Procédure d’intégration de CA SDM et LDAP

Contenu
casm173
Contenu
Configuration des Options LDAP
Vous pouvez configurer CA SDM de sorte à accéder aux données d'annuaire LDAP.
Procédez comme suit :
  1. Installez manuellement les options LDAP à l'aide du gestionnaire d'options de l'interface Web.
    Les options nécessaires pour l'intégration LDAP de base sont identifiées comme obligatoires dans la colonne Description du tableau suivant. Les options identifiées comme facultatives sont des fonctionnalités que vous pouvez ajouter uniquement si toutes les options obligatoires sont installées. Les valeurs que vous spécifiez lors de l'installation de ces options sont écrites dans le fichier $NX_ROOT/NX.env.
  2. Redémarrez le service CA SDM.
    Les modifications deviennent effectives.
Gestion des serveurs LDAP à l'aide de l'utilitaire de configuration LDAP
Vous pouvez utiliser l'utilitaire de serveur LDAP pour gérer plusieurs serveurs LDAP. Vous pouvez utiliser l'utilitaire pour effectuer les tâches suivantes :
  • Ajouter un serveur LDAP
  • Supprimer un serveur LDAP que vous ne souhaitez plus utiliser
  • Afficher les détails d'un serveur LDAP
  • Redémarrer la base de données virtuelle LDAP
Dans une configuration de disponibilité avancée, exécutez l'utilitaire sur le serveur d'arrière-plan. Une fois que vous ajoutez un nouveau serveur LDAP, redémarrez les services CA SDM sur tous les serveurs de secours.
Procédez comme suit :
  1. (Facultatif) Pour spécifier le nom de domaine du serveur LDAP par défaut, exécutez la commande suivante :
    pdm_options_mgr -c -a pdm_option.inst -s LDAP_DOMAIN -v <Default_LDAP_DomainName> pdm_options_mgr -c -a pdm_option.inst -s LDAP_DOMAIN -v <Default_LDAP_DomainName> -t
    Configurez le nom de domaine du serveur LDAP par défaut dans les cas suivants :
    • Le serveur CA EEM est configuré avec plusieurs domaines Microsoft Active Directory.
    • Le serveur LDAP par défaut et tous les autres serveurs LDAP configurés avec CA SDM utilisent les mêmes détails d'utilisateur.
    Une fois la configuration terminée, les utilisateurs LDAP par défaut doivent se connecter à CA SDM en suivant le format domain_name\userid.
  2. Ouvrez l'invite de commande Windows et accédez à l'emplacement $NX_ROOT/bin.
  3. Exécutez la commande suivante :
    pdm_perl pdm_ldap_config.pl
  4. Sélectionnez l'option correspondant à la tâche que vous souhaitez effectuer.
Option
Valeur par défaut
Description
ldap_domain
Requis pour la configuration de plusieurs serveurs LDAP. Indique le nom de domaine du serveur LDAP.
default_ldap_tenant
Requis pour l'installation d'hébergement multiclient. Spécifie l'affectation de client hébergé par défaut pour des contacts importés à partir du LDAP. Vous devez utiliser le client hébergé UUID lors de la définition du champ Valeur d'option.
Vous pouvez obtenir l'UUID de ce client hébergé à partir d'une requête de base de données. Par exemple, "SELECT * FROM ca_tenant".
ldap_enable
Oui
Obligatoire. Permet l'intégration de LDAP avec CA SDM.
ldap_host
Obligatoire. Indique le nom d'hôte ou l'adresse IP du serveur de la base de données LDAP.
ldap_port
389
Obligatoire. Spécifie le numéro de port du serveur LDAP.
ldap_dn
Obligatoire. Identifie le nom unique de connexion au serveur LDAP.
Exemple :
CN=Joe, CN=Users, DC=KLAND, DC=AD, DC=com
Si le serveur LDAP prend en charge les connexions anonymes, cette valeur peut être vide.
ldap_pwd
Obligatoire. Spécifie le mot de passe pour la connexion au serveur de LDAP distinguishedName.
