Utiliser les Paramètres Active Directory ou LDAP Facultatifs

Lorsque Fireware contacte le serveur d'annuaire (Active Directory ou LDAP) pour rechercher des informations, il peut obtenir des informations supplémentaires dans les listes d'attributs de la réponse à la recherche envoyée par le serveur. Cela vous permet d'utiliser le serveur d'annuaire pour attribuer des paramètres supplémentaires à la session de l'utilisateur authentifié, notamment des délais d'attente et des adresses Mobile VPN. Étant donné que les données proviennent d'attributs associés à des objets d'utilisateur individuel, vous pouvez définir ces paramètres pour chaque utilisateur individuel. Vous n'êtes pas limité aux paramètres globaux spécifiés dans le fichier de configuration du périphérique.

Avant de Commencer

Pour utiliser ces paramètres facultatifs, vous devez :

  • développer le schéma d'annuaire pour ajouter de nouveaux attributs à ces éléments ;
  • rendre les nouveaux attributs disponibles pour la classe d'objets à laquelle les comptes d'utilisateurs appartiennent ;
  • donner des valeurs aux attributs pour les objets utilisateur qui doivent les utiliser.

Veillez à planifier et tester soigneusement votre schéma d'annuaire avant de l'étendre à vos annuaires. Les ajouts au schéma d'Active Directory, par exemple, sont en général irrémédiables. Utilisez le site Web Microsoft® afin d'obtenir des ressources pour planifier, tester et implémenter des modifications dans un schéma Active Directory. Consultez la documentation de votre fournisseur LDAP avant d'étendre le schéma pour d'autres annuaires.

Utiliser les paramètres Active Directory ou LDAP facultatifs

Vous pouvez spécifier les attributs supplémentaires que Fireware recherche dans la réponse du serveur d'annuaire.

  1. Sélectionnez Authentification > Serveurs.

    La page Serveurs d'Authentification s'affiche.

capture d'écran de la boîte de dialogue Serveurs d'authentification avec sélection de l'onglet Firebox

  1. Dans la liste Serveurs d'authentification, sélectionnez LDAP ou Active Directory et assurez-vous que le serveur est activé.
  2. Si vous avez sélectionné LDAP, dans la section Paramètres Facultatifs, entrez les attributs à inclure dans la recherche de répertoire dans les champs de chaîne, tel que défini dans la section suivante.

capture d'écran des Paramètres Facultatifs du Serveur LDAP

  1. Si vous avez sélectionné Active Directory:
    1. Sélectionnez un serveur et cliquez sur Modifier.
    2. Cliquez sur l'onglet Paramètres facultatifs.
    3. Entrez les attributs à inclure dans la recherche de répertoire dans les champs de chaîne, tel que défini dans la section suivante.
  2. Cliquez sur Enregistrer.
    Les paramètres de l'attribut sont enregistrés.
  1. Sélectionnez Configuration > Authentification > Serveurs d'Authentification.
    La boîte de dialogue Serveurs d'Authentification s'affiche.
  2. Sélectionnez l'onglet LDAP ou Active Directory et vérifiez que le serveur est activé.
  3. Si vous avez sélectionné LDAP :
    1. Cliquez sur Paramètres facultatifs.
      La boîte de dialogue Paramètres Facultatifs du serveur LDAP s'ouvre.
    2. Entrez les attributs à inclure dans la recherche de répertoire dans les champs de chaîne, tel que défini dans la section suivante.
    3. Cliquez sur OK.
      Les paramètres de l'attribut sont enregistrés.

Capture d'écran de la boîte de dialogue Serveurs d'authentification avec sélection de l'onglet LDAP

capture d'écran des Paramètres facultatifs du serveur LDAP

  1. Si vous avez sélectionné Active Directory:
    1. Sélectionnez un serveur et cliquez sur Modifier.
    2. Cliquez sur l'onglet Paramètres facultatifs.
    3. Entrez les attributs à inclure dans la recherche de répertoire dans les champs de chaîne, tel que défini dans la section suivante.
  2. Cliquez sur Enregistrer.
    Les paramètres de l'attribut sont enregistrés.

Chaînes d'Attribut Facultatif d'Active Directory et LDAP

Chaîne d'attributs IP

Ce paramètre s'applique uniquement aux clients Mobile VPN.

