Intégration LDAP/AD

Ce chapitre traite de la configuration de Veyon pour la connexion à des serveurs compatibles LDAP. Dans ce qui suit, le terme générique LDAP sera utilisé pour désigner tous les produits et technologies compatibles LDAP tels que OpenLDAP, Samba ou Active Directory. L’intégration LDAP vous permet d’utiliser des informations sur les utilisateurs, les groupes d’utilisateurs, les ordinateurs et les emplacements qui existent déjà dans la plupart des environnements, au lieu de les répliquer manuellement dans la configuration de Veyon. Une fois configuré, Veyon Maître peut récupérer des emplacements et des ordinateurs à afficher directement à partir du service d’annuaire. De plus, les utilisateurs et les groupes d’utilisateurs LDAP peuvent servir de base pour Contrôle d’accès ordinateur.

La configuration de l’intégration LDAP se fait sur la page de configuration LDAP dans le Configurateur Veyon. La page est divisée en plusieurs sous-pages pour Paramètres généraux, Paramètres d’environnement, Paramétrages avancés et Tests d’intégration.

Paramètres généraux

Les paramètres de base affectent tous les paramètres de base pour accéder à un serveur LDAP. Ils sont obligatoires pour une intégration LDAP qui fonctionne correctement.

Général

Port et serveur LDAP: Entrez l’adresse du serveur LDAP (nom d’hôte ou adresse IP) ici. Si un port autre que le port LDAP par défaut 389 est utilisé, le paramètre de port doit être ajusté en conséquence.

Identification anonyme / Utiliser les informations d’identification de liaison: Selon l’environnement et la configuration du serveur LDAP, les requêtes LDAP peuvent être effectuées en tant qu’utilisateur anonyme ou avec des noms d’utilisateur et mots de passe valides uniquement. Si l’accès au serveur nécessite un nom d’utilisateur et un mot de passe, l’option suivante Utiliser les informations d’identification de liaison” doit être sélectionnée et les informations d’identification doivent être entrées dans les champs de saisie ci-dessous. Sinon, l’option par défaut :guilabel:`Liaison anonyme peut être utilisée.

Authentification DN: Le DN de liaison est le nom d’utilisateur utilisé pour se connecter au serveur afin d’effectuer des opérations LDAP. Cependant, le format requis dépend fortement du serveur LDAP et de sa configuration. Les formats possibles incluent User, DOMAIN\User ou cn=User,…,dc=exemple,dc=org.

Mot de passe d’authentification: En plus de la liaison au Nom de Domaine (DN), le mot de passe correspondant doit être saisi.

Vous pouvez utiliser le bouton Test pour vérifier si l’accès au serveur fonctionne correctement avec les paramètres fournis.

Indication

Veyon requiert uniquement un accès en lecture à l’annuaire LDAP. En tant que mesure de sécurité supplémentaire sur le serveur LDAP, un utilisateur dédié disposant d’un accès en lecture seule à l’annuaire LDAP peut être créé, par exemple. « Veyon-LDAP-RO ». L’accès aux attributs pertinents peut être restreint davantage pour cet utilisateur.

Sécurité de connexion

Veyon peut établir des connexions chiffrées avec le serveur LDAP. Pour ce faire, les paramètres sont disponibles dans la section Sécurité de la connexion.

Protocole de cryptage

Vous pouvez choisir entre les protocoles de cryptage Aucun, TLS et SSL. L’utilisation du protocole moderne TLS est recommandé.

Défaut: Aucun

Certificat de vérification TLS

Ce paramètre détermine comment le certificat de sécurité du serveur LDAP doit être vérifié lorsque la connexion cryptée est établie. Avec le paramètre par défaut Système par défaut, selon le système d’exploitation utilisé, le certificat est vérifié à l’aide des certificats racine installés à l’échelle du système. Le magasin de certificats Windows n’est pas pris en compte ici, de sorte qu’un fichier de certificat d’autorité de certification distinct doit éventuellement être stocké. Avec le paramètre Jamais, le certificat de serveur n’est pas du tout vérifié. Cela autorise toutefois les attaques de casiers et ne devrait par conséquent être utilisé que dans des cas exceptionnels. Le paramètre Fichier de certificat de CA défini par l’utilisateur garantit que la vérification du certificat est effectuée sur la base d’un fichier de certificat de CA spécifié.