Si le serveur LDAP prend en charge les connexions anonymes, cette valeur peut être vide.
ldap_search_base
Obligatoire. Spécifie le point de départ des recherches dans l'arborescence LDAP :
(UNIX) Vous doit spécifier un conteneur de démarrage. Par exemple :
CN=Users, DC=KLAND, DC=AD, DC=com
(Windows) Vous n'avez pas à spécifier de conteneur. Vous pouvez démarrer au sommet de l'arborescence de schéma. Par exemple :
DC=KLAND, DC=AD, DC=com
ldap_filter_prefix
(&(objectClass=
user)
Identifie le préfixe appliqué à un filtre généré de manière automatique lors de la recherche d'utilisateurs LDAP.
Cette variable a été remplacée par l'option ldap_user_object_class. Elle n'est pas disponible dans le Gestionnaire d'options, mais elle peut néanmoins être définie manuellement dans le fichier NX.env.
ldap_filter_suffix
)
Identifie le suffixe appliqué à un filtre généré automatiquement lors de la recherche d'utilisateurs LDAP.
Cette variable a été remplacée par l'option ldap_user_object_class. Elle n'est pas disponible dans le Gestionnaire d'options, mais elle peut néanmoins être définie manuellement dans le fichier NX.env.
ldap_user_object_class
Personne
Obligatoire. Spécifie la valeur de l'attribut d'objectClass de LDAP appliqué à un filtre automatiquement généré lors de la recherche des utilisateurs de LDAP.
ldap_enable_group
Oui
(Facultatif) Active l'affectation de type d'accès de CA SDM basée sur l'appartenance au groupe LDAP.
ldap_group_object_class.
groupe
Obligatoire uniquement si le ldap_enable_group est installé. Identifie le nom d'objet appliqué à un filtre généré automatiquement lors de la recherche de groupes.
ldap_group_filter_prefix
(&(objectClass=
group)
Identifie le préfixe appliqué à un filtre généré automatiquement lors de la recherche d'utilisateurs LDAP.
Cette variable a été remplacée par l'option ldap_group_object_class. Elle n'est pas disponible dans le Gestionnaire d'options, mais elle peut néanmoins être définie manuellement dans le fichier NX.env.
ldap_group_filter_suffix
)
Identifie le suffixe appliqué à un filtre généré automatiquement lors de la recherche d'utilisateurs LDAP.
Cette variable a été remplacée par l'option ldap_group_object_class. Elle n'est pas disponible dans le Gestionnaire d'options, mais elle peut néanmoins être définie manuellement dans le fichier NX.env.
ldap_enable_auto
Oui
(Facultatif) Active la génération automatique des enregistrements de contact à partir des données du LDAP.
ldap_sync_on_null
Oui
(Facultatif) Ecrase les attributs de contact existants de CA SDM avec des données nulles si l'attribut d'utilisateur LDAP correspondant contient une valeur nulle.
ldap_service_type
Active Directory
(Facultatif) Utilisez cette option si l'environnement d'exploitation de CA SDM est Windows et si l'annuaire LDAP n'est
pas
un annuaire Active Directory (par exemple, eTrust ou Novell).
Sur les environnements d'exploitation UNIX, la fonctionnalité Non AD est utilisée uniquement si cette option n'est
pas
installée. S'il est installé, le type de service est configuré sur Active Directory.
ldap_enable_tls
Non
(Facultatif) Indique si le protocole TLS (Transport Layer Security) est activé lors du traitement LDAP.
Vérifiez de l'Intégration de LDAP
Après avoir installé les options LDAP nécessaires, les utilisateurs de CA SDM peuvent importer des données LDAP au cas par cas, sans avoir à remplir tous les champs d'attribut de contact manuellement.
Pour vous assurer que vous pouvez rechercher et importer des enregistrements LDAP
  1. Dans l'onglet Centre de services, sélectionnez Fichier, Nouveau contact dans le serveur LDAP.
    La fenêtre Recherche dans le répertoire LDAP apparaît.
  2. Spécifiez des critères de filtre et cliquez sur Rechercher. Par exemple, vous pouvez saisir b% dans le champ Nom pour extraire une liste des entrées utilisateur LDAP dont les noms commencent par la lettre B.
