Si vous souhaitez utiliser un serveur Active Directory pour authentifier les utilisateurs, quand vous configurez les paramètres de votre Management Server, vous devez définir les informations de connexion pour le serveur Active Directory.
Le compte administrateur principal est toujours géré par Management Server, mais vous pouvez utiliser Active Directory Server pour gérer les autres comptes utilisateurs. Lorsqu'un utilisateur d'un serveur d'authentification externe se connecte à Management Server, le serveur envoie ces informations au serveur Active Directory externe. Le serveur Active Directory indique alors à Management Server si l'utilisateur est valide ainsi que les groupes auxquels il appartient. Le Management Server compare alors l'utilisateur et les groupes avec ses listes d'utilisateurs et de groupes et les stratégies de rôles qui y sont associées.
Avant de pouvoir utiliser les utilisateurs et les groupes depuis votre Active Directory Server pour une administration basée sur des rôles, vous devez permettre à votre Management Server de se connecter à votre Active Directory Server. Vous devez également spécifier au moins un domaine Active Directory comprenant des entrées de service (SRV) valides et vérifier que LDAPS est activé sur le serveur Active Directory. Pour se connecter à l’Active Directory Server pour l'Authentification LDAP, le Management Server envoie une requête DNS au domaine spécifié du serveur.
Pour établir une connexion sécurisée à votre serveur Active Directory, votre Management Server doit pouvoir valider le certificat serveur SSL employé par votre serveur Active Directory. Les certificats SSL signés par les Autorités de Certification publiques (CA) les plus connues sont automatiquement approuvés. Pour obtenir la liste des Autorités de Certification publiques approuvées, consultez le fichier readme.txt sur l'ordinateur hébergeant Management Server à l'emplacement suivant : \ProgramData\WatchGuard\wgauth\certs\readme.txt. Astuce !
Pour utiliser un certificat signé par un CA privé ne figurant pas dans la liste, vous devez importer le certificat CA sur le Management Server, comme indiqué dans la procédure ci-après. Il n'est pas nécessaire d'importer les certificats intermédiaires sur le Management Server. Le Management Server obtient le certificat serveur et les certificats intermédiaires auprès du serveur Active Directory. Le Management Server utilise le certificat CA racine pour valider la chaîne de certificats.
Pour utiliser l'authentification Active Directory avec votre Management Server, vous devez activer LDAPS (LDAP over SSL) dans le domaine Active Directory. Pour plus d'informations, référez-vous au site Internet de Microsoft ou à la documentation de votre Active Directory Server.
Pour activer et configurer l'authentification Active Directory, dans WatchGuard Server Center :
- Dans l'arborescence Serveurs, sélectionnez Management Server.
- Sélectionnez l'onglet Active Directory.
La page Active Directory s'ouvre. - Cochez la case Activer l'authentification Active Directory.
- Pour ajouter, modifier ou supprimer un domaine dans la liste Nom de domaine, cliquez sur Ajouter / Supprimer. Vous pouvez avoir dans cette liste plusieurs noms de domaines.
La boîte de dialogue Ajouter des domaines s'affiche.
- Pour ajouter un nom de domaine à la liste, dans la zone de texte Indiquer nom du domaine, tapez le nom du domaine Active Directory.
Spécifiez le même domaine dans l'entrée SRV du serveur Active Directory. Astuce !
Le contrôleur de domaine Active Directory utilise SSL pour se connecter à Active Directory Server. - Cliquez sur Ajouter.
- Répétez les étapes 4 - 6 pour ajouter d'autres noms de domaine à la liste.
- Pour supprimer un nom de domaine de la liste, sélectionnez celui-ci et cliquez sur Supprimer.
- Cliquez sur OK pour fermer la boîte de dialogue Ajouter des Domaines.
Les noms de domaines que vous avez choisis sont affichés dans la liste Nom de domaine. - Pour une vérification du certificat SSL, cochez la case Valider le certificat SSL du contrôleur de domaine.
- Pour importer un certificat d'autorité de certification, cliquez sur Importer et naviguez jusqu'au fichier de certificat d'autorité de certification de votre choix.
- Pour vérifier votre connexion pour l'authentification Active Directory, cliquez sur Test.
La boîte de dialogue Test d'authentification AD s'affiche.
- Dans la boîte de dialogue Test d'Authentification AD, saisissez les informations d'identification de l'utilisateur à utiliser pour tester la connexion avec le serveur Active Directory.
Assurez-vous de saisir le nom d'utilisateur au format UPN [email protected]. - Cliquez sur OK.
Management Server teste la connexion au serveur Active Directory. - Cliquez sur Appliquer pour enregistrer vos modifications.