Cette section explique comment installer et configurer des méthodes et des séquences de connexion et de post-connexion pour NMAS.
NMAS permet de choisir entre plusieurs méthodes de connexion sur la base des trois facteurs d'authentification (mot de passe, périphérique physique ou jeton et authentification biométrique).
NMAS prend en charge un certain nombre de méthodes de connexion et de post-connexion développées par NetIQ et d'autres fournisseurs de solutions d'authentification. Certaines méthodes requièrent du matériel et des logiciels supplémentaires. Assurez-vous que vous disposez du matériel et de tous les logiciels nécessaires pour les méthodes que vous comptez utiliser.
Le logiciel NMAS inclut un certain nombre de méthodes de connexion. Toutefois, d'autres méthodes de connexion sont disponibles auprès de fournisseurs tiers.
Pour obtenir la liste des partenaires d'eDirectory, visitez le site Web des partenaires de NetIQ. Certains partenaires développent des méthodes de connexion tierces.
Il existe trois façons d'installer une méthode de connexion à utiliser dans NetIQ eDirectory :
À l'aide de l'utilitaire nmasinst (Linux et Windows), qui permet d'installer des méthodes de connexion dans eDirectory.
À l'aide de NetIQ iManager (Linux et Windows), qui permet d'installer des méthodes de connexion et de post-connexion dans eDirectory.
Dans la ligne de commande de console du serveur, entrez :
nmasinst -addmethod admin.context treename config.txt_path [-h hostname[:port]] [-w password|file:<nom_fichier>|env:<variable_environnement>] [-checkversion] [-d]
admin.context : nom et contexte de l'administrateur.
treename : nom de l'arborescence eDirectory dans laquelle vous installez la méthode de connexion.
config.txt_ path : chemin d'accès complet ou relatif au fichier config.txt de la méthode de connexion. Un fichier config.txt est fourni avec chaque méthode de connexion.
[-h hostname[:port]] : (facultatif) nom d'hôte et port du serveur. Utilisez cette option si eDirectory ne s'exécute pas sur le port par défaut. Vous pouvez également spécifier l'adresse IP. eDirectory 9.0 prend en charge les adresses IPv4 et IPv6. Par exemple :
IPv4 : -h 127.0.0.1:8443
IPv6 : -h [2001:db8::6]:8443
[-w password|file:<nom_fichier>|env:<variable_environnement>] : cette option permet de spécifier le mot de passe comme suit :
Sur la ligne de commande. Par exemple : -w n
Via un fichier. Par exemple : -w file:/tmp/passwd
Via une variable d'environnement. Par exemple : -w env:PASSWD
[-checkversion] : cette option signale une erreur si la version de la méthode déjà installée est identique ou ultérieure à la version en cours d'installation.
[-d] : cette option permet de supprimer les méthodes pour les plates-formes non prises en charge.
Si la méthode de connexion existe déjà, nmasinst la met à jour.
Lancez NetIQ iManager.
Connectez-vous à l'arborescence eDirectory avec les références d'un administrateur ou d'un utilisateur disposant de droits d'administrateur.
Dans le menu Rôles et tâches, cliquez sur NMAS, puis sur NMAS Login Methods (Méthodes de connexion NMAS).
Cliquez sur Nouveau.
Recherchez et sélectionnez le fichier (.zip) de la méthode de connexion à installer, puis cliquez sur Suivant.
Suivez les instructions de l'assistant pour terminer l'installation.
Lorsqu'un fournisseur de méthodes de connexion fournit une mise à jour pour une méthode de connexion ou de post-connexion, vous pouvez la mettre à jour en procédant comme suit :
Employez la même procédure que celle que vous avez utilisée pour installer une méthode de connexion à l'aide de l'utilitaire nmasinst (reportez-vous à la section Mise à jour d'une méthode de connexion à l'aide de l'utilitaire nmasinst). Incluez le chemin du nouveau fichier config.txt fichier et la méthode de connexion est mise à jour.
Lancez iManager.
Connectez-vous à l'arborescence eDirectory avec les références d'un administrateur ou d'un utilisateur disposant de droits d'administrateur.
Dans le menu Rôles et tâches, cliquez sur NMAS, puis sur NMAS Login Methods (Méthodes de connexion NMAS).
Cliquez sur la méthode de connexion que vous voulez mettre à jour.
Sur la page de propriétés de la méthode de connexion, cliquez sur Update Method (Mettre à jour la méthode).
Suivez les instructions de l'assistant pour terminer la mise à jour.
Lorsque vous installez une méthode de connexion, le système vous demande si vous souhaitez créer une séquence de connexion qui utilisera uniquement la méthode de connexion en cours d'installation. Si vous répondez Oui, le système crée une séquence de connexion contenant uniquement cette méthode de connexion.
