Paramètres d’authentification LDAP

Utilisez la page Authentification LDAP pour configurer un serveur LDAP (Lightweight Directory Access Protocol) et authentifier les utilisateurs des périphériques (périphérique multifonctions, copieur numérique ou expéditeur numérique). Lorsque l'authentification LDAP est sélectionnée comme mode de connexion pour une ou plusieurs fonctions du périphérique sur la page Gestionnaire d’authentification, l’utilisateur du périphérique doit entrer des informations de connexion (nom d’utilisateur et mot de passe) valides afin d’accéder à ces fonctions.

L’authentification consiste en deux parties indépendantes. Tout d’abord, le périphérique vérifie les informations de connexion de l’utilisateur par l’intermédiaire du serveur LDAP. Une fois que l’utilisateur du périphérique a fourni des informations de connexion valides et qu’il a été authentifié, le périphérique recherche l’adresse électronique et le nom de l’utilisateur. Si l’une des étapes échoue, l’utilisateur n’est pas autorisé à accéder aux fonctions qui ont été configurées pour exiger une authentification LDAP.

Pour configurer les paramètres utilisés en vue d’accéder au serveur LDAP et aux recherches des informations relatives à l’utilisateur, utilisez la page Authentification LDAP. Cette page s’applique uniquement lorsque LDAP est sélectionné comme mode de connexion sur la page du Gestionnaire d’authentification.

Accès au serveur LDAP

Méthode de liaison du serveur LDAP

Le paramètre Méthode de liaison du serveur LDAP détermine l’accès du périphérique au serveur LDAP. Contactez l'administrateur de votre serveur LDAP pour déterminer la méthode qui vous convient le mieux.

Serveur LDAP

Le paramètre Serveur LDAP correspond au nom d’hôte ou à l’adresse IP du serveur LDAP à utiliser pour authentifier les utilisateurs des périphériques. Lorsqu’un protocole SSL est utilisé, le nom ou l’adresse saisi dans cet espace doit correspondre au nom du certificat envoyé par le serveur.

Plusieurs serveurs peuvent être inclus dans ce champ si leurs adresses sont séparées par une barre verticale (caractère |, ASCII 0x7c) Cette fonction peut être utilisée pour définir, par exemple, les serveurs primaires et secondaires. L’interface du réseau prend uniquement en charge un seul certificat CA (Certificate Authority), de manière à ce que tous les serveurs LDAP de la liste utilisent le même CA.

Port

Le paramètre Port correspond au numéro du port TCP/IP via lequel le serveur traite les requêtes LDAP. Généralement, ce port correspond au numéro 389 pour une liaison Simplicité ou 636 pour une liaison Authentification simple via SSL.

 

Recherche d’informations de connexion

L’authentification LDAP utilise deux méthodes différentes pour authentifier l’utilisateur.

La première méthode, appelée Utiliser les informations de connexion de l’utilisateur du périphérique, tente de construire le nom unique de l’utilisateur afin de l’identifier (le lier) auprès du répertoire LDAP. Le préfixe de nom unique est ajouté au début des informations entrées par l’utilisateur dans le panneau de commandes ; cette chaîne est ajoutée à la chaîne Racine de liaison et de recherche. Par exemple, si le préfixe de nom unique CN est combiné avec la chaîne entrée par l’utilisateur john.doe@nasa.gov et la racine de liaison et de recherche OU=Engineering,DC=NASA,DC=GOV, le nom unique de l’utilisateur sera CN=john.doe@nasa.gov,OU=Engineering,DC=NASA,DC=GOV

La deuxième méthode, appelée Utiliser les informations de connexion de l’administrateur, tente de rechercher le nom unique de l’utilisateur au lieu de le construire. Pour cette méthode, les informations de connexion de l’administrateur (nom unique et mot de passe) sont utilisées pour la liaison initiale ; une recherche est lancée pour déterminer le nom unique de l'utilisateur qui essaye de s'identifier. Lorsque le nom unique de l’utilisateur est renvoyé, le périphérique tente d’authentifier l’utilisateur à l’aide du nom unique et du mot de passe entrés par l’utilisateur dans le panneau de commandes du périphérique. Si l’authentification réussit, l’adresse électronique de l’utilisateur est récupérée et l’utilisateur est autorisé à accéder au périphérique.

La méthode Utiliser les informations de connexion de l’utilisateur du périphérique doit être utilisée lorsque tous les utilisateurs se trouvent dans le même emplacement du répertoire LDAP et lorsque le premier terme du nom unique de l'utilisateur est un terme utilisé de manière habituelle par l’utilisateur pour s’identifier. Notez que vous pouvez entrer plusieurs racines de liaison et de recherche en les séparant par le caractère “|” ; le périphérique tente alors de procéder à l’authentification de manière itérative en utilisant les valeurs de chaque racine de liaison et de recherche. Cette méthode peut être utilisée si les utilisateurs se trouvent dans un nombre réduit d’emplacements du répertoire LDAP.

