Activation de l'authentification via LDAP - 6.1

Talend Data Fabric Guide d'installation

EnrichVersion
6.1
EnrichProdName
Talend Data Fabric
task
Installation et mise à niveau
EnrichPlatform
Studio Talend
Talend Activity Monitoring Console
Talend Administration Center
Talend Artifact Repository
Talend CommandLine
Talend DQ Portal
Talend ESB
Talend Identity Management
Talend Installer
Talend JobServer
Talend Log Server
Talend MDM Server
Talend MDM Web UI
Talend Project Audit
Talend Repository Manager
Talend Runtime
Talend SAP RFC Server

Pour configurer MDM afin qu'il intègre un répertoire LDAP existant d'utilisateurs, vous devez activer l'authentification via LDAP dans le fichier de configuration MDM et renseigner certaines informations relatives à votre installation LDAP.

Si tous les utilisateurs MDM sont définis dans LDAP :

  1. Démarrez le serveur MDM en mode authentification locale (par défaut) et connectez-vous à Talend MDM Web User Interface avec un utilisateur administrateur.

  2. Assurez-vous que l'utilisateur LDAP ayant le même identifiant que l'utilisateur administrator créé par défaut existe.  :

    Si ce n'est pas le cas, dans la page [Manage Users], créez un nouvel utilisateur ayant le même UUID que celui utilisé par LDAP et les droits administration et System_Admin, enregistrez vos changements et arrêtez le serveur MDM.

  3. Suivez la procédure de configuration de l'authentification via LDAP (voir plus bas).

Si certains utilisateurs techniques (comme administrator) ne sont pas définis dans LDAP :

Si l'utilisateur MDM défini dans Talend MDM Web User Interface est introuvable dans le répertoire LDAP, vous devez faire en sorte que le serveur considère les utilisateurs MDM existants lors de l'authentification.

  1. Pour configurer cette opération, ouvrez le fichier <$INSTALLDIR>\conf\jaas_ldap.conf.

    Le fichier jaas_ldap.conf est un modèle contenant les informations de configuration relatives à LDAP.

  2. Changez la valeur du module d'identification LDAP en sufficient et liez les modules d'identification LDAP et MDM.

    Vous pouvez utiliser une authentification LDAP directe ou indirecte.

    Pour une procédure complète concernant l'utilisation de l'authentification indirecte LDAP, consultez l'article de la base de connaissances https://help.talend.com/pages/viewpage.action?pageId=190513506 (en anglais).

    Un exemple d'utilisation de l'authentification directe LDAP (LdapDirect=true) est présenté ci-dessous :

    MDM {  
      com.amalto.core.server.security.jaas.LDAPLoginModule sufficient
      useFirstPass=false
      java.naming.factory.initial="com.sun.jndi.ldap.LdapCtxFactory"
      java.naming.security.authentication="simple"
      java.naming.provider.url="ldap://localhost:10389"
      LdapDirect=true
      principalDNPrefix="cn="
      principalDNSuffix=",ou=talend,dc=example,dc=com";
    };
    TDSC {  
      com.amalto.core.server.security.jaas.LDAPLoginModule sufficient
      useFirstPass=false
      java.naming.factory.initial="com.sun.jndi.ldap.LdapCtxFactory"
      java.naming.security.authentication="simple"
      java.naming.provider.url="ldap://localhost:10389"
      LdapDirect=true
      principalDNPrefix="cn="
      principalDNSuffix=",ou=talend,dc=example,dc=com";  
    };

    Un exemple d'utilisation de l'authentification indirecte LDAP (LdapDirect=false) est présenté ci-dessous :

