Documentation
Table of Contents
3 Authentification
Aper?u
Dans Administration ¡ú Authentification, vous pouvez sp¨¦cifier la m¨¦thode d'authentification globale des utilisateurs de Áú»¢¶Ä²©. Les m¨¦thodes disponibles sont l'authentification interne, HTTP et LDAP.
Notez que la m¨¦thode d'authentification peut ¨ºtre ajust¨¦e au niveau du groupe d'utilisateurs.
Par d¨¦faut, l'authentification interne Áú»¢¶Ä²© est utilis¨¦e globalement. Pour changer :
- vers HTTP - acc¨¦dez ¨¤ l'onglet ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ðs HTTP et entrez les d¨¦tails de l'authentification ;
- vers LDAP - s¨¦lectionnez LDAP comme authentification par d¨¦faut et entrez les d¨¦tails de l'authentification dans l'onglet ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ðs LDAP.
Une fois termin¨¦, cliquez sur Actualiser en bas du formulaire.
Authentification HTTP
L'authentification HTTP ou bas¨¦e sur un serveur Web (par exemple : Authentification basique, NTLM/Kerberos) peut ¨ºtre utilis¨¦e pour v¨¦rifier les noms d'utilisateur et les mots de passe. Notez qu'un utilisateur doit ¨¦galement exister dans Áú»¢¶Ä²©, cependant son mot de passe Áú»¢¶Ä²© ne sera pas utilis¨¦.
Faites attention ! Assurez-vous que l'authentification du serveur Web est configur¨¦e et fonctionne correctement avant de l'activer.
±Ê²¹°ù²¹³¾¨¨³Ù°ù±ðs de configuration :
| ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ð | Description |
|---|---|
| Activer l'authentification HTTP | Cochez la case pour activer l'authentification HTTP. |
| Formulaire de connexion par d¨¦faut | Sp¨¦cifiez s'il faut diriger les utilisateurs non authentifi¨¦s vers : Formulaire de connexion Áú»¢¶Ä²© - page de connexion Áú»¢¶Ä²© standard. Formulaire de connexion HTTP - page de connexion HTTP. Il est recommand¨¦ d'activer l'authentification bas¨¦e sur le serveur Web pour la page index_http.php uniquement. Si le formulaire de connexion par d¨¦faut est d¨¦fini sur 'Page de connexion HTTP', l'utilisateur sera automatiquement connect¨¦ si le module d'authentification du serveur Web d¨¦finit une connexion valide pour l'utilisateur dans la variable $_SERVER.Les cl¨¦s $_SERVER support¨¦es sont PHP_AUTH_USER, REMOTE_USER, AUTH_USER. |
| Supprimer le nom de domaine | Liste d¨¦limit¨¦e par des virgules des noms de domaine ¨¤ supprimer du nom d'utilisateur. Par exemple, comp,any - si le nom d'utilisateur est 'Admin@any', 'comp\Admin', l'utilisateur sera connect¨¦ en tant que 'Admin' ; Si le nom d'utilisateur est 'notacompany\Admin', la connexion sera refus¨¦e. |
| Connexion sensible ¨¤ la casse | D¨¦cochez la case pour d¨¦sactiver la connexion sensible ¨¤ la casse (activ¨¦e par d¨¦faut) pour les noms d'utilisateur. Par exemple, d¨¦sactivez la connexion sensible ¨¤ la casse et connectez-vous avec, par exemple, un utilisateur 'ADMIN' m¨ºme si l'utilisateur de Áú»¢¶Ä²© est 'Admin'. Notez qu'avec la connexion sensible ¨¤ la casse d¨¦sactiv¨¦e, la connexion sera refus¨¦e s'il existe plusieurs utilisateurs dans la base de donn¨¦es Áú»¢¶Ä²© avec un alias similaire (par exemple, Admin, admin). |
En cas d'authentification du serveur Web, tous les utilisateurs (m¨ºme avec un acc¨¨s ¨¤ l'interface web d¨¦fini sur Interne) seront authentifi¨¦s par le serveur Web et non par Áú»¢¶Ä²© !
Pour les utilisateurs internes qui ne peuvent pas se connecter avec des informations d'identification HTTP (avec le formulaire de connexion HTTP d¨¦fini par d¨¦faut) entra?nant l'erreur 401, vous pouvez ajouter une ligne ErrorDocument 401 /index.php?form=default aux directives d'authentification de base, qui sera redirig¨¦ vers le formulaire de connexion Áú»¢¶Ä²© habituel.
Authentification LDAP
L'authentification LDAP externe peut ¨ºtre utilis¨¦e pour v¨¦rifier les noms d'utilisateur et les mots de passe. Notez qu'un utilisateur doit ¨¦galement exister dans Áú»¢¶Ä²©, cependant son mot de passe Áú»¢¶Ä²© ne sera pas utilis¨¦.
