3.2 Gestion des comptes utilisateur

Pour configurer un compte utilisateur eDirectory, il convient de créer un objet Utilisateur et de définir des propriétés qui permettront de contrôler la connexion et l'environnement informatique réseau de cet utilisateur. Vous pouvez utiliser un objet Modèle pour faciliter ces tâches.

Vous pouvez créer des scripts de connexion pour connecter automatiquement des utilisateurs aux fichiers, imprimantes et autres ressources réseau dont ils ont besoin lorsqu'ils s'authentifient. Si plusieurs utilisateurs accèdent aux mêmes ressources, vous pouvez placer les commandes du script de connexion dans les scripts de connexion de profil et de conteneur.

Ce chapitre comprend les informations suivantes :

3.2.1 Création et modification des comptes utilisateur

Un compte utilisateur est un objet Utilisateur dans l'arborescence eDirectory. