Fournisseurs de sécurité : Activation des connexions LDAP, Active Directory, RADIUS et Kerberos

Utilisateurs et sécurité > Fournisseurs de sécurité

Fournisseurs de sécurité

Vous pouvez configurer votre serveur Bomgar pour qu'il authentifie les utilisateurs d'après des serveurs LDAP, RADIUS ou Kerberos existants, et pour attribuer des privilèges d'après la hiérarchie et les paramètres de groupe préexistants déjà spécifiés dans vos serveurs. Kerberos permet une authentification unique, tandis que RSA et d'autres mécanismes d'authentification à deux facteurs par RADIUS fournissent un niveau de sécurité supplémentaire.

Créer un fournisseur

Créez une nouvelle configuration de fournisseur de sécurité. Dans le menu déroulant, sélectionnez l'option pour créer un fournisseur LDAP, RADIUS ou Kerberos.

Afficher le journal

Affichez l'historique d'état pour la connexion d'un fournisseur de sécurité.

Synchroniser

Synchronisez les utilisateurs et les groupes associés avec un fournisseur de sécurité externe. La synchronisation se produit automatiquement une fois par jour. Cliquer sur ce bouton force une synchronisation manuelle.

Désactiver

Désactiver la connexion de ce fournisseur de sécurité. Ceci est utile pour les maintenances planifiées, lorsque vous voulez qu'un serveur soit hors ligne mais non effacé.

Modifier, supprimer

Modifier ou supprimer un élément existant.

Créer une copie

Créez une copie d'une configuration de fournisseur de sécurité existante. Ceci sera ajouté comme fournisseur de sécurité de niveau principal et non pas comme faisant partie d'un cluster.

Dupliquer le nœud

Créez une copie d'une configuration de fournisseur de sécurité en cluster existante. Ceci sera ajouté en tant que nouveau nœud dans le même cluster.

Mettre à niveau vers le cluster

Mettez à niveau un fournisseur de sécurité sur un cluster de fournisseur de sécurité. Pour ajouter d'autres fournisseurs de sécurité à ce cluster, copiez un nœud existant.

Modifier l'ordre

Cliquez sur ce bouton pour déplacer les fournisseurs de sécurité afin de définir leur priorité. Vous pouvez déplacer des serveurs à l'intérieur d'une grappe ; les grappes peuvent être déplacées dans leur intégralité. Cliquez sur Enregistrer l'ordre pour que les changements de priorité prennent effet.

Fournisseurs de sécurité :: Modifier - LDAP

Paramètres généraux

Nom

Créez un nom unique permettant d'identifier ce fournisseur.

Activé : ce fournisseur est activé

Si cette case est cochée, votre serveur Bomgar peut chercher ce fournisseur de sécurité lorsqu'un utilisateur tente de se connecter. Si elle n'est pas cochée, le fournisseur ne sera pas recherché.

Noms affichés d'utilisateur : Conserver le nom affiché synchronisé avec le système distant

Ces valeurs déterminent les champs qui devraient être utilisés en tant que nom privé et nom public de l'utilisateur.

Synchronisation : Activer le cache d'objet LDAP

Si ceci est coché, les objets LDAP visibles pour le serveur sont mis en cache et synchronisés toutes les nuits, ou manuellement si désiré. Lorsque cette option est utilisée, un nombre plus faible de connexions est établi avec le serveur LDAP pour des raisons administratives, ce qui peut potentiellement améliorer la vitesse et l'efficacité.

Si cette option est décochée, les changements apportés au serveur LDAP sont disponibles immédiatement, sans besoin de synchronisation. Cependant, lorsque vous apportez des changements aux règles d'utilisateur à travers l'interface d'administration, quelques connexions LDAP courtes peuvent avoir lieu si c'est nécessaire.

Pour les fournisseurs qui avaient le paramètre de synchronisation activé, désactiver ou décocher l'option de synchronisation provoquera l'effacement de tous les enregistrements mis en cache qui ne sont pas en cours d'utilisation.

Paramètres d'autorisation

Rechercher des groupes

Choisissez d'utiliser ce fournisseur de sécurité uniquement pour l'authentification d'utilisateurs, seulement pour les recherches de groupes, ou pour les deux.

