Authentification du serveur LDAP

Vous pouvez configurer Service Desk et Asset Manager de manière à authentifier les utilisateurs des services d'annuaire auprès d'un serveur LDAP (avec un mot de passe de domaine) au lieu d'utiliser le mot de passe d'un utilisateur Service Desk/Asset Manager. Cette procédure diffère de l'utilisation de la connexion intégrée et ne peut pas être combinée à la connexion intégrée, mais elle permet toutefois la gestion des comptes d'utilisateur hors de Service Desk/Asset Manager et l'utilisation d'un seul mot de passe par utilisateur. Le nom d'utilisateur fourni sert à rechercher le nom d'utilisateur externe à partir de la valeur Connexion utilisateur réseau. La valeur Données de connexion réseau et le mot de passe fournis servent à l'authentification auprès de l'objet Directory Services indiqué dans la configuration.

L'utilisateur SA se connecte toujours avec la connexion explicite standard, passant outre à l'authentification LDAP.

L'authentification LDAP n'est pas prise en charge dans Workspaces.

Pour pouvoir utiliser l'authentification par le serveur LDAP, vous devez utiliser le composant Administration de la console Ivanti pour ajouter des données de connexion réseau à des utilisateurs et indiquer les noms distinctifs (DN) LDAP :

  • Pour l'authentification auprès d'eDirectory :
    CN=nom,O=entreprise
  • Pour l'authentification auprès d'Active Directory :
    CN=utilisateur.nom,CN=users,DC=domaine,DC=com

Vous pouvez configurer l'authentification du serveur LDAP pour Active Directory ou eDirectory, puis choisir d'utiliser le port de texte en clair (par défaut, 389) ou le port SSL/TLS (par défaut, 636).

Pour configurer l'authentification sur le serveur LDAP pour Active Directory :

  1. Sur votre serveur Web Ivanti, dans les deux dossiers C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework et C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (où servicedesk est le nom d'instance), mettez à jour la valeur <ServerObject> dans le fichier DirectoryServiceAuthentifictionConfiguration.xml pour qu'elle pointe vers le serveur LDAP. N'oubliez pas le numéro de port approprié.

Par exemple :

<ServerObject>LDAP://servername:389/cn=users,dc=company,dc=com</ServerObject>

Indiquez le numéro du port SSL après le nom du serveur. Les valeurs par défaut sont 389 pour le port de texte en clair et 636 pour le port SSL.

  1. Dans les deux copies de DirectoryServiceAuthentifictionConfiguration.xml, mettez à jour la valeur <AuthenticationType>. Si vous utilisez le port de texte en clair, définissez cette valeur sur Aucun ; pour le port SSL, définissez-la sur Sécurisé. Par exemple, si vous utilisez le port SSL, entrez :

<AuthenticationType>Secure</AuthenticationType>

  1. Dans les deux fichiers ..ProgramData\LANDesk\ServiceDesk\servicedesk.Framework\tps.config et ..ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess\tps.config, ajoutez la ligne suivante :

<add key="AuthenticationProvider" value="Touchpaper.Integrations.LDAPLogon.DirectoryServiceAuthenticationProvider" />

  1. Dans le Centre de configuration Ivanti, ouvrez l'instance requise.
  2. En regard de l'application Service Desk Framework, cliquez sur Modifier.
    La boîte de dialogue Modifier l'application correspondant à Service Desk Framework s'affiche.
  3. Dans le groupe Paramètres de configuration, sélectionnez Explicite uniquement dans la liste Stratégie de connexion, puis cliquez sur OK.
  4. En regard de l'application Web Access, cliquez sur Modifier.
    La boîte de dialogue Modifier l'application correspondant à Web Access s'affiche.
  5. Dans le groupe Paramètres de configuration, sélectionnez Explicite uniquement dans la liste Stratégie de connexion, puis cliquez sur OK.

Lors de la connexion, vous utilisez le mot de passe réseau de l'utilisateur de domaine associé.

Pour configurer l'authentification sur le serveur LDAP pour eDirectory :

  1. Sur votre serveur Web Ivanti, dans les deux dossiers C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework et C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (où servicedesk est le nom d'instance), ouvrez OpenLDAPAuthentifictionConfiguration.xml ou OpenLDAPSSLAuthentifictionConfiguration.xml dans un éditeur de texte.
  2. Mettez à jour la valeur <Server> sur l'adresse IP du serveur LDAP.
  3. Mettez à jour la valeur <Port> sur le port approprié (les valeurs par défaut sont 389 pour le port de texte en clair ou 636 pour le port SSL/TLS).
  4. Définissez la valeur <TestDN> sur un objet eDirectory que tous les utilisateurs peuvent lire. Cela permet de vérifier que cet objet peut être lu avec les références d'authentification fournies. (Par exemple, o=testdomain)
  5. Dans les deux fichiers ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config et ..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config, ajoutez la ligne :

<add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />

ou la suivante :

<add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />

  1. Dans le Centre de configuration Ivanti, ouvrez l'instance requise.
  2. En regard de l'application Service Desk Framework, cliquez sur Modifier.
    La boîte de dialogue Modifier l'application correspondant à Service Desk Framework s'affiche.
  3. Dans le groupe Paramètres de configuration, sélectionnez Explicite uniquement dans la liste Stratégie de connexion, puis cliquez sur OK.
  4. En regard de l'application Web Access, cliquez sur Modifier.
    La boîte de dialogue Modifier l'application correspondant à Web Access s'affiche.
  5. Dans le groupe Paramètres de configuration, sélectionnez Explicite uniquement dans la liste Stratégie de connexion, puis cliquez sur OK.

Lors de la connexion, vous utilisez le mot de passe réseau de l'utilisateur de domaine associé.

Journalisation des exceptions pour l'authentification du serveur LDAP

Si vous avez des difficultés à configurer l'authentification du serveur LDAP, vous pouvez activer la journalisation des exceptions pour identifier plus facilement le problème. Par défaut, cette option est désactivée ; il est recommandé de désactiver de nouveau la journalisation des exceptions une fois que vous avez terminé votre examen.

Pour activer la journalisation des exceptions pour l'authentification du serveur LDAP :

  1. Ouvrez le fichier XML de configuration de l'authentification approprié dans un éditeur de texte.
    Il s'agit de DirectoryServiceAuthentifictionConfiguration.xml, OpenLDAPAuthentifictionConfiguration.xml ou OpenLDAPSSLAuthentifictionConfiguration.xml.
  2. Modifiez la ligne suivante :
    <ShowExceptions>false</ShowExceptions>
    Elle doit devenir :
    <ShowExceptions>true</ShowExceptions>
    Enregistrez ensuite les changements.