Défaut: Système par défaut

Fichier personnel de certificat CA: Si vous utilisez votre propre autorité de certification (CA), il peut être nécessaire de stocker leur certificat dans un format de fichier PEM afin que Veyon puisse vérifier le certificat du serveur LDAP.

Base DN

La base Nom de Domaine (DN) définit l’adresse de l’objet racine dans le répertoire. Tous les objets sont stockés sous le Nom de Domaine de base. Habituellement, le nom distinctif de base provient du DNS ou Contrôleur de Domaine (AD - Active Directory) (voir aussi RFC 2247).

Dans la plupart des cas, un nom distinctif de base fixe est utilisé. Par conséquent, l’option par défaut DN de base fixe doit être choisie. Le DN de base doit ensuite être entré dans le champ de saisie correspondant ou sélectionné sur le serveur à l’aide du bouton Parcourir. Vous pouvez utiliser le bouton Test pour vérifier si les paramètres sont corrects et si les entrées peuvent être trouvées.

Si une configuration Veyon générique doit être utilisée sur plusieurs sites avec des noms distinctifs de base différents, Veyon peut être configuré de manière à ce que le nom distinctif de base soit toujours interrogé de manière dynamique à l’aide de contextes de dénomination LDAP. Pour que cela fonctionne, il faut que Découvrir le DN de base en nommant le contexte et que l’attribut de contexte de nommage soit adapté. Vous pouvez utiliser le bouton Test pour vérifier si un DN de base peut être déterminé.

Après avoir importé une configuration Veyon générique sans DN (Nom de Domaine) de base fixe, il est également possible de déterminer le DN de base via Interface de commande en ligne et de l’écrire dans la configuration locale.

Paramètres d’environnement

Une fois les paramètres de base configurés et testés, vous pouvez définir les paramètres spécifiques à l’environnement. Ces paramètres déterminent les arborescences contenant des objets de certains types ainsi que les noms de certains attributs d’objet. Avec ces paramètres, Veyon peut récupérer toutes les informations requises à partir du répertoire LDAP.

Arborescence objet

Les arbres d’objets sont des unités organisationnelles ou structurelles dans lesquelles certains types d’objets (utilisateurs, groupes, ordinateurs) sont stockés. Les CN (noms communs) ou unités d’organisation (unités organisationnelles) respectifs doivent être entrés sans la partie base DN dans le champ de saisie respectif. À côté de chaque champ de saisie, des boutons permettent d’ouvrir des boîtes de dialogue de navigation et de tester les paramètres individuels.

Arborescence utilisateur: L’arborescence LDAP (sans base DN) dans laquelle se trouvent les objets utilisateur doit être entrée ici, par exemple. OU=Users ou CN=Users.

Arborescence groupe: L’arborescence LDAP (sans base DN ) dans laquelle se trouvent les objets de groupe doit être entrée ici, par exemple. OU=Groups ou CN=Groups.

Arborescence ordinateur: L’arborescence LDAP (sans DN de base) dans laquelle se trouvent les objets informatiques doit être entrée ici, par exemple: OU=Computers ou CN=Computers.

Arborescence groupe ordinateur: Si les groupes d’ordinateurs sont situés dans une arborescence différente de celle des groupes d’utilisateurs habituels ou dans une sous-arborescence, vous pouvez spécifier ici l’arborescence LDAP correspondante. Sinon, l’arborescence des groupes est utilisée pour interroger des groupes d’ordinateurs et les filtrer avec un filtre spécifique. object filter si nécessaire.

Effectuer des recherches récursives dans les arborescences objet

Cette option peut être utilisée pour contrôler si les objets doivent être interrogés de manière récursive. La recherche s’effectue alors non seulement dans l’arborescence spécifiée, mais également dans les sous-arborescences existantes.

Défaut: désactivé

Indication

Si les objets d’un type sont stockés dans différentes arborescences (par exemple, les utilisateurs dans CN=Teachers et dans CN=Students), le paramètre de l’arborescence d’objets correspondante peut être laissé vide et l’option Effectuer des opérations de recherche récursives dans les arborescences d’objets peut être activé. Une recherche récursive est ensuite effectuée dans tout l’annuaire LDAP à partir de la base du Nom de Domaine (DN). Dans ce cas, il est toutefois fortement recommandé de définir le paramètre object filters pour le type d’objet respectif.