Règle de groupe par défaut (Visible uniquement si l'authentification d'utilisateur est autorisée)

Chaque utilisateur qui s'authentifie auprès d'un serveur externe doit être membre d'au moins une règle de groupe pour pouvoir s'authentifier sur votre serveur Bomgar, en se connectant sur l'interface /login ou sur la console d'accès. Vous pouvez sélectionner une règle de groupe par défaut à appliquer à tous les utilisateurs autorisés à s'authentifier auprès du serveur configuré.

Notez que si une règle par défaut est définie, alors n'importe quel utilisateur qui s'authentifie sur ce serveur peut potentiellement avoir accès au niveau de cette règle par défaut. Il est donc recommandé de définir le défaut sur une règle avec le minimum de privilèges, pour empêcher les utilisateurs d'obtenir des autorisations que vous ne souhaitez pas qu'ils aient.

Remarque : si un utilisateur est dans une règle de groupe par défaut et qu'il est ensuite spécifiquement ajouté à une autre règle de groupe, les paramètres pour la règle spécifique prendront toujours le pas sur les paramètres par celle par défaut, même si la règle spécifique a une priorité plus basse que celle par défaut, et même si les paramètres de la règle par défaut n'autorisent pas le remplacement.

Paramètres de connexion

Nom de l'hôte

Saisissez le nom d'hôte du serveur sur lequel se trouve le magasin d'annuaire externe.

Remarque : si vous allez utiliser LDAPS ou LDAP avec TLS, le nom d’hôte doit correspondre au nom d’hôte utilisé dans le nom du sujet du certificat SSL public de votre serveur LDAP ou au composant DNS de son nom de sujet alternatif.

Port

Spécifiez le port de votre serveur LDAP. C'est généralement le port 389 pour LDAP, ou port 636 pour LDAPS. Bomgar permet également le catalogue global sur le port 3268 pour LDAP, ou 3269 pour LDAPS.

Chiffrement

Sélectionnez le type de cryptage à utiliser lors de la communication avec le serveur LDAP. Pour des raisons de sécurité, LDAPS ou LDAP avec TLS est recommandé.

Remarque : le LDAP envoie et reçoit des données en texte clair depuis le serveur LDAP, ce qui peut exposer des informations de comptes utilisateurs confidentielles au reniflage de paquets. LDAPS, et LDAP avec un cryptage TLS, cryptent les données utilisateur lors de leur transfert ; ces méthodes sont donc recommandées, plutôt que le LDAP classique. Le LDAP avec TLS utilise la fonction StartTLS pour initier une connexion de LDAP en texte clair, mais la fait ensuite passer en connexion cryptée. Le LDAPS initie la connexion sur une connexion cryptée sans envoyer aucune donnée en texte clair.

Si vous sélectionnez LDAPS ou LDAP avec TLS, vous devez transférer le certificat SSL racine utilisé par votre serveur LDAP. Ceci est nécessaire pour garantir la validité du serveur et la sécurité des données. Le certificat racine doit être au format PEM.

Remarque : si le nom de sujet du certificat SSL public du serveur LDAP ou le composant DNS de son nom de sujet alternatif ne correspond pas à la valeur du champ Nom de l'hôte, le fournisseur sera considéré comme inaccessible. Vous pouvez cependant utiliser un certificat à caractère générique pour certifier plusieurs sous-domaines du même site. Par exemple, un certificat pour *.example.com certifiera à la fois access.example.com et remote.example.com.

Informations d'authentification de liaison

Spécifiez un nom d'utilisateur et un mot de passe grâce auxquels votre serveur Bomgar peut se lier et effectuer une recherche sur le magasin d'annuaires LDAP.

Si votre serveur prend en charge les liaisons anonymes, vous aurez la possibilité de lier sans spécifier un nom d'utilisateur et un mot de passe. La liaison anonyme est considérée comme non sécurisée et est désactivée par défaut sur la plupart des serveurs LDAP.

Méthode de connexion

Si vous utilisez un magasin de répertoire externe sur le même réseau LAN que votre serveur Bomgar, il se peut que les deux systèmes puissent communiquer directement. Dans ce cas, vous pouvez laisser l'option Proxy à partir du serveur via l'agent de connexion décochée et poursuivre.