    Si votre répertoire LDAP contient plusieurs milliers d'entrées et que vous ne filtrez pas votre recherche, votre demande tente de récupérer
    tous
    les enregistrements d'utilisateur LDAP. La demande peut expirer et ne renvoyer aucun enregistrement.
    Les résultats de la recherche correspondant à vos critères de filtre sont affichés.
  3. Sélectionnez une entrée.
    La fenêtre Créer un nouveau contact apparaît. Elle contient les valeurs d'attribut LDAP importées.
  4. Cliquez sur Enregistrer.
    L'enregistrement du contact est créé.
Pour s'assurer que vous pouvez mettre à jour un contact en utilisant les données de LDAP
Avant d'effectuer cette procédure, à des fins de test, vous pouvez utiliser n'importe quel outil d'édition LDAP à votre disposition pour modifier une ou plusieurs valeurs d'attribut dans l'entrée que vous avez utilisée pour la procédure précédente. Vous pouvez vérifier que le contact est mis à jour avec les dernières données LDAP.
  1. Sélectionnez Rechercher, les Contacts dans l'onglet Centre de Services.
    La fenêtre Recherche du contact s’affiche.
  2. Spécifiez des critères de filtre pour rechercher un contact auquel correspond une entrée d'utilisateur de LDAP. Par exemple, vous pourriez rechercher le contact que vous avez créé dans la procédure précédente.
    Les résultats de la recherche correspondant à vos critères de filtre sont affichés.
  3. Sélectionnez le contact que vous souhaitez mettre à jour avec des données de LDAP.
    La page Détail de contact s'affiche, remplie avec les informations de contact de CA SDM.
  4. Cliquez sur Modifier.
    La page de mise à jour du contact s'affiche.
  5. Cliquez sur Fusionner le LDAP.
    La page Liste des entrées LDAP affiche une liste de toutes les entrées d'utilisateur LDAP qui correspondent au contact de CA SDM sélectionné.
    Pour rechercher dans le répertoire LDAP pour d'autres entrées, vous pouvez cliquer sur Afficher un filtre, spécifier des critères de filtre, et cliquer sur Rechercher.
    Si votre répertoire LDAP contient plusieurs milliers d'entrées et que vous ne filtrez pas votre recherche, votre demande tente de récupérer
    tous
    les enregistrements d'utilisateur LDAP. La demande peut expirer et ne renvoyer aucun enregistrement.
  6. Cliquez sur l'entrée LDAP digne d'intérêt.
    La page Détail de LDAP affiche les valeurs d'attribut pour l'entrée sélectionnée. Assurez-vous que vous avez sélectionné l'entrée correspondant au contact que vous souhaitez mettre à jour, cliquez sur Fermer la fenêtre.
  7. Sur la page Liste des entrées LDAP, cliquez droit sur l'entrée qui correspond au mieux au contact que vous souhaitez mettre à jour, et sélectionnez Fusionner dans le contact.
    La page Mettre à jour le Contact reparaît, remplie avec les valeurs d'attribut de LDAP actuelles. Si les données LDAP ont été modifiées depuis la création ou la dernière mise à jour du contact, les modifications sont reflétées dans les champs d'attribut de contact.
    Si vous avez installé l'option de ldap_sync_on_null, et l'entrée LDAP contient des valeurs nulles pour tout champ d'attribut qui correspond aux attributs de contact qui contiennent actuellement des valeurs, les valeurs dans l'enregistrement de contact sont écrasées avec des valeurs nulles lorsque vous enregistrez les données de contact.
  8. Cliquez sur Enregistrer sur la page Mettre à jour le contact.
    Le contact est mis à jour avec les données de LDAP correspondantes.
Création d'un contact
HID_CreateaContact
Un contact est une personne qui utilise votre système régulièrement, comme un analyste ou un client. Après avoir créé la structure du business et les groupes, vous créez des contacts et les mappez vers leur emplacement et leur organisation respective.
