Novell Confidential Manual (FRA) 28 October 2003
Toute règle de placement d’un objet Abonné spécifie l’attribut d’assignation de nom d’une classe.
L’exemple suivant concerne le nom de classe Utilisateur. L’instruction <placement> indique que l’attribut uid sert d’attribut d’assignation de nom.
<placement-rule>
<match-class class-name="User"/>
<match-path prefix="\Novell-Tree\Novell\Users"/>
<placement>uid=<copy-name/>,ou=People,o=Netscape</
placement>
</placement-rule>
La règle de placement de l’objet Abonné ci-dessous indique que l’attribut ou sert d’attribut d’assignation de nom pour le nom de classe Unité organisationnelle.
<placement-rule>
<match-class class-name="Organizational Unit"/>
<match-path prefix="\Novell-Tree\Novell\Users"/>
<placement>ou=<copy-name/>,ou=People,o=Netscape</placement>
</placement-rule>
Configuration des règles de placement
1
Dans iManager, cliquez sur Gestion DirXML > Présentation.
2
3
4
Localisez le pilote dans son ensemble de pilotes.
Cliquez sur le pilote pour afficher la page de présentation du pilote.
Cliquez sur l’icône de la règle de placement de l’objet Éditeur ou Abonné et effectuez les modifications nécessaires.
Utilisation des groupes eDirectory
eDirectory et Netscape Directory Server utilisent des attributs de groupe différents. Le pilote doit par conséquent réaliser un traitement spécial. Sur le canal Éditeur, ce traitement s’effectue lorsque le pilote détecte l’attribut uniquemember dans le nom de classe groupofuniquenames.
Le pilote définit aussi l’attribut Équivalent à moi dans le groupe eDirectory. Cet attribut doit être inclus dans le filtre Editeur. Il n’est pas nécessaire de le faire figurer dans la règle d’assignation de schéma puisque le nom d’attribut eDirectory est utilisé. Il n’existe pas de nom d’attribut équivalent dans Netscape Directory Server. Aucun traitement spécial n’est requis sur le canal Abonné.
Configuration des connexions SSL
Le pilote utilise le protocole LDAP pour communiquer avec le serveur LDAP. La plupart des serveurs LDAP autorise des connexions non codées (texte clair). À condition d’être correctement configurés, certains serveurs LDAP autorisent en outre les connexions codées SSL. Les connexions
SSL ont pour effet de coder toutes les données du trafic au niveau du socket TCP/IP au moyen d’une paire de clés publique/privée. Le protocole LDAP réel reste le même ; c’est le canal de communication qui effectue le codage.
La procédure d’activation des connexions SSL diffère légèrement d’un serveur LDAP à l’autre.
Le présent document décrit le processus d’activation des connexions SSL en cas d’utilisation de
Netscape Directory Server 4.12.
« Étape 1 : Génération d’un certificat de serveur », page 40
« Étape 2 : Envoi de la requête de certificat », page 41
« Étape 3 : Installation du certificat », page 41
Personnalisation du pilote LDAP
39
Novell Confidential Manual (FRA) 28 October 2003
« Étape 4 : Activation de SSL dans Netscape Directory Server 4.12 », page 42
« Étape 5 : Exportation de la racine approuvée depuis l’arborescence eDirectory », page 42
« Étape 6 : Importation du certificat racine approuvé », page 42
« Étape 7 : Configuration des paramètres du pilote », page 43
Si vous utilisez un autre serveur LDAP, la procédure à suivre est similaire.
Étape 1 : Génération d’un certificat de serveur
Vous devez en premier lieu installer un certificat de serveur. Le serveur LDAP peut lui-même générer un certificat, mais ce dernier doit ensuite être signé par une autorité de certification qui a été approuvée par le serveur. L’un des moyens d’obtenir cette signature est d’utiliser l’autorité de certification fournie avec eDirectory.
Pour créer une requête de certificat :
1
Dans l’arborescence de navigation de la console Netscape, sélectionnez le serveur avec lequel le pilote va être amené à communiquer.
2
3
Cliquez sur Open Server (Ouvrir le serveur).
Cliquez sur Tasks > Certificate Setup Wizard (Tâches > Assistant de configuration de certificat).
4
Entrez les informations nécessaires pour obtenir un certificat.
Suivant les certificats ou les jetons susceptibles d’être déjà installés sur le système hôte, vous pouvez voir s’afficher quelques-uns ou la totalité des champs suivants :
Select a Token (Cryptographic Device): (Sélectionner un jeton (dispositif
cryptographique) :) sélectionnez Internal (Software) (Interne (logiciel)).
Is the Server Certificate Already Requested and Ready to Install? (Le certificat de
serveur a-t-il déjà été demandé et est-il prêt pour l’installation ?) sélectionnez No (Non).
Si aucune base de données approuvée n’existe déjà pour cet hôte, le système en génère une pour vous.
Une base de données approuvée est une base de données de paires de clés et de certificats installée sur l’hôte local. Lorsque vous utilisez un jeton interne, la base de données approuvée devient la base de données dans laquelle vous installez la clé et le certificat.