Comme votre magasin externe de dossiers ne se trouve pas sur le même réseau que votre serveur Cloud Bomgar, ils ne peuvent pas communiquer directement. L'utilisation d'un agent de connexion est donc nécessaire.

Si les deux systèmes ne peuvent pas communiquer directement, par exemple si votre serveur de répertoire externe se trouve derrière un pare-feu, vous devez utiliser un agent de connexion. Télécharger l'agent de connexion Win32 permet à votre serveur de répertoire et votre serveur Bomgar de communiquer par une connexion sortante chiffrée en SSL sans configuration de pare-feu. L'agent de connexion peut être téléchargé sur le serveur de répertoire ou sur un serveur séparé sur le même réseau que votre serveur de répertoire (recommandé).

Dans le cas ci-dessus, cochez Proxy à partir du serveur via l'agent de connexion. Créer un Mot de passe de l'agent de connexion à utiliser lors du processus d'installation de l'agent de connexion. Cliquez ensuite sur Télécharger l'agent de connexion, lancez l'installeur et suivez les instructions de l'assistant d'installation. Lors de l'installation, vous serez invité à saisir le nom du fournisseur de sécurité et le mot de passe de l'agent de connexion que vous avez créé ci-dessus.

Remarque : les clients du Cloud Bomgar doivent exécuter l'agent de connexion pour pouvoir utiliser un magasin externe de dossiers.

Type de répertoire

Pour aider à la configuration de la connexion réseau entre votre serveur Bomgar et votre fournisseur de sécurité, vous pouvez sélectionner un type de dossier comme modèle. Ceci pré-remplit les champs de configuration ci-dessous avec des données standard, mais celles-ci doivent être modifiées pour correspondre à la configuration spécifique de votre fournisseur de sécurité. Active Directory LDAP est le type de serveur le plus commun, mais vous pouvez configurer Bomgar pour qu'il communique avec la plupart des types de fournisseurs de sécurité.

Paramètres du cluster (Visible uniquement pour les clusters)

Algorithme de sélection des membres

Sélectionnez la méthode de recherche des nœuds dans ce cluster.

Du haut vers le bas essaie en premier le serveur ayant la plus haute priorité dans le cluster. Si ce serveur n'est pas disponible ou si le compte n'est pas trouvé, le serveur ayant la priorité suivante est essayé. La recherche se déplace dans la liste des serveurs en cluster jusqu'à ce que le compte soit trouvé ou qu'il soit déterminé que le compte n'existe sur aucun des serveurs spécifiés et disponibles.

En alternance est conçu pour équilibrer la charge entre plusieurs serveurs. L'algorithme choisit aléatoirement quel serveur essayer en premier. Si ce serveur n'est pas disponible, ou si le compte n'est pas trouvé, un autre serveur aléatoire est essayé. La recherche se poursuit aléatoirement parmi les serveurs restants dans le cluster jusqu'à ce que le compte soit trouvé ou qu'il soit déterminé que le compte n'existe sur aucun des serveurs spécifiés et disponibles.

Délai de nouvelle tentative

Réglez la durée devant s'écouler avant de pouvoir tenter à nouveau d'utiliser un membre de cluster indisponible.

Paramètres de schéma d'utilisateur

Remplacer les valeurs de cluster (Visible uniquement pour les nœuds du cluster)

Si cette option n'est pas cochée, ce nœud de cluster utilisera les mêmes paramètres de schéma que le cluster. Si cette option n'est pas cochée, vous pouvez modifier les paramètres de schéma ci-dessous.

Nom unique de base de recherche

Déterminez le niveau dans la hiérarchie de votre répertoire, spécifiée par un nom unique, où le serveur Bomgar devra commencer à chercher des utilisateurs. En fonction de la taille de votre magasin d'annuaires et des utilisateurs nécessitant des comptes Bomgar, vous pourrez améliorer les performances en désignant l'unité organisationnelle spécifique dans votre magasin d'annuaires qui requiert l'accès. Si vous n'êtes pas sûr, ou si les utilisateurs recouvrent plusieurs unités organisationnelles, vous pouvez aussi spécifier le nom unique de la racine de votre magasin d'annuaires.

