Configurer l’authentification LDAP dans Carto-SI¶
L’authentification LDAP a été dépréciée et nous vous encourageons à utiliser le SAML qui est à la fois plus sécurisé et plus simple à mettre en place.
Carto-SI offre la possibilité de déléguer l’authentification à un tiers de confiance.
La configuration se fait dans la tabulation Authentification de la page d’administration de Carto-SI accessible en cliquant sur le lien en haut à droite.
Sélectionnez le mode d’authentification LDAP.
Les options de configuration sont les suivantes :
Identifiant LDAP¶
Utilisateur doté du privilège de recherche dans LDAP tel qu’un administrateur.
Certains administrateurs créent un nouvel utilisateur doté uniquement de privilèges de recherche.
Exemple : cn=Administrateur,cn=Utilisateurs,dc=exemple,dc=com
Mot de passe LDAP¶
Mot de passe associé à l’Identifiant LDAP
DN du serveur LDAP¶
Paramètres de la base de recherche au format standard :
ou=unité d’organisation, dc=première partie du nom unique du serveur, dc=une partie du nom unique du serveur qui apparait après le point.
Exemple : ou=accounts,dc=exemple,dc=com
Vous pouvez en saisir plusieurs en les séparant par un point-virgule.
Filtre d’objets d’utilisateur LDAP¶
Filtre LDAP pour exclure des utilisateurs des DN.
Pour avoir l’ensemble de l’annuaire, utiliser : (objectclass=*)
Vous pouvez limiter la liste des utilisateurs à un groupe LDAP cn=groupe1,dc=exemple,dc=com avec la commande : (memberOf=cn=groupe1,dc=exemple,dc=com)
Il est possible de limiter l’accès à plusieurs groupes avec la commande : (|(memberOf=cn=groupe1,dc=exemple,dc=com)(memberOf=cn=groupe2,dc=exemple,dc=com)(memberOf=cn=groupe3,dc=exemple,dc=com))
Attribut utilisateur LDAP¶
Attribut LDAP contenant le nom de l’utilisateur (valeur par défaut : cn)
Attribut de l’email de l’utilisateur LDAP¶
Attribut LDAP contenant l’email (valeur par défaut : mail).
Attribut de connexion de l’utilisateur LDAP¶
Attribut LDAP servant au login (valeur par défaut : mail qui permet de se connecter en utilisant l’e-mail comme login).
L’attribut sAMAccountName peut être utilisé pour utiliser votre login AD si votre LDAP est votre Active Directory.