Mise en place du LDAP

• 
• 

(Pour accéder à la nouvelle interface de l'onglet "LDAP" des "Préférences", cliquez ici).

L'activation du LDAP dans les applications QALITEL / Epistolaire permet de synchroniser la liste du Personnel avec les comptes LDAP. Il sera néanmoins possible dans les applications de gérer des personnes n'appartenant pas à l'annuaire LDAP.

La synchronisation, comme cela sera présenté plus loin, peut se faire de manière périodique et automatique. 

  

1.  Paramétrage - Configuration du PHP

---

 

Il est avant tout nécessaire de s'assurer que l'extension LDAP est bien activée dans le PHP.INI. Vous pouvez le voir dans le PHPINFO, page pouvant être lancée à partir des applications QALITEL / Epistolaire :

http://nom_serveur/.../app/installation/phpinfo.php

Le paramétrage dans le PHP.INI correspond à la ligne :

extension=php_ldap.dll

 

 

2. Paramétrage - Configuration d'IIS (Internet Information Server)

---

 

Le paramétrage ci-dessous n'est à effectuer que si vous optez pour l'authentification ActiveDirectory (SSO : Single Sign On). Sinon, aucun paramétrage n'est nécessaire pour la connexion LDAP ou l'authentification LDAP.

 

2.1. Configuration pour IIS 6

 Pour que l'authentification Active Directory soit fonctionnelle, il est nécessaire d'effectuer les paramétrage suivants dans IIS. Accédez à la console d'IIS puis faites un clic droit Propriétés sur le site Web. Cliquez ensuite sur l'onglet Sécurité de répertoire.

* Décochez la case Activer la connexion anonyme
* Cochez la case Authentification Windows intégrée

Redémarrez en suite IIS pour la prise en compte de ces modifications.

 

2.2. Configuration pour IIS7 et ultérieurs

La configuration pour les versions 7 et ultérieures d'IIS, il est nécessaire d'ajouter un rôle "Authntification de base" selon le même principe que le rôle IIS a été installé intialement (Pour rappel : Installation d'IIS7 - Installation d'IIS8). 

L'accès au gestionnaire de rôles se fait sous Windows 7 via le "Panneau de configuration - Programmes - Activer ou désactiver des fonctionnalités de Windows". Sous Windows 8, 2008, 2012,..., vous y accédez par "Démarrer - Outils d'administration - Gestionnaire de serveur".

 

Une fois dans le Gestionnaire de rôles, accédez à la rubrique  " Services Internet (IIS) - Services World Wide Web - Sécurité" et cochez la case "Authentification de base". 

Validez la fenêtre avec le bouton "OK" pour l'installation des composants correspondants.

Ensuite, accédez à la console d'IIS et placez-vous sur votre site Web.

Double cliquez sur l'icone "Authentification".

 

Vous accédez alors aux 2 rubriques : Authentification Anonyme et Authentification de base.

• Sur authentification Anonyme : Faites un clic droit "Désactiver"
• Sur authentification de base : Faites un clic droit "Activer"

Une fois les paramétrages éffectués, redémarrez IIS pour leur prise en compte.

 

3. Paramétrage - Configuration d'Apache

---

 

L'activation du SSO sous Apache (versions 2.2 et 2.4) nécessite l'installation d'un module spécifique puis le paramétrage du fichier de configuration d'Apache httpd.conf.

 

3.1. Installation du module SSO d'Apache

Pour l'authentification SSO sous Apache, vous devez télécharger le fichier mod_auth_sspi.so ou mod_authnz_sspi.so  correspondant à votre version d'Apache.

Vous pouvez télécharger à partir de ce lien le fichier pour une version d'Apache 2.2 - 32bits.

Vous pouvez télécharger à partir de ce lien le fichier pour une version d'Apache 2.4 - 32bits.