Vous pouvez créer des contacts des manières suivantes :
Création de contact à l'aide de données LDAP
Si votre installation est configurée pour accéder à un serveur LDAP (Lightweight Directory Access Protocol), tel Microsoft Windows Active Directory, et que les options nécessaires sont installées, vous pouvez créer et mettre à jour des contacts à l'aide des données provenant de la base de données LDAP. Cette méthode simplifie la synchronisation des contacts avec les données des utilisateurs du réseau.
Les administrateurs peuvent configurer la synchronisation automatisée des contacts avec les données LDAP.
Procédez comme suit :
  1. Dans la barre de menus de l'onglet Centre de services, sélectionnez Fichier, Nouveau contact issu de LDAP.
    La page Rechercher un annuaire LDAP s'affiche.
  2. (Facultatif) Remplissez un ou plusieurs des champs de filtre suivants pour limiter la liste des entrées LDAP aux enregistrements qui vous intéressent :
    • Nom
      Spécifie le nom de famille de l'utilisateur tel qu'il apparaît dans l'annuaire LDAP. Par exemple, vous pouvez saisir b% dans le champ Nom pour extraire une liste des entrées utilisateur LDAP dont les noms commencent par la lettre B.
    • Prénom
      Spécifie le prénom de l'utilisateur tel qu'il apparaît dans l'annuaire LDAP.
    • Deuxième prénom
      Spécifie le deuxième prénom de l'utilisateur tel qu'il apparaît dans l'annuaire LDAP.
    • ID d'utilisateur
      Spécifie le nom d'utilisateur de connexion au système.
  3. Cliquez sur Rechercher.
    La page Liste des entrées LDAP affiche les enregistrements correspondant à vos critères de recherche.
    Pour afficher les informations contenues dans un enregistrement LDAP sans créer de contact, cliquez avec le bouton droit de la souris sur l'enregistrement qui vous intéresse et sélectionnez Afficher. La page LDAP Entry Detail s'affiche.
    Tous les champs de la page de détail Entrée LDAP sont explicites, sauf les champs :
    • ID d'utilisateur
      Spécifie l'ID l'utilisateur de connexion au système.
    • Nom distinct
      Spécifie le nom de connexion LDAP complet. Exemple : CN=Joe, CN=Users, DC=KLAND, DC=AD, DC=com.
  4. Cliquez sur l'entrée LDAP pour créer un contact.
    La page Créer un contact s'affiche, partiellement remplie avec les informations LDAP.
  5. Saisissez au besoin des informations supplémentaires.
  6. Cliquez sur Enregistrer.
    L'enregistrement de contact est enregistré et la page Détail du contact s'affiche. Les boutons suivants sont désormais disponibles pour la configuration du contact.
    • Mettre à jour l'environnement
      : affiche la fenêtre Rechercher des éléments de configuration/Rechercher un actif pour le contact ou l'organisation. Dans cette fenêtre, vous pouvez spécifier des critères de recherche pour les actifs que vous souhaitez prendre en compte. Lorsque vous cliquez sur Rechercher, vous pouvez ajouter et supprimer des composants pour ce contact ou cette organisation dans la fenêtre Mettre à jour l'environnement qui s'affiche.
      Mettre à jour les groupes
      : affiche la fenêtre Rechercher un groupe. Dans cette fenêtre, vous pouvez spécifier des critères de recherche pour les groupes que vous souhaitez prendre en compte pour ce contact. Lorsque vous cliquez sur Rechercher, vous pouvez ajouter et supprimer des groupes pour ce contact dans la fenêtre Mettre à jour les groupes qui s'affiche.
Création automatique de contact
Vous pouvez configurer CA SDM pour créer automatiquement un contact à partir d'un enregistrement d'utilisateur LDAP correspondant lorsqu'un nouvel utilisateur se connecte à CA SDM.
Pour activer cette fonction, installez toutes les options LDAP obligatoires, plus l'option ldap_enable_auto.
L'enregistrement de contact est automatiquement créé comme suit.
  1. Si un utilisateur qui se connecte à CA SDM n'a pas encore d'enregistrement de contact, mais l'identifiant de l'utilisateur existe dans un enregistrement LDAP, les données LDAP sont automatiquement importées et un enregistrement de contact est créé.