Entrez le nom de l'attribut que Fireware doit utiliser pour attribuer une adresse IP virtuelle au client Mobile VPN. Cet attribut doit comporter une seule valeur et une adresse IP au format décimal. L'adresse IP doit faire partie du pool d'adresses IP virtuelles que vous spécifiez lorsque vous créez le groupe Mobile VPN.

Si le Firebox ne voit pas l'attribut IP dans la réponse à la recherche, ou si vous n'en spécifiez aucun, il attribue au client Mobile VPN une adresse IP virtuelle à partir du pool d'adresses IP virtuelles créé lors de la formation du groupe Mobile VPN.

Chaîne d'attributs de masque réseau

Ce paramètre s'applique uniquement aux clients Mobile VPN.

Entrez le nom de l'attribut que Fireware doit utiliser pour attribuer un masque de sous-réseau à l'adresse IP virtuelle du client Mobile VPN. Cet attribut doit comporter une seule valeur et un masque de sous-réseau au format décimal.

Le logiciel Mobile VPN attribue automatiquement un masque de réseau si le périphérique ne trouve pas l'attribut de masque de réseau dans la réponse à la recherche ou si vous n'en spécifiez aucun dans le masque de réseau.

Chaîne d'attributs DNS

Ce paramètre s'applique uniquement aux clients Mobile VPN.

Entrez le nom de l'attribut qu'utilise Fireware pour attribuer une ou plusieurs adresses DNS au client Mobile VPN durant la session Mobile VPN. Cet attribut peut comporter plusieurs valeurs, mais doit avoir une adresse IP au format décimal avec points standard. Si le Firebox ne voit pas l'attribut de DNS dans la réponse à la recherche ou si vous n'en spécifiez aucun, il utilise les adresses WINS que vous spécifiez lorsque vous configurez les paramètres des serveurs DNS.

Pour plus d'informations sur la façon de configurer ces serveurs, consultez Configurer les Serveurs DNS et WINS pour Mobile VPN with IPSec.

Chaîne d'attributs WINS

Ce paramètre s'applique uniquement aux clients Mobile VPN.

Entrez le nom de l'attribut que Fireware doit utiliser pour attribuer une ou plusieurs adresses WINS au client Mobile VPN durant la session Mobile VPN. Cet attribut peut comporter plusieurs valeurs, mais doit avoir une adresse IP au format décimal avec points standard. Si le Firebox ne voit pas l'attribut de WINS dans la réponse à la recherche ou si vous n'en spécifiez aucun, il utilise les adresses WINS que vous spécifiez lorsque vous configurez les paramètres des serveurs WINS.

Pour plus d'informations sur la façon de configurer ces serveurs, consultez Configurer les Serveurs DNS et WINS pour Mobile VPN with IPSec.

Chaîne d'attributs de la durée du bail

Ce paramètre s'applique aux clients Mobile VPN et aux clients utilisant l'authentification d'accès au pare-feu.

Entrez le nom de l'attribut que Fireware doit utiliser pour contrôler la durée maximale pendant laquelle un utilisateur peut rester authentifié (délai d'expiration de la session). Une fois cette durée expirée, l'utilisateur est supprimé de la liste d'utilisateurs authentifiés. Cet attribut doit comporter une seule valeur. Fireware interprète la valeur de l'attribut comme un nombre décimal de secondes. Il interprète zéro comme jamais inactif.

Chaîne d'attributs de Délai d'Inactivité

Ce paramètre s'applique aux clients Mobile VPN et aux clients utilisant l'authentification d'accès au pare-feu.

Entrez le nom de l'attribut que Fireware utilise pour contrôler la durée pendant laquelle un utilisateur peut rester authentifié sans qu'aucun trafic à destination du Firebox ne provienne de l'utilisateur (délai d'inactivité). En l'absence de trafic vers le périphérique pendant cette durée, l'utilisateur est retiré de la liste d'utilisateurs authentifiés. Cet attribut doit comporter une seule valeur. Fireware interprète la valeur de l'attribut comme un nombre décimal de secondes. Il interprète zéro comme jamais inactif.

Voir Également

Configurer l'Authentification Active Directory

Configurer l'Authentification LDAP