Configuration avec le serveur Active Directory local (ScribeAD)

La valeur Adresse IP publique Active Directory à saisir est une adresse IP disponible sur le réseau, elle permet d'exposer le service Active Directory.

Truc & astuce

Si un serveur DHCP[1] est utilisé, c'est cette adresse IP qu'il faut diffuser en tant que DNS pour les postes clients.

Mode multi-établissement

Si le mode multi-établissement est activé dans l'onglet Samba, il est possible de définir le nom de l'unité organisationnelle[2] Active Directory dans laquelle sont stockés les comptes de chacun des établissements ajoutés.

Exemple

Cette OU sera située sous celle de l'établissement qui se trouve elle-même sous la racine de l'annuaire AD :

OU=Utilisateurs,OU=0000001E,DC=domscribe,DC=ac-test,DC=fr

Route du conteneur ADDC

La route par défaut du conteneur ADDC est la route par défaut définie dans la configuration de l'interface de configuration du module.

Cela signifie que lorsqu'un service dans le conteneur ADDC cherche à accéder à des ressources en dehors du réseau local, le flux passe directement par la carte additionnelle du conteneur ADDC. L'adresse IP source sera donc celle du conteneur. Cela peut poser problème sur certains systèmes de virtualisation au moment de l'installation du serveur.

Dans ce cas, il est possible de changer la route par défaut en passant la variable : ad_local_default_bridge_via_internal_ip à oui

Le flux passera alors par le réseau interne du Scribe. L'adresse IP source sera donc l'IP de Scribe.

Écran

  • 1
    Variable : ad_local_default_bridge_via_internal_ip

    Configurer la passerelle par défaut du conteneur addc via son ip interne.

AttentionAttention

Si vous accédez aux services inclus dans le conteneur sur un réseau différent du réseau local (par exemple si le Scribe est dans une DMZ), cela peu également poser des problèmes.

Délégation d'authentification SASL

À partir, d'EOLE 2.8, la délégation d'authentification SASL[3] permet à l'annuaire Active Directory de devenir la référence pour les mots de passe.

Cela permet d'utiliser la séquence ctrl-alt-suppr sans désynchronisation des mots de passe et la restauration de la fonctionnalité : changement de mot de passe à la première connexion.

L'authentification auprès de l'annuaire OpenLDAP reste fonctionnelle grâce à l'utilisation du service d'authentification SASL : saslauthd.

Cette fonctionnalité est toutefois débrayable en passant la variable Utiliser la délégation d'authentification SASL de l'onglet expert Openldap à non.

Dans ce cas, on retrouve le fonctionnement de la version 2.7.2.

Exemple

Le contenu de l'attribut OpenLDAP userPassword sera différent selon que la délégation d'authentification SASL est activée ou non.

Suite à un changement du mot de passe de l'utilisateur admin, la commande suivante produira un résultat différent :

ldapsearch -x -D cn=reader,o=gouv,c=fr -w `cat /root/.reader` uid=admin userpassword | grep userPassword | cut -d ' ' -f2 | base64 -d

  • avec SASL : {SASL}admin@domaine
  • sans SASL : {SSHA}Z/4M/bbHNf20bvlUr+Nsvf0Gad6/XsvS