Copiez le fichier mod_auth_sspi.so ou mod_authnz_sspi.so dans le répertoire des modules d'Apache, en standard :  C:\Program Files\Apache Software Foundation\Apache2.x\modules

 

3.2. Paramétrage du fichier de configuration httpd.conf

Accédez au fichier de configuraiton d'Apache, httpd.conf, situé en standard dans le répertoire : C:\Program Files\Apache Software Foundation\Apache2.2\conf

 1°) Activation du module :

Entrez la ligne ci-dessous :

(ATTENTION : Ce module doit être chargé avant tout autre module ! Aussi, placez cette ligne en première position avant toutes les autres commandes LoadModule) 

Pour Apache 2.2
LoadModule sspi_auth_module modules/mod_auth_sspi.so

Pour Apache2.4
LoadModule authnz_sspi_module modules/mod_authnz_sspi.so

 

2°) Configuration de l'Alias : 

Vous devez ensuite entrer les lignes ci-dessous  dans le paramétrage de votre Alias : 

AuthName "NomduServeur"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
require valid-user

 

Pour Apache 2.2 , votre Alias sera alors de la forme suivante : 

alias /scoqi/ "c:/scoqi_fullweb/www/"
<Directory "c:/scoqi_fullweb/www/">

AllowOverride all
Options FollowSymLinks
Order allow,deny
Allow from all


AuthName "scoqitech"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
require valid-user


</Directory>

 

Pour Apache 2.4, votre Alias sera alors de la forme suivante :

alias /scoqi/ "c:/scoqi_fullweb/www/" 
<Directory "c:/scoqi_fullweb/www/">

AllowOverride all
Options FollowSymLinks

AuthName "scoqitech"
AuthType SSPI
SSPIAuth On
SSPIAuthoritative On
require valid-user

ATTENTION : Si dans votre Alias vous aviez la directive  "Require all granted" , il est impératif de commenter cette ligne car elle serait prioritaire sur l'authentification SSO !

 

4. Lecture de l'annuaire LDAP

---

 

Avant de commencer le paramétrage du LDAP dans l'application QALITEL / Epistolaire, il est nécessaire de définir le filtre à utiliser pour récupérer les personnes que l'on souhaite importer ainsi que les noms de variables à synchroniser.

Pour cela, vous disposez de différents outils tels que le programme LDP.EXE, Softera LDAP Brower ou bien encore l'interface Utilisateurs et Ordinateurs ActiveDirectory. Ces différentes applications vous permettent de tester la chaine de connexion, le filtre à poser et le nom des champs à récupérer de l'annuaire.

 

5. Configuration du LDAP dans les applications QALITEL / Epistolaire

---

 

Pour accéder à l'écran de paramétrage du LDAP dans les applicatins, vous devez vous connecter avec un profil Administrateur de QALITEL ou d'Epistolaire . Lancez l'application puis accédez au menu Outils - Paramètres Utilisateurs. Une fois dans l'interface de l'Administrateur, accédez au menu Outils - Préférences.

Cliquez sur la rubrique LDAP pour accéder à l'écran suivant :  

Exemple de paramétrage important les personnes placées au niveau de la racine sans scrutation des sous-niveaux	Exemple de paramétrage important les personnes de 3 OU distinctes et initialisation du champ "Service" de l'application (en plus des champs liées à la personne configfurés dans le champ "Champs personne".

 

Vous trouverez ci-dessous un détail des différents champs de saisie.

Utiliser la connexion LDAP 

Cochez cette case pour activer la gestion du LDAP par l'application QALITEL / Epistolaire.

Serveur 

Nom ou adresse IP du serveur LDAP

Port 

Généralement 389. Si vous laissez ce champ vide, c'est cette valeur qui sera prise par défaut.

Login 

Identifiant du compte Windows pour se connecter au serveur LDAP. Vous pouvez entrer soit le chemin LDAP soit l'identifiant du compte.

Mot de passe 

Mot de passe correspondant au compte Windows ci-dessus utilisé pour la connexion au serveur LDAP.

Racine 

Indiquez à ce niveau la racine de l'annuaire à partir de laquelle vous appliquerez le filtre pour isoler les personnes à intégrer. Attention : Il est nécessaire de se placer un niveau au dessus de l'arborescence que vous souhaitez importer.

Pas de gestion des services

Case cochée : L'application lira uniquement les éléments contenus dans le niveau de l'annuaire LDAP précisé dans le champ racine. Il n'y aura pas de parcours de la structure des sous niveaux éventuels.

Case non cochée : L'application lira les éléments contenus dans le Père (1er sous-niveau) de la structure précisée dans le champ racine et parcourera ensuite toute la structure des sous niveaux. Attention, dans ce cas de figure, le niveau direct (champ racine) n'est pas pris en compte. La lecture commence dans le premier sous-niveau.