    MDM {  
      com.amalto.core.server.security.jaas.LDAPLoginModule sufficient
      useFirstPass=false
      java.naming.factory.initial="com.sun.jndi.ldap.LdapCtxFactory"
      java.naming.security.authentication="simple"
      java.naming.provider.url="ldap://localhost:10389"
      LdapDirect=false
      LdapAdminDN="uid=admin,ou=system"
      LdapAdminPassword=secret
      searchBase="ou=talend,dc=example,dc=com"
      searchFilter="(&(objectClass=*)&(cn={0}))";
    };
    TDSC {  
      com.amalto.core.server.security.jaas.LDAPLoginModule sufficient
      useFirstPass=false
      java.naming.factory.initial="com.sun.jndi.ldap.LdapCtxFactory"
      java.naming.security.authentication="simple"
      java.naming.provider.url="ldap://localhost:10389"
      LdapDirect=false
      LdapAdminDN="uid=admin,ou=system"
      LdapAdminPassword=secret
      searchBase="ou=talend,dc=example,dc=com"
      searchFilter="(&(objectClass=*)&(cn={0}))";
    };
  3. Enregistrez vos changements. Si le module d'identification LDAP (indiqué comme sufficient) aboutit, c'est-à-dire que l'utilisateur existe à la fois dans LDAP et dans MDM, le processus d'authentification s'arrête. S'il échoue, c'est-à-dire que l'utilisateur n'existe pas dans LDAP, l'authentification se poursuit avec le module d'identification MDM (indiqué comme required).

  4. Effectuez la procédure qui suit pour mettre à jour la configuration LDAP en fonction de votre installation.

Pour configurer l'authentification via LDAP :

  1. Dans le répertoire <$INSTALLDIR>\conf, ouvrez le fichier jaas_ldap.conf.

  2. Mettez à jour les informations présentées dans le tableau ci-dessous avec les détails appropriés pour votre installation.

    Nom du module-de l'optionObjectifExemple

    java.naming.factory.initial

    Indique la bibliothèque/Factory LDAP à utiliser.

    com.sun.jndi.ldap.LdapCtxFactory

    useFirstPass

    Indique s'il faut utiliser l'identifiant et le mot de passe stockés pour l'authentification.

    false

    java.naming.security.authentication

    Indique le schéma d'authentification LDAP, pouvant être none, simple ou strong.

    simple

    java.naming.provider.url

    Fournit l'URL du serveur LDAP, port compris.

    ldap://monet:389

    ldap://your-company.com:3268

    LdapDirect

    Spécifie la méthode d'authentification LDAP à utiliser.

    • Lorsque cette option est définie sur true, une tentative directe de construction du DN (distinguished name) de l'utilisateur est effectuée en utilisant le nom de l'utilisateur. Dans ce cas, les paramètres principalDNPrefix et principalDNSuffix doivent être définis.

    • Lorsque cette option est définie sur false, la méthode d'authentification indirecte est utilisée, dans laquelle l'utilisateur admin doit parcourir le répertoire LDAP pour trouver le DN correspondant au nom de l'utilisateur en question. Dans ce cas, les paramètres LdapAdminDN, LdapAdminPassword, searchBase et searchFilter doivent être définis.

    true

    false

    principalDNPrefix

    Spécifie le préfixe facultatif à ajouter au nom d'utilisateur afin de construire le DN de la méthode directe.

    cn=

    principalDNSuffix

    Spécifie le suffixe facultatif pour ajouter le nom d'utilisateur afin de construire le DN de la méthode directe.

    ,ou=talend,dc=example,dc=com

    LdapAdminDN

    Spécifie le DN de l'administrateur d'un répertoire.

    uid=admin,ou=system

    LdapAdminPassword

    Spécifie le mot de passe de l'administrateur d'un répertoire.

    secret

    searchBase

    Définit l'emplacement, dans le répertoire, où commence la recherche LDAP.

    ou=talend,dc=example,dc=com

    searchFilter

    Définit les critères de recherche LDAP.

    (&(objectClass=*)&(cn={0}))

  3. Enregistrez vos changements sous le nom de fichier jaas.conf.

    Avertissement

    Cette action ayant pour effet le remplacement du fichier jaas.conf existant, il est fortement recommandé de faire au préalable une copie de sauvegarde du fichier jaas.conf existant et/ou de copier toutes les informations de configuration pertinentes dans votre nouveau fichier.

  4. Redémarrez votre serveur MDM pour prendre en compte ces changements.