Attributs d’objet

Pour que Veyon puisse extraire les informations requises à partir des objets interrogés, les noms de certains attributs d’objet doivent être configurés, car ils diffèrent considérablement en fonction de l’environnement et du serveur LDAP. À côté de chaque champ de saisie, des boutons permettant de parcourir l’attribut d’un objet existant et de tester le nom de l’attribut correspondant sont disponibles.

Attribut de l’identifiant utilisateur: Cet attribut doit contenir le nom de connexion d’un utilisateur. L’attribut est utilisé pour déterminer l’objet utilisateur LDAP associé à un nom d’utilisateur particulier. Dans un environnement OpenLDAP, le nom d’attribut uid est souvent utilisé, tandis que le nom sAMAccountName est commun dans les annuaires actifs (Active Directories).

Attribut du groupe membre: Les membres d’un groupe sont répertoriés dans les objets de groupe via cet attribut. L’attribut est utilisé pour déterminer les groupes dont un utilisateur particulier est membre. En fonction de la configuration, l’attribut également utilisé mappe les ordinateurs aux emplacements. Dans un environnement OpenLDAP, le nom d’attribut member est souvent utilisé alors que le nom memberUid est commun dans Annuaires Actifs (AD).

Attribut de nom d’affichage d’ordinateur

Le contenu de cet attribut facultatif est utilisé pour déterminer le nom d’un ordinateur affiché dans Veyon Maître. Si laissé vide, le nom commun (cn) est utilisé à la place.

Défaut: cn

Attribut du nom de l’ordinateur hôte: Cet attribut doit contenir le nom DNS de l’ordinateur. Il est utilisé pour déterminer l’objet ordinateur LDAP associé à un nom d’hôte d’ordinateur particulier. Dans un environnement OpenLDAP, le nom d’attribut name est souvent utilisé, tandis que le nom dNSHostName est commun dans les Annuaires Actifs (AD).

Noms d’hôtes enregistrés comme des noms de domaine pleinement nommé (FQDN, ex: monhote.exemple.org)

Cette option spécifie si le nom de domaine pleinement qualifié (FQDN) <https://fr.wikipedia.org/wiki/Fully_qualified_domain_name>`_ doit être utilisé pour mapper les noms d’ordinateur sur des objets ordinateur de l’annuaire LDAP. Si les noms d’ordinateur sont stockés sans la partie de domaine dans l’annuaire LDAP, vous devez laisser cette option désactivée, sinon elle doit être activée.

Défaut: désactivé

Attribut de l’adresse MAC de l’ordinateur: En complément du nom de l’ordinateur, les adresses MAC des ordinateurs sont stockées dans l’annuaire LDAP dans certains environnements, par exemple si le serveur DHCP accède également à l’annuaire LDAP. Si la fonction Veyon doit être utilisée pour allumer des ordinateurs via Wake-on-LAN, le nom de l’attribut correspondant doit être entré ici, étant donné que l’adresse MAC est requise pour cette fonctionnalité. Les noms d’attributs typiques sont hwAddress ou dhcpAddress.

Indication

Dans un Annuaire Actif (AD) standard, aucun attribut ne stocke les adresses MAC. Vous devez donc renseigner manuellement les adresses MAC dans un attribut inutilisé existant tel que wwwHomepage ou étendre le schéma AD. De plus, vous pouvez accorder un accès en écriture au groupe d’ordinateurs sur SELF et utiliser un script PowerShell pour que chaque ordinateur stocke automatiquement l’adresse MAC de son premier adaptateur de réseau local physique lors du démarrage.

Attribut d’emplacement d’ordinateur: Si le schéma LDAP pour les objets ordinateur fournit un attribut spécial pour le mappage vers un emplacement, vous pouvez entrer ce nom d’attribut ici. Le bouton Test peut être utilisé pour vérifier si les ordinateurs d’un emplacement peuvent être interrogés correctement à l’aide de l’attribut configuré. Dans les paramètres avancés, vous pouvez ensuite spécifier dans la section Emplacements d’ordinateur que l’attribut d’emplacement de l’ordinateur est utilisé.