Identifiant unique du service 

Champ LDAP identifiant de manière unique le service. Permet de récupérer l'arborescence des services à intégrer dans les applications QALITEL / Epistolaire. Pour le logiciel Epistolaire, l'arborescence des services est récupérée. Pour les applications QALITEL, l'import se fait à plat car il n'y a pas d'arborescence de services  mais simplement un champ Service.

objectguid

Filtre du service 

Filtre complémentaire à la racine permettant d'affiner (exclure) les sous-branches à importer (à partir de la racine). Si un filtre est posé, alors le processus d'import boucle sur chaque service rencontré pour importer les personnes s'y trouvant en tenant compte du filtre par personne. Pour l'Epistolaire, l'arborescence des services est alors reconstruite. Ce champ permet également d'importer des personnes placées dans des OU différentes en posant un flitre comme ci-dessous permettant de lister les OU à prendre en compte.

(|(ou:=USA)(ou=LE HAVRE)(ou=Informatique))

Ce filtre permettra d'importer les personnes placées dans l'OU 'USA', celles placées de l'OU 'LE HAVRE' et celles de l'OU 'Informatique'

Champs service

Champ LDAP correspondant au service. S'il est fixé, le champ service sera désactivé dans la fiche personnel (Interlocuteur Interne pour l'Epistolaire). Le champ ou la structure de champs service de l'annuaire LDAP sera alors pris. Sinon ce champ est laissé vide et le champ Service par défaut sera utilisé pour l'Epistolaire. Pour les applications QALITEL, ce champ peut être vide et n'impacte pas le bon fonctionnement de l'application. Il est possible de préciser plusieurs champs services (séparés par une virgule)correspondant aux différentes possibiltés susceptibles d'être rencontrées dans l'import de la structure LDAP.

name

Identifiant unique de la personne 

Correspond au champ de l'annuaire LDAP identfiant de manière unique la personne. Les rubriques liées aux personnes sont généralement utilisées de préférence à ceux liés au service car les filtres liés aux personnes permettent généralement de mieux isoler l'ensemble des personnes à importer. Généralement on trouvera objectguid pour Active Directory et entryUID pour OpenLDAP.

Filtre des personnes 

Filtre LDAP permettant d'isoler l'ensemble des personnes à importer.. Par exemple : 

(&(objectCategory=person)(objectclass=user)(cn=*))

Champs personne 

Vous accédez, en cliquant sur le bouton à droite du champ à un formulaire vous permettant de faire la correspondance entre les champs de l'annuaire LDAP et ceux de la fiche Personnel (ou Interlocuteur interne pour l'Epistolaire) qui seront synchronisés lors de l'import. Vous accédez alors à l'écran ci-dessous :   

Logiciels QALITEL

Logiciel Epistolaire

 

 

Pour le champ Service par défaut ou Société par défaut, en fonction du logiciel, vous devez nécessairement en affecter un afin pour que l'import puisse se dérouler correctement. Utilisez le bouton à droite du champ pour sélectionner la valeur de votre choix.

 

Champ LDAP du login 

Nom du champ LDAP qui sert de login dans l'annuaire.

samaccountname

 

 

6. Authentification LDAP

---

 

Cochez cette case pour activer l'authentification LDAP dans l'application. Cette option permet aux utilisateurs QALITEL / Epistolaire appartenant à l'annuaire LDAP de se connecter avec leur Login / Mot de Passe LDAP. Pour les autres utilisateurs (non LDAP), ils devront s'identifier avec le Login / Mot de Passe défini dans l'application lors de la création de leur compte Utilisateur.

Vous disposez d'une case à cocher Cryptage du mot de passe d'identification LDAP en MD5. Si vous n'activez pas cette option, le mot de passe circulera en clair sur le réseau sinon il sera crypté en MD5.

  

7. Bouton Tester

---

Important : Avant tout import "réel" (Bouton "Activer") utiliser ce bouton "Tester" pour simuler l'import et pouvoir ainsi affiner si besoin les différents filtres.

Ce bouton permet de tester les paramèters LDAP saisis. Vous devez, une fois les différents champs renseignés, cliquer sur le bouton "Appliquer" pour l'enregistrement de vos paramètres. Ensuite, vous pouvez utiliser le bouton "Tester" pour simuler votre import LDAP. Une page s'affichera, décrivant le processus de connexion et vous montrant les différents ajouts / modifications / suppressions qui seraient réalisés. Aucune action dans la base de données n'est réalisée. Vous pouvez comme cela corriger ou affiner vos paramètres LDAP pour correspondre à vos besoins.

