LDAP par défaut
Cette partie concerne la configuration d’un annuaire par défaut pour une instance FlowerDocs.
Cette partie n’est pas à suivre dans le cas d’une configuration de l’annuaire à travers l’interface d’administration.
Accès
Pour configurer l’accès à l’annuaire d’entreprise, il nécessaire d’identifier le type nécessaire :
simple
: LDAP simple de type Apache Directory Server ou OpenLDAPad
: Microsoft Active Directoryad-ds
: Microsoft ADLDSembedded
: Apache Directory Server embarqué sur le port3389
Le type d’annuaire peut ensuite être défini par application WEB :
- Pour FlowerDocs GUI grâce à la propriété :
gui.ldap.type
- Pour FlowerDocs Core grâce à la propriété :
ws.ldap.type
Exemple : Configuration d’un serveur embarqué
gui.ldap.type=embedded
ws.ldap.type=simple
Pour configurer l’accès à l’annuaire LDAP, il est nécessaire de renseigner la propriété ldap.
Propriété | Valeur par défaut | Description |
---|---|---|
ldap.bind.url | ldap://localhost:389 | Adresse de l’annuaire |
ldap.bind.root | Noeud de base dans la structure LDAP | |
ldap.base.dn | Base de recherche des utilisateurs |
Note : Dans le cas où l’annuaire LDAP est embarqué, il est nécessaire d’ajouter la propriété ldap.bind.root
correspondant au noeud de base dans la strucutre LDAP.
Compte d’accès
Un compte de type admnistrateur doit être configuré permettant d’effectuer des actions :
- recherche d’utilisateur
- récupération d’utilisateur
- authentification
- etc.
Propriété | Description |
---|---|
ldap.bind.dn | Distinguished Name de l’utilistateur |
ldap.bind.password | Mot de passe de l’utilistateur |
Attributs / mapping
Afin de récupérer (ou authentifier) des utilisateurs contre l’annuaire configuré, il faut également définir :
Propriété | Description |
---|---|
ldap.attr.id | Attribut permettant de récupérer l’identifiant d’un utilisateur |
Exemples :
- MS Active Directory :
sAMAcountName
- MS Active Directory LDS :
uid
- Apache Directory Server :
uid
D’autres attributs utilisés pour le mapping d’utilisateur peuvent être définis :
Propriété | Description |
---|---|
ldap.attr.display.name | Attribut permettant de récupérer l’identifiant d’un utilisateur |
ldap.attr.password | Attribut permettant de récupérer le mot de passe d’un utilisateur |
Administration du LDAP
Création d’un utilisateur
Depuis l’interface d’administration, il est possible de créer des utilisateurs avec un mot de passe par défaut. Pour cela, le mot de passe ne doit pas être obligatoire.
Propriété | Description |
---|---|
ldap.default.password | Mot de passe par défaut si aucun n’est défini lors de la création |
ldap.user.password.mandatory | Booléen définissant le critère obligatoire du champ mot de passe |
La création d’utilisateurs ou de groupes ne peut être effectuée qu’à la racine du noeud d’accès au LDAP.
Exemple : Pour un MS Active Directory: <domaine>/<base DN>
Batch
Pour créer plusieurs utilisateurs en une seule requête, il est possible d’envoyer la requête :
Méthode :
POST
<UserBatch xmlns:ns2="http://flower.com/docs/domain/security" xmlns:ns3="http://flower.com/docs/domain/common"> <users> <ns3:id>user_id</ns3:id> <ns2:displayName>My Display name</ns2:displayName> <ns2:credentialsExpired>false</ns2:credentialsExpired> </users> </UserBatch>
Exemples de configuration
LDAP embarqué
ldap.bind.url=ldap://localhost:3389
ldap.bind.root=dc=arondor,dc=com
ldap.base.dn=ou=employees
ldap.attr.id=uid
ldap.bind.dn=uid=fadmin,ou=Administrators,ou=employees,dc=arondor,dc=com
ldap.bind.password=okidoki
ADLDS
ldap.bind.url=ldap://ldap.company.com:389
ldap.bind.root=dc=arondor,dc=dev
ldap.bind.dn=CN=fadmin,OU=Demo,OU=FlowerDocs,DC=arondor,DC=dev
ldap.bind.password=okidoki
ldap.base.dn=OU=Demo,OU=FlowerDocs
ldap.attr.id=CN
ldap.attr.display.name=displayName
OpenLDAP
OpenLDAP requiert que le base DN utilisé
ldap.bind.url=ldap://ldap.company.com:389
ldap.bind.root=
ldap.base.dn=dc=arondor,dc=dev
ldap.attr.id=CN
ldap.bind.dn=CN=admin,DC=arondor,DC=dev
ldap.bind.password=okidoki
ldap.attr.display.name=displayName