Référence sur la sécurité et le chiffrement de NetBackup IT Analytics

Last Published:
Product(s): NetBackup IT Analytics (11.6)

Configuration AD/LDAP

NetBackup IT Analytics prend en charge l'authentification utilisateur et (facultatif) l'autorisation AD (Active Directory) ou LDAP (Lightweight Directory Access Protocol).

La configuration de l'authentification et de l'autorisation AD/LDAP dépend des paramètres de configuration du fichier portal.properties.

Propriétés de configuration AD/LDAP

La configuration AD/LDAP prend en charge les propriétés suivantes et peut être définie dans le fichier portal.properties.

Emplacement du fichier portal.properties spécifique au système d'exploitation :

  • Linux : /opt/aptare/portalconf/portal.properties

  • Windows : C:\opt\aptare\portalconf\portal.properties

Tableau : Propriétés de configuration AD/LDAP

Propriété

Description

ldap.enabled

Pour activer LDAP, définissez cette propriété sur true.

Valeurs prises en charge : true | false

ldap.searchBase

  • Emplacement à partir duquel la recherche d'utilisateurs sera effectuée dans l'annuaire d'authentification.

  • Souvent appelé Base de recherche Active Directory (AD), il s'agit du point de départ de l'arborescence Active Directory pour rechercher des utilisateurs LDAP. Cette base de recherche, au format de nom unique LDAP, contient un nom de domaine complet. NetBackup IT Analytics prend en charge une seule base de recherche.

Exemple : dc=example,dc=company,dc=com

ldap.url

  • Reprenez la valeur d'hôte et de port de votre système AD. Notez que cette valeur d'URL porte le préfixe ldap:. Si vous utilisez SSL, remplacez ce préfixe par ldaps.

  • Si vous utilisez Active Directory pour votre configuration LDAP externe, vous pouvez utiliser le port de catalogue global 3268 au lieu du port 389.

  • Si vous utilisez le protocole SSL, vous pouvez utiliser le port de catalogue global sécurisé 3269 ou 636 pour les préfixes LDAP standard.

Exemple : ldap://example.company.com:389 OU ldaps://example.company.com:636

ldap.dn

  • Reprenez l'ID d'un utilisateur autorisé à effectuer des recherches dans la BASE DE RECHERCHE. Cet utilisateur doit pouvoir effectuer des recherches sur tous les serveurs d'annuaire LDAP.

  • NetBackup IT Analytics requiert un utilisateur disposant des privilèges requis pour effectuer des recherches sous le nom unique de base (nom distinctif) de la structure Active Directory. Ce compte doit disposer des privilèges d'administration, généralement Administrateur. Il peut s'agir du compte administrateur créé lors de l'installation d'Active Directory, d'un compte créé avec des privilèges d'administration ou qui a été placé dans un groupe disposant de privilèges d'administration.

  • Si vous utilisez Active Directory, spécifiez ce paramètre, car les services Active Directory n'autorisent pas les liaisons anonymes. Microsoft Active Directory requiert le nom et le mot de passe d'un utilisateur disposant des privilèges suffisants pour effectuer des recherches dans l'annuaire LDAP.

Exemple : 

ldap.dn =CN=Admin,CN=Users,DC=example,
DC=company,DC=com

ldap.password

Reprenez le mot de passe de l'utilisateur qui est utilisé dans la propriété ldap.dn. Cette propriété devient vide et sa valeur chiffrée est définie dans la propriété ldap.password.encrypted lorsque vous redémarrez le service Portal Tomcat après avoir configuré LDAP.

ldap.password.encrypted

Cette propriété est définie lorsque vous redémarrez le service Portal Tomcat après avoir configuré LDAP. Elle utilise la valeur chiffrée de la propriété ldap.password.

ldap.loginAttribute

Attribut de connexion utilisé pour l'authentification. Il s'agit du nom d'attribut utilisé par Active Directory pour spécifier le nom d'utilisateur, tel que uid ou sAMAccountName.

Exemple : ldap.loginAttribute=sAMAccountName

ldap.authorization

Si cette propriété est définie sur true, le portail autorise l'utilisateur en fonction des groupes AD.

