Gateway

Configuration de l’authentification LDAP

Vous pouvez configurer NetScaler Gateway pour authentifier l’accès des utilisateurs à un ou plusieurs serveurs LDAP.

L’autorisation LDAP nécessite des noms de groupe identiques dans Active Directory, sur le serveur LDAP et sur NetScaler Gateway. Les caractères et la casse doivent également correspondre.

Par défaut, l’authentification LDAP est sécurisée à l’aide de Secure Sockets Layer (SSL) ou de Transport Layer Security (TLS). Il existe deux types de connexions LDAP sécurisées. Avec un type, le serveur LDAP accepte les connexions SSL ou TLS sur un port distinct du port utilisé par le serveur LDAP pour accepter les connexions LDAP claires. Une fois que les utilisateurs ont établi les connexions SSL ou TLS, le trafic LDAP peut être envoyé via la connexion.

Les numéros de port des connexions LDAP sont les suivants :

  • 389 pour les connexions LDAP non sécurisées
  • 636 pour les connexions LDAP sécurisées
  • 3268 pour les connexions LDAP non sécurisées Microsoft
  • 3269 pour les connexions LDAP sécurisées Microsoft

Le deuxième type de connexions LDAP sécurisées utilise la commande StartTLS et utilise le numéro de port 389. Si vous configurez les numéros de port 389 ou 3268 sur NetScaler Gateway, le serveur essaie d’utiliser StartTLS pour établir la connexion. Si vous utilisez un autre numéro de port, le serveur tente d’établir des connexions en utilisant SSL ou TLS. Si le serveur ne peut pas utiliser StartTLS, SSL ou TLS, la connexion échoue.

Si vous spécifiez le répertoire racine du serveur LDAP, NetScaler Gateway recherche l’attribut utilisateur dans tous les sous-répertoires. Dans les grands répertoires, cette approche peut affecter les performances. Pour cette raison, Citrix vous recommande d’utiliser une unité d’organisation spécifique.

Le tableau suivant contient des exemples de champs d’attribut utilisateur pour les serveurs LDAP :

serveur LDAP Attribut utilisateur Sensibles à
Serveur Microsoft Active Directory sAMAccountName Non
Novell eDirectory ou Oui
IBM Directory Server uid Oui
Lotus Domino CN Oui
Sun ONE directory (anciennement iPlanet) uid ou cn Oui

Ce tableau contient des exemples de nom unique de base :

serveur LDAP DN de base
Serveur Microsoft Active Directory DC =citrix, DC = local
Novell eDirectory ou=users, ou=dev
IBM Directory Server cn=utilisateurs
Lotus Domino OU=ville, O=Citrix, C = États-Unis
Sun ONE directory (anciennement iPlanet) OU=personnes, dc =citrix, dc = com

Le tableau suivant contient des exemples de nom unique de liaison :

serveur LDAP DN de liaison
Serveur Microsoft Active Directory CN = administrateur, CN = utilisateurs, DC =citrix, DC = local
Novell eDirectory cn=admin, o=citrix
IBM Directory Server LDAP_DN
Lotus Domino CN=Notes Administrateur, O=Citrix, C=US
Sun ONE directory (anciennement iPlanet) uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot

Remarque : Pour plus d’informations sur les paramètres du serveur LDAP, consultez la section Détermination des attributs dans votre annuaire LDAP.

Configuration de l’authentification LDAP