Zoom sur… Newtest LDAP intégration - IP

Transcription

Juillet 2011
Zoom sur… Newtest LDAP intégration
L
a suite Newtest doit s’intégrer parfaitement dans votre Système d’Information afin,
notamment, d’en faciliter l’usage. La version NEP 2.1.1 ne déroge pas à cette règle en
vous proposant de bénéficier du Single Sign On (SSO) au niveau de Newtest
Management Console (NMC) et de Newtest Reporting (NRS). Vous et vos équipes pourrez
donc accéder directement à vos interfaces Newtest sans devoir vous ré-authentifier.
L’authentification unique via le LDAP devient un point central de l’architecture SI.
Site A
Utilisateur
Site B
Site Z
Utilisateur
Utilisateur
MailServer
Newtest
NMC
Supervision&
Gestion
LDAP
SI
AD
Application
Ged
NRS
reporting
extranet
Intranet
Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 1 Juillet 2011
Quels sont les prérequis techniques ?
L
a solution SSO Newtest se base sur le LDAP Active Directory de Microsoft. Les
prérequis sont donc les suivants :
‐
‐
‐
‐
‐
‐
‐
Disposer d’un LDAP de type Microsoft Active Directory
Avoir l’option LD AD sur la gamme de produits Newtest. Cette nouvelle
fonctionnalité est soumise à la licence « LDAP authentification » au niveau du
serveur NMC
Avoir un compte utilisateur qui dispose des droits pour naviguer dans l’Active
Directory
Avoir Newtest Management Console (NMC) et Newtest Reporting (NRS) dans le
même domaine que l’AD
Etre capable de naviguer dans la racine de l’AD à partir du NMC et du NRS avec
le compte utilisateur
S’assurer que l’URL du LDAP (de type LDAP://domain_name) est accessible
Etre mono domaine
Comment fonctionne Newtest SSO ?
ous utilisons l’information auth_login contenue dans le header HTTP. Nous
mémorisons dans nos repository une association groupe AD et type de profil
utilisateur Newtest. Lors de la demande de connexion, nous extrayons de l’AD les
membres appartenant aux groupes AD présents dans nos repository et vérifions
l’appartenance de l’utilisateur à un de ces groupes. Si cela est le cas, nous créons
dynamiquement l’utilisateur au niveau des systèmes Newtest en utilisant les informations de
l’AD et en lui appliquant les droits du profil utilisateur associé au groupe AD.
N
L’authentification SSO Newtest se base sur deux nouvelles URL :
Pour NMC : http://<nep-address>/nmcsso/login.aspx
Pour NRS : http://<nep-address>/nrssso/login.aspx
Ces deux répertoires virtuels de IIS pointent sur les mêmes ressources Web que les sites
avec authentification standard Newtest, à la différence que seul l’accès authentification
Windows est autorisé. L’analyse LDAP se contente d’interroger LDAP sur les groupes de
l’utilisateur. Un droit en lecture suffit.
L’analyse des groupes d’appartenance se base sur les « member of » du LDAP pour
l’utilisateur demandeur de login.
La récupération du user s’effectue par l’analyse du HTTP header à travers la lecture de la
variable auth_login.
Requête HTTP
Transit AUTH_LOGIN VIDE http
header
Accès anonyme
Rejet code 401
Rejet code 401+liste des
authentifications supportés
client
Requête HTTP header
authentification windows
iis
newtest
Ldap ad server
Transit AUTH_LOGIN user windows
http header
Authentification windows
Requête LDAP sur le user
Auth_LOGIN pour collecte de
member of
Si ok accès home page si ko accès
login.aspx