Attribut de nom d’emplacement: Lors de l’identification d’emplacement d’ordinateur via des groupes d’ordinateurs ou des conteneurs d’ordinateurs, la valeur d’un attribut donné peut être affichée à la place du nom d’emplacement des Noms usuels de ces groupes ou objets. Si, par exemple, les groupes d’ordinateurs ont un attribut appelé name ou description, un nom d’emplacement significatif peut être stocké dans cet attribut et le nom de l’attribut peut être entré ici.

Paramétrages avancés

Grâce aux paramètres avancés, l’intégration LDAP et l’utilisation des informations de l’annuaire LDAP peuvent être personnalisées en fonction des besoins.

Filtres d’objet optionnel

Avec les filtres LDAP, les objets LDAP utilisés par Veyon peuvent être réduits si, par exemple, des objets informatiques tels que des imprimantes ne doivent pas être affichés dans le maître Veyon. À côté de chaque champ de saisie, un bouton permet de vérifier le filtre d’objet correspondant.

A partir de Veyon 4.1, les filtres optionnels suivent le schéma bien connu des filtres LDAP (voir par exemple RFC 2254 ou Active Directory: Filtres de syntaxe LDAP) tel que (objectClass=XYZ).

Filtre pour les utilisateurs: Vous pouvez définir un filtre LDAP pour les utilisateurs ici, par exemple: (objectClass=person) ou (&(objectClass=person)(objectClass=veyonUser)).
Filtre pour les groupes utilisateur: Vous pouvez définir un filtre LDAP pour les groupes d’utilisateurs ici, par exemple: (objectClass=group) ou (|(cn=teachers)(cn=students)(cn=admins)).
Filtre pour les ordinateurs: Vous pouvez définir un filtre LDAP pour les ordinateurs ici, par exemple: (objectClass=computer) ou (&(!(cn=printer*))(!(cn=scanner*))).

Filtre pour les groupes d’ordinateurs: Vous pouvez définir un filtre LDAP pour les groupes d’ordinateurs ici, par exemple. (objectClass=room) ou (cn=Room*). Si des groupes d’ordinateurs sont utilisés comme emplacements, vous pouvez filtrer les emplacements affichés de cette façon.

Filtre pour les conteneurs d’ordinateur: Vous pouvez définir un filtre LDAP pour les conteneurs d’ordinateurs ici, par exemple. (objectClass=container) ou (objectClass=organisationUnit). Si les conteneurs/OUs (Unités d’Organisation) sont utilisés comme emplacements, vous pouvez filtrer les emplacements affichés de cette façon.

Options de requête

Interroger des groupes d’utilisateurs imbriqués (pris en charge par AD uniquement): Si vous avez des groupes d’utilisateurs imbriqués (actuellement pris en charge par Active Directory uniquement), vous pouvez activer cette option pour que Veyon interroge tous les groupes (même indirects) d’un utilisateur. Lorsqu’elle est activée, vous pouvez par exemple créer un groupe Veyon Users avec les groupes d’utilisateurs existants Teachers et IT Staff en tant que membres. Le groupe Veyon Users peut alors être utilisé pour Contrôle d’accès .

Identification du groupe membre

Le contenu des attributs d’appartenance à un groupe varie selon les implémentations LDAP. Alors que dans Active Directory, le nom distinctif (DN) d’un objet est stocké dans l’attribut membre, OpenLDAP stocke généralement le nom de connexion de l’utilisateur (uid ou similaire) ou le nom de l’ordinateur. Pour que Veyon utilise la valeur correcte pour interroger les groupes d’un utilisateur ou d’un ordinateur, vous devez choisir le paramètre approprié ici.

Nom distinct (Samba/AD): Cette option doit être choisie si le nom distinctif (distinguished name - DN) d’un objet est stocké dans un attribut membre du groupe. Habituellement, Samba et le serveur AD utilisent ce schéma.
Attribut configuré pour l’identifiant utilisateur ou le nom d’hôte de l’ordinateur (OpenLDAP): Cette option doit être choisie si le nom de connexion d’un utilisateur (nom d’utilisateur) ou le nom d’hôte d’un ordinateur est stocké dans les attributs de membre d’un groupe. Le serveur OpenLDAP utilise généralement ce schéma.