5
Entrez et confirmez le mot de passe.
Le mot de passe doit contenir au moins huit caractères, dont au moins un numérique. Ce mot de passe permet de sécuriser l’accès à la nouvelle base de données de clés que vous êtes en train de créer.
8
9
6
7
Continuez d’entrer les informations qui vous sont demandées, puis cliquez sur Next (Suivant).
Une fois la base de données approuvée créée, cliquez sur Next (Suivant).
Saisissez les informations demandées, puis cliquez sur Next (Suivant).
Entrez le mot de passe défini pour le jeton que vous avez précédemment sélectionné, puis cliquez sur Next (Suivant).
L’assistant de configuration de certificat génère une requête de certificat pour votre serveur.
Lorsque cet écran s’affiche, vous pouvez envoyer la requête de certificat à l’autorité de certification.
40
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
Étape 2 : Envoi de la requête de certificat
1
2
Copiez la requête de certificat de serveur dans le Bloc-notes ou dans un autre éditeur de texte.
Enregistrez le fichier en lui donnant le nom suivant : CSR.TXT.
Votre message électronique de requête de certificat doit ressembler à ce qui suit :
-----BEGIN NEW CERTIFICATE REQUEST-----
.
.
.
-----END NEW CERTIFICATE REQUEST----
6
7
8
3
4
5
Dans iManager, sélectionnez Novell Certificate Server > Émettre un certificat.
Dans le champ de nom de fichier, recherchez le fichier CSR.TXT, puis cliquez sur Suivant.
Sélectionnez Autorité de certification organisationnelle.
Spécifiez SSL comme type de clé, puis cliquez sur Suivant.
Spécifiez les paramètres du certificat, cliquez sur Suivant puis sur Terminer.
Enregistrez le certificat au format Base64 (il doit avoir le nom suivant : CERT.B64) sur un disque local ou sur disquette.
Étape 3 : Installation du certificat
1
Dans l’arborescence de navigation de la console Netscape, sélectionnez le serveur auquel le pilote va être connecté.
2
3
Cliquez sur Open (Ouvrir).
Cliquez sur Tasks > Certificate Setup Wizard (Tâches > Assistant de configuration de certificat).
4
5
Lancez l’assistant et indiquez que vous êtes prêt à installer le certificat.
Lorsque vous y êtes invité, entrez les informations suivantes :
Select a Token (Cryptographic Device): (Sélectionner un jeton (dispositif
cryptographique) :) sélectionnez Internal (Software) (Interne (logiciel)).
Is the Server Certificate Already Requested and Ready to Install? (Le certificat de
serveur a-t-il déjà été demandé et est-il prêt pour l’installation ?) sélectionnez Yes (Oui).
6
7
Cliquez sur Next (Suivant).
Dans le champ Install Certificate For (Installer le certificat pour), sélectionnez This Server
(Ce serveur).
8
Dans le champ Password (Mot de passe), entrez le mot de passe que vous avez utilisé pour définir la base de données approuvée, puis cliquez sur Next (Suivant).
9
Dans le champ Certificate Is Located in This File (Emplacement du certificat), entrez, sous forme absolue, le chemin d’accès au certificat, par exemple A: \CERT.B64.
10
11
Une fois le certificat généré, cliquez sur Add (Ajouter).
Une fois le certificat installé, cliquez sur Done (Terminé).
Personnalisation du pilote LDAP
41
Novell Confidential Manual (FRA) 28 October 2003
Étape 4 : Activation de SSL dans Netscape Directory Server 4.12
Après avoir installé le certificat, procédez comme suit pour activer SSL :
1
Dans l’arborescence de navigation de la console Netscape, sélectionnez le serveur pour lequel vous souhaitez utiliser le codage SSL.
2
3
Cliquez sur Open > Configuration > Encryption (Ouvrir > Configuration > Codage).
Entrez les informations suivantes :
Enable SSL (Activer SSL) : sélectionnez cette option.
Cipher Family (Famille de codage) : sélectionnez RSA.
Token to Use (Jeton à utiliser) : sélectionnez Internal (Software) (Interne (logiciel)).
Certificate to Use (Certificat à utiliser) : sélectionnez Server-Cert (Serveur-Cert).
Client Authentication (Authentification client) : comme le pilote ne prend pas en charge l’authentification du client, sélectionnez Allow Client Authentication (Autoriser l’authentification client).
4
5
Cliquez sur Save (Enregistrer).
Cliquez sur Tasks (Tâches), puis redémarrez le serveur pour que les modifications soient prises en compte.
Étape 5 : Exportation de la racine approuvée depuis l’arborescence eDirectory
5
6
7
1
2
3
4
Dans iManager, sélectionnez Administration eDirectory > Modifier l’objet.
Rechercher l’objet Autorité de certification (CA - Certificate Authority), puis cliquez sur OK.
Cliquez sur l’onglet Certificats.
Cliquez sur Exporter.