Accès home page si ok sinon
login.aspx
Le basculement de l’authentification Newtest vers l’authentification SSO LDAP AD s’appuie
sur la configuration du Virtual Directory NMC ainsi que sur les mécanismes de IIS.
Pour diagnostiquer, rapidement, le bon format du HTTP header, nous fournissons, à la racine
de nos sites, une page de test « httpheader.asp ». Celle-ci vous permet de vérifier la présence
et la valeur de la variable auth_login
Exemple
Variables
Values
ALL_HTTP
HTTP_CONNECTION:Keep-Alive HTTP_ACCEPT:image/gif,
image/x-xbitmap, image/jpeg, image/pjpeg, application/xshockwave-flash, application/vnd.ms-excel, application/vnd.mspowerpoint, application/msword, */*
HTTP_ACCEPT_LANGUAGE:fr
HTTP_COOKIE:NOPAut=Username=sysadmin&Password=E83
56458D210FB897885E7B35F4CAB4 HTTP_HOST:west
HTTP_USER_AGENT:Mozilla/4.0 (compatible; MSIE 7.0;
Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727;
InfoPath.1) HTTP_UA_CPU:x86
ALL_RAW
Connection: Keep-Alive Accept: image/gif, image/x-xbitmap,
image/jpeg, image/pjpeg, application/x-shockwave-flash,
application/vnd.ms-excel, application/vnd.ms-powerpoint,
application/msword, */* Accept-Language: fr Cookie:
NOPAut=Username=sysadmin&Password=E8356458D210FB8
97885E7B35F4CAB4 Host: west User-Agent: Mozilla/4.0
(compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322;
.NET CLR 2.0.50727; InfoPath.1) UA-CPU: x86
APPL_MD_PATH
/LM/W3SVC/1/ROOT/nmc
APPL_PHYSICAL_PATH
F:\nmc_210\Web\
AUTH_PASSWORD
AUTH_TYPE
AUTH_USER
CERT_COOKIE
CERT_FLAGS
CERT_ISSUER
CERT_KEYSIZE
CERT_SECRETKEYSIZE
CERT_SERIALNUMBER
CERT_SERVER_ISSUER
CERT_SERVER_SUBJECT
CERT_SUBJECT
CONTENT_LENGTH
0
CONTENT_TYPE
GATEWAY_INTERFACE
CGI/1.1
HTTPS
Off
HTTPS_KEYSIZE
HTTPS_SECRETKEYSIZE
HTTPS_SERVER_ISSUER
HTTPS_SERVER_SUBJECT
INSTANCE_ID
1
INSTANCE_META_PATH
/LM/W3SVC/1
LOCAL_ADDR
192.168.5.61
LOGON_USER
PATH_INFO
/nmc/httpheader.asp
PATH_TRANSLATED
F:\nmc_210\Web\httpheader.asp
QUERY_STRING
REMOTE_ADDR
192.168.5.200
REMOTE_HOST
192.168.5.200
REMOTE_USER
REQUEST_METHOD
GET
SCRIPT_NAME
/nmc/httpheader.asp
SERVER_NAME
west
SERVER_PORT
80
SERVER_PORT_SECURE
0
SERVER_PROTOCOL
HTTP/1.0
SERVER_SOFTWARE
Microsoft-IIS/6.0
URL
/nmc/httpheader.asp
HTTP_CONNECTION
Keep-Alive
HTTP_ACCEPT
image/gif, image/x-xbitmap, image/jpeg, image/pjpeg,
application/x-shockwave-flash, application/vnd.ms-excel,
application/vnd.ms-powerpoint, application/msword, */*
HTTP_ACCEPT_LANGUAGE
fr
HTTP_COOKIE
NOPAut=Username=sysadmin&Password=E8356458D210FB8
97885E7B35F4CAB4
HTTP_HOST
west
HTTP_USER_AGENT
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR
1.1.4322; .NET CLR 2.0.50727; InfoPath.1)
HTTP_UA_CPU
x86
Quelles sont les spécificités de la configuration des produits Newtest pour le SSO ?
P
our la configuration du SSO sous Newtest, nous vous conseillons de vous procurer la
documentation d’implémentation. Toutefois, voici les éléments spécifiques nécessaires
au bon fonctionnement de l’interconnexion de l’AD et de Newtest.
• Les clés de registres Windows
De nouvelles clés de registres Windows sont créées :
• base HKLM\SOFTWARE\Auditec sa\NEWTEST SERVER
clé valeur chaîne ADPassword : mot de passe de l’utilisateur du domaine
clé valeur chaîne ADUsername : utilisateur du domaine ayant les droits de
lecture au niveau du serveur LDAP
Clé de registre serveur reporting