Emplacements d’ordinateur

Veyon propose plusieurs méthodes pour représenter des emplacements d’ordinateur dans un annuaire LDAP. Dans le cas simple, il existe un groupe d’ordinateurs pour chaque emplacement (par exemple, une salle). Tous les ordinateurs d’un emplacement spécifique sont membres du groupe correspondant. Si, à la place, les ordinateurs sont organisés en conteneurs ou en unités d’organisation (OUs), ces objets parents peuvent être utilisés comme emplacements. Les deux procédures ne nécessitent aucune adaptation du schéma LDAP. Une dernière possibilité: le nom de l’emplacement peut également être stocké en tant qu’attribut spécial dans chaque objet ordinateur.

Groupe d’ordinateurs

Cette option spécifie que les emplacements d’ordinateur sont identifiés par le biais de groupes d’ordinateurs. Tous les groupes d’ordinateurs sont ensuite affichés comme emplacements dans Veyon Maître. Pour chaque emplacement, tous les ordinateurs membres du groupe correspondant sont affichés. Si tous les groupes LDAP ne doivent pas être affichés en tant qu’emplacements, vous devez utiliser un répertoire computer group tree doit être configuré ou les groupes d’ordinateurs doivent être restreints à l’aide d’un computer group filter.

Défaut: activé

Conteneurs d’ordinateur ou bien OU

Cette option spécifie que les conteneurs/OUs (unités d’organisation) contenant des objets ordinateur sont utilisés comme emplacements d’ordinateur. Les conteneurs sont des objets parents d’objets informatiques dans l’arborescence LDAP. Si tous les conteneurs ne doivent pas être affichés en tant qu’emplacements, un computer container filter peut être mis en place.

Défaut: désactivé

Attribut d’emplacement dans les objets ordinateur

Si le schéma LDAP pour les objets ordinateur fournit un attribut spécial permettant de mapper des objets ordinateur à des emplacements, cette option peut être activée et le nom de l’attribut peut être entré. Le bouton Test peut être utilisé pour vérifier si les membres d’un emplacement d’ordinateur peuvent être interrogés correctement à l’aide de l’attribut configuré.

Défaut: désactivé

Tests d’intégration

Les tests d’intégration peuvent être utilisés pour vérifier l’intégration LDAP dans son ensemble. Les boutons permettent d’effectuer divers tests. Tous les tests doivent réussir et fournir des résultats valides avant que la connexion LDAP ne soit utilisée en production.

Utilisation de processus d’arrière plan LDAP

Avec la configuration et les tests réussis de l’intégration LDAP, les services d’arrière plan LDAP peuvent maintenant être activés. Pour cela, le network object directory et les groupes d’utilisateurs pour le processus d’arrière plan computer access control doit être adapté. Ce n’est qu’après avoir basculé le répertoire d’objets réseau en LDAP que les informations d’emplacement et d’ordinateur du répertoire LDAP sont utilisées dans le Veyon Maître.

Attention

Après avoir modifié le processus d’arrière plan pour le contrôle d’accès de l’ordinateur, toutes les règles d’accès précédemment configurées doivent toujours être vérifiées, car les informations de groupe et d’emplacement changent et dans la plupart des cas, les règles d’accès ne seront plus valides ou ne seront pas traitées correctement.

Interface de commande en ligne

L” Interface de commande en ligne de Veyon autorise certaines opérations spécifiques de LDAP. Toutes les opérations sont disponibles en utilisant le module ldap. Une liste de toutes les commandes prises en charge est affichée via veyon-cli ldap help, tandis que les textes d’aide spécifiques à une commande peuvent être affichés via veyon-cli ldap help <command>.

autoconfigurebasedn

Cette commande peut être utilisée pour déterminer automatiquement le DN de base utilisé et l’écrire en permanence dans la configuration. Une URL de serveur LDAP et éventuellement un attribut de contexte de dénomination doivent être fournis en tant que paramètres:

veyon-cli ldap autoconfigurebasedn ldap://192.168.1.2/ namingContexts
veyon-cli ldap autoconfigurebasedn ldap://Administrator:MYPASSWORD@192.168.1.2:389/

Indication

Des caractères spéciaux tels que @ ou : - en particulier dans le mot de passe - peuvent être spécifiés en utilisant l’encodage URL en pourcent.

query

Cette commande permet d’interroger des objets LDAP (locations, computers, groups, users) et est principalement utilisée pour les tests. La fonction peut également être utilisée pour développer des scripts pour les tâches d’intégration système.

veyon-cli ldap query users
veyon-cli ldap query computers