L'authentification LDAP basique est une méthode d'authentification explicite : le navigateur ouvre une fenêtre pop-up demandant à l'utilisateur de saisir son identifiant et son mot de passe.
Une authentification LDAP basique peut authentifier des utilisateurs issus de
n'importe quel type d'annuaire supporté par Olfeo.
Attention, même s'ils sont authentifiés par le proxy, les utilisateurs non synchronisés dans
l'Olfeo seront considérés comme des utilisateurs
inconnus.
Modes d'intégration compatibles
L'authentification LDAP basique auprès du proxy HTTP peut uniquement être utilisée en mode proxy explicite. En effet, dans les autres modes d'intégration, le navigateur ne communique pas directement avec le proxy.
Contraintes et limitations
L'authentification LDAP basique est un mécanisme d'authentification faible : sa fiabilité
diminue au cours du temps. Elle est peu sécurisée car les identifiants et mots de passe circulent en clair sur le réseau.
Fonctionnement
- L'utilisateur tente d'accéder à internet.
- Le proxy envoie une demande d'authentification au navigateur (code 407).
- Le navigateur ouvre une fenêtre pop-up demandant à l'utilisateur de saisir son identifiant et son mot de passe.
- L’utilisateur saisit son identifiant et son mot de passe et clique sur OK.
- Ces informations arrivent au proxy : celui-ci tente une authentification auprès de l'annuaire correspondant (il vérifie le mot de passe dans l'annuaire).
- Si l'authentification réussit, le moteur de filtrage applique les règles et politiques concernant cet utilisateur : le cas échéant, l'utilisateur peut accéder au site demandé. L'utilisateur reste identifié auprès du proxy pendant 2h. L'association IP/identifiant est également utilisée pour le filtrage protocolaire ou les proxys autres qu'HTTP.
- Si l'authentification échoue, le navigateur renvoie la pop-up d'authentification
indéfiniment, sauf si un compte invité a été
défini dans la zone d'authentification (dans ce cas, l'utilisateur est authentifié sur le compte invité).
Mettre en place une authentification LDAP basique
- Synchronisez le ou les annuaires contenant vos utilisateurs.
- Créez une zone d'authentification contenant le ou les annuaires désirés.
- À la page , sélectionnez cette zone d'authentification dans la liste. La page affiche les
options correspondantes.
Si besoin, modifiez le nombre de processus d'authentification instanciés dans le champ
Nombre d'instances. Le nombre d'instances correspond au nombre de
demandes d'authentification qui peuvent être traitées en parallèle à un instant donné.
- Dans la section Règles, définissez les cas dans lesquels une
authentification sera demandée ou non.
- Ajoutez une règle grâce au bouton .
- Définissez des critères :
- Sources : définissez les plages d'adresses IP concernées
par la règle.
- User-Agent : utilisez ce paramètre pour désactiver
l'authentification auprès du proxy HTTP pour certains types d'applications clientes
incapables de s'authentifier (lecteur audio/vidéo...). Définissez une expression
rationnelle sur l'en-tête User-agent de la requête. Attention, toutes les
requêtes n'incluent pas cet en-tête (le navigateur peut avoir été paramétré pour
l'omettre). Pour ajouter un user-agent, utilisez la dernière ligne du
tableau.
-
Ports du proxy : la règle ne s'appliquera qu'aux flux reçus
sur le port spécifié. La liste propose tous les ports qui ne sont pas en interception (en effet, l'interception ne tolère
pas l'authentification).
-
Destination : la règle s'appliquera uniquement aux requêtes à
destination de ces
domaines.
Vous pouvez indiquer des URLs spécifiques grâce à une expression rationnelle, ou
bien utiliser des listes d'URL ou des
listes de domaines existantes.
-
Authentification : définissez si dans le cas décrit par la
règle, le proxy doit demander une authentification ou non.
- Si besoin, modifiez l'ordre des règles grâce aux flèches et . Le proxy évaluera
les règles une par une de haut en bas : assurez-vous qu'aucune règle n'en bloque une
autre. Par exemple, positionnez une règle désactivant l'authentification pour la mise à jour d'un serveur applicatif avant une règle demandant l'authentification des utilisateurs du serveur, sinon les
mises à jour seront bloquées.
- Sous la liste de règles, dans la liste Par défaut, définissez le
comportement à adopter pour les requêtes ne correspondant à aucune des règles.
(Pas d'authentification, ou
Authentification).
- Cliquez sur Valider.