Requête utilisateur

Spécifiez les informations de requête que le serveur Bomgar doit utiliser pour trouver un utilisateur LDAP lorsque l'utilisateur tente de se connecter. Le champ Requête utilisateur accepte une requête LDAP standard (RFC 2254 – Représentation en chaîne des filtres de recherche LDAP). Vous pouvez modifier la chaîne de requête pour personnaliser la façon dont vos utilisateurs se connectent et quels types de noms d'utilisateurs sont acceptés. Pour spécifier quelle valeur à l'intérieur de la chaîne doit correspondre au nom d'utilisateur, remplacer cette valeur par *.

Requête de navigation

La requête de navigation influence la façon dont les résultats sont affichés lors de la navigation par règles de groupe. Ceci filtre les résultats afin que seuls certains d'entre eux soient affichés dans la liste déroulante de sélection de membres lors de l'ajout de membres dans une règle de groupe.

Classes d'objets

Spécifiez des classes d'objets valides pour un utilisateur dans votre magasin d'annuaires. Seuls les utilisateurs possédant une ou plusieurs de ces classes d'objets seront autorisés à s'authentifier. Ces classes d'objets sont également utilisées avec les noms d'attribut ci-dessous pour indiquer à votre serveur Bomgar le schéma que le serveur LDAP utilise pour identifier les utilisateurs. Vous pouvez indiquer plusieurs classes d'objets, une par ligne.

Noms d'attribut

Spécifiez les champs à utiliser pour l'identificateur unique et le nom affiché d'un utilisateur.

Identificateur unique

Ce champ nécessite un identificateur unique pour l'élément. Bien que le nom unique puisse servir d'identificateur, le nom unique d'un utilisateur peut changer fréquemment au cours de la vie de l'utilisateur, avec un changement de nom ou d'emplacement, ou avec le changement de nom du magasin LDAP. Ainsi, la plupart des serveurs LDAP incorporent un champ unique pour chaque élément qui ne change pas pour la durée de vie de l'utilisateur. Si vous utilisez le nom unique comme identificateur unique et que le nom unique d'un utilisateur change, cet utilisateur sera considéré comme un nouvel utilisateur, et tout changement apporté spécifiquement au compte utilisateur Bomgar de cet individu ne sera pas reporté sur le nouvel utilisateur. Si votre serveur LDAP n'inclut pas d'identificateur unique, utilisez un champ dont il est peu probable que la valeur soit identique pour un autre utilisateur.

Utiliser le même attribut pour les noms affichés publics et privés

Si cette option est cochée, vous pouvez spécifier des valeurs séparées pour les noms privé et public de l'utilisateur.

Noms affichés

Ces valeurs déterminent quels champs doivent être utilisés comme le nom privé et le nom public de l'utilisateur.

Paramètres de schéma de groupe (Visible uniquement lors de recherches de groupe)

Nom unique de base de recherche

Déterminez le niveau dans la hiérarchie de votre répertoire, spécifiée par un nom unique, où le serveur Bomgar devra commencer à chercher des groupes. En fonction de la taille de votre magasin d'annuaires et des groupes nécessitant un accès au serveur Bomgar, vous pourrez améliorer les performances en désignant l'unité organisationnelle spécifique dans votre magasin d'annuaire qui requiert l'accès. Si vous n'êtes pas sûr, ou si les groupes recouvrent plusieurs unités organisationnelles, vous pouvez aussi spécifier le nom unique de la racine de votre magasin d'annuaire.

Requête de navigation

La requête de navigation influence la façon dont les résultats sont affichés lors de la navigation par règles de groupe. Ceci filtre les résultats afin que seuls certains d'entre eux soient affichés dans la liste déroulante de sélection de membres lors de l'ajout de membres dans une règle de groupe.

Classes d'objets

Spécifiez des classes d'objets valides pour un groupe dans votre magasin d'annuaires. Seuls les groupes possédant une ou plusieurs de ces classes d'objets seront retournés. Ces classes d'objets sont également utilisées avec les noms d'attribut ci-dessous pour indiquer à votre serveur Bomgar le schéma que le serveur LDAP utilise pour identifier les groupes. Vous pouvez saisir plusieurs classes d'objets de groupes, une par ligne.