Cliquez sur Non à l’invite « Voulez-vous exporter la clé privée avec le certificat ? ».
Cliquez sur Suivant.
Dans le champ Nom de fichier, saisissez un nom de fichier (par exemple, CertClePublique), puis sélectionnez le format Base64.
8
Cliquez sur Exporter.
Étape 6 : Importation du certificat racine approuvé
Vous devez importer le certificat racine approuvé dans la base de données approuvée du serveur
LDAP et dans la zone de stockage des certificats du client.
Importation dans la base de données approuvée du serveur LDAP
Vous devez importer le certificat racine approuvé dans la base de données approuvée du serveur
LDAP. Le certificat de serveur étant signé par l’autorité de certification de eDirectory, la base de données approuvée doit être configurée de façon à approuver cette autorité de certification.
1
Dans la console Netscape, cliquez sur Tasks > Certificate Setup Wizard > Next (Tâches >
Assistant de configuration de certificat > Suivant).
2
Dans Select a Token (Sélectionner un jeton), acceptez la valeur par défaut indiquée pour
Internal (Software) (Interne (logiciel)).
42
Guide d’implémentation du pilote DirXML pour LDAP
Novell Confidential Manual (FRA) 28 October 2003
3
Dans Is the Server Certificate Already Requested and Ready to Install? (Le certificat de serveur a-t-il déjà été demandé et est-il prêt pour l’installation ?), sélectionnez Yes (Oui)
4
5
Cliquez sur Next (Suivant) deux fois.
Dans Install Certificate For (Installer le certificat pour), sélectionnez Trusted Certificate
Authority (Autorité de certification approuvée).
6
7
Cliquez sur Next (Suivant).
Sélectionnez l’option The Certificate Is Located in This File (Emplacement du certificat), puis entrez le chemin d’accès complet au fichier .b64 qui contient le certificat racine approuvé.
8
9
10
Cliquez sur Next (Suivant).
Vérifiez les informations à l’écran, puis cliquez sur Add (Ajouter).
Cliquez sur Done (Terminé).
Importation dans la zone de stockage des certificats du client
Vous devez importer le certificat racine approuvé dans une zone de stockage de certificats
(également appelé Keystore) que l’utilisateur puisse utiliser.
1
Utilisez la classe KeyTool qui se trouve dans rt.jar.
Par exemple, si votre certificat de clé publique est enregistré sous le nom de fichier
PublicKeyCert.b64 sur une disquette et que vous souhaitez l’importer dans un nouveau fichier de stockage de certificats appelé .keystore dans l’annuaire actif, saisissez les informations suivantes sur la ligne de commande : java sun.security.tools.KeyTool -import -alias TrustedRoot -file a:\PublicKeyCert.b64
-keystore .keystore -storepass keystorepass
2
Lorsque vous êtes invité à approuver ce certificat, entrez Yes (Oui), puis cliquez sur Enter
(Entrer).
3
Copiez le fichier .keystore dans n’importe quel répertoire du système de fichiers qui contient les fichiers de eDirectory.
4
5
6
Dans iManager, cliquez sur Gestion DirXML puis sur Présentation et recherchez les pilotes.
Cliquez sur l’objet Pilote LDAP puis cliquez de nouveau dessus à la page suivante.
Dans le paramètre Chemin d’accès Keystore, entrez le chemin d’accès complet au fichier
.keystore.
Étape 7 : Configuration des paramètres du pilote
Le tableau ci-dessous répertorie les paramètres du pilote, ainsi que ses valeurs par défaut dans les exemples de configuration.
Paramètre
Utiliser SSL pour les connexions LDAP
Port SSL
Chemin d’accès Keystore (pour certificats SSL)
Exemple de valeur de configuration
non
636
[vierge]
Personnalisation du pilote LDAP
43
Novell Confidential Manual (FRA) 28 October 2003
Utiliser SSL pour les connexions LDAP
Ce paramètre doit avoir la valeur Oui ou Non. Il indique s’il convient ou non d’utiliser des connexions SSL pour communiquer avec le serveur LDAP. Pour utiliser SSL, vous devez
également correctement configurer le serveur LDAP.
Pour plus d’informations, reportez-vous à
« Configuration des connexions SSL », page 39
.
Port SSL
Ce paramètre est ignoré sauf si la valeur Oui a été définie pour l’option Utiliser SSL pour les connexions LDAP. Il indique le port utilisé par le serveur LDAP pour les connexions sécurisées.
Chemin d’accès Keystore (pour certificats SSL)
Lorsque la valeur Oui est définie pour l’option Utiliser SSL pour les connexions LDAP, ce paramètre doit avoir pour valeur le chemin d’accès complet au fichier .keystore qui contient le certificat racine approuvé par l’autorité de certification (CA) qui a signé le certificat de serveur.
Pour plus d’informations sur la création du fichier .keystore, reportez-vous à la section
« Importation dans la zone de stockage des certificats du client », page 43 .
44
Guide d’implémentation du pilote DirXML pour LDAP
