Configuration LDAP

• Gestion centralisée des utilisateurs
• Pas besoin de maintenir des comptes utilisateurs séparés dans LEXOH
• Les utilisateurs s'authentifient avec leurs identifiants d'entreprise existants
• Synchronisation automatique avec les changements organisationnels
• Sécurité renforcée grâce aux politiques centralisées

Nom d'hôte du serveur

L'adresse IP ou le nom d'hôte de votre serveur LDAP.

Port du serveur

Le numéro de port sur lequel le serveur LDAP écoute.

LDAP sécurisé (LDAPS)

Activer cette option pour utiliser LDAP sur SSL/TLS pour une communication cryptée avec le serveur LDAP.

Qu'est-ce qu'un nom distingué?

Un nom distingué (DN) est un identifiant unique pour une entrée dans un annuaire LDAP. Il spécifie le chemin vers l'entrée dans la hiérarchie de l'arborescence d'annuaire.

Composants DN

Les noms distingués sont composés de plusieurs composants :

Contactez votre administrateur informatique ou utilisez des outils de navigation LDAP pour découvrir le DN correct pour votre organisation. Les outils courants incluent :

• Apache Directory Studio - Navigateur LDAP gratuit et client d'annuaire
• LDAP Admin - Outil d'administration LDAP basé sur Windows
• ldapsearch - Outil en ligne de commande (Linux/Unix)

1. Tentative de connexion : L'utilisateur saisit son nom d'utilisateur et son mot de passe dans le formulaire de connexion LEXOH
2. Connexion LDAP : LEXOH se connecte au serveur LDAP en utilisant le nom d'hôte et le port configurés
3. Recherche utilisateur : Le système recherche l'utilisateur dans l'annuaire en utilisant le DN de base
4. Authentification : Si l'utilisateur est trouvé, LEXOH tente de se lier (authentifier) en utilisant les identifiants fournis
5. Succès/Échec : Si l'authentification réussit, l'accès est accordé à l'utilisateur ; sinon, la connexion échoue
6. Création de session : En cas de succès, LEXOH crée une session et l'utilisateur est connecté

Microsoft Active Directory

OpenLDAP

Services de domaine Azure Active Directory

Procédure de test

1. Enregistrer vos paramètres de configuration LDAP
2. Déconnectez-vous du compte administrateur
3. Tentez de vous connecter en utilisant les identifiants d'un utilisateur LDAP
4. Vérifier l'authentification et l'accès réussis

• L'utilisateur peut se connecter avec son nom d'utilisateur et mot de passe d'annuaire
• Aucun message d'erreur n'apparaît lors de la connexion
• Le nom et les informations de l'utilisateur apparaissent correctement dans LEXOH
• Les permissions appropriées sont attribuées en fonction des groupes d'annuaire de l'utilisateur

❌ Impossible de se connecter au serveur LDAP

Symptômes : Délai de connexion ou erreurs "Connexion refusée"

Solutions :

• Vérifier que le nom d'hôte du serveur est correct et accessible depuis le serveur LEXOH
• Vérifier que le numéro de port est correct (389 pour LDAP, 636 pour LDAPS)
• S'assurer que les règles de pare-feu autorisent le trafic sur le port LDAP
• Tester la connectivité réseau en utilisant ping ou telnet
• Vérifier que le service LDAP est en cours d'exécution sur le serveur

❌ Échec d'authentification

Symptômes : La connexion échoue avec des identifiants valides

Solutions :

• Vérifier que le DN de base est correct pour votre structure d'annuaire
• Vérifier que le format du nom d'utilisateur correspond à votre configuration LDAP (par ex., username vs. username@domain.com)
• S'assurer que le compte utilisateur existe dans le chemin DN spécifié
• Vérifier que le compte utilisateur est activé et non verrouillé
• Vérifier les caractères spéciaux dans le nom d'utilisateur ou le mot de passe qui peuvent nécessiter un échappement

❌ Erreurs de certificat SSL/TLS

Symptômes : Erreurs "Échec de vérification du certificat" ou "Échec de négociation SSL"

Solutions :

• S'assurer que le certificat SSL du serveur LDAP est valide et non expiré
• Importer le certificat de l'autorité de certification (CA) dans le magasin de certificats approuvés du serveur LEXOH
• Vérifier que le nom d'hôte du certificat correspond au nom d'hôte du serveur dans la configuration
• Vérifier que le port 636 est utilisé pour les connexions LDAPS
• Pour les tests uniquement : Désactiver temporairement la vérification du certificat (non recommandé pour la production)

❌ Utilisateur non trouvé dans l'annuaire

Symptômes : Erreurs "Utilisateur non trouvé" ou "Nom d'utilisateur invalide"

Solutions :

• Vérifier que le DN de base inclut l'unité organisationnelle où les utilisateurs sont situés
• Vérifier que la portée de recherche d'utilisateur est configurée correctement (généralement recherche de sous-arborescence)
• Utiliser un outil de navigation LDAP pour vérifier que l'utilisateur existe à l'emplacement attendu
• S'assurer que l'attribut de nom d'utilisateur correspond à votre annuaire (par ex., sAMAccountName, uid, cn)
• Vérifier que le compte de service LEXOH a la permission de rechercher dans l'annuaire

Mesures de sécurité essentielles

• Toujours utiliser LDAPS : Activer LDAP sécurisé pour crypter les identifiants pendant la transmission
• Certificats valides : Utiliser des certificats SSL correctement signés par des autorités de certification approuvées
• Compte de liaison restreint : Si vous utilisez un compte de liaison, accordez-lui des permissions minimales en lecture seule
• Segmentation réseau : Placer les serveurs LDAP sur des segments réseau sécurisés avec des règles de pare-feu strictes
• Surveiller l'authentification : Activer la journalisation et surveiller les tentatives d'authentification échouées
• Mises à jour régulières : Maintenir le logiciel du serveur LDAP et la plateforme LEXOH à jour avec les correctifs de sécurité

Ne jamais utiliser LDAP non crypté (port 389) sans SSL/TLS dans les environnements de production. Les identifiants seront transmis en texte clair et peuvent être interceptés par des attaquants. Toujours configurer LDAPS (port 636) avec des certificats SSL valides.