LDAP Configuration
Introduction
A partir de la version 5.18.0 de Relution, il est possible de configurer les fournisseurs LDAP pour l’importation d’utilisateurs, de groupes et de classes directement via le portail Relution. Les paramètres de configuration habituels sont inclus ici et peuvent être vérifiés de manière pratique par divers tests fonctionnels. Un redémarrage du service Relution n’est plus nécessaire avec la configuration via le portail et facilite les changements et les reconfigurations, puisque le flux opérationnel n’a pas besoin d’être interrompu. Pour la configuration de la synchronisation LDAP, nous recommandons des connaissances en la matière ainsi que l’utilisation d’un navigateur LDAP capable d’afficher correctement les attributs. Pour Windows, le “Softerra LDAP Browser” et pour Linux ou MacOS le “Apache Directory Studio” ont fait leurs preuves. Ces deux outils sont gratuits.
Principes de base
Pour configurer LDAP, allez dans Settings > LDAP Synchronization
.
Ici, plusieurs fournisseurs LDAP peuvent être configurés par organisation. Il faut noter que les adresses e-mail des utilisateurs dans Relution doivent être uniques. Si ce n’est pas le cas, des erreurs peuvent se produire, empêchant la création de certains comptes d’utilisateurs.
Pour créer un nouveau fournisseur LDAP, il faut cliquer sur “Ajouter”.
Configuration de base
Le masque de configuration est divisé en plusieurs niveaux. Ici, on n’a pas toujours besoin de tous les paramètres pour le cas en question. Certains champs contiennent déjà des exemples qui suggèrent la syntaxe.
Synchronisation LDAP
Un nom pour votre fournisseur LDAP doit être attribué ici. Un nom significatif doit être choisi ici.
Ce nom ne peut pas être modifié par la suite.
Paramètres du serveur
- URL du serveur LDAP : L’URL du serveur LDAP doit être saisie ici et confirmée par la touche Entrée.
Si des LDAP sont utilisés et que le serveur ne dispose pas d’un certificat de confiance, le certificat peut être enregistré ici afin de le classer comme fiable pour Relution.
Il est également possible de faire confiance à tous les certificats.
La configuration doit être vérifiée en cliquant sur “Tester la connexion réseau”. La tentative de connexion doit être réussie avant de continuer.
Authentification
- Bind DN or username : Nom d’utilisateur avec des permissions de lecture dans LDAP. Idéalement, le Distinguished Name (DN) est utilisé ici.
- Bind Password : Le mot de passe correspondant à l’utilisateur.
Les entrées avec le bouton correspondant doivent être vérifiées ici aussi.
Base DN
Si l’authentification a fonctionné, le Base-DN du serveur est déterminé automatiquement. Il peut être saisi directement dans le champ correspondant en cliquant sur Use determined base DN as base DN
. Les modifications nécessaires peuvent être apportées à tout moment.
Utilisateurs
Critères de recherche pour les utilisateurs
- Base de recherche des utilisateurs (OU) : Introduire ici la base de recherche pour les utilisateurs. Cette base est relative au DN de base.
Par exemple :OU=users
. - Filtre de recherche pour les utilisateurs : Les filtres de recherche LDAP conventionnels sont utilisés ici. Il faut noter que Relution utilise toujours l’espace réservé
%v
pour la saisie de l’utilisateur. Par exemple, un filtre de recherche simple pour les utilisateurs pourrait être :(&(cn=%v)(objectClass=person))
. - Plage de recherche pour les utilisateurs : Ici, il est possible de configurer la profondeur du chemin à parcourir pour rechercher des comptes d’utilisateurs avec le filtre de recherche correspondant. Notez que la sélection de
sublevel
peut entraîner un grand nombre de résultats.
Mappage manuel pour les utilisateurs
Relution vérifie de quel LDAP il s’agit après l’établissement de la connexion. Par exemple openLDAP ou un Active Directory. Ensuite, les champs appropriés sont préconfigurés par le biais d’un mappage automatique. Cette fonction peut être partiellement ou totalement remplacée par l’activation d’un mappage manuel.
Par exemple, il est recommandé de définir une clé étrangère. Cela peut s’avérer utile lorsque les utilisateurs changent de nom. Le compte utilisateur peut toujours être identifié de cette manière et le nom et l’adresse e-mail seront simplement mis à jour sans créer un nouveau compte dans Relution.
N’utilisez pas le champ objectSID ici. Cela provoquera des erreurs car il contient parfois des caractères ininterprétables.
Synchronisation des utilisateurs
Il convient de vérifier si les utilisateurs peuvent être importés et si les filtres renvoient des résultats corrects en cliquant sur le bouton correspondant.
