Novell Confidential Manual (FRA) 28 October 2003
5
Configuration du pilote
Cette section fournit des informations spécifiques à la configuration du pilote. Ce pilote est différent des autres pilotes DirXML
®
: en effet, deux pilotes sont toujours installés, chacun dans sa propre arborescence.
Le canal Abonné de la première arborescence communique avec le canal Éditeur de la deuxième arborescence, et le canal Abonné de la deuxième arborescence communique avec le canal Éditeur de la première arborescence. Par conséquent, la procédure d’installation doit être exécutée pour chaque pilote dans chaque arborescence.
Pour que le pilote soit utilisable, Novell
®
Certificate Server
TM
doit être exécuté sur chaque serveur où doit résider le pilote. Il est recommandé d’utiliser l’autorité de certification de l’une des arborescences contenant le pilote afin d’émettre les certificats utilisés pour SSL. Si votre arborescence ne dispose pas d’autorité de certification, vous devez en créer une. Vous pouvez utiliser une autorité de certification externe.
Pour effectuer la configuration du pilote et exécuter les tâches administratives (telles que la configuration des propriétés du pilote, des règles et des feuilles de style, des filtres et de la sécurité), utilisez Novell iManager.
!
« Configuration des propriétés de l’objet Pilote », page 31
!
« Configuration du filtre du canal Éditeur », page 33
!
« Configuration du filtre du canal Abonné », page 34
!
« Configuration des règles du canal Éditeur », page 35
!
« Configuration des transferts sécurisés de données dans Identity Manager », page 35
!
« Utilisation des mots de passe de l’objet Pilote », page 37
Pour plus d’informations sur la synchronisation des mots de passe, reportez-vous à la section
« Synchronisation des mots de passe », page 28 .
Les informations de la section suivante vous aideront à configurer le pilote à l’aide de Novell iManager.
Configuration des propriétés de l’objet Pilote
1
2
3
Dans iManager, cliquez sur Gestion DirXML > Présentation.
Recherchez l’ensemble de pilotes qui contient le pilote eDirectory, puis cliquez sur son icône.
À partir de la présentation du pilote DirXML, cliquez sur l’objet du pilote eDirectory pour afficher les configurations du pilote.
4
Recherchez la section Module pilote, puis choisissez Java.
Configuration du pilote
31
Novell Confidential Manual (FRA) 28 October 2003
Figure 10 Section Module pilote
5
Dans la zone de texte Nom, saisissez le nom de classe Java suivant du pilote eDirectory
TM
:
com.novell.nds.dirxml.driver.nds.DriverShimImpl
6
Défilez jusqu’à la section Authentification.
Figure 11 Section Authentification
7
Donnez les informations qui permettront au serveur source de communiquer avec le serveur cible.
ID d’authentification
Pour que le serveur source et le serveur de destination échangent des informations sécurisées
(comme les mots de passe), exécutez l’assistant de certificats eDirectory NDS2NDS. Il crée des objets Matériel clé (KMO) et place le nom correct des KMO dans la case de sortie ID d’authentification.
Les KMO sont des certificats SSL (Secure Socket Layer).
32
Guide d’implémentation du pilote DirXML pour eDirectory
Novell Confidential Manual (FRA) 28 October 2003
Figure 12 Exemple de KMO
Contexte d’authentification
Dans la case Contexte d’authentification, entrez le nom d’hôte ou l’adresse IP du serveur cible, ainsi que le numéro décimal du port (par exemple, 182.168.1.1:8196).
Remarque : si le message « java.net.ConnectException: Connection Refused » (connexion refusée) s’affiche, cela signifie que le port distant n’est pas connecté. Cette erreur peut provenir de l’une des causes suivantes :
!
Le pilote distant ne fonctionne pas.
!
Le pilote fonctionne mais il est configuré pour utiliser un autre port.
Paramètres de connexion au chargeur distant
L’option Chargeur distant n’est pas nécessaire (ni utilisée) pour le pilote DirXML pour eDirectory.
Capacité du cache du pilote
Ne modifiez cette zone de texte que si les services techniques de Novell vous le demandent.
8
Cliquez sur Appliquer, puis sur OK.
Configuration du filtre du canal Éditeur
Vous devez modifier les filtres définis pour les canaux Éditeur et Abonné afin d’inclure les attributs et les classes d’objet que vous souhaitez rendre disponibles à des fins de traitement par
Nsure
TM
Identity Manager. Pour modifier un filtre, procédez comme suit :
1
2
Dans iManager, cliquez sur Gestion DirXML > Présentation.
