre l’authentification du pilote auprès du serveur LDAP.
Installation du pilote LDAP
23
Novell Confidential Manual (FRA) 28 October 2003
Si vous envisagez d’utiliser la méthode de publication du journal des modifications, vérifiez que le mécanisme de journal des modifications du serveur LDAP est activé.
Important : si le serveur LDAP n’a pas de mécanisme de journal des modifications, envisagez d’utiliser la méthode de recherche LDAP. Sinon, le pilote ne peut pas avoir de canal Éditeur pour ce serveur.
Création d’un objet Utilisateur LDAP avec des droits d’authentification
Lorsque vous utilisez la méthode de publication de journal des modifications, le pilote tente d’éviter les problèmes de retour en boucle (un événement qui se produit sur le canal Abonné est renvoyé vers le moteur DirXML sur le canal Éditeur). Toutefois, la méthode de recherche LDAP repose sur le moteur DirXML pour éviter le retour en boucle.
Avec la méthode de journal des modifications, pour que le pilote empêche le retour en boucle, vous pouvez rechercher dans le journal l’utilisateur qui a effectué la modification. Si l’utilisateur qui a effectué la modification est le même que celui utilisé par le pilote pour son authentification, l’objet
Éditeur suppose que la modification a été effectuée par le canal Abonné du pilote.
Remarque : si vous utilisez Critical Path InJoin Server, la mise en œuvre du journal des modifications sur ce serveur est quelque peu limitée ; en effet, le DN de l’objet à l’origine de la modification n’est pas fourni. Le DN de l’objet à l’origine de la création/modification ne peut donc pas être utilisé pour déterminer si la modification provient ou non d’eDirectory.
Dans ce cas, toutes les modifications relevées dans le journal des modifications sont envoyées par le canal
Éditeur au moteur DirXML, lequel rejette les modifications inutiles ou répétitives.
Pour empêcher que le canal Éditeur rejette des modifications justifiées, vérifiez que l’objet
Utilisateur utilisé par le pilote pour son authentification n’est pas utilisé à d’autres fins.
Supposons par exemple que vous utilisez Netscape Directory Server et que vous avez configuré le pilote pour qu’il utilise le compte administrateur CN=Administrateur d’annuaire. Si vous souhaitez modifier manuellement Netscape Directory Server puis synchroniser cette modification, vous ne pouvez pas vous loguer pour effectuer la modification en utilisant le compte administrateur CN=Administrateur d’annuaire. Vous devez utiliser un autre compte.
Pour éviter ce problème :
1
2
Créez un compte utilisateur destiné à être utilisé exclusivement par le pilote.
Assignez à ce compte utilisateur les droits nécessaires pour accéder au journal des modifications et pour procéder aux modifications que vous souhaitez permettre au pilote d’effectuer.
Par exemple, pour la société VMP, créez pour le pilote un compte utilisateur que vous appelez uid=lpilote,ou=Directory Administrators,o=lansing.vmp.com. Assignez ensuite à ce compte utilisateur les droits appropriés en appliquant le LDIF suivant au serveur, au moyen de l’outil
LDAPModify ou de l’utilitaire ICE (Import Conversion Export) de Novell.
# give the new user rights to read and search the changelog dn: cn=changelog changetype: modify add: aci aci: (targetattr = "*")(version 3.0; acl "LDAP DirXML Driver"; allow
(compare,read,search) userdn = "ldap:///uid=ldriver,ou=Directory
Administrators,o=lansing.vmp.com"; )
-
# give the new user rights to change anything in the o=lansing.vmp.com container
24
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003 dn: o=lansing.vmp.com changetype: modify add: aci aci: (targetattr = "*")(version 3.0; acl "LDAP DirXML Driver"; allow (all) userdn = "ldap:///uid=ldriver,ou=Directory
Administrators,o=lansing.vmp.com"; )
-
Activation du journal des modifications
Le journal des modifications représente la partie du serveur LDAP qui permet au pilote de reconnaître les modifications devant être acheminées de l’annuaire LDAP vers eDirectory via le canal Éditeur. Les annuaires LDAP pris en charge par ce pilote prennent en charge les fonctions de création de journal des modifications.
Pour Critical Path InJoin et Oracle Internet Directory, le journal des modifications est activé par défaut. Cela signifie qu’aucune procédure supplémentaire n’est requise pour l’activer, à moins qu’il n’ait préalablement été désactivé.
Pour IBM SecureWay, Netscape Directory Server et iPlanet Directory Server, le journal des modifications doit être activé après installation. Pour savoir comment activer le journal des modifications, reportez-vous à la documentation de votre annuaire LDAP.
Suggestion :
Changelog ».
dans le cas du journal des modifications de iPlanet, vous devez activer le plug-in « Retro
Importation du pilote
Importez la configuration du pilote LDAP en suivant les instructions d’importation des pilotes de la section « Création et configuration d’un pilote » .
Pendant l’importation, fournissez les informations de configuration du pilote suivantes.
Champ
Nom du pilote
Type de placement
Conteneur eDirectory
Description
Nom de l’objet eDirectory à assigner à ce pilote, ou pilote dont vous voulez mettre à jour la configuration.
Avec l’option de placement simple, les nouveaux objets Utilisateur créés dans l’annuaire LDAP sont placés dans le conteneur eDirectory que vous spécifiez lorsque vous importez la configuration du pilote. L’objet Utilisateur est nommé avec la valeur cn.
L’option de placement En miroir permet de placer les nouveaux objets Utilisateur créés dans l’annuaire LDAP dans le conteneur eDirectory mis en miroir avec le conteneur LDAP des objets.
Conteneur de eDirectory dans lequel les utilisateurs doivent être créés.
Si ce conteneur n’existe pas, vous devez le créer avant de démarrer le pilote.
Dans le cas de la configuration LDAPMirrorSample.xml, cet annuaire constitue le point de départ de la règle de placement du pilote. Les conteneurs subordonnés doivent porter le même nom que les conteneurs subordonnés du conteneur LDAP en miroir.
Pour la configuration simple, ce conteneur héberge tous les objets Utilisateur.
Installation du pilote LDAP
25
Novell Confidential Manual (FRA) 28 October 2003
Champ
Conteneur LDAP
Description
Conteneur de l’annuaire LDAP dans lequel les utilisateurs doivent être créés.
Si ce conteneur n’existe pas, vous devez le créer avant de démarrer le pilote.
Dans le cas de la configuration Simple, cet annuaire constitue le point de départ de la règle de placement du pilote. Les conteneurs subordonnés doivent porter le même nom que les conteneurs subordonnés du conteneur eDirectory en miroir.