  2. L'enregistrement de contact automatiquement créé hérite des paramètres de sécurité de type d'accès par défaut.
  3. Un type d'accès peut être alors affecté au contact, ou le type d'accès peut être affecté sur la base de l'appartenance de l'utilisateur à un groupe LDAP.
Ce processus est complètement transparent pour l’utilisateur : la session de connexion est semblable à toute autre.
Création de contacts manuelle
Si vous ne voulez pas utiliser un annuaire actif comme LDAP pour vos informations de contacts, vous pouvez créer les contacts manuellement dans CA SDM.
Si l'hébergement multiclient est activé, sélectionnez le client hébergé approprié dans la liste déroulante.
Procédez comme suit :
  1. Dans la barre de menus du tableau de résultats, sélectionnez Fichier, Nouveau contact.
    La fenêtre Créer un contact s'affiche.
  2. Remplissez les champs de contact.
  3. Cliquez sur Enregistrer.
    Les informations relatives au contact sont enregistrées.
Champs de contact
Client hébergé
Spécifie le client hébergé associé au contact (pour les installations prenant en charge l'hébergement multiclient).
Informations de contact de ID
Spécifie un identificateur unique pour le contact. Si l'authentification d'utilisateur par défaut est utilisée, la valeur de ce champ est utilisée en tant que mot de passe lorsque l'utilisateur se connecte.
ID d'utilisateur
Spécifie le nom d'utilisateur du contact. Le contact utilise cette valeur pour se connecter au système.
Type de service
Indique le niveau de support reçu par le contact.
Partition de données
Spécifie la partition de données pour ce contact. Cette valeur détermine les enregistrements auxquels ce contact peut accéder.
Type d’accès
Indique le type d'accès. Le type d'accès détermine les fonctions système auxquelles le contact peut accéder.
Disponible
Indique si le contact est disponible pour les affectations de ticket.
Confirmer l'enregistrement du self-service
Indique si le contact reçoit une confirmation lors de la sauvegarde d'un enregistrement à partir de l'interface de self-service.
Groupe de clients hébergés de l'analyste
(Type de contact : analyste uniquement) Spécifie le groupe de clients hébergés dont l'analyste est responsable.
Pour configurer le contact, utilisez les contrôles suivants dans les onglets.
Notification
Définit les informations et la méthode de contact pour notifier le contact.
    • Sélectionnez la méthode de notification dans la liste déroulante (Courriel, Notification, Courriel-récepteur d'appels, xMatters/Notification ou xMatters/Courriel-récepteur d'appels) que vous souhaitez utiliser pour chaque niveau d'urgence de message pour ce contact.
      CA SDM prend en charge une seule méthode de notification à la fois. Si vous utilisez la méthode Courriel, vous ne pouvez pas utiliser la méthode Notification en même temps. Cela s'applique à toutes les méthodes de notification prédéfinies telles que Courriel, Notification, Courriel-récepteur d'appels, xMatters/Courriel, xMatters/Notification et xMatters/Courriel-récepteur d'appels.
      Les administrateurs de CA SDM doivent mettre à jour la méthode de notification manuellement dans la page des détails du contact si l'intégration de xMatters et de CA SDM est désactivée. Pour plus d'informations, consultez la rubrique Gestionnaire d'options xMatters.
    • Sélectionnez le planning valide pour chaque niveau d'urgence de notification.
Par exemple, vous pouvez affecter un planning régulier (semaine de cinq jours, huit heures par jour) à une notification normale et un planning de 24 heures à une notification urgente.
Adresse
Spécifie l'emplacement du contact.
Informations sur l'organisation
Spécifie les informations d'organisation administrative ou fonctionnelle, de service, de centre de coûts ou de fournisseur pour le contact.
Environnement
Spécifie l'environnement du contact (par exemple, équipement, logiciel et services).
Groupes
Affecte un contact à un groupe (ensemble de contacts avec un domaine de responsabilité commun).
Rôles
Affecte le contact à un ou plusieurs rôles.
Contrats de service
Affiche tous les contrats de service associés au contact.
Traitement spécial
Répertorie les contacts de traitement spécial et vous permet de rechercher et d'associer un contact à un type de traitement spécial, tel qu'un visiteur ou un risque de sécurité.