Noms d'attribut

Spécifiez les champs à utiliser pour l'identificateur unique, et le nom affiché d'un groupe.

Identificateur unique

Ce champ nécessite un identificateur unique pour l'élément. Bien que le nom unique puisse servir d'identificateur, le nom unique d'un groupe peut changer fréquemment au cours de la vie du groupe, avec un changement d'emplacement, ou avec le changement de nom du magasin LDAP. Ainsi, la plupart des serveurs LDAP incorporent un champ unique pour chaque élément qui ne change pas pour la durée de vie du groupe. Si vous utilisez le nom unique comme identificateur unique et que le nom unique d'un groupe change, ce groupe sera considéré comme un nouveau groupe, et toutes les règles de groupes définies pour ce groupe ne seront pas reportées sur le nouveau groupe. Si votre serveur LDAP n'inclut pas d'identificateur unique, utilisez un champ dont il est peu probable que la valeur soit identique pour un autre groupe.

Nom affiché

Cette valeur détermine quel champ doit être utilisé comme nom affiché du groupe.

Relations utilisateurs-groupes

Ce champ appelle une requête pour déterminer quels utilisateurs appartiennent à quels groupes ou, inversement, quels groupes contiennent quels utilisateurs.

Effectuer une recherche de groupes récursive

Vous pouvez choisir d'effectuer une recherche de groupes récursive. Ceci lancera une requête pour un utilisateur, puis des requêtes pour tous les groupes auxquels l'utilisateur appartient, puis des requêtes pour tous les groupes auxquels ces groupes appartiennent, et ainsi de suite, jusqu'à ce que tous les groupes possibles associés à cet utilisateur aient été trouvés.

Lancer une recherche récursive peut avoir un impact considérable sur les performances, car le serveur continuera à émettre des requêtes jusqu'à ce qu'il trouve des informations sur tous les groupes. Si cela prend trop de temps, l'utilisateur ne pourra peut-être pas se connecter.

Une recherche non récursive n'émettra qu'une requête par utilisateur. Si votre serveur LDAP a un champ spécial contenant tous les groupes auxquels l'utilisateur appartient, la recherche récursive n'est pas nécessaire. La recherche récursive est également inutile si votre système de répertoire ne prend pas en charge les membres de groupes ou les groupes.

Tester les paramètres

Nom d'utilisateur et mot de passe

Saisissez un nom d'utilisateur et un mot de passe pour un compte qui existe sur le serveur que vous testez. Ce compte doit correspondre aux critères de connexion spécifiés dans la configuration ci-dessus.

Essayer d'obtenir des attributs d'utilisateur et des appartenances de groupes si les informations d'authentification sont acceptées

Si cette option est cochée, votre test d'informations d'authentification réussi tentera également de vérifier les attributs d'utilisateur et la recherche de groupe. Notez que pour que ces fonctions soient testées avec succès, elles doivent être prises en charge et configurées dans votre fournisseur de sécurité.

Démarrer le test

Si votre serveur est correctement configuré et que vous avez saisi un nom d'utilisateur et un mot de passe de test valides, vous recevrez un message de confirmation. Sinon, vous verrez un message d'erreur et un journal qui vous aidera à résoudre le problème.

Fournisseurs de sécurité :: Modifier - RADIUS

Paramètres généraux

Nom

Créez un nom unique permettant d'identifier ce fournisseur.

Activé : ce fournisseur est activé

Si cette case est cochée, votre serveur Bomgar peut chercher ce fournisseur de sécurité lorsqu'un utilisateur tente de se connecter. Si elle n'est pas cochée, le fournisseur ne sera pas recherché.

Noms affichés : Conserver le nom affiché synchronisé avec le système distant

Ces valeurs déterminent les champs qui devraient être utilisés en tant que nom privé et nom public de l'utilisateur.