Il est également possible d’activer l’option “Importation périodique d’utilisateurs”. Il s’agit d’une synchronisation automatique qui s’exécute automatiquement toutes les 24 heures à l’heure sélectionnée.
Une synchronisation LDAP manuelle peut être lancée à tout moment via le Relution Portal.
Groupe synthétique : Il s’agit d’un groupe créé automatiquement par la synchronisation LDAP. Tous les utilisateurs provenant du fournisseur LDAP correspondant sont stockés ici.
Si un utilisateur synchronisé a été supprimé dans LDAP, Relution dispose de trois options de réaction :
- Ne rien faire : L’utilisateur reste inclus dans Relution. Cependant, il ne peut plus être utilisé pour la connexion car le fournisseur LDAP refuse l’authentification.
- Désactiver les utilisateurs dans Relution : C’est le paramètre recommandé car les comptes d’utilisateurs restent associés aux périphériques et il n’y a pas de perte de données si les comptes ne sont accidentellement plus trouvés. Par exemple, en renommant un groupe dans LDAP, qui ne peut plus être trouvé par un filtre.
- Supprimer des utilisateurs de Relution : La prudence est de mise ici. Les utilisateurs qui ne sont plus trouvés par l’importateur sont supprimés directement de la base de données, sans tenir compte des liens avec les appareils, les groupes ou les classes.
Groupes
Critères de recherche pour les groupes
- Base de recherche pour les groupes (OU) : Indiquez ici la base de recherche pour les groupes. Cette base est relative au DN de base.
Par exemple :OU=groups
. - Filtre de recherche pour les utilisateurs : Les filtres de recherche LDAP conventionnels sont utilisés ici. Il convient de noter que Relution utilise toujours l’espace réservé
%v
pour les entrées d’utilisateurs. Par exemple, un filtre de recherche simple pour les groupes pourrait être :(&(cn=%v)(objectClass=groupOfNames))
. - Plage de recherche pour les groupes : Ici, on peut configurer la profondeur du chemin pour rechercher les groupes avec le filtre de recherche correspondant. Il convient de noter que la sélection de
sublevel
peut entraîner un grand nombre d’occurrences.
Cartographie manuelle des groupes
Le mappage manuel se comporte pour les groupes de la même manière que pour les utilisateurs.
Souvent, le champ entryUUID
est utilisé pour la clé étrangère (UID)
et le champ member
pour member
. Vérifier les attributs avec l’un des outils LDAP recommandés ci-dessus ou via la console avec ldapsearch
.
Synchronisation des groupes
Ici, on peut spécifier l’heure de synchronisation à laquelle les groupes doivent être mis à jour. Cette tâche s’exécute toutes les 24 heures et peut être lancée manuellement à tout moment via le Relution Portal.
Education
La synchronisation LDAP peut également être utilisée pour créer des classes qui sont affichées dans la section “Education” du menu et qui peuvent être utilisées pour la console de l’enseignant de Relution ou dans Apple Classroom. Les classes à créer dans Relution sont des objets de groupe dans LDAP. Elles doivent contenir à la fois des enseignants et des étudiants.
Critères de recherche pour les classes
La configuration est ici similaire à celle des utilisateurs et des groupes. Une base de recherche contenant les classes et un filtre de recherche correspondant doivent être définis. De même, l’étendue de la recherche est configurée comme d’habitude via le menu déroulant correspondant.
La configuration via le bouton correspondant doit être testée et il convient de noter que les classes ne seront créées ultérieurement que si des enseignants et des élèves en font partie.
Critères de recherche pour les enseignants et les étudiants
Ici, la configuration consiste également en une base de recherche et un filtre correspondant. Souvent, les types d’utilisateurs individuels sont définis par l’appartenance à un groupe. Les filtres de recherche peuvent se présenter comme suit, par exemple :
- Enseignants :
(&(memberOf=CN=all-teachers,OU=groups,DC=school,DC=local)(objectClass=person))
- Étudiants :
(&(memberOf=CN=all-students,OU=groups,DC=school,DC=local)(objectClass=person))
Les filtres de fonctionnalité doivent toujours être vérifiés.
Synchronisation des données sur l’éducation
Configurez ici encore l’importation automatique appropriée des données.
Cartographie de l’organisation globale
Dans l’organisation globale, il est possible de configurer des fournisseurs LDAP globaux et de synchroniser des utilisateurs, des groupes et des classes dans des organisations avec des mappings individuels. Depuis Relution Server 5.21, seul le contenu qui est également configuré dans un mappage et qui peut être trouvé en utilisant les filtres correspondants y est synchronisé.