Journal des événements
Répertorie les événements associés au contact, tels que des activités de self-service et de connaissances.
Activités
Répertorie le journal d'activité pour le contact.
Fusion des contacts à l'aide de LDAP
Vous pouvez synchroniser les contacts existants avec les données LDAP actuelles.
Procédez comme suit :
  1. Dans le tableau de résultats, sélectionnez Rechercher, Contacts.
    La page Rechercher un contact s'affiche.
  2. Remplissez les champs de filtre comme vous le souhaitez (ou laissez tous les filtres vides afin de consulter la liste de tous les contacts), puis cliquez sur Rechercher.
    La page Liste des contacts s'affiche.
  3. Cliquez sur le contact que vous souhaitez modifier.
    La page Détail du contact s'affiche.
  4. Cliquez sur Modifier.
    La page Mettre à jour le contact s'affiche.
  5. Cliquez sur Fusionner le LDAP.
    La page Liste des entrées LDAP s'affiche. Si le contact que vous modifiez possède un enregistrement LDAP correspondant, il s'affiche sur cette page.
  6. Cliquez sur l'entrée LDAP.
    La page Détail du protocole LDAP s'affiche.
  7. Cliquez sur Fermer la fenêtre une fois que vous avez vérifié que la page Détail du protocole LDAP contient les données pour l'utilisateur correct.
  8. Cliquez avec le bouton droit de la souris sur l'entrée de la page Liste des entrées LDAP du contact que vous mettez à jour, puis sélectionnez Fusionner dans Contact.
  9. Cliquez sur Enregistrer dans la page Mettre à jour le contact.
Affectation de types d'accès à l'aide de groupes LDAP
HID_AssignAccessTypesLDAPGroup
Affectez automatiquement des valeurs de types d'accès aux contacts à l'aide d'un serveur LDAP (Lightweight Directory Access Protocol).
Pour activer cette fonctionnalité, vous devez installer les options ldap_enable_group et ldap_group_object_class.
Procédez comme suit :
  1. Sélectionnez Gestion des rôles et de la sécurité, Types d'accès dans l'onglet Administration.
  2. Sélectionnez le type d'accès que vous souhaitez associer à un groupe LDAP. Par exemple, sélectionnez Administration.
    Si l'option ldap_enable_group est installée, le champ Groupe d'accès LDAP s'affiche dans l'onglet Authentification Web.
    Si un groupe LDAP est déjà associé au type d'accès sélectionné, un lien vers le détail du groupe LDAP s'affiche. Cliquez sur le lien pour afficher une description en lecture seule du groupe LDAP et une liste de ses membres.
  3. Cliquez sur Modifier dans la page Détail du type d'accès pour associer un type d'accès à un groupe LDAP.
  4. Cliquez sur le lien Groupe d'accès LDAP.
  5. (Facultatif) Saisissez des critères de filtre si vous souhaitez limiter la recherche aux groupes LDAP qui vous intéressent.
  6. Sélectionnez le groupe LDAP que vous souhaitez associer à ce type d'accès.
  7. Cliquez sur Enregistrer.
    L'association du groupe LDAP sélectionné au type d'accès est terminée.
Mappage d'attributs
Les valeurs d'attribut d'enregistrement de contact de CA SDM sont synchronisées avec des valeurs d'attribut d'utilisateur de LDAP basées sur les définitions de mappage d'attributs dans le fichier $NX_ROOT/bopcfg/majic/ldap.maj.
L'extrait suivant de ldap.maj illustre le mappage. Les noms d'attribut situés dans la colonne de gauche (id) correspondent aux noms d'attribut de contact CA SDM. La colonne centrale (distinguishedName) contient les noms d'attribut de LDAP correspondants.
id distinguishedName STRING 512; last_name sn,pzLastName STRING ; first_name givenName,pzFirstName STRING ; middle_name initials,pzMiddleName STRING ; userid uid,sAMAccountName,pzUserName STRING ; phone_number telephoneNumber,pzWorkPhoneNumber STRING ;
Si un SREL (relation ou clé étrangère unique dans une autre table de base de données) existe dans CA SDM, la valeur d'attribut de contact est synchronisée avec la valeur LDAP correspondante. Si aucun SREL n'existe, il n'est pas créé automatiquement lors du traitement de la synchronisation LDAP.