Vous pouvez aussi créer et gérer manuellement des séquences de connexion. Une fois les méthodes de connexion et de post-connexion installées, vous pouvez afficher, ajouter, modifier ou supprimer des séquences de connexion à l'aide d'iManager. Des séquences de connexion ne sont pas créées lorsque vous modifiez ou mettez à jour des méthodes.
Dans NMAS, vous pouvez configurer plusieurs méthodes de connexion et de post-connexion par séquence. Pour pouvoir sélectionner une méthode de post-connexion, vous devez sélectionner au moins une méthode de connexion.
Lorsque plusieurs méthodes sont sélectionnées pour une séquence, elles sont exécutées dans leur ordre d'apparition dans la liste. Les méthodes de connexion sont exécutées en premier, suivies des méthodes de post-connexion.
Une séquence de connexion peut être de type And (ET) ou Or (OU). Une séquence And aboutit si toutes les méthodes de connexion parviennent à valider l'identité de l'utilisateur. Avec une séquence Or, il suffit qu'une seule des méthodes de connexion valide l'identité de l'utilisateur pour que la connexion aboutiisse.
Les méthodes de post-connexion ne sont exécutées que si la connexion réussit, indépendamment de la relation And/Or.
Une fois qu'une séquence est créée, vous pouvez autoriser les utilisateurs à l'utiliser pour se connecter à eDirectory.
Lancez iManager.
Connectez-vous à l'arborescence eDirectory avec les références d'un administrateur ou d'un utilisateur disposant de droits d'administrateur.
Dans le menu Rôles et tâches, cliquez sur NMAS, puis sur NMAS Login Sequences (Séquences de connexion NMAS).
Cliquez sur New (Nouveau) et spécifiez un nom pour la nouvelle séquence de connexion.
Toutes les méthodes disponibles sont répertoriées dans Available Login Methods (Méthodes de connexion disponibles) et Available Post-Login Methods (Méthodes de post-connexion disponibles).
Sélectionnez le type de séquence dans la liste déroulante.
Si vous sélectionnez And (Et), un utilisateur doit se connecter à l'aide de chaque méthode de connexion incluse dans la séquence de connexion. Si vous sélectionnez Or (Ou), l'utilisateur doit se connecter en n'utilisant qu'une seule des méthodes de connexion incluses dans la séquence de connexion.
Utilisez les flèches horizontales pour ajouter la/les méthode(s) souhaitée(s) à la séquence.
Si vous utilisez plusieurs méthodes, utilisez les flèches verticales pour modifier l'ordre d'exécution.
Le champ Sequence Grade (Niveau de séquence) indique le niveau de la séquence de connexion. Pour les séquences And, le niveau de séquence représente la synthèse des niveaux des différentes méthodes de connexion. Pour les séquences Or, il s'agit de l'intersection des niveaux des méthodes.
Cliquez sur Finish (Terminer) pour enregistrer la séquence de connexion.
Lancez iManager.
Connectez-vous à l'arborescence eDirectory avec les références d'un administrateur ou d'un utilisateur disposant de droits d'administrateur.
Dans le menu Rôles et tâches, cliquez sur NMAS, puis sur NMAS Login Sequences (Séquences de connexion NMAS).
Cliquez sur le nom d'une séquence de connexion.
Le niveau et le type de séquence s'affichent, et les méthodes de connexion et de post-connexion sont répertoriées. Toutes les méthodes disponibles sont répertoriées dans les listes Available Login Methods (Méthodes de connexion disponibles) et Available Post-Login Methods (Méthodes de post-connexion disponibles).
Sélectionner une opération :
Pour modifier le type de séquence, utilisez la liste déroulante située en regard du type de séquence.
Pour ajouter ou supprimer des méthodes de connexion ou de post-connexion d'une séquence, utilisez les flèches gauche et droite.
REMARQUE :pour pouvoir sélectionner une méthode de post-connexion, vous devez sélectionner au moins une méthode de connexion.
Pour modifier l'ordre des méthodes de connexion incluses dans une séquence, utilisez les flèches haut et bas.
Pour quitter sans enregistrer les modifications, cliquez sur Cancel (Annuler).
IMPORTANT :les séquences de connexion qui ne sont associées à aucune méthode ne sont pas enregistrées.
Cliquez sur Appliquer ou sur OK.
Lancez iManager.
Connectez-vous à l'arborescence eDirectory avec les références d'un administrateur ou d'un utilisateur disposant de droits d'administrateur.
Dans le menu Rôles et tâches, cliquez sur NMAS, puis sur NMAS Login Sequences (Séquences de connexion NMAS).
Sélectionnez la séquence de connexion à supprimer, puis cliquez sur Delete (Supprimer).
Cliquez sur Appliquer ou sur OK.
Les séquences de connexion par défaut et autorisées peuvent être assignées à un utilisateur, à un conteneur, à une racine de partition ou à l'objet Stratégie de connexion. NMAS recherche les séquences de connexion par défaut ou autorisées pour un utilisateur en tentant de lire les attributs de l'objet Utilisateur, puis du conteneur de l'objet Utilisateur, de la racine de la partition de l'objet Utilisateur et enfin de l'objet Stratégie de connexion.