•
base HKLM\SOFTWARE\Auditec sa\Enterpriseportal
clé valeur chaîne ADPassword : mot de passe de l’utilisateur du domaine
clé valeur chaîne ADUsername : utilisateur du domaine ayant les droits de
lecture au niveau du serveur LDAP

Les mots de passe sont cryptés durant l’utilisation de notre utilitaire configtool
(installdir\web\bin). Si pour une nécessité quelconque, vous deviez mettre à jour les données
des registres Windows, utilisez la commande :
configtool -adu « nom de l’utilisateur » -adp « mot de passe de l’utilisateur »
• Les paramètres d’application
Associés aux clés de registres, de nouveaux paramètres d’application sont liés à l’option
LDAP. Ils sont configurables via le menu de Gestion des paramètres d’application :
• LDAPServerAddress : URL LDAP utilisée pour toutes les requêtes vers l’AD
• LDAPAuthentification : booléen d’activation de l’authentification LDAP
Comment activer le SSO au niveau du NMC et du NRS ?
ette nouvelle fonctionnalité est soumise à la licence « LDAP authentification » au
niveau du serveur NMC. Il faut donc :
• Disposer d’une licence ayant l’option LDAP activée ;
• Activer l’authentification LDAP via les paramètres d’application ;
• Configurer l’utilisateur AD et le mot de passe utilisé pour l’interrogation de l’AD ;
• Renseigner l’URL du LDAP :
• Configurer les règles AD (menu utilisateurs/règles AD) : association groupe AD
et profil utilisateur Newtest ;
C
Attention les règles AD Newtest (association groupe AD et profil utilisateur Newtest) ne se
configurent qu’au niveau du serveur NMC. Ces même règles seront diffusées à Newtest
Reporting via le DWH par les lots ETL. Un déclenchement de transfert de données NMC/DWH
et DWH /Newtest Reporting est donc nécéssaire avant l’utilisation du SSO Newtest au niveau
du NRS.
Quelles sont les éléments de l’AD interrogés et obligatoires pour un bon
fonctionnement avec Newtest ?
otre interrogation LDAP est basée sur certains champs de l’AD.
N
Pour les groupes (génération des associations groupes AD profil utilisateur Newtest) :
Nom
objectClass
groupType
Obligatoire
Oui
Oui
cn
distinguishedName
sAMAccountName
member
Oui
Oui
Oui
Non
Valeur
group
-2147483646 ou 2147483640
Pour les utilisateurs (vérification d’appartenance au groupe AD référencés dans Newtest et
création du compte local Newtest):
Nom
objectClass
objectCategory
sAMAccountName
distinguishedName
userPrincipalName
sn
givenName
mail
homePhone
Obligatoire
Oui
Oui
Oui
Oui
Oui
Non
Non
Non
Non
Valeur
user
person
Nous parcourrons l’AD à partir de la racine. Mais seul certains types de groupe sont éligibles
pour l’association groupe AD et profil utilisateur Newtest.
La liste de tous les types présents dans l’Active Directory ainsi que tous les groupes utilisables
sont donnés dans le tableau ci-dessous : les groupes « global » et « universel » de type
security
Group Scope
Domain local
Global
Universal
Group Type
Security
NOK
OK
OK
Distribution
NOK
NOK
NOK
Quels sont les flux de données LDAP/AD /Newtest ?
N
otons trois mécanismes bien distincts :
•
définition des associations groupe AD et profil utilisateur Newtest : ce mécanisme se
base sur :
o interrogation à partir du root de l’AD de tous les groupes de type global ou
universel
o utilisation de l’utilisateur et mot de passe des clés de registre pour collecter la
liste des groupes AD
o utilisation de l’URL LDAP de tblconfig pour l’interrogation de l’AD
•
contrôle des droits d’accès d’un utilisateur du domaine en SSO
o récupération des groupes AD des ADRules de la base Newtest
o liste de tous les « member of » de ces groupes en utilisant l’utilisateur AD de la
registry
o vérification de la présence de l’utilisateur dans un de ces groupes
o si test OK
création de l’utilisateur s’il n’existe pas et s’il appartient à un groupe de
règles
démarrage de session
o si test KO
refus de connexion si l’utilisateur n’appartient pas à un des groupes de
règles
•
contrôle des droits d’accès d’un utilisateur de domaine se signant via la page
d’authentification Newtest
o test de connexion à l’AD en utilisant identifiant et mot de passe saisie dans la
page d’authentification Newtest
o si test OK
récupération des groupes AD des ADRules de la base Newtest
liste de tous les « member of » de ces groupes en utilisant l’utilisateur AD
de la registry
vérification de la présence de l’utilisateur dans un de ces groupes
si test OK
• création de l’utilisateur si il n’existe pas et s’il appartient à un
groupe de règles
• démarrage de session
si test KO
• refus de connexion si l’utilisateur n’appartient pas à un des groupes
de règles

Soit pour le contrôle des droits d’accès d’un utilisateur du domaine en SSO :
NEP user
Web Browser
Htlm header
AUTH_USER
Query NEP URL
IIS
5
Serveur LDAP
Home page access
2
NEP WEB SITE
Home Page
NEP WEB SITE
Login Page
Query member of Ad group
On LDAP://DEV_DOMAIN
Check auth_user
is member
3
Query Ad rules
Ad Groups
1
NMC Databases
Create user if necessary
4
Soit pour la définition des associations groupe AD et profil utilisateur Newtest :
NEP user
Nep Administration profile
IIS
Serveur LDAP
NEP WEB SITE
Adrules Page
Query Ad group
Global and universal on root domain
With Aduser and Adpassword
1
Write Ad rules
Bind Ad Groups and Newtest user profile
2
NMC Databases
Soit pour le contrôle des droits d’accès d’un utilisateur de domaine se signant via la page
d’authentification Newtest :
NEP user
Query NEP URL
IIS
6
1
Home page access
NEP WEB SITE
Home Page
Serveur LDAP
Connexion with user/password
LDAP://DEV_DOMAIN
NEP WEB SITE
Login Page
3
Query member of Ad group
Check auth_user
is a member
4
Query Ad rules
Ad Groups
2
NMC Databases
Create user if necessary
5
Comment installer cette fonctionnalité ?
Le document Newtest_LDAP_v11_EN.pdf permet la mise en service et la configuration des
différents éléments du SSO sous Newtest.
Siège social : 90 Boulevard National ‐ 92250 La Garenne‐Colombes ‐ France Tel.: (+33) 1 77 49 53 00 ‐ Fax: (+33) 1 49 64 03 80 ‐ www.ip‐label.com SAS au capital de 549,728 euros ‐ RCS Nanterre B 327 139 309 ‐ info@ip‐label.com l 15