Assistance d'annuaire et authentification client
Pour authentifier un utilisateur qui accède à une base de données sur un serveur Domino® via l'un des protocoles Internet pris en charge, Web (HTTP), IMAP, POP3 ou LDAP, un serveur peut rechercher les données d'identification de l'utilisateur dans un annuaire configuré dans sa base Directory Assistance. Les serveurs peuvent utiliser la sécurité du certificat X.509 ou une sécurité par nom et mot de passe pour l'authentification.
Pourquoi et quand exécuter cette tâche
Pour autoriser un serveur à utiliser un annuaire pour l'authentification client Internet configuré dans une base Directory Assistance, effectuez les opérations suivantes dans le document Directory Assistance de l'annuaire :
- Dans l'onglet Basics, pour l'option Make this domain available to, sélectionnez Notes clients and Internet Authentication/Authorization.
- Dans l'onglet Naming Contexts (Rules), activez au moins une règle correspondant aux noms distinctifs des utilisateurs de l'annuaire devant être authentifiés, et pour Trusted for Credentials, sélectionnez Yes.
Par exemple, si votre organisation enregistre les utilisateurs Web dans un annuaire LDAP étranger, lorsqu'un utilisateur Web tente d'accéder à une base de données sur un serveur Web Domino®, le serveur peut se connecter au serveur d'annuaire LDAP étranger distant pour rechercher le nom d'utilisateur et le mot de passe afin de procéder à l'authentification.
Noms acceptés pour l'authentification par nom/mot de passe
Pourquoi et quand exécuter cette tâche
Si un serveur utilise une sécurité par nom/mot de passe pour authentifier les clients Internet, sélectionnez les types de noms que le serveur peut accepter des clients. Dans l'onglet du document Serveur de l'annuaire Domino® principal, sélectionnez Plus de variantes de noms et moins de sécurité ou Moins de variantes de noms et plus de sécurité (valeur par défaut). La sélection s'applique à l'authentification par nom et mot de passe quel que soit l'annuaire, y compris l'annuaire Domino® principal.
Même si un serveur peut accepter d'un client un nom autre qu'un nom distinctif pour rechercher une entrée d'utilisateur dans un annuaire, c'est toujours le nom distinctif de l'utilisateur dans l'entrée d'annuaire que le serveur compare aux règles d'accréditation dans le document Directory Assistance pour déterminer s'il doit ou non authentifier le client. Supposez, par exemple, qu'un utilisateur soit enregistré dans un annuaire avec le nom distinctif cn=alice brun,o=Renovations, mais que l'utilisateur configure le nom alice brun sur le client. Lors de l'authentification, le serveur recherche une entrée contenant le nom alice brun. Lorsqu'il trouve l'entrée, il ne peut authentifier le client que si "cn=alice brun,o=renovations" correspond à une règle de dénomination accréditée pour l'annuaire.
Le nom distinctif d'un utilisateur est également utilisé comme base pour le contrôle d'accès dans Domino®. Vous devez donc utiliser les noms distinctifs des utilisateurs dans les LCA de bases de documents, dans les groupes utilisés dans les LCA de bases de données, dans les listes d'accès des documents Serveur et dans les documents Protection de fichier des serveurs Web.
Rencontre de doublons lors de l'authentification client
Pourquoi et quand exécuter cette tâche
Cohérence des noms de client et des mots de passe entre les protocoles
Pourquoi et quand exécuter cette tâche
Si les serveurs Domino® authentifient un client via plusieurs protocoles Internet, créez une entrée d'annuaire pour le client avec un nom et un mot de passe s'appliquant à l'ensemble des protocoles, afin de faciliter l'administration d'annuaire. Configurez ensuite le client pour qu'il utilise le même nom et mot de passe pour l'ensemble des protocoles.
Par exemple, si un client se connecte à Domino® via HTTP pour la navigation sur le Web et via LDAP pour les services d'annuaire, créez une entrée d'annuaire pour le client avec un nom et un mot de passe et configurez le client pour qu'il utilise ce nom et ce mot de passe pour les deux types de connexions.
Fonctionnalités disponibles pour l'authentification client à l'aide d'un annuaire LDAP distant
Pourquoi et quand exécuter cette tâche
Les fonctionnalités suivantes sont spécifiquement disponibles pour l'authentification client à l'aide d'un annuaire LDAP distant :
- Filtres de recherche configurables pour contrôler le filtre de recherche utilisé pour rechercher des noms dans l'annuaire LDAP distant.
- Correspondance de noms LDAP et Domino pour permettre aux utilisateurs de s'authentifier en utilisant des noms distinctifs Notes® plutôt que des noms distinctifs LDAP.
Notes® authentification de client
Pourquoi et quand exécuter cette tâche
Par défaut, lorsqu'un serveur authentifie un client Notes®, il n'utilise pas les informations contenues dans les documents Personne de l'annuaire Domino®. Cependant, si vous activez l'option Comparer les clés Notes publiques avec celles enregistrées dans l'annuaire de l'onglet Général du document Serveur du serveur, ce dernier authentifie un utilisateur Notes® uniquement si la clé publique présentée par le client Notes® correspond à celle du document Personne de l'utilisateur.
Si un utilisateur Notes® qui se connecte à un serveur pour authentification est enregistré dans un annuaire Domino® secondaire et non pas dans l'annuaire Domino® principal du serveur, et que l'option Comparer les clés Notes publiques avec celles enregistrées dans l'annuaire est activée pour le serveur auquel l'utilisateur se connecte, vous devez sélectionner l'option Make this domain available to: Notes clients and Internet Authentication/Authorization dans un document Directory Assistance pour permettre à un serveur d'effectuer la comparaison de clés publiques. Ce document Directory Assistance peut être destiné :
- à l'annuaire Domino® secondaire dans lequel l'utilisateur Notes® est enregistré ;
- à un catalogue d'annuaires étendu qui regroupe l'annuaire Domino® secondaire dans lequel l'utilisateur Notes® est enregistré.