Par défaut, le mappage d'attributs est configuré pour le schéma LDAP de Microsoft Active Directory. Vous pouvez au besoin changer le mappage en utilisant un fichier de mod.
Modification de mappage d'attribut
Vous pouvez modifier le mappage d'attribut par défaut.
Pour modifier le mappage d'attribut par défaut, effectuez les étapes suivantes.
  1. Accédez à $NX_ROOT/site/mods/majic et ouvrez le fichier .mod.
  2. Utilisez des instructions MODIFY dans le fichier .mod comme suit.
    • Les instructions MODIFY doivent toujours figurer au début du fichier.
    • Après les instructions MODIFY, tout champ supplémentaire ne se trouvant pas dans le fichier ldap.maj doit être indiqué à l'aide de la syntaxe illustrée dans l'exemple suivant.
    • Si vous définissez un champ qui contient un trait d'union dans le nom de l'attribut, vous devez entourer le nom de guillemets simples. A défaut, lorsque vous créez le fichier .mod, l'attribut échoue à cause d'une erreur de syntaxe. Par exemple, le nom d'attribut suivant doit être entouré de guillemets simples :
      c_nx_string1 'swsd-secret-question' STRING ;
  3. Enregistrez et fermez le fichier .mod.
  4. Redémarrez le service CA SDM.
    Le moteur Web ne démarre pas en cas d'erreur de syntaxe ou de casse.
    Vos modifications deviennent effectives.
Exemple : utilisation d'instructions MODIFY
L'exemple suivant explique comment modifier deux champs existants et en ajouter un.
// // Map CA SDM userid attribute to ADAM Userid // MODIFY ldap userid cn ; MODIFY ldap middle_name middleName ; OBJECT ldap LDAP { ATTRIBUTES LDAP_Entry{ contact_num employeeNumber STRING ; }; } ;
Utilisation des données LDAP par CA SDM pour les communications
Le
protocole LDAP (Lightweight Directory Access Protocol)
est un protocole de communications de réseau pour interroger et modifier des services d'annuaire exécutant sur un réseau TCP/IP. Un annuaire LDAP est une arborescence qui contient des entrées pour des utilisateurs gérant, des groupes, des ordinateurs, des imprimantes, et d'autres entités sur un réseau.
CA SDM peut être configuré pour accéder à un annuaire LDAP, qui vous permet d'utiliser des données LDAP de plusieurs façons :
  • Synchronisez des contacts avec les enregistrements d'utilisateur de LDAP. La synchronisation peut s'exécuter de la manière suivante :
    • A la connexion
      : lorsqu'un utilisateur se connecte au produit, si un enregistrement LDAP existe pour cet utilisateur, mais un enregistrement de contact correspondant n'existe pas, un enregistrement de contact est automatiquement créé à partir des informations LDAP.
    • Nouveau contact
      : lorsque vous créez manuellement un enregistrement de contact, vous pouvez sélectionner un enregistrement LDAP et fusionner ses valeurs d'attribut avec leurs champs correspondants dans le nouvel enregistrement de contact.
    • Mise à jour par lots
      : vous pouvez exécuter des tâches de traitement par lots pour automatiser les processus d'importation et de mise à jour des enregistrements de contact avec des informations des enregistrements LDAP correspondants.
      La synchronisation avec LDAP est un processus à une seule étape. Les données LDAP peuvent être utilisées pour créer et mettre à jour des contacts, mais le produit ne prend pas en charge les mises à jour de l'annuaire LDAP.
  • Affectez des types d'accès CA SDM basés sur l'appartenance au groupe LDAP.
  • Appliquez une méthode alternative d'authentification de CA SDM.
Le composant ldap_virtb fournit une fonctionnalité d'intégration LDAP sur les serveurs suivants, en fonction de votre configuration CA SDM et indépendamment du type de système d'exploitation utilisé :
  • Configuration conventionnelle : serveur principal ou secondaire
  • Configuration de disponibilité avancée : serveur d'arrière-plan ou d'applications
Le fichier de $NX_ROOT/bopcfg/majic/ldap.maj spécifie le mappage entre des attributs de LDAP et des attributs d'enregistrement de contact.