Paramètres d'autorisation

N'autoriser que les utilisateurs suivants

Vous pouvez choisir d'autoriser l'accès seulement aux utilisateurs spécifiés sur votre serveur RADIUS. Saisissez chaque nom d'utilisateur séparé par un saut de ligne. Une fois qu'ils auront été saisis, ces utilisateurs seront disponibles dans le dialogue Ajouter membre de règle lors de la modification de règle de groupe sur la page /login > Utilisateurs et sécurité > Règles de groupe.

Si vous laissez ce champ vide, tous les utilisateurs qui s'authentifient grâce à votre serveur RADIUS seront autorisés ; si vous les autorisez tous, vous devez aussi spécifier une règle de groupe par défaut.

Recherche de groupe LDAP

Si vous voulez que les utilisateurs de ce fournisseur de sécurité soient associés à leurs groupes sur un serveur LDAP séparé, choisissez un ou plusieurs serveurs de groupe LDAP à utiliser pour la recherche de groupe.

Règle de groupe par défaut

Chaque utilisateur qui s'authentifie auprès d'un serveur externe doit être membre d'au moins une règle de groupe pour pouvoir s'authentifier sur votre serveur Bomgar, en se connectant sur l'interface /login ou sur la console d'accès. Vous pouvez sélectionner une règle de groupe par défaut à appliquer à tous les utilisateurs autorisés à s'authentifier auprès du serveur configuré.

Paramètres de connexion

Nom de l'hôte

Saisissez le nom d'hôte du serveur sur lequel se trouve le magasin d'annuaire externe.

Port

Spécifiez le port d'authentification pour votre serveur RADIUS. C'est en général le port 1812.

Méthode de connexion

Si vous utilisez un magasin de répertoire externe sur le même réseau LAN que votre serveur Bomgar, il se peut que les deux systèmes puissent communiquer directement. Dans ce cas, vous pouvez laisser l'option Proxy à partir du serveur via l'agent de connexion décochée et poursuivre.

Comme votre magasin externe de dossiers ne se trouve pas sur le même réseau que votre serveur Cloud Bomgar, ils ne peuvent pas communiquer directement. L'utilisation d'un agent de connexion est donc nécessaire.

Si les deux systèmes ne peuvent pas communiquer directement, par exemple si votre serveur de répertoire externe se trouve derrière un pare-feu, vous devez utiliser un agent de connexion. Télécharger l'agent de connexion Win32 permet à votre serveur de répertoire et votre serveur Bomgar de communiquer par une connexion sortante chiffrée en SSL sans configuration de pare-feu. L'agent de connexion peut être téléchargé sur le serveur de répertoire ou sur un serveur séparé sur le même réseau que votre serveur de répertoire (recommandé).

Dans le cas ci-dessus, cochez Proxy à partir du serveur via l'agent de connexion. Créer un Mot de passe de l'agent de connexion à utiliser lors du processus d'installation de l'agent de connexion. Cliquez ensuite sur Télécharger l'agent de connexion, lancez l'installeur et suivez les instructions de l'assistant d'installation. Lors de l'installation, vous serez invité à saisir le nom du fournisseur de sécurité et le mot de passe de l'agent de connexion que vous avez créé ci-dessus.

Secret partagé

Fournissez un nouveau secret partagé pour que votre serveur Bomgar et votre serveur RADIUS puissent communiquer.

Délai d'attente (secondes)

Définissez la durée d'attente maximale d'une réponse du serveur. Notez bien que si la réponse est Réponse-Accepter ou Réponse-Demande, alors RADIUS attendra pendant l'intégralité de la durée spécifiée ici avant d'authentifier le compte. Il est ainsi conseillé de garder cette valeur à un niveau aussi bas que possible, en fonction de vos paramètres réseau. Une valeur idéale est de 3-5 secondes, la valeur maximum étant de trois minutes.

Paramètres du cluster (Visible uniquement pour les clusters)

Algorithme de sélection des membres

Sélectionnez la méthode de recherche des nœuds dans ce cluster.

Du haut vers le bas essaie en premier le serveur ayant la plus haute priorité dans le cluster. Si ce serveur n'est pas disponible ou si le compte n'est pas trouvé, le serveur ayant la priorité suivante est essayé. La recherche se déplace dans la liste des serveurs en cluster jusqu'à ce que le compte soit trouvé ou qu'il soit déterminé que le compte n'existe sur aucun des serveurs spécifiés et disponibles.