Au moins l'un des groupes AD dont le nouvel utilisateur est membre doit être configuré en tant que groupe d'utilisateurs dans le portail.

Remarque :

Si le groupe AD n'est pas mappé avec le groupe d'utilisateurs dans le portail, l'authentification échoue pendant la connexion et renvoie l'erreur : « Aucune cartographie de groupes d'utilisateurs présenté pour l'utilisateur externe LDAP ».

Valeurs prises en charge : true | false

ldap.newUserDomain

Nom du domaine du portail où le nouvel utilisateur est créé. Cette propriété n'est utilisée que si ldap.authorization est défini sur true.

Pour trouver le nom de domaine dans le portail, accédez à Administration > Domaines > Nom du domaine

Exemple : ldap.newUserDomain=example.company.com

ldap.keystore

Si la prise en charge de SSL est activée pour LDAP, elle doit inclure :

  • L'emplacement du chemin de keystore qui contient les certificats AD ;

  • L'autorisation aptare:tomcat.

Remarque :

Si SSL n'est pas activé pour LDAP, ajoutez une marque de commentaire.

ldap.keystore.password

Mot de passe du keystore qui est défini dans la propriété ldap.keystore. Cette propriété devient vide et sa valeur chiffrée est définie dans la propriété ldap.keystore.password.encrypted lorsque vous redémarrez le service Portal Tomcat après avoir configuré LDAP.

Remarque :

Si SSL n'est pas activé pour LDAP, ajoutez une marque de commentaire.

ldap.keystore.password.encrypted

Cette propriété est définie lorsque vous redémarrez le service Portal Tomcat après avoir configuré LDAP. Elle utilise la valeur chiffrée de la propriété ldap.keystore.password.

Remarque :

Si SSL n'est pas activé pour LDAP, ajoutez une marque de commentaire.

ldap.disable.user.attribute.name

(Disponible à partir de la version 11.0)

Sa valeur est l'attribut AD qui indique si l'utilisateur est actif ou inactif. Pendant l'authentification du portail via AD, l'API REST utilise l'attribut AD attribué à cette propriété pour vérifier si l'utilisateur est toujours un utilisateur AD actif.

Par exemple, si ad.user.active est l'attribut AD qui indique si un utilisateur est actif ou désactivé, ad.user.active doit être attribué à la valeur de cette propriété (ldap.disable.user.attribute.name=ad.user.active).

ldap.disable.user.attribute.value

(Disponible à partir de la version 11.0)

Sa valeur doit être identique à la valeur de l'attribut AD (spécifié dans ldap.disable.user.attribute.name), ce qui indique que l'utilisateur AD est désactivé.

Par exemple : si ad.user.active est l'attribut du statut de l'utilisateur dans AD, il peut avoir plusieurs valeurs telles que live, inactive, joined, etc. Si la valeur inactive indique que l'utilisateur est désactivé dans AD, inactive doit être défini comme valeur pour la propriété (ldap.disable.user.attribute.value=inactive).

L'API REST met cette valeur en correspondance avec la valeur de l'attribut AD spécifié dans la propriété ldap.disable.user.attribute.name. Si les valeurs correspondent, l'utilisateur est désactivé sur le portail NetBackup IT Analytics.

Remarque :

Un super utilisateur du portail doit explicitement activer l'utilisateur désactivé dans AD et dans le portail auparavant, mais de nouveau activé uniquement dans AD. Un administrateur de portail disposant des privilèges adéquats peut également activer cet utilisateur. Sans activation de l'utilisateur, l'accès au portail est restreint.

Pour configurer AD/LDAP en vue de l'authentification utilisateur et de son autorisation, l'administrateur du portail doit créer au moins un groupe d'utilisateurs dans le portail qui est également présent dans AD/LDAP en tant que groupe d'utilisateurs.

Prise en charge de LDAP via SSL

Si vous utilisez un certificat auto-signé ou un certificat AD provenant d'une autorité de certification non standard, vous devez disposer d'un Keystore comprenant un certificat AD et mettre à jour la configuration LDAP dans le fichier portal.properties. Vous pouvez ignorer cette étape si vous utilisez un certificat standard d'une autorité de certification.