CA SDM requiert la présence d'une entrée dans le champ Nom des enregistrements LDAP pour la recherche, l'affichage et l'importation des données LDAP.
CA SDM prend en charge la
recherche par pages
, qui effectue des recherches dans tous les enregistrements de votre annuaire LDAP. La recherche par pages vous permet également d'importer de nouveaux enregistrements de contact ou synchroniser des enregistrements de contact existants d'un nombre d'enregistrements LDAP. Ces fonctionnalités sont cependant limitées si vous utilisez Sun Java System Directory Server ou Novell eDirectory, car ces serveurs LDAP ne prennent pas en charge la recherche par pages. Le cas échéant, vous pouvez uniquement rechercher, importer et synchroniser avec le nombre d'enregistrements LDAP spécifiés par NX_LDAP_MAX_FETCH. Pour plus d'informations sur la recherche par pages, reportez-vous au fichier NX.env.
Affectations de type d'Accès à partir des groupes LDAP
Vous pouvez configurer CA SDM pour affecter des valeurs de type d'accès à des contacts automatiquement, en fonction de l'appartenance à un groupe LDAP. Lorsque l'affectation de types d'accès automatique est activée, si un enregistrement utilisateur LDAP utilisé pour créer un contact appartient à un groupe LDAP associé à l'un des types d'accès CA SDM, ce type d'accès est automatiquement affecté au contact. Dans le cas contraire, le contact hérite du type d'accès par défaut.
Pour activer l'affectation automatique d'un type d'accès, vous devez installer les options ldap_enable_group et ldap_group_object_class.
Pour plus d'informations, reportez-vous à la section Configuration des options LDAP.
Authentification LDAP
Vous pouvez utiliser un annuaire LDAP pour authentifier les utilisateurs qui se connectent à CA SDM. L'authentification LDAP est disponible lorsque le composant d'authentification CA EEM est intégré à CA SDM, qui remplace la validation par défaut effectuée par le système d'exploitation hôte. Cette fonctionnalité ne s'applique que lorsque CA EEM est configuré pour utiliser un répertoire LDAP externe et que vous avez sélectionné l'authentification du SE comme type de validation d'un enregistrement de type d'accès.
Lorsqu'une fonctionnalité CA EEM est activée, les demandes de connexion sont vérifiées auprès du serveur CA EEM. Une demande de connexion est accordée uniquement si les événements suivants se produisent :
  • L'ID d'utilisateur spécifié correspond à un enregistrement de contact de CA SDM.
  • L'ID d'utilisateur correspond à un profil d'utilisateur dans CA EEM.
  • La combinaison de l'ID d'utilisateur et du mot de passe est validée par CA EEM.
Pour plus d'informations sur l'utilisation de CA EEM pour l'authentification et pour le déplacement du module d'authentification vers un serveur externe, reportez-vous à la section Procédure de déplacement du module d'authentification vers un serveur externe. Reportez-vous également à la section Affectation de types d'accès à l'aide de groupes LDAP.
Protocole TLS (Transport Layer Security)
Vous pouvez configurer CA SDM pour utiliser le protocole Transport Layer Security (TLS) pendant le traitement des informations LDAP. TLS, un protocole de communications sécurisé, est le successeur de Secure Socket Layer (SSL v3). Vous installez l'option de ldap_enable_tls pour activer TLS.
Si cette fonctionnalité est activée, toutes les communications entre CA SDM et le serveur LDAP sont chiffrées. Si cette fonctionnalité n'est
pas
activée, toutes les communications de données (y compris l'identifiant et le mot de passe administratifs utilisés pour accéder au serveur LDAP) sont envoyées en clair.
Pour plus d'informations sur la configuration de TLS, reportez-vous à la documentation du système d'exploitation et du serveur LDAP. Installez manuellement les options LDAP à l'aide du gestionnaire d'options de l'interface Web. Pour plus d'informations, reportez-vous à la section Configuration des options LDAP.