 

8. Bouton Activer

---

 

Ce bouton permet de lancer l'import de l'annuaire LDAP selon les paramètres précédemment définis. Le processus d'import se décompose en 3 phases (qui s'enchaînent automatiquement) :

1. Ajout des personnes du LDAP non présentes dans l'application.
2. Mise à jour des éléments relatifs aux personnes déjà présentes dans l'application en fonction des éléments du LDAP
3. Suppression des personnes qui ne sont plus présentes dans l'annuaire LDAP

Afin de disposer d'une liste du personnel actualisée, il convient de lancer régulièrement l'import LDAP. Cela peut se faire en planifiant une tâche ou en lançant manuellement la page suivante :

http://nom_serveur/..../app/query/import_ldap.php

Attention : Si après avoir cliqué sur le bouton Activer vous obtenez une page avec une erreur interne du serveur Web, cela peut provenir du fait que l'extension PHP gérant le LDAP n'est pas chargée. Vous pouvez vérifier cela dans la page affichant le PHPINFO (http://...../app/installation/phpinfo.php) ou par le menu "? - Informations logiciel".

 

9. Bouton Fusion

---

 

Cette option est réservée pour ceux qui souhaite activer la connexion LDAP alors que la liste du personnel a été saisie. A l'issue de l'import LDAP, une même personne se retrouvera 2 fois dans l'application, une fois en personne LDAP et une fois en personne non LDAP. Cette option vous permet alors de fusionner ces 2 personnes afin de ne conserver que la personne LDAP.

En cliquant sur le bouton Fusion, vous accédez alors à l'écran suivant :  

 

Cette fenêtre vous propose en première colonne toutes les personnes LDAP qui ont été importées. Dans la barre d'outils de cette fenêtre, cliquez sur le bouton Choisir la personne à remplacer (Bouton bleu encadré de rouge). Vous accédez alors à votre liste du Personnel :

 

Placez vous la personne que vous souhaitez fusionner avec la personne LDAP. Double-cliquez sur la ligne ou faites un clic droit Choisir. Celle-ci viendra alors se mettre sur la même ligne que la personne LDAP mais dans la colonne Remplace.

 

Réalisez ainsi cette correspondance pour l'ensemble des personnes LDAP puis validez la fusion par un clic droit Valider la page (ou en cliqaunt sur le bouton de la barre d'outils encadré en rouge).

Toutes les données de la personne non LDAP seront alors associées à la personne LDAP.

ATTENTION : Si la personne LDAP possédait des données au sein de l'application QALITEL / Epistolaire, elles seront alors définitivement perdues.

 

FUSION AUTOMATIQUE : 

  

Ce bouton présent dans la liste du personnel vous permet d'effectuer une fusion automatique des personnes plutôt que la sélection manuelle décrite précédemment. Cette correspondance automatique s'effectue sur le nom complet (NOM - PRENOM) tel qu'il est affiché dans les copies d'écran précédentes.

Vous accédez ensuite à une page vous simulant le résultat de cette fusion automatique. Si cela vous convient, vous disposez alors d'un lien "Valider la fusion" qui effectuera de manière effective la fusion.

 

 

10. Processus d'authentification

---

 

Pour connaître en détail le processus d'authentification des applications QALITEL / Epistolaire, vous pouvez consulter cette page.

 

11. Liens utiles

---

 

http://www.petri.co.il/ldap_search_samples_for_windows_2003_and_exchange.htm

http://www.microsoft.com/france/technet/prodtechnol/exchange/2003/insider/ldapquery.mspx

 

12. Utilitaires

---

 

De manière à scanner votre annuaire LDAP afin d'en connaître précisément les noms des champs (et leurs valeurs), vous pouvez utiliser un utilitaire externe.

 

Softerra LDAP Browser
Application gratuite permettant de lister un annuaire LDAP
http://www.ldapbrowser.com/download.htm

 

 

13. F.A.Q. Questions fréquentes / Erreurs

---

 

Vous trouverez sur la F.A.Q. dédiée au LDAP les réponses aux questions les plus fréquemment posées ainsi que les erreurs pouvant être rencontrées lors de la mise en place / paramétrage. Vous pouvez accéder directement à la F.A.Q. en cliquant sur ce lien.

 

 

• < Précédent
• Suivant >