Connexion à l’annuaire d’un utilisateur

Connexion du géoportail à une arborescence d’annuaire utilisateur

Geoportal Server prend en charge la gestion des utilisateurs grâce à l’intégration de différents fournisseurs LDAP. Les instructions du guide d’installation utilisent le serveur d’annuaire Apache pour l’exemple d’intégration d’annuaires. Il est possible que votre organisation utilise un autre logiciel de serveur d’annuaire. Cette rubrique vous indique comment procéder pour connecter le géoportail à ces différents systèmes. Cette section décrit également certains concepts importants concernant les annuaires et fournit des procédures de dépannage pour les cas où l’intégration d’annuaire du géoportail semble rencontrer des problèmes.

Concepts importants concernant les connexions aux annuaires

Vous trouverez ci-dessous la liste des concepts importants à comprendre pour configurer l’authentification LDAP du géoportail sur votre serveur d’annuaire.

  1. Logiciels d’exploration des annuaires : JXplorer et Apache Directory Studio

    Les outils JXplorer ou Apache Directory Studio téléchargeables gratuitement permettent d’explorer un serveur d’annuaire. Il ne s’agit pas de produits ESRI et le géoportail ne dépend pas de ces outils. Toutefois, comme un client de serveur d’annuaire est nécessaire à ces étapes de dépannage, les instructions ci-dessous supposent que vous avez installé et configuré ces outils ou un autre outil d’exploration des serveurs d’annuaire. Les exemples ci-dessous se rapportent à JXplorer.

  2. Arborescence d’annuaire DLAP

    L’annuaire LDAP doit être configuré dans une structure d’arborescence appelée DIT (Directory Information Tree, arborescence d’informations des annuaires). L’arborescence peut avoir plusieurs branches, les utilisateurs et les groupes étant définis comme des sous-branches. Vous trouverez ci-dessous une arborescence simple, avec des utilisateurs situés dans la branche "system\users" et des groupes situés dans la branche "system\groups".

    Dans la plupart des organisations, l’arborescence DIT est plus complexe. Elle peut rassembler des groupes pour différents niveaux d’autorité, régions, équipes de projet, etc. Il est fortement recommandé d’associer directement la structure de groupes créée aux rôles prédéfinis du géoportail. Si cela n’est pas possible, vous devrez, en collaboration avec votre administrateur système LDAP, associer au mieux vos groupes existants aux rôles du géoportail.

  3. Noms uniques

    Chaque utilisateur ou groupe dans l’arborescence DIT possède un identifiant unique : son nom unique (DN, Distinguished Name). Voici un exemple de nom unique pour l’utilisateur gptadmin dans la capture d’écran ci-dessous : cn=gptadmin,ou=users,ou=system. Le nom unique est constitué d’un identifiant unique (la partie cn), puis du chemin qui permet au géoportail d’accéder à cet utilisateur ou à ce groupe au sein de la structure DIT (les branches de l’arborescence DIT, qui correspondent aux parties ou). Vous pouvez utiliser votre logiciel d’exploration des annuaires pour copier le nom unique d’un utilisateur ou groupe dans l’arborescence DIT et renseigner le fichier gpt.xml avec des valeurs correctes. Connectez-vous à votre DLAP avec le logiciel d’exploration des annuaires, puis mettez en surbrillance à l’aide de la souris l’utilisateur ou le groupe dont vous souhaitez récupérer le nom unique. Si vous utilisez JXplorer, vous pouvez cliquer avec le bouton droit de la souris, puis sélectionner l’option Copier le nom unique. Vous pouvez maintenant coller cette valeur dans votre fichier gpt.xml.

Résolution des problèmes de connexion du géoportail au serveur d’annuaire

RemarqueRemarque :

Cet article part du principe que vous comprenez les concepts LDAP discutés ci-dessus dans Concepts importants concernant les connexions aux annuaires

Lorsque des problèmes surviennent lors de la transmission d’informations LDAP au géoportail, l’une des causes suivantes en est à l’origine dans la plupart des cas. Vous trouverez ci-dessous la procédure de résolution de ces problèmes.