Alors que l'authentification LDAP est d¨¦finie globalement, certains groupes d'utilisateurs peuvent toujours ¨ºtre authentifi¨¦s par Áú»¢¶Ä²©. Ces groupes doivent avoir un acc¨¨s ¨¤ l'interface web d¨¦fini sur Interne. ? l'inverse, si l'authentification interne est utilis¨¦e de mani¨¨re globale, les d¨¦tails de l'authentification LDAP peuvent ¨ºtre sp¨¦cifi¨¦s et utilis¨¦s pour des groupes d'utilisateurs sp¨¦cifiques dont l'acc¨¨s ¨¤ l'interface web est d¨¦fini sur LDAP.
L'authentification LDAP Áú»¢¶Ä²© fonctionne au moins avec Microsoft Active Directory et OpenLDAP.
±Ê²¹°ù²¹³¾¨¨³Ù°ù±ðs de configuration :
| ±Ê²¹°ù²¹³¾¨¨³Ù°ù±ð | Description |
|---|---|
| Activer l'authentification LDAP | Cochez la case pour activer l'authentification LDAP. |
| H?te LDAP | Nom du serveur LDAP. Par exemple : ldap://ldap.zabbix.com Pour un serveur LDAP s¨¦curis¨¦, utilisez le protocole ldaps. ldaps://ldap.zabbix.com Avec OpenLDAP 2.xx et versions ult¨¦rieures, un URI LDAP complet de la forme ldap://hostname:port ou ldaps://hostname:port peut ¨ºtre utilis¨¦. |
| Port | Port du serveur LDAP. La valeur par d¨¦faut est 389. Pour une connexion LDAP s¨¦curis¨¦e, le num¨¦ro de port est normalement 636. Non utilis¨¦ lors de l'utilisation d'URIs LDAP complets. |
| DN de base | Chemin de base pour rechercher des comptes : ou=Users,ou=system (pour OpenLDAP), DC=company,DC=com (pour Microsoft Active Directory) |
| Attribut recherch¨¦ | Attribut de compte LDAP utilis¨¦ pour la recherche : uid (pour OpenLDAP), sAMAccountName (pour Microsoft Active Directory) |
| DN de lien | Compte LDAP pour la liaison et la recherche sur le serveur LDAP, exemples : uid=ldap_search,ou=system (pour OpenLDAP), CN=ldap_search,OU=user_group,DC=company,DC=com (pour Microsoft Active Directory) La liaison anonyme est support¨¦e depuis Áú»¢¶Ä²© 4.0.4. |
| Connexion sensible ¨¤ la casse | D¨¦cochez la case pour d¨¦sactiver la connexion sensible ¨¤ la casse (activ¨¦e par d¨¦faut) pour les noms d'utilisateur. Par exemple, d¨¦sactivez la connexion sensible ¨¤ la casse et connectez-vous avec, par exemple, un utilisateur 'ADMIN' m¨ºme si l'utilisateur de Áú»¢¶Ä²© est 'Admin'. Notez qu'avec la connexion sensible ¨¤ la casse d¨¦sactiv¨¦e, la connexion sera refus¨¦e s'il existe plusieurs utilisateurs dans la base de donn¨¦es Áú»¢¶Ä²© avec un alias similaire (par exemple, Admin, admin). |
| Mot de passe de lien | Mot de passe LDAP du compte pour la liaison et la recherche sur le serveur LDAP. |
| Tester l'authentification | En-t¨ºte d'une section ¨¤ tester |
| Connexion | Nom d'un utilisateur de test (actuellement connect¨¦ ¨¤ l'interface Áú»¢¶Ä²©). Ce nom d'utilisateur doit exister sur le serveur LDAP. Áú»¢¶Ä²© n'active pas l'authentification LDAP s'il ne parvient pas ¨¤ authentifier l'utilisateur pour le test. |
| Mot de passe de l'utilisateur | Mot de passe LDAP de l'utilisateur pour le test. |
En cas de probl¨¨me avec les certificats, vous devrez peut-¨ºtre ajouter une ligne d'autorisation TLS_REQCERT au fichier de configuration /etc/openldap/ldap.conf pour que la connexion LDAP s¨¦curis¨¦e (ldaps) fonctionne. Cela pourrait r¨¦duire la s¨¦curit¨¦ de la connexion au catalogue LDAP.
Il est recommand¨¦ de cr¨¦er un compte LDAP distinct (DN de lien) pour effectuer la liaison et la recherche sur le serveur LDAP avec des privil¨¨ges minimaux dans le protocole LDAP au lieu d'utiliser des comptes d'utilisateurs r¨¦els (utilis¨¦s pour la journalisation dans l'interface web de Áú»¢¶Ä²©).
Une telle approche offre davantage de s¨¦curit¨¦ et ne n¨¦cessite pas de changer le Mot de passe de lien lorsque l'utilisateur modifie son propre mot de passe sur le serveur LDAP.
Dans le tableau ci-dessus, il s'agit du nom du compte ldap_search.