Configuration avec le serveur Active Directory local (ScribeAD)
La valeur Adresse IP publique Active Directory
à saisir est une adresse IP disponible sur le réseau, elle permet d'exposer le service Active Directory.
Truc & astuce
Mode multi-établissement
Si le mode multi-établissement
est activé dans l'onglet Samba, il est possible de définir le nom de l'unité organisationnelle[2] Active Directory dans laquelle sont stockés les comptes de chacun des établissements ajoutés.
Exemple
Cette OU sera située sous celle de l'établissement qui se trouve elle-même sous la racine de l'annuaire AD :
OU=Utilisateurs,OU=0000001E,DC=domscribe,DC=ac-test,DC=fr
Route du conteneur ADDC
La route par défaut du conteneur ADDC est la route par défaut définie dans la configuration de l'interface de configuration du module.
Cela signifie que lorsqu'un service dans le conteneur ADDC cherche à accéder à des ressources en dehors du réseau local, le flux passe directement par la carte additionnelle du conteneur ADDC. L'adresse IP source sera donc celle du conteneur. Cela peut poser problème sur certains systèmes de virtualisation au moment de l'installation du serveur.
Dans ce cas, il est possible de changer la route par défaut en passant la variable : ad_local_default_bridge_via_internal_ip
à oui
Le flux passera alors par le réseau interne du Scribe. L'adresse IP source sera donc l'IP de Scribe.
Écran
AttentionAttention
Si vous accédez aux services inclus dans le conteneur sur un réseau différent du réseau local (par exemple si le Scribe est dans une DMZ), cela peu également poser des problèmes.
Délégation d'authentification SASL
À partir, d'EOLE 2.8, la délégation d'authentification SASL[3] permet à l'annuaire Active Directory de devenir la référence pour les mots de passe.
Cela permet d'utiliser la séquence ctrl-alt-suppr
sans désynchronisation des mots de passe et la restauration de la fonctionnalité : changement de mot de passe à la première connexion.
L'authentification auprès de l'annuaire OpenLDAP reste fonctionnelle grâce à l'utilisation du service d'authentification SASL : saslauthd.
Cette fonctionnalité est toutefois débrayable en passant la variable Utiliser la délégation d'authentification SASL
de l'onglet expert Openldap
à non
.
Dans ce cas, on retrouve le fonctionnement de la version 2.7.2.
Exemple
Le contenu de l'attribut OpenLDAP userPassword
sera différent selon que la délégation d'authentification SASL est activée ou non.
Suite à un changement du mot de passe de l'utilisateur admin
, la commande suivante produira un résultat différent :
ldapsearch -x -D cn=reader,o=gouv,c=fr -w `cat /root/.reader` uid=admin userpassword | grep userPassword | cut -d ' ' -f2 | base64 -d
- avec SASL : {SASL}admin@domaine
- sans SASL : {SSHA}Z/4M/bbHNf20bvlUr+Nsvf0Gad6/XsvS