  1. Noms uniques incorrects
  2. Problèmes avec searchDIT
  3. Problèmes avec le paramètre <ldapServiceAccount>

Dépannage des noms uniques incorrects

Dans ce cas, le nom unique (DN) d’un ou plusieurs des paramètres dans la section <roles>, <users> ou <groups> du fichier gpt.xml est incorrect. Vous trouverez ci-dessous les étapes permettant de résoudre ce problème :

  1. Ouvrez le fichier gpt.xml.
  2. Recherchez la section <ldapAdapter>.
  3. Examinez les valeurs suivantes et vérifiez que le nom unique correct est associé à chaque paramètre. N’oubliez pas que vous pouvez obtenir le nom unique exact d’un utilisateur ou d’un groupe en vous connectant à l’arborescence d’annuaire à l’aide du logiciel d’exploration des annuaires, puis en copiant le nom unique. Les exemples ci-dessous illustrent l’arborescence d’annuaire d’exemple affichée dans la section Concepts importants concernant les connexions aux annuaires ci-dessus :

    paramètre gpt.xml

    description

    exemple

    ldapConnectionProperties\ldapServiceAccount\catalogAdminDN

    Il s’agit du nom unique d’un membre du groupe des administrateurs du géoportail

    cn=gptadmin,ou=users,ou=system

    roles\role\ groupDN

    Ces trois paramètres existent et pointent vers le nom unique des trois groupes de rôles du géoportail : utilisateurs inscrits, éditeurs et administrateurs du géoportail.

    cn=gpt_registeredUsers,ou=groups,ou=system

    users\newUserDNPattern

    Il s’agit du chemin d’accès au nom unique qui indique où insérer une entrée utilisateur lorsqu’un nouvel utilisateur est créé sur la page d’inscription du géoportail.

    cn={0},ou=users,ou=system

    users\searchDIT

    Il s’agit du chemin d’accès au nom unique qui indique comment rechercher des utilisateurs dans l’arborescence DIT.

    ou=users,ou=system

    groups\searchDIT

    Il s’agit du chemin d’accès au nom unique qui indique comment rechercher les groupes de rôles du géoportail dans l’arborescence DIT.

    ou=groups,ou=system

AttentionAttention :

Si vous modifiez une de ces valeurs dans votre fichier gpt.xml, vous devez enregistrer le fichier et redémarrer l’application Web de votre géoportail pour que les changements entrent en vigueur.

Résolution des problèmes avec searchDIT

Si la branche users de l’arborescence DIT LDAP n’est pas accessible au géoportail, les utilisateurs associés aux groupes sont introuvables. Il s’agit de connaître les valeurs correctes dans les paramètres searchDIT. Le géoportail peut être capable de trouver vos groupes, mais il doit également être en mesure de trouver les utilisateurs affectés à ces groupes. Vous trouverez ci-dessous les étapes permettant de résoudre ce problème :

  1. Ouvrez votre logiciel d’exploration des annuaires, connectez-vous à votre configuration DLAP et notez l’emplacement de vos utilisateurs dans l’arborescence DIT.
  2. Notez maintenant l’emplacement des groupes du géoportail.
  3. Revérifiez les paramètres searchDIT pour les sections <users> et <groups> dans le fichier gpt.xml. Assurez-vous que vous avez indiqué correctement comment accéder aux branches des utilisateurs et des groupes dans l’arborescence DIT.

Résolution des problèmes avec le paramètre <ldapServiceAccount>

Le fichier gpt.xml comporte une section intitulée <ldapConnectionProperties>. Au sein de cette section, se trouve un paramètre <ldapServiceAccount> dans lequel deux utilisateurs sont définis. Il s’agit de l’utilisateur securityPrincipal et de l’utilisateur catalogAdminDN. Ces deux utilisateurs ont différentes fonctions et il n’est pas nécessaire qu’il s’agisse du même utilisateur.

  • L’utilisateur securityPrincipal permet la connexion au système LDAP et n’a pas besoin d’appartenir au groupe des administrateurs du géoportail (comme c’est le cas en général).
  • L’utilisateur catalogAdminDN est destiné à l’administrateur du catalogue du géoportail et doit appartenir au groupe des administrateurs du géoportail.
Vérifiez que votre securityPrincipal est défini pour pointer sur le nom unique de l’utilisateur doté des privilèges appropriés pour se connecter à LDAP et que votre catalogAdminDN est configuré sur le nom unique d’un administrateur du géoportail. Le graphique ci-dessous montre qu’il s’agit de deux utilisateurs distincts, ainsi que leur position dans notre arborescence DIT d’exemple.