Les attributs identifiés avec l'objet Utilisateur remplacent tous les attributs identifiés avec l'objet Conteneur, Racine de partition ou Stratégie de connexion. Si une séquence de connexion a été assignée à une racine de partition, cette séquence s'applique à tous les utilisateurs figurant sous cette racine de partition uniquement si une autre séquence de connexion n'a pas déjà été assignée individuellement à des utilisateurs spécifiques.
Par ailleurs, une séquence de connexion assignée à un conteneur s'applique uniquement aux utilisateurs de ce conteneur auxquels aucune séquence de connexion n'a été assignée, et non aux utilisateurs figurant dans les sous-conteneurs de ce conteneur.
Lancez iManager.
Connectez-vous à l'arborescence eDirectory avec les références d'un administrateur ou d'un utilisateur disposant de droits d'administrateur.
Dans le menu Rôles et tâches menu, cliquez sur NMAS > NMAS Users (Utilisateurs NMAS), sélectionnez l'utilisateur que vous souhaitez autoriser à utiliser les séquences de connexion, puis cliquez sur l'onglet NMAS.
Autorisez ou désautorisez une séquence de connexion pour un utilisateur en sélectionnant la séquence en question, puis en cliquant sur Authorize (Autoriser) ou De-authorize (Désautoriser).
Cliquez sur Appliquer ou sur OK.
Pour définir une séquence de connexion par défaut afin que les utilisateurs ne doivent pas spécifier de séquence de connexion lorsqu'ils se connectent, procédez comme suit :
Lancez iManager.
Connectez-vous à l'arborescence eDirectory avec les références d'un administrateur ou d'un utilisateur disposant de droits d'administrateur.
Dans le menu Rôles et tâches menu, cliquez sur NMAS > NMAS Users (Utilisateurs NMAS), sélectionnez l'utilisateur pour lequel vous souhaitez définir la séquence de connexion par défaut, puis cliquez sur l'onglet NMAS.
Sélectionnez une séquence de connexion autorisée, puis cliquez sur Make Default (Définir comme séquence de connexion par défaut).
La séquence sélectionnée devient la séquence de connexion par défaut. Si un utilisateur tente de se connecter sans utiliser une séquence de connexion, cette séquence de connexion par défaut sera utilisée.
Cliquez sur Appliquer ou sur OK.
REMARQUE :si un poste de travail ne parvient pas à exécuter la séquence de connexion par défaut de l'utilisateur, la méthode de connexion par mot de passe NDS est utilisée.
Pour plus d'informations sur l'assignation de séquences de connexion, reportez-vous à la section Assignation de séquences de connexion.
Les plug-ins iManager pour NMAS ne permettent pas de supprimer une méthode de connexion si cette dernière fait partie d'une séquence de connexion. Par défaut, l'installation d'une méthode de connexion crée une séquence de connexion qui contient uniquement cette méthode. Par conséquent, la plupart des méthodes sont incluses dans au moins une séquence.
REMARQUE :nmasinst ne contient pas d'option permettant de supprimer les méthodes NMAS. Cette opération doit être effectuée via iManager.
Pour supprimer une méthode de connexion, vous devez exécuter les deux procédures ci-dessous :
Pour supprimer une méthode de connexion d'une séquence de connexion à l'aide d'iManager, procédez comme suit :
Dans iManager, cliquez sur NMAS, puis sur NMAS Login Sequences (Séquences de connexion NMAS).
Pour chaque séquence figurant dans la liste NMAS Login Sequences (Séquences de connexion NMAS) :
Cliquez sur le nom de la séquence.
Vérifiez que la méthode de connexion que vous êtes sur le point de supprimer ne figure pas dans la liste Login Methods (Méthodes de connexion) ou Post-Login Methods (Méthodes de post-connexion).
Si la méthode de connexion fait partie des méthodes sélectionnées, vous pouvez la retirer de la liste en la sélectionnant et en cliquant sur la flèche gauche.
Une fois la méthode de connexion supprimée de toutes les séquences de connexion, vous pouvez la supprimer. Reportez-vous à la section Suppression de la méthode de connexion.
Pour supprimer la méthode de connexion à l'aide d'iManager, procédez comme suit :
Dans iManager, cliquez sur NMAS, puis sur NMAS Login Methods (Méthodes de connexion NMAS).
Sélectionnez la ou les méthodes de connexion à supprimer.
Cliquez sur Supprimer, puis sur Oui.
Lancez NetIQ iManager.
Connectez-vous à l'arborescence eDirectory avec les références d'un administrateur ou d'un utilisateur disposant de droits d'administrateur.
Dans le menu Rôles et tâches, cliquez sur NMAS, puis sur NMAS Login Sequences (Séquences de connexion NMAS).
Sélectionnez la séquence de connexion à supprimer.
Cliquez sur Supprimer, puis sur Oui.