Dans le cas de la configuration LDAPSimplePlacementSample.xml, ce conteneur est destiné
à stocker tous les objets Utilisateur.
Nom d’hôte ou adresse IP et port du serveur LDAP.
Serveur LDAP
DN Administrateur
Mot de passe de l’administrateur
Saisissez le DN LDAP du compte administrateur créé pour le pilote LDAP.
Mot de passe du compte administrateur du pilote LDAP. Vous devez confirmer le mot de passe en le saisissant de nouveau dans le champ suivant.
Il s’agit du mot de passe requis pour l’utilisateur authentifié par défaut, c’est-à-dire l’administrateur d’annuaire.
Si le pilote LDAP utilise l’administrateur d’annuaire exclusivement, l’utilisateur authentifié par défaut fonctionne également. En revanche, si cet utilisateur est utilisé à d’autres fins, il est recommandé de modifier la valeur par défaut une fois que le pilote s’exécute. Reportez-vous
à
« Création d’un objet Utilisateur LDAP avec des droits d’authentification », page 24 .
Configurer le flux de données
Bidirectionnel signifie que LDAP et eDirectory sont des sources expertes de données synchronisées entre elles.
LDAP vers eDirectory signifie que LDAP est la source experte.
eDirectory vers LDAP signifie qu’eDirectory est la source experte.
Activer les droits basés sur le rôle
Choisissez Oui ou Non. Comme il s’agit d’une décision prise lors de la conception, vous devez comprendre les droits basés sur les rôles avant de choisir de l’utiliser.
Pour plus d’informations sur les droits basés sur les rôles, reportez-vous à la section Using Role-
Based Entitlements (Utilisation des droits basés sur les rôles) dans le Novell Nsure Identity
Manager 2 Administration Guide (Guide d’administration Novell Nsure Identity Manager 2) .
Installer le pilote comme
Distant/Local
Nom d’hôte et port distants Entrez le nom d’hôte ou l’adresse IP et le numéro de port de l’endroit où le service du chargeur distant est installé et s’exécute pour ce pilote. Le port par défaut est 8090.
Mot de passe du pilote Le chargeur distant utilise le mot de passe de l’objet Pilote pour s’authentifier auprès du serveur
DirXML. Ce mot de passe doit être identique à celui défini sur le chargeur distant DirXML.
Mot de passe à distance
Configurez le pilote pour l’utiliser avec le service de chargeur distant en sélectionnant l’option
Distant, ou choisissez Local pour configurer une utilisation locale. Si vous sélectionnez Local, vous pouvez ignorer les paramètres suivants.
Ce mot de passe est utilisé uniquement lors de la configuration du chargeur distant. Il permet au chargeur distant de s’authentifier auprès du moteur DirXML.
Le mot de passe du chargeur distant permet de contrôler l’accès à l’instance du chargeur distant.
Ce mot de passe doit être identique à celui défini sur le chargeur distant DirXML.
26
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
Démarrage du pilote
Si, au cours de la configuration, vous avez modifié les emplacements de données par défaut, vérifiez que les nouveaux emplacements existent avant de démarrer le pilote.
1
2
3
Dans iManager, sélectionnez Gestion DirXML > Présentation.
Localisez le pilote dans son ensemble de pilotes.
Cliquez sur l’indicateur d’état du pilote dans l’angle supérieur droit de l’icône du pilote, puis sur Démarrer le pilote.
Si un journal des modifications est disponible, le pilote traite toutes les modifications contenues dans ce journal. Pour forcer la synchronisation initiale, reportez-vous à
« Migration et resynchronisation des données », page 27 .
Migration et resynchronisation des données
Identity Manager synchronise les données à mesure qu’elles sont modifiées. Si vous souhaitez synchroniser immédiatement toutes les données, vous avez le choix entre les options suivantes :
Migrer les données depuis eDirectory : permet de sélectionner les conteneurs ou les objets
à migrer depuis eDirectory vers un serveur LDAP. Lorsque vous migrez un objet, le moteur
DirXML applique à l’objet toutes les règles de concordance, de placement et de création, ainsi que le filtre Abonné.
Remarque : lorsque vous migrez des données depuis eDirectory vers l’annuaire LDAP, il se peut que vous deviez changer les paramètres de votre serveur LDAP pour permettre la migration d’un grand nombre d’objets. Reportez-vous à
« Migration des utilisateurs vers eDirectory », page 45 .
Migrer les données vers eDirectory : permet de définir les critères utilisés par
Identity Manager pour migrer des objets depuis un serveur LDAP vers Novell eDirectory.
Lorsque vous migrez un objet, le moteur DirXML applique à l’objet toutes les règles de concordance, de placement et de création, ainsi que le filtre Éditeur. Les objets sont migrés dans eDirectory dans l’ordre spécifié dans la liste des classes.
Synchroniser : Identity Manager examine le filtre de la classe Abonné et traite tous les objets de ces classes. Les objets associés sont fusionnés. Les objets non associés sont traités en tant qu’événements Ajout.
Pour utiliser l’une de ces options :
1
2
Dans iManager, sélectionnez Gestion DirXML > Présentation.
Recherchez l’ensemble de pilotes qui contient le pilote DirXML pour LDAP, puis doublecliquez sur l’icône pilote.
3
Cliquez sur le bouton de migration approprié.
Activation du pilote
Activez le pilote dans un délai de 90 jours à compter de l’installation. Sinon, le pilote ne fonctionnera pas.
Pour plus d’informations sur l’activation, reportez-vous à la section Activating Novell Identity
Manager Products (Activation des produits Novell Identity Manager) dans le
Novell Nsure Identity
Manager 2 Administration Guide (Guide d’administration Novell Nsure Identity Manager 2)
.
Installation du pilote LDAP
27
Novell Confidential Manual (FRA) 28 October 2003
28
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
3
Mise à niveau
Cette section vous fournit des informations sur les points suivants :
« Mise à niveau du module d’interface pilote », page 29
« Mise à niveau du module d’interface pilote », page 29
Mise à niveau du module d’interface pilote
Lorsque vous procédez à sa mise à niveau, le nouveau module d’interface pilote remplace l’ancien, mais conserve la configuration du pilote. Le nouveau module d’interface pilote peut exécuter la configuration de DirXML
®
1.x sans modification.
Pour mettre à niveau le module d’interface pilote :
1
Vérifiez que le pilote est à jour et qu’il inclut tous les correctifs de la version que vous utilisez.