La méthode Utiliser les informations de connexion de l’administrateur doit être utilisée lorsque les utilisateurs se trouvent dans plusieurs emplacements ou lorsque le premier terme du nom unique de l’utilisateur n’est pas un terme que tous les utilisateurs connaissent ou utilisent pour s’identifier sur d’autres systèmes. Avec cette méthode, un utilisateur peut être invité à saisir n’importe quel attribut LDAP, comme SAMAccountName ou TelephoneNumber, attribut correspondant au numéro de téléphone de l’utilisateur.

Utiliser les informations de connexion de l'utilisateur du périphérique

Cette méthode utilise le préfixe de liaison, la chaîne saisie par l’utilisateur dans le panneau de commandes et la racine de liaison et de recherche afin de construire le nom unique de l’utilisateur. Le nom unique d’utilisateur ainsi créé est utilisé pour l’authentification de l’utilisateur.

Préfixe de liaison

Le paramètre Préfixe de liaison correspond à l’attribut LDAP utilisé pour l’élaboration du nom unique destiné à être authentifié. Ce préfixe est associé au nom d’utilisateur saisi à partir du panneau de configuration pour former le nom unique relatif. Les préfixes utilisés les plus couramment sont les suivants : « CN » (nom commun) ou « UID » (identificateur d’utilisateur)

Utiliser les informations de connexion de l’administrateur

Nom unique de l’administrateur

Il s’agit du nom unique d’un utilisateur disposant d’un accès en lecture au répertoire LDAP. Le compte entré ici n’a pas besoin d’un accès administratif au répertoire. Un accès en lecture est suffisant.

Mot de passe de l’administrateur

Mot de passe de l’utilisateur dont le nom unique a été saisi dans le champ Nom unique de l’administrateur

Recherche dans la base de données LDAP

Racine de liaison et de recherche

Lorsque la méthode Utiliser les informations de connexion de l’utilisateur est sélectionnée, la valeur Racine de liaison et de recherche est utilisée au cours des deux phases d’authentification. Pendant la phase de vérification des informations de connexion, cette valeur est associée au nom unique relatif pour former le nom unique complet de l’utilisateur. Pendant la phase de recherche des informations sur l’utilisateur, cette valeur correspond au nom unique de l’entrée LDAP dans laquelle débute la recherche.

Lorsque la méthode Utiliser les informations de connexion de l’administrateur est sélectionnée, la racine de liaison et de recherche est uniquement utilisée comme racine de recherche. Il est possible de spécifier la racine de recherche de la base du répertoire LDAP ; le périphérique parcourt toute l’arborescence du répertoire LDAP pour rechercher l’objet correspondant au nom d’utilisateur entré dans le périphérique. 

La chaîne est composée de paires « attribut = valeur », séparées par des virgules. Par exemple :

ou=ingénierie,o=Hewlett Packard,c=Etats-Unis

ou=marketing,o=Hewlett Packard,c=Etats-Unis

o=hp.com

ou=ingénierie,cn=utilisateurs,dc=hp,dc=com

Lorsque la méthode Utiliser les informations de connexion de l’utilisateur du périphérique est sélectionnée, plusieurs racines de liaison peuvent être incluses dans ce champ si elles sont séparées par une barre verticale (caractère |, ASCII 0x7c). Cette fonction peut être utilisée pour spécifier, par exemple, divers domaines LDAP. Le périphérique tente de connecter le serveur LDAP en utilisant chaque racine dans l’ordre indiqué. Lorsque la liaison est correctement établie, la même racine est utilisée pour rechercher les informations sur l’utilisateur du périphérique.

Attribut LDAP correspondant à l’ID de connexion

Lorsque vous recherchez des informations sur l’utilisateur du périphérique dans la base de données LDAP, le contenu de l’attribut spécifié dans ce champ est comparé au nom d’utilisateur saisi pendant l’authentification. L’attribut est généralement identique au Préfixe de liaison.

Récupérer les données suivantes de l'utilisateur du périphérique

Adresse électronique à l'aide de l'attribut de

Une fois l’utilisateur du périphérique identifié dans la base de données LDAP, son adresse électronique peut être récupérée à partir de la base de données à l’aide de l’attribut LDAP spécifié dans le champ Adresse électronique à l'aide de l'attribut de.

Nom à l'aide de l'attribut de

Le nom complet de l’utilisateur est obtenu à partir de l’attribut LDAP spécifié dans le champ Nom à l'aide de l'attribut de.

Tester

Pour tester la validité de vos paramètres, utilisez la fonction Tester avant de les appliquer. Quand vous cliquez sur ce bouton, une invite vous demande de fournir les informations de connexion utilisateur, comme lorsque vous vous connectez au périphérique à partir du panneau de configuration. Si les informations de connexion fournies sont authentifiées et que celles de l’utilisateur sont identifiées dans la base de données LDAP, un message s’affiche pour vous informer du succès de ces opérations. Dans le cas contraire, un message d’erreur s’affiche vous indiquant la raison de l’échec.