Configurer le géoportail sur Windows Active Directory, Oracle Internet Directory ou IBM Tivoli Directory Server

Par défaut, l’intégration de l’annuaire utilisateur gpt.xml du géoportail est configurée pour Windows Active Directory. Cette section explique comment configurer le géoportail pour une intégration avec Windows Active Directory, Oracle Internet Directory ou IBM Tivoli Directory Server. Utilisez ces étapes et exemples comme point de départ. Il est probable que la configuration de votre organisation soit différente des exemples fournis. Les étapes à effectuer sont indiquées ci-dessous.

RemarqueRemarque :

Vous trouverez ci-dessous des captures d’écran d’exemple des configurations décrites. Dans ces exemples, les noms uniques sont des espaces réservés représentant la structure LDAP d’une organisation d’exemple. Les éléments susceptibles d’être modifiés pour prendre en charge le logiciel de serveur d’annuaire spécifique sont indiqués en jaune.

  1. Accédez au dossier \\geoportal\WEB-INF\classes\gpt\config et ouvrez le fichier gpt.xml dans un éditeur de texte, tel que le Bloc-notes.
  2. Dans le fichier gpt.xml, accédez à la section qui commence par la balise <ldapAdapter> et dans laquelle les informations de connexion LDAP sont définies.
  3. Configurez la section de définition LDAP comme l’indique le guide d’installation du géoportail, en ajoutant les entrées appropriées pour la connexion LDAP, les rôles, les utilisateurs et les groupes. Enregistrez le fichier.
  4. Si le logiciel de serveur d’annuaire est Windows Active Directory, procédez comme suit. Dans le cas contraire, passez à l’étape 5 ou 6 :
    • Dans displayNameAttribute de la balise <users>, remplacez cn par sAMAccountName.
    • Dans l’attribut usernameSearchPattern, modifiez (&(objectclass=person)(cn={0})) en (&(objectclass=person)(sAMAccountName={0})).
    • Dans l’élément <userAttributeMap> <attribute>, trouvez la clé correspondant à username. Modifiez l’attribut ldapName qui correspond de uid en sAMAccountName.
    • Dans l’élément <groups> memberAttribute, changez uniquemember en member.
    • Dans memberSearchPattern changez (&(objectclass=groupOfUniqueNames)(uniquemember={0})) en (&(objectclass=group)(member:1.2.840.113556.1.4.1941:={0})).
    • Exemple de fichier configuré :
    • Passez à l’étape 7.
  5. Si le logiciel de serveur d’annuaire est Oracle Internet Directory, procédez comme suit. Dans le cas contraire, passez à l’étape 6 :
    • Dans displayNameAttribute de la balise <users>, remplacez cn par uid.
    • Dans l’attribut usernameSearchPattern, modifiez (&(objectclass=person)(cn={0})) en (&(objectclass=person)(uid={0})).
    • Dans l’élément <userAttributeMap> <attribute>, trouvez la clé correspondant à username. Vérifiez que l’élément ldapName correspondant est uid.
    • Dans l’élément <groups>, recherchez l’attribut DynamicMemberOfGroupsAttribute et entrez controlid=2.16.840.1.113894.1.8.3.
    • Exemple de fichier configuré :
    • Passez à l’étape 7.
  6. Si le logiciel de serveur d’annuaire est IBM Trivoli, procédez comme suit :
    • Dans la balise dynamicMemberOfGroupsAttribute <groups>, entrez ibm-allgroups.
    • Dans l’élément dynamicMembersAttribute, entrez ibm-allmembers.
    • Dans l’élément memberAttribute, changez uniquemember en member.
    • Dans memberSearchPattern, changez &(objectclass=groupOfNames)(uniquemember={0})) en (&(objectclass=groupOfNames)(member={0})).
    • Exemple de fichier configuré :
    • Passez à l’étape 7.
  7. Enregistrez le fichier gpt.xml et redémarrez l’application Web du géoportail pour que les modifications prennent effet.

2/3/2014