Le nouveau module d’interface pilote est destiné à fonctionner avec la configuration existante de votre pilote, sans modification, à condition que votre module d’interface pilote et votre configuration aient les derniers correctifs. Revoyez tous les TID et toutes les mises à jour pour la version du pilote que vous utilisez.
Pour aider à réduire les problèmes de mise à niveau, nous vous recommandons d’effectuer cette étape sur tous les pilotes.
2
Installez le nouveau module d’interface pilote.
Vous pouvez effectuer cette mise à niveau en même temps que l’installation du moteur
DirXML, ou une fois celui-ci installé. Reportez-vous au
Chapitre 2, « Installation du pilote
3
Une fois le module d’interface pilote installé, redémarrez le pilote.
3a
3b
3c
Dans iManager, sélectionnez Gestion DirXML > Présentation.
Naviguez jusqu’à l’ensemble qui contient le pilote.
Sélectionnez le pilote que vous voulez redémarrer, cliquez sur l’icône d’état puis sélectionnez Démarrer le pilote.
Mise à niveau
29
Novell Confidential Manual (FRA) 28 October 2003
4
Activez le module d’interface pilote à l’aide de vos références d’activation Identity Manager.
Pour plus d’informations sur l’activation, reportez-vous à Activating Novell Identity Manager
Products (Activation des produits Novell Identity Manager) dans le
Novell Nsure Identity
Manager 2 Administration Guide (Guide d’administration Novell Nsure Identity Manager 2)
.
Lorsque vous avez installé le module d’interface pilote, mettez la configuration du pilote à niveau.
Reportez-vous à « Mise à niveau de la configuration du pilote », page 30 .
Mise à niveau de la configuration du pilote
L’installation du module d’interface pilote ne modifie pas la configuration actuelle. Celle-ci continue de fonctionner sans changement avec le nouveau module d’interface pilote.
Toutefois, pour bénéficier des nouvelles fonctionnalités, vous devez mettre à niveau la configuration de votre pilote. Pour ce faire, vous pouvez remplacer votre configuration par le nouvel exemple de configuration ou convertir la configuration actuelle au format Identity Manager et lui ajouter de nouvelles règles.
Pour remplacer la configuration actuelle, importez le nouvel exemple de configuration pour les objets Pilote existants.
Pour convertir une configuration existante afin de pouvoir la modifier à l’aide des nouveaux plug-ins Identity Manager, reportez-vous à la section Upgrading a Driver Configuration from
DirXML 1.x to Identity Manager Format (Mise à niveau d’une configuration de pilote de
DirXML 1.x au format Identity Manager) dans le
Novell Nsure Identity Manager 2
Administration Guide (Guide d’administration Novell Nsure Identity Manager 2)
.
Pour ajouter la fonctionnalité de synchronisation des mots de passe Identity Manager à la configuration actuelle du pilote, reportez-vous à la section Upgrading Existing Driver
Configurations to Support Identity Manager Password Synchronization (Mise à niveau des configurations actuelles de pilote pour la prise en charge de la synchronisation des mots de passe Identity Manager) dans le
Novell Nsure Identity Manager 2 Administration Guide
(Guide d’administration Novell Nsure Identity Manager 2)
.
30
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
4
Personnalisation du pilote LDAP
Le pilote LDAP inclut des exemples de configuration que vous pouvez utiliser comme point de départ de votre déploiement. La plupart des déploiements DirXML
®
requièrent toutefois que vous modifiiez ces exemples.
Cette section vous fournit des informations sur les points suivants :
« Configuration des paramètres du pilote », page 31
« Configuration de la synchronisation des données », page 36
« Configuration des connexions SSL », page 39
Remarque : lorsque vous personnalisez la synchronisation des données, vous devez travailler dans le cadre des normes et conventions prises en charge pour les systèmes d’exploitation et les comptes en cours de synchronisation. Les données qui contiennent des caractères valides dans un environnement mais pas dans un autre provoquent des erreurs.
Configuration des paramètres du pilote
Vous pouvez configurer les paramètres de fonctionnement du pilote pour affiner le comportement du pilote en fonction de votre environnement réseau. Ainsi, il se peut que l’intervalle d’interrogation par défaut du canal Éditeur soit trop court pour la synchronisation. Rallongez cet intervalle pour améliorer les performances réseau tout en assurant une synchronisation appropriée.
Contrôle du flux de données depuis l’annuaire LDAP vers eDirectory
(configuration du canal Éditeur)
Utilisez les paramètres du canal Éditeur pour contrôler les aspects suivants des échanges de données. La figure suivante illustre les paramètres de l’exemple de fichier de configuration.
Deux paramètres avancés sont définis via l’option Éditer DirXML :
Prévention des problèmes de retour en boucle
Classes d’objets préférés
Personnalisation du pilote LDAP
31
Novell Confidential Manual (FRA) 28 October 2003
Certains paramètres ne s’appliquent qu’à la méthode de publication du journal des modifications
; d’autres paramètres ne s’appliquent qu’à la méthode de publication de recherche LDAP ; enfin, d’autres paramètres encore s’appliquent aux deux méthodes.
Si le serveur LDAP comporte un journal des modifications, nous vous recommandons d’utiliser la méthode de publication du journal des modifications. Si aucun journal des modifications n’est disponible, vous pouvez utiliser la méthode de publication de recherche LDAP.
Paramètres Éditeur pour la méthode du journal des modifications uniquement
Taille maximale de lot pour le traitement du journal des modifications
Lorsque l’objet Éditeur traite les nouvelles entrées du journal des modifications LDAP, il en fait la demande sous forme de lots de cette taille. Si le nombre d’entrées modifiées est inférieur à la taille de lot définie, les modifications sont traitées immédiatement. Si le nombre d’entrées modifiées est supérieur à la taille de lot définie, les modifications sont traitées consécutivement sous forme de lots de cette taille.
Prévention des problèmes de retour en boucle
Le paramètre Prévention des problèmes de retour en bouche est utilisé uniquement avec la méthode de publication du journal des modifications. La méthode de recherche LDAP n’empêche pas le retour en boucle à l’exception de la prévention intégrée au moteur DirXML.
Comme vous avez rarement besoin de modifier le comportement par défaut, ce paramètre avancé n’est pas présent dans le modèle de configuration. Ce paramètre est défini via l’option Éditer
DirXML.
Par défaut, le canal Éditeur doit éviter d’envoyer des modifications effectuées par le canal Abonné.
Pour détecter les modifications effectuées par le canal Abonné, le canal Éditeur procède de la façon suivante : il analyse les attributs creatorsName et modifiersName du journal des modifications
LDAP pour déterminer si l’entrée authentifiée à l’origine de la modification est identique à celle que le pilote utilise pour son authentification auprès du serveur LDAP. S’il s’agit de la même entrée, le canal Éditeur suppose que la modification a été effectuée par le canal Abonné du pilote et, par conséquent, ne synchronise pas cette entrée.
Vous pouvez par exemple n’avoir configuré aucun canal Abonné pour ce pilote mais vous voulez pouvoir utiliser le même DN et le même mot de passe que les autres processus pour effectuer des modifications.
Si vous êtes certain(e) de vouloir autoriser ce type de retour en boucle, modifiez le paramètre du pilote :
1
2
3
Dans iManager, cliquez sur Gestion DirXML > Présentation.
Recherchez le pilote dans son ensemble de pilotes.
Cliquez sur le pilote pour afficher la page de présentation du pilote, puis cliquez de nouveau sur le pilote pour afficher la page de modification de l’objet.
4
Faites défiler la page jusqu’à la section des paramètres de configuration du pilote, puis cliquez sur Edit XML (Éditer XML).
5
Dans Paramètres du pilote (XML), cliquez sur Activer la modification du XML, recherchez la ligne contenant le texte </publisher-options>, puis ajoutez la ligne suivante juste audessus :
<prevent-loopback display-name="Prevent loopback">no</prevent-loopback>
32
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
6
Cliquez sur OK, puis sur Appliquer ; redémarrez ensuite le pilote pour que ce paramètre s’applique.
Paramètres Éditeur pour la méthode de recherche LDAP uniquement
Rechercher DN de base
Paramètre requis lorsque vous utilisez le canal Éditeur si aucun journal des modifications n’est disponible. Réglez ce paramètre sur le nom distinctif (DN) LDAP du conteneur dans lequel les interrogations doivent commencer (par exemple, ou=people,o=company).
Pour utiliser un journal des modifications, laissez ce paramètre vide.
Rechercher étendue (1-Sous-arborescence, 2-Un niveau, 3-Base)
Indique la profondeur des interrogations. Ce paramètre recherche par défaut dans toute l’arborescence vers laquelle le DN de base de recherche pointe.
Définissez ce paramètre si aucun journal des modifications n’est disponible.
Personnalisation du pilote LDAP
33
Novell Confidential Manual (FRA) 28 October 2003
Ordre de traitement de la classe
Paramètre facultatif que l’Éditeur utilise pour trier certains événements lorsque des attributs référentiels posent problème. La valeur du paramètre est une liste de noms de classes issus du serveur LDAP et séparés par des espaces. Ainsi, pour vérifier que les nouveaux utilisateurs sont créés avant d’être ajoutés à des groupes, vérifiez que interorgperson précède groupofuniquenames.
Le pilote DirXML pour LDAP définit un nom de classe spécial « autres » qui signifie toutes les classes autres que celles explicitement listées.
La valeur par défaut de ce paramètre est « other groupofuniquenames ».
Utilisez ce paramètre si aucun journal des modifications n’est disponible.
Répertoire d’état de l’éditeur
Paramètre requis lorsque vous utilisez la méthode de recherche LDAP. Réglez la valeur sur un répertoire dans un système de fichiers local (celui où le pilote s’exécute) et dans lequel des fichiers d’état temporaires peuvent être écrits. Ces fichiers permettent :
de conserver la cohérence du pilote même lorsque celui-ci est arrêté,
d’éviter des manques de mémoire lorsque les données recherchées sont importantes.
Paramètres Éditeur communs aux méthodes de journal des modifications et de recherche LDAP
Fréquence d’interrogation en secondes
Il s’agit de l’intervalle de temps défini entre deux analyses du journal des modifications du serveur
LDAP par le pilote. Lorsque de nouvelles modifications sont détectées, elles sont appliquées à
Novell
®
eDirectory
TM
.
La fréquence d’interrogation recommandée est de 120 secondes.
Entrées à traiter au démarrage
Ce paramètre spécifie quelles entrées doivent être traitées au démarrage.
1-Toutes : l’objet Éditeur doit traiter toutes les modifications détectées dans le journal des modifications. L’opération se poursuit jusqu’à ce que toutes les modifications aient été traitées. Les nouvelles modifications sont traitées suivant la fréquence d’interrogation.
2-Aucune : lorsque le pilote commence à s’exécuter, l’Éditeur ne traite pas les entrées existantes. Les nouvelles modifications sont traitées suivant la fréquence d’interrogation.
3- Précédemment non traitée : il s’agit de la configuration par défaut. Si le pilote est exécuté pour la première fois, il se comporte comme dans le cas n° 1 (Toutes) et il traite toutes les nouvelles modifications.
Si le pilote a été exécuté précédemment, l’objet Éditeur traite uniquement les modifications effectuées depuis la dernière exécution du pilote. Les nouvelles modifications sont donc traitées suivant la fréquence d’interrogation.
34
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
Classes d’objets préférés
Les classes d’objets préférés sont un paramètre pilote facultatif qui permet de spécifier les classes d’objets préférés sur le canal Éditeur. Ce paramètre est défini via l’option Éditer DirXML.
Nsure
TM
Identity Manager nécessite que les objets soient identifiés à l’aide d’une seule classe d’objets. Toutefois, plusieurs serveurs et applications LDAP peuvent répertorier plusieurs classes d’objets multiples pour un même objet. Par défaut, lorsque le pilote DirXML pour LDAP trouve un objet sur l’application ou le serveur LDAP qui a été ajouté, supprimé ou modifié, il envoie l’événement au moteur DirXML et l’identifie via la classe d’objets comportant le plus grand nombre de niveaux d’héritage dans la définition du schéma.
Par exemple, un objet utilisateur dans LDAP est identifié avec les classes d’objets inetorgperson, organizationalperson, person et top. Inetorgperson comporte le plus grand nombre de niveaux d’héritage dans le schéma (héritage de organizationalperson, qui hérite de person, qui hérite de top). Par défaut, le pilote utilise la classe d’objet inetorgperson, ce qu’il indique au moteur
DirXML.
Si vous voulez modifier le comportement par défaut du pilote, vous pouvez ajouter au pilote le paramètre Éditeur facultatif preferredObjectClasses. La valeur de ce paramètre peut être une classe d’objet LDAP ou une liste de classes d’objet LDAP séparées par des espaces.
Lorsque ce paramètre est présent, le pilote DirXML pour LDAP examine chaque objet présenté sur le canal Éditeur pour voir s’il contient une des classes d’objet de la liste. Il les recherche dans l’ordre dans lequel elles apparaissent dans le paramètre preferredObjectClasses. S’il trouve qu’une des classes d’objet répertoriées correspond à l’une des valeurs de l’attribut objectclass sur l’objet
LDAP, il indique cette classe d’objet au moteur DirXML. Si aucune des classes d’objet ne correspond, il utilise son comportement par défaut pour indiquer la classe d’objet principale.
Pour ajouter le paramètre Classes d’objets préférés facultatif :
1
2
Dans iManager, naviguez vers la page de présentation du pilote DirXML pour le pilote LDAP.
Cliquez sur l’icône du pilote LDAP pour accéder à la page de modification de l’objet pour ce pilote.
3
4
5
Faites défiler la page jusqu’à la section Paramètres de pilote, puis cliquez sur Éditer XML.
Sur la page Paramètres du pilote (XML), cochez la case Activer la modification du XML.
Sous l’indicateur d’ouverture <publisher-options> (mais avant l’indicateur de fermeture), insérez l’élément XML suivant. Remplacez l’exemple d’inetorgperson par votre liste de classes d’objets préférés, en séparant les noms par des espaces.
<preferredObjectClasses display-name="Preferred object classes">inetorgperson</preferredObjectClasses>
Personnalisation du pilote LDAP
35
Novell Confidential Manual (FRA) 28 October 2003
6
7
8
Pour enregistrer et fermer la page Paramètres du pilote (XML), cliquez sur OK.
Pour enregistrer et fermer la page Modifier l’objet pour le pilote, cliquez sur OK.
Si le pilote s’exécutait, redémarrez-le.
Configuration de la synchronisation des données
Identification des objets synchronisés
Identity Manager utilise des filtres des canaux Éditeur et Abonné pour contrôler les objets synchronisés et pour définir la source de données experte pour ces objets.
défaut, utilisez la procédure suivante.
Modification des filtres Éditeur et Abonné
1
Dans iManager, cliquez sur Gestion DirXML > Présentation.
2
3
4
Localisez le pilote dans son ensemble de pilotes.
Cliquez sur le pilote pour ouvrir la page de présentation du pilote.
Cliquez sur l’icône du filtre Éditeur ou du filtre Abonné et effectuez les modifications nécessaires.
Le filtre Éditeur doit inclure les attributs eDirectory obligatoires. Le filtre Abonné doit inclure les attributs requis pour le serveur LDAP.
Pour chaque objet et attribut sélectionné dans le filtre, la règle d’assignation doit avoir une entrée correspondante, sauf si les noms de classe ou d’attribut sont identiques dans les deux annuaires. Avant d’assigner un attribut, vérifiez qu’un attribut correspondant existe dans l’annuaire cible.
36
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
Définition d’une assignation de schéma
Les serveurs LDAP ont tous des schémas différents. Lorsque le pilote est démarré pour la première fois, il demande au serveur son schéma distinctif.
Vous devez connaître les caractéristiques des attributs eDirectory et des attributs de serveur LDAP.
Le pilote gère tous les types d’attributs LDAP (cis, ces, tel, dn, int, bin). Il gère également l’attribut Facsimile Telephone Number de eDirectory.
Pour assigner des attributs, utilisez les règles suivantes :
Vérifiez que chaque classe et attribut spécifiés dans les règles Abonné et Éditeur sont assignés dans la règle d’assignation, sauf si les noms de classe ou d’attribut sont identiques dans les deux annuaires.
Avant d’assigner un attribut eDirectory à un attribut du serveur LDAP, vérifiez qu’un attribut de serveur LDAP existe réellement. Par exemple, l’attribut Full Name est défini pour un objet
Utilisateur de eDirectory, mais, dans Netscape, l’attribut fullname n’existe pas dans un objet inetOrgPerson.
Assignez toujours des attributs aux attributs de même type. Par exemple, assignez des attributs de chaînes à des attributs de chaînes, des attributs d’octets à des attributs binaires ou des attributs de numéro de téléphone à des attributs de numéro de téléphone.
Assignez des attributs à plusieurs valeurs à des attributs à plusieurs valeurs.
Le pilote ne permet pas de convertir les données d’un type d’attribut en données d’un autre type d’attribut, ni de convertir les attributs à plusieurs valeurs en attributs à valeur unique. En outre, le pilote ne reconnaît pas les attributs structurés, à l’exception de Facsimile Telephone Number et de
Postal Address.
Identity Manager offre une certaine souplesse au niveau de la syntaxe qu’il accepte de la part du canal Éditeur, notamment dans les cas suivants :
Acceptation de la syntaxe non structurée/non d’octets. Identity Manager accepte toute syntaxe non structurée/non d’octets pour toute autre syntaxe non structurée/non d’octets tant que les données peuvent être converties dans le type approprié, c’est-à-dire que, si eDirectory recherche une valeur numérique, les données réelles doivent être un nombre.
Conversion des données en octets. Si Identity Manager attend des données en octets et qu’il reçoit un autre type de données (non d’octets/non structuré), il convertit ces données en octets en sérialisant la valeur de la chaîne au format UTF-8.
Conversion des données en une chaîne. Lorsqu’Identity Manager a transmis des données en octets et qu’un autre type non-structuré est attendu, Identity Manager convertit les données en une chaîne en décodant les données Base64. Identity Manager essaie ensuite d’interpréter le résultat comme une chaîne codée UTF-8 (ou comme le codage du caractère par défaut de la plate-forme si ce n’est pas une chaîne UTF-8 valide), puis il applique les mêmes règles que la syntaxe d’acceptation non-structuré/non d’octets.
Numéro de télécopie. Dans ce cas, si un type non structuré est transmis, l’acceptation de la syntaxe non-structurée/non d’octets et la conversion des données en une chaîne sont appliquées aux données permettant d’obtenir la portion numéro de téléphone du numéro de fax.
Les autres champs reçoivent des valeurs par défaut.
État. En ce qui concerne l’état, les paramètres False, No, F, N (en majuscules ou en minuscules), 0 et " " (chaîne vide) sont interprétés comme False ; toute autre valeur est interprétée comme True.
Personnalisation du pilote LDAP
37
Novell Confidential Manual (FRA) 28 October 2003
Adresse électronique. Dans ce cas, si un type non structuré est transmis, l’acceptation de la syntaxe non-structurée/non d’octets et la conversion des données en une chaîne sont appliquées aux données permettant d’obtenir l’adresse, et le type est par défaut 3 (SMTP).
Pour configurer la règle d’assignation de schéma :
1
2
3
4
5
Dans iManager, cliquez sur Gestion DirXML > Présentation.
Localisez le pilote dans son ensemble de pilotes.
Cliquez sur le pilote pour ouvrir la page de présentation du pilote.
Cliquez sur l’icône d’assignation de schéma sur le canal Éditeur ou Abonné.
Modifiez la règle conformément à votre configuration.
Définition du placement d’objet
Il est recommandé de suivre les règles d’assignation de nom de Netscape pour les objets de
Netscape Directory Server. Pour plus de clarté, cette section décrit brièvement les règles d’assignation de nom.
L’annuaire contient des entrées qui représentent des personnes et auxquelles il convient d’assigner un nom. En d’autres termes, vous devez définir un RDN (Relative Distinguished Name - nom distinctif relatif) pour chacune de ces entrées. Le DN doit être une valeur unique, facilement identifiable et définitive. Nous vous recommandons d’utiliser l’attribut uid pour spécifier la valeur unique associée à chaque personne. Voici un exemple de DN pour une entrée relative à une personne : uid=jbrun,o=novell
L’annuaire contient également des entrées qui représentent bien d’autres éléments tels que des groupes, des périphériques, des serveurs, des informations réseau ou d’autres types de données.
Pour ces éléments, nous vous recommandons d’utiliser l’attribut cn dans le RDN. Ainsi, pour nommer une entrée de groupe, utilisez l’assignation de nom suivante : cn=administrateurs,ou=groupes,o=novell
L’annuaire contient également des branches, aussi appelées conteneurs. Vous devez déterminer les attributs que vous allez utiliser pour identifier ces branches. Les noms d’attributs ont une signification : nous vous recommandons par conséquent d’associer le nom de chaque attribut au type d’entrée qu’il représente. Les attributs recommandés par Netscape sont définis comme suit : l st dc
Nom de l’attribut
c o ou
Définition
Nom de pays
Nom d’organisation
Unité organisationnelle
Département
Lieu
Composant de domaine
38
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
Toute règle de placement d’un objet Abonné spécifie l’attribut d’assignation de nom d’une classe.
L’exemple suivant concerne le nom de classe Utilisateur. L’instruction <placement> indique que l’attribut uid sert d’attribut d’assignation de nom.
<placement-rule>
<match-class class-name="User"/>
<match-path prefix="\Novell-Tree\Novell\Users"/>
<placement>uid=<copy-name/>,ou=People,o=Netscape</
placement>
</placement-rule>
La règle de placement de l’objet Abonné ci-dessous indique que l’attribut ou sert d’attribut d’assignation de nom pour le nom de classe Unité organisationnelle.
<placement-rule>
<match-class class-name="Organizational Unit"/>
<match-path prefix="\Novell-Tree\Novell\Users"/>
<placement>ou=<copy-name/>,ou=People,o=Netscape</placement>
</placement-rule>
Configuration des règles de placement
1
Dans iManager, cliquez sur Gestion DirXML > Présentation.
2
3
4
Localisez le pilote dans son ensemble de pilotes.
Cliquez sur le pilote pour afficher la page de présentation du pilote.
Cliquez sur l’icône de la règle de placement de l’objet Éditeur ou Abonné et effectuez les modifications nécessaires.
Utilisation des groupes eDirectory
eDirectory et Netscape Directory Server utilisent des attributs de groupe différents. Le pilote doit par conséquent réaliser un traitement spécial. Sur le canal Éditeur, ce traitement s’effectue lorsque le pilote détecte l’attribut uniquemember dans le nom de classe groupofuniquenames.
Le pilote définit aussi l’attribut Équivalent à moi dans le groupe eDirectory. Cet attribut doit être inclus dans le filtre Editeur. Il n’est pas nécessaire de le faire figurer dans la règle d’assignation de schéma puisque le nom d’attribut eDirectory est utilisé. Il n’existe pas de nom d’attribut équivalent dans Netscape Directory Server. Aucun traitement spécial n’est requis sur le canal Abonné.
Configuration des connexions SSL
Le pilote utilise le protocole LDAP pour communiquer avec le serveur LDAP. La plupart des serveurs LDAP autorise des connexions non codées (texte clair). À condition d’être correctement configurés, certains serveurs LDAP autorisent en outre les connexions codées SSL. Les connexions
SSL ont pour effet de coder toutes les données du trafic au niveau du socket TCP/IP au moyen d’une paire de clés publique/privée. Le protocole LDAP réel reste le même ; c’est le canal de communication qui effectue le codage.
La procédure d’activation des connexions SSL diffère légèrement d’un serveur LDAP à l’autre.
Le présent document décrit le processus d’activation des connexions SSL en cas d’utilisation de
Netscape Directory Server 4.12.
« Étape 1 : Génération d’un certificat de serveur », page 40
« Étape 2 : Envoi de la requête de certificat », page 41
« Étape 3 : Installation du certificat », page 41
Personnalisation du pilote LDAP
39
Novell Confidential Manual (FRA) 28 October 2003
« Étape 4 : Activation de SSL dans Netscape Directory Server 4.12 », page 42
« Étape 5 : Exportation de la racine approuvée depuis l’arborescence eDirectory », page 42
« Étape 6 : Importation du certificat racine approuvé », page 42
« Étape 7 : Configuration des paramètres du pilote », page 43
Si vous utilisez un autre serveur LDAP, la procédure à suivre est similaire.
Étape 1 : Génération d’un certificat de serveur
Vous devez en premier lieu installer un certificat de serveur. Le serveur LDAP peut lui-même générer un certificat, mais ce dernier doit ensuite être signé par une autorité de certification qui a été approuvée par le serveur. L’un des moyens d’obtenir cette signature est d’utiliser l’autorité de certification fournie avec eDirectory.
Pour créer une requête de certificat :
1
Dans l’arborescence de navigation de la console Netscape, sélectionnez le serveur avec lequel le pilote va être amené à communiquer.
2
3
Cliquez sur Open Server (Ouvrir le serveur).
Cliquez sur Tasks > Certificate Setup Wizard (Tâches > Assistant de configuration de certificat).
4
Entrez les informations nécessaires pour obtenir un certificat.
Suivant les certificats ou les jetons susceptibles d’être déjà installés sur le système hôte, vous pouvez voir s’afficher quelques-uns ou la totalité des champs suivants :
Select a Token (Cryptographic Device): (Sélectionner un jeton (dispositif
cryptographique) :) sélectionnez Internal (Software) (Interne (logiciel)).
Is the Server Certificate Already Requested and Ready to Install? (Le certificat de
serveur a-t-il déjà été demandé et est-il prêt pour l’installation ?) sélectionnez No (Non).
Si aucune base de données approuvée n’existe déjà pour cet hôte, le système en génère une pour vous.
Une base de données approuvée est une base de données de paires de clés et de certificats installée sur l’hôte local. Lorsque vous utilisez un jeton interne, la base de données approuvée devient la base de données dans laquelle vous installez la clé et le certificat.
5
Entrez et confirmez le mot de passe.
Le mot de passe doit contenir au moins huit caractères, dont au moins un numérique. Ce mot de passe permet de sécuriser l’accès à la nouvelle base de données de clés que vous êtes en train de créer.
8
9
6
7
Continuez d’entrer les informations qui vous sont demandées, puis cliquez sur Next (Suivant).
Une fois la base de données approuvée créée, cliquez sur Next (Suivant).
Saisissez les informations demandées, puis cliquez sur Next (Suivant).
Entrez le mot de passe défini pour le jeton que vous avez précédemment sélectionné, puis cliquez sur Next (Suivant).
L’assistant de configuration de certificat génère une requête de certificat pour votre serveur.
Lorsque cet écran s’affiche, vous pouvez envoyer la requête de certificat à l’autorité de certification.
40
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
Étape 2 : Envoi de la requête de certificat
1
2
Copiez la requête de certificat de serveur dans le Bloc-notes ou dans un autre éditeur de texte.
Enregistrez le fichier en lui donnant le nom suivant : CSR.TXT.
Votre message électronique de requête de certificat doit ressembler à ce qui suit :
-----BEGIN NEW CERTIFICATE REQUEST-----
.
.
.
-----END NEW CERTIFICATE REQUEST----
6
7
8
3
4
5
Dans iManager, sélectionnez Novell Certificate Server > Émettre un certificat.
Dans le champ de nom de fichier, recherchez le fichier CSR.TXT, puis cliquez sur Suivant.
Sélectionnez Autorité de certification organisationnelle.
Spécifiez SSL comme type de clé, puis cliquez sur Suivant.
Spécifiez les paramètres du certificat, cliquez sur Suivant puis sur Terminer.
Enregistrez le certificat au format Base64 (il doit avoir le nom suivant : CERT.B64) sur un disque local ou sur disquette.
Étape 3 : Installation du certificat
1
Dans l’arborescence de navigation de la console Netscape, sélectionnez le serveur auquel le pilote va être connecté.
2
3
Cliquez sur Open (Ouvrir).
Cliquez sur Tasks > Certificate Setup Wizard (Tâches > Assistant de configuration de certificat).
4
5
Lancez l’assistant et indiquez que vous êtes prêt à installer le certificat.
Lorsque vous y êtes invité, entrez les informations suivantes :
Select a Token (Cryptographic Device): (Sélectionner un jeton (dispositif
cryptographique) :) sélectionnez Internal (Software) (Interne (logiciel)).
Is the Server Certificate Already Requested and Ready to Install? (Le certificat de
serveur a-t-il déjà été demandé et est-il prêt pour l’installation ?) sélectionnez Yes (Oui).
6
7
Cliquez sur Next (Suivant).
Dans le champ Install Certificate For (Installer le certificat pour), sélectionnez This Server
(Ce serveur).
8
Dans le champ Password (Mot de passe), entrez le mot de passe que vous avez utilisé pour définir la base de données approuvée, puis cliquez sur Next (Suivant).
9
Dans le champ Certificate Is Located in This File (Emplacement du certificat), entrez, sous forme absolue, le chemin d’accès au certificat, par exemple A: \CERT.B64.
10
11
Une fois le certificat généré, cliquez sur Add (Ajouter).
Une fois le certificat installé, cliquez sur Done (Terminé).
Personnalisation du pilote LDAP
41
Novell Confidential Manual (FRA) 28 October 2003
Étape 4 : Activation de SSL dans Netscape Directory Server 4.12
Après avoir installé le certificat, procédez comme suit pour activer SSL :
1
Dans l’arborescence de navigation de la console Netscape, sélectionnez le serveur pour lequel vous souhaitez utiliser le codage SSL.
2
3
Cliquez sur Open > Configuration > Encryption (Ouvrir > Configuration > Codage).
Entrez les informations suivantes :
Enable SSL (Activer SSL) : sélectionnez cette option.
Cipher Family (Famille de codage) : sélectionnez RSA.
Token to Use (Jeton à utiliser) : sélectionnez Internal (Software) (Interne (logiciel)).
Certificate to Use (Certificat à utiliser) : sélectionnez Server-Cert (Serveur-Cert).
Client Authentication (Authentification client) : comme le pilote ne prend pas en charge l’authentification du client, sélectionnez Allow Client Authentication (Autoriser l’authentification client).
4
5
Cliquez sur Save (Enregistrer).
Cliquez sur Tasks (Tâches), puis redémarrez le serveur pour que les modifications soient prises en compte.
Étape 5 : Exportation de la racine approuvée depuis l’arborescence eDirectory
5
6
7
1
2
3
4
Dans iManager, sélectionnez Administration eDirectory > Modifier l’objet.
Rechercher l’objet Autorité de certification (CA - Certificate Authority), puis cliquez sur OK.
Cliquez sur l’onglet Certificats.
Cliquez sur Exporter.
Cliquez sur Non à l’invite « Voulez-vous exporter la clé privée avec le certificat ? ».
Cliquez sur Suivant.
Dans le champ Nom de fichier, saisissez un nom de fichier (par exemple, CertClePublique), puis sélectionnez le format Base64.
8
Cliquez sur Exporter.
Étape 6 : Importation du certificat racine approuvé
Vous devez importer le certificat racine approuvé dans la base de données approuvée du serveur
LDAP et dans la zone de stockage des certificats du client.
Importation dans la base de données approuvée du serveur LDAP
Vous devez importer le certificat racine approuvé dans la base de données approuvée du serveur
LDAP. Le certificat de serveur étant signé par l’autorité de certification de eDirectory, la base de données approuvée doit être configurée de façon à approuver cette autorité de certification.
1
Dans la console Netscape, cliquez sur Tasks > Certificate Setup Wizard > Next (Tâches >
Assistant de configuration de certificat > Suivant).
2
Dans Select a Token (Sélectionner un jeton), acceptez la valeur par défaut indiquée pour
Internal (Software) (Interne (logiciel)).
42
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
3
Dans Is the Server Certificate Already Requested and Ready to Install? (Le certificat de serveur a-t-il déjà été demandé et est-il prêt pour l’installation ?), sélectionnez Yes (Oui)
4
5
Cliquez sur Next (Suivant) deux fois.
Dans Install Certificate For (Installer le certificat pour), sélectionnez Trusted Certificate
Authority (Autorité de certification approuvée).
6
7
Cliquez sur Next (Suivant).
Sélectionnez l’option The Certificate Is Located in This File (Emplacement du certificat), puis entrez le chemin d’accès complet au fichier .b64 qui contient le certificat racine approuvé.
8
9
10
Cliquez sur Next (Suivant).
Vérifiez les informations à l’écran, puis cliquez sur Add (Ajouter).
Cliquez sur Done (Terminé).
Importation dans la zone de stockage des certificats du client
Vous devez importer le certificat racine approuvé dans une zone de stockage de certificats
(également appelé Keystore) que l’utilisateur puisse utiliser.
1
Utilisez la classe KeyTool qui se trouve dans rt.jar.
Par exemple, si votre certificat de clé publique est enregistré sous le nom de fichier
PublicKeyCert.b64 sur une disquette et que vous souhaitez l’importer dans un nouveau fichier de stockage de certificats appelé .keystore dans l’annuaire actif, saisissez les informations suivantes sur la ligne de commande : java sun.security.tools.KeyTool -import -alias TrustedRoot -file a:\PublicKeyCert.b64
-keystore .keystore -storepass keystorepass
2
Lorsque vous êtes invité à approuver ce certificat, entrez Yes (Oui), puis cliquez sur Enter
(Entrer).
3
Copiez le fichier .keystore dans n’importe quel répertoire du système de fichiers qui contient les fichiers de eDirectory.
4
5
6
Dans iManager, cliquez sur Gestion DirXML puis sur Présentation et recherchez les pilotes.
Cliquez sur l’objet Pilote LDAP puis cliquez de nouveau dessus à la page suivante.
Dans le paramètre Chemin d’accès Keystore, entrez le chemin d’accès complet au fichier
.keystore.
Étape 7 : Configuration des paramètres du pilote
Le tableau ci-dessous répertorie les paramètres du pilote, ainsi que ses valeurs par défaut dans les exemples de configuration.
Paramètre
Utiliser SSL pour les connexions LDAP
Port SSL
Chemin d’accès Keystore (pour certificats SSL)
Exemple de valeur de configuration
non
636
[vierge]
Personnalisation du pilote LDAP
43
Novell Confidential Manual (FRA) 28 October 2003
Utiliser SSL pour les connexions LDAP
Ce paramètre doit avoir la valeur Oui ou Non. Il indique s’il convient ou non d’utiliser des connexions SSL pour communiquer avec le serveur LDAP. Pour utiliser SSL, vous devez
également correctement configurer le serveur LDAP.
Pour plus d’informations, reportez-vous à
« Configuration des connexions SSL », page 39
.
Port SSL
Ce paramètre est ignoré sauf si la valeur Oui a été définie pour l’option Utiliser SSL pour les connexions LDAP. Il indique le port utilisé par le serveur LDAP pour les connexions sécurisées.
Chemin d’accès Keystore (pour certificats SSL)
Lorsque la valeur Oui est définie pour l’option Utiliser SSL pour les connexions LDAP, ce paramètre doit avoir pour valeur le chemin d’accès complet au fichier .keystore qui contient le certificat racine approuvé par l’autorité de certification (CA) qui a signé le certificat de serveur.
Pour plus d’informations sur la création du fichier .keystore, reportez-vous à la section
« Importation dans la zone de stockage des certificats du client », page 43 .
44
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
5
Dépannage
Cette section contient des astuces de dépannage.
Migration des utilisateurs vers eDirectory
Les paramètres de certains serveurs LDAP limitent le nombre d’entrées qui peuvent être renvoyées par une requête LDAP. Par exemple, la limite par défaut de iPlanet Directory Server 5.1 est de 2 000 objets.
Lorsque vous migrez des données utilisateur de LDAP vers Novell
®
eDirectory
TM
, le pilote envoie une requête LDAP au serveur et renvoie les objets correspondant aux critères (par exemple objectclass=User).
La limitation du nombre d’entrées pouvant être renvoyées sur une requête LDAP peut provoquer l’arrêt d’une migration avant sa fin, même si le pilote DirXML
®
continue par ailleurs à fonctionner normalement.
Pour y remédier, modifiez la limite.
Par exemple, dans iPlanet, procédez de la sorte :
1
2
Dans l’onglet Configuration, sélectionnez les paramètres de base de données.
Relevez la limite de recherche dans l’onglet du plug-in LDBM, de sa valeur par défaut (5 000)
à une valeur mieux adaptée. (Il s’agit du nombre d’enregistrement dans lesquels la requête est autorisée à rechercher lorsqu’elle s’exécute.)
3
Allez à l’onglet Configuration, sélectionnez les paramètres de serveur d’annuaire, sélectionnez l’onglet Performance, puis relevez la taille limite en fonction du nombre de comptes utilisateur que vous devez migrer. (Il s’agit du nombre réel d’enregistrements que la requête est autorisée à renvoyer.)
Une fois ces paramètres réglés, la migration doit se terminer correctement.
Dépannage
45
Novell Confidential Manual (FRA) 28 October 2003
46
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
A
Mises à jour
Cette section contient des informations nouvelles ou mises à jour sur le pilote DirXML
®
pour LDAP.
La documentation est fournie sur le Web sous deux formats : HTML et PDF. La documentation
HTML et PDF est maintenue à jour grâce aux changements de documentation répertoriés dans cette section.
Si vous voulez savoir si la copie de la documentation PDF que vous utilisez est la plus récente, vérifiez la date à laquelle le ficher PDF a été publié. Cette date se trouve dans la section Mentions légales, qui suit immédiatement la page de titre.
La documentation nouvelle ou mise à jour a été publiée aux dates suivantes :
14 avril 2004
Les mises à jour suivantes ont été effectuées dans cette section :
Les références à la version 2.0 de la synchronisation des mots de passe ont été remplacées par celles à la synchronisation des mots de passe sous Nsure
TM
Identity Manager. Cette modification indique que la nouvelle fonctionnalité de synchronisation des mots de passe n’est pas un produit séparé, mais une fonction d’Identity Manager.
Les références à DirXML 2.0 ont été remplacées par Identity Manager 2. Le moteur et les pilotes sont toujours appelés « moteur DirXML » et « pilotes DirXML ».
16 juin 2004
Les mises à jour suivantes ont été effectuées dans cette section :
Emplacement Modification
Étapes et graphiques fournis pour plusieurs installations.
Informations ajoutées sur la méthode de publication de recherche LDAP.
Mises à jour
47
Novell Confidential Manual (FRA) 28 October 2003
48
Guide d’implémentation du pilote DirXML pour LDAP
Публичная ссылка обновлена
Публичная ссылка на ваш чат обновлена.