En alternance est conçu pour équilibrer la charge entre plusieurs serveurs. L'algorithme choisit aléatoirement quel serveur essayer en premier. Si ce serveur n'est pas disponible, ou si le compte n'est pas trouvé, un autre serveur aléatoire est essayé. La recherche se poursuit aléatoirement parmi les serveurs restants dans le cluster jusqu'à ce que le compte soit trouvé ou qu'il soit déterminé que le compte n'existe sur aucun des serveurs spécifiés et disponibles.

Délai de nouvelle tentative

Réglez la durée devant s'écouler avant de pouvoir tenter à nouveau d'utiliser un membre de cluster indisponible.

Tester les paramètres

Nom d'utilisateur et mot de passe

Saisissez un nom d'utilisateur et un mot de passe pour un compte qui existe sur le serveur que vous testez. Ce compte doit correspondre aux critères de connexion spécifiés dans la configuration ci-dessus.

Essayer d'obtenir des attributs d'utilisateur et des appartenances de groupes si les informations d'authentification sont acceptées

Si cette option est cochée, votre test d'informations d'authentification réussi tentera également de vérifier les attributs d'utilisateur et la recherche de groupe. Notez que pour que ces fonctions soient testées avec succès, elles doivent être prises en charge et configurées dans votre fournisseur de sécurité.

Démarrer le test

Si votre serveur est correctement configuré et que vous avez saisi un nom d'utilisateur et un mot de passe de test valides, vous recevrez un message de confirmation. Sinon, vous verrez un message d'erreur et un journal qui vous aidera à résoudre le problème.

Fournisseurs de sécurité :: Modifier - Kerberos

Paramètres généraux

Nom

Créez un nom unique permettant d'identifier ce fournisseur.

Activé : ce fournisseur est activé

Si cette case est cochée, votre serveur Bomgar peut chercher ce fournisseur de sécurité lorsqu'un utilisateur tente de se connecter. Si elle n'est pas cochée, le fournisseur ne sera pas recherché.

Utilisateur et noms affichés : Conserver le nom affiché synchronisé avec le système distant

Ces valeurs déterminent les champs qui devraient être utilisés en tant que nom privé et nom public de l'utilisateur.

Retirer le domaine des noms principaux

Sélectionnez cette option pour supprimer la partie DOMAINE du nom principal d’utilisateur lors de la construction du nom d’utilisateur Bomgar.

Paramètres d'autorisation

Mode de gestion des utilisateurs

Sélectionnez les utilisateurs pouvant s'authentifier auprès du serveur Bomgar. Autoriser tous les utilisateurs autorise toute personne actuellement authentifiée par votre KDC. Autoriser uniquement les noms principaux d’utilisateurs indiqués dans la liste n’autorise que les noms principaux d’utilisateurs spécifiquement désignés. Autoriser uniquement les noms principaux d'utilisateurs qui correspondent à la regex autorise uniquement les utilisateurs correspondant à une expression régulière compatible Perl (PCRE).

Mode de gestion SPN : Autoriser uniquement les SPN indiqués dans la liste

Si la case n'est pas cochée, tous les Noms principaux du service (SPN) pour ce fournisseur de sécurité sont autorisés. Si la case est cochée, sélectionnez des SPN spécifiques dans une liste de SPN actuellement configurés.

Recherche de groupe LDAP

Si vous voulez que les utilisateurs de ce fournisseur de sécurité soient associés à leurs groupes sur un serveur LDAP séparé, choisissez un ou plusieurs serveurs de groupe LDAP à utiliser pour la recherche de groupe.

Règle de groupe par défaut

Chaque utilisateur qui s'authentifie auprès d'un serveur externe doit être membre d'au moins une règle de groupe pour pouvoir s'authentifier sur votre serveur Bomgar, en se connectant sur l'interface /login ou sur la console d'accès. Vous pouvez sélectionner une règle de groupe par défaut à appliquer à tous les utilisateurs autorisés à s'authentifier auprès du serveur configuré.