Recherchez l’ensemble de pilotes qui contient le pilote eDirectory, puis cliquez sur l’icône du pilote pour afficher la page de présentation du pilote DirXML.
3
Cliquez sur le filtre du canal Éditeur.
Figure 13 Filtre du canal Éditeur
Configuration du pilote
33
Novell Confidential Manual (FRA) 28 October 2003
4
Personnalisez le pilote.
Figure 14 Options du filtre du pilote
Dans cet exemple, Country et Group sont des classes. Pour ajouter une classe, cliquez sur
Ajouter la classe, puis sélectionnez la classe. Pour supprimer une classe, sélectionnez-la, puis cliquez sur Supprimer.
Dans cet exemple, CN est un attribut de la classe Group. Pour ajouter un attribut, sélectionnez la classe, cliquez sur Ajouter un attribut, puis sélectionnez l’attribut.
Pour modifier une classe ou un attribut, sélectionnez-le, puis choisissez les options voulues dans le volet de droite. Dans cet exemple, l’attribut Country est synchronisé sur les canaux
Éditeur et Abonné. Toutefois, l’attribut GUID n’est pas synchronisé sur le canal Éditeur.
Pour synchroniser l’attribut GUID, sélectionnez-le, puis cliquez sur Synchroniser, sous la section Publier.
5
Cliquez sur Appliquer, puis sur OK.
Configuration du filtre du canal Abonné
1
2
Dans iManager, cliquez sur Gestion DirXML > Présentation.
Recherchez l’ensemble de pilotes qui contient le pilote eDirectory, puis cliquez sur l’icône du pilote pour afficher la page de présentation du pilote DirXML.
3
4
5
Cliquez sur l’objet Filtre du canal Abonné pour afficher la boîte de dialogue Filtre.
Personnalisez le pilote.
Cliquez sur Appliquer, puis sur OK.
34
Guide d’implémentation du pilote DirXML pour eDirectory
Novell Confidential Manual (FRA) 28 October 2003
Configuration des règles du canal Éditeur
En général, les règles d’un pilote doivent être placées uniquement sur l’objet Éditeur, et non sur l’objet Abonné. La règle de concordance ne peut pas fonctionner correctement sur le canal Abonné car aucune association n’a encore été définie pour l’objet distant. Il peut être préférable de placer une règle de création ou de transformation d’événement sur le canal Abonné afin d’empêcher l’envoi de données superflues sur ce canal. Reportez-vous à la section Managing Users on
Different Servers Using Scope Filtering (Gestion des utilisateurs sur différents serveurs à l’aide du filtrage d’étendue) dans le
Novell Nsure Identity Manager 2 Administration Guide (Guide d’administration Novell Nsure Identity Manager 2)
.
Configuration des transferts sécurisés de données dans
Identity Manager
Toutes les communications des pilotes eDirectory sont sécurisées grâce au protocole SSL. Pour configurer votre système Novell eDirectory
TM
de sorte qu’il gère les transferts sécurisés de données
Identity Manager, exécutez l’assistant NDS2NDS dans Novell iManager.
!
!
Présentation
Les éléments suivants vous aideront à comprendre les principes de sécurité des pilotes eDirectory :
! Le pilote utilise des sockets SSL pour garantir l’authentification et une connexion sécurisée.
La technologie SSL utilise des certificats numériques pour autoriser les parties concernées par une connexion SSL à s’authentifier mutuellement. Quant à Identity Manager, il utilise les certificats du serveur de certificats Novell pour effectuer une gestion sécurisée des données sensibles.
! Pour que le pilote soit utilisable, Novell
®
Certificate Server
TM
doit être exécuté sur chaque arborescence. Il est recommandé d’utiliser l’autorité de certification de l’une des arborescences contenant le pilote afin d’émettre les certificats utilisés pour SSL. Si votre arborescence ne dispose pas d’autorité de certification, vous devez en créer une. Vous pouvez utiliser une autorité de certification externe.
! L’implémentation Novell de la technologie SSL utilisée par le pilote s’appuie sur les services
SAS (Secure Authentication Services - Services d’Authentification Sécurisée) de Novell pour eDirectory 8.6.2, et sur NTLS pour eDirectory 8.7.x. Ces services doivent être installés et configurés sur le serveur sur lequel le pilote sera exécuté. En général, eDirectory se charge automatiquement de cette opération.
! Pour configurer la sécurité du pilote, vous devez créer et référencer des certificats dans les arborescences eDirectory qui seront connectées via ce pilote. Les objets Certificat de eDirectory sont appelés objets Matériel clé (Key Material Objects - KMO) car ils conservent, de manière sécurisée, les données du certificat (y compris la clé publique) et la clé privée associées au certificat.
Vous devez créer au moins deux KMO (un par arborescence) pour utiliser le pilote DirXML pour eDirectory. Les descriptions de cette section sont basées sur l’utilisation d’un seul KMO par arborescence.
L’assistant de certificats de pilote NDS2NDS définit les KMO.
Configuration du pilote
35
Novell Confidential Manual (FRA) 28 October 2003
! Pour plus d’informations :
! Pour obtenir une présentation générale du serveur de certificats de Novell, reportez-vous
à la documentation en ligne sur Novell Certificate Server
(http://www.novell.com/documentation/french/crtsrv20/docui/index.html) .
! Pour obtenir une présentation générale de SSL, reportez-vous à la page Secure Socket
Layer Overview (Présentation de SSL)
(http://developer.netscape.com/tech/security/ssl/protocol.html) .
! Pour une présentation générale des certificats, reportez-vous à la page Certificates and
Authentication (Certificats et authentification)
(http://developer.netscape.com/docs/manuals/security/pkin/contents.htm#1047709) .
! Pour plus d’informations sur les autorités de certification, notamment sur leur configuration dans les arborescences, reportez-vous à la page Setting Up Novell PKI
Services (Configuration des services Novell PKI)
(http://www.novell.com/documentation/french/ndsse/ndsseenu/data/h6172k4q.html) .
Procédure
Les descriptions de cette section sont basées sur l’utilisation d’un seul KMO par arborescence.
Avant de commencer, retrouvez le nom de l’arborescence ou l’adresse IP du serveur de destination.
Pour configurer votre système eDirectory en vue de la gestion de transferts sécurisés de données
Identity Manager :
1
2
3
Lancez iManager et authentifiez-vous auprès de la première arborescence.
Cliquez sur Utilitaires DirXML > Certificats de pilote NDS2NDS.
Dans la page d’accueil, entrez les informations demandées pour la première arborescence.
Les valeurs par défaut sont fournies au moyen des objets de l’arborescence auprès de laquelle vous vous êtes authentifié lorsque vous avez lancé iManager. Vous devez entrer ou confirmer les informations suivantes :
!
DN de pilote : entrez le nom distinctif du pilote eDirectory (par exemple,
EDir-Employés.Employee Provisioning.Services.NomVotreOrg).
!
Nom de l’arborescence : entrez l’adresse IP de l’arborescence Employés.
!
Nom d’utilisateur d’un compte doté de privilèges Admin (par exemple, Admin).
!
Mot de passe de l’utilisateur.
!
Contexte de l’utilisateur (par exemple, Services.NomVotreOrg).
4
Cliquez sur Suivant.
L’assistant utilise les informations que vous avez entrées pour effectuer l’authentification auprès de la première arborescence, pour contrôler le DN de pilote et pour vérifier que le pilote est associé à un serveur.
5
Entrez les informations demandées pour la deuxième arborescence.
Dans la page d’accueil, entrez les informations demandées pour la première arborescence.
36
Guide d’implémentation du pilote DirXML pour eDirectory
Novell Confidential Manual (FRA) 28 October 2003
Entrez ou confirmez les informations suivantes :
!
DN de pilote : entrez le nom distinctif du pilote eDirectory (par exemple,
EDir-Comptes.EnsemblePilotes.NomVotreOrg).
!
Nom de l’arborescence : entrez le nom de l’arborescence ou l’adresse IP de l’arborescence Comptes.
!
Nom d’utilisateur d’un compte doté de privilèges Admin (par exemple, Admin).
!
Mot de passe de l’utilisateur.
!
Contexte de l’utilisateur (par exemple, Londres.NomVotreOrg).
6
Cliquez sur Suivant.
L’assistant utilise les informations que vous avez entrées pour effectuer l’authentification auprès de la deuxième arborescence, pour contrôler le DN de pilote et pour vérifier que le pilote est associé à un serveur.
7
Vérifiez les informations qui figurent sur la page Résumé, puis cliquez sur Terminer.
S’il existait déjà des objets KMO pour ces arborescences, l’assistant les supprime, puis effectue les opérations suivantes :
!
exporte la racine approuvée de l’autorité de certification dans une arborescence,
!
crée des objets KMO,
!
émet une requête de signature de certificat,
!
place des noms de paires de clés de certificat dans la zone ID d’authentification du pilote.
Utilisation des mots de passe de l’objet Pilote
Outre les certificats obligatoires pour la technologie SSL, vous pouvez, pour améliorer encore la sécurité, configurer le pilote de telle sorte que le canal Abonné d’une arborescence doive s’authentifier auprès du canal Éditeur de l’arborescence distante. Vous devez définir des mots de passe concordants sur les deux arborescences.
Pour définir le mot de passe de l’objet Pilote DirXML dans une arborescence :
1
2
3
Dans iManager, cliquez sur Gestion DirXML > Présentation.
Recherchez l’ensemble de pilotes qui contient le pilote eDirectory, puis cliquez sur son icône.
À partir de la présentation du pilote DirXML, cliquez sur l’objet du pilote eDirectory pour afficher les configurations du pilote.
4
Retrouvez la section Mot de passe de l’objet Pilote.
Figure 15 Section Mot de passe de l’objet Pilote
5
Saisissez le mot de passe souhaité, cliquez sur Appliquer, puis sur OK.
Configuration du pilote
37
Novell Confidential Manual (FRA) 28 October 2003
Migration ou copie d’objets
Même si iManager ne dispose pas d’une fonction de copie, vous pouvez utiliser l’option de migration à partir de NDS pour copier des objets d’une arborescence eDirectory à une autre.
L’étendue de la copie dépend des règles du pilote. Par exemple, selon les règles qui s’appliquent à un pilote, vous pouvez copier (synchroniser) tous les attributs d’une arborescence eDirectory à une autre. Cette « copie » exige de synchroniser tous les attributs sur les arborescences, de placer les objets au même endroit lors d’une migration et de ne modifier aucune donnée lors de la migration.
Un tampon horaire est toujours associé à une opération de resynchronisation. Cette opération recherche les objets disposant déjà d’une association (qui ont déjà été synchronisés) mais qui ont
été modifiés depuis le tampon horaire. Elle tente aussi de rechercher les objets qui pourraient avoir
être créés depuis le tampon horaire. Le fait de cliquer sur Resynchroniser pourrait amener à la synchronisation des nouveaux utilisateurs.
Au lieu d’utiliser l’option de resynchronisation pour copier des objets, préférez l’option Migrer à partir de eDirectory. Cette option vous permet en effet de spécifier et de synchroniser une liste d’objets. iManager écrit des données dans le répertoire pour chaque objet de la liste. DirXML note les modifications et lance la synchronisation pour les objets listés.
1
Vérifiez que Identity Manager 2 est bien installé sur un serveur dans l’arborescence eDirectory source et sur un serveur dans l’arborescence eDirectory cible.
2
Configurez un pilote DirXML pour eDirectory sur le serveur de l’arborescence source.
Dans le volet Authentification du pilote eDirectory, indiquez le nom ou l’adresse IP du serveur de destination, ainsi que son port. Reportez-vous à
« Configuration des propriétés de l’objet
Sélectionnez une option de migration : Simple, En miroir ou Service. Pour préserver la structure du répertoire (y compris les sous-conteneurs et les noms) lors de la migration des données de l’arborescence source vers l’arborescence cible, choisissez En miroir.
3
Configurez un pilote DirXML pour eDirectory sur le serveur de l’arborescence cible.
Dans le volet Authentification, indiquez le nom ou l’adresse IP du serveur de destination, ainsi que son port.
4
Établissez SSL entre les deux arborescences.
Avec l’assistant NDS2NDS, créez les certificats KMO dans les deux arborescences. Reportezvous à
.
Les certificats doivent être signés, mais seule une arborescence doit le faire.
5
6
Dans iManager, sélectionnez sur Gestion DirXML, cliquez sur Présentation, puis sur le pilote.
Choisissez Migrer depuis NDS.
Figure 16 Option Migrer depuis NDS
Avec les migrations entre systèmes eDirectory, procédez de l’arborescence source vers l’arborescence cible.
38
Guide d’implémentation du pilote DirXML pour eDirectory
Novell Confidential Manual (FRA) 28 October 2003
7
Sélectionnez les objets.
Par exemple, sélectionnez un objet Utilisateur ou un objet Conteneur. Vous pouvez rechercher des objets ou naviguer parmi eux. Vous pouvez également ajouter plusieurs objets.
8
Cliquez sur OK deux fois.
Le client (par exemple, iManager) écrit une valeur sur chaque objet de la liste. Cette modification amène DirXML à pousser les données dans votre arborescence cible.
Configuration du pilote
39
Novell Confidential Manual (FRA) 28 October 2003
40
Guide d’implémentation du pilote DirXML pour eDirectory
Link público atualizado
O link público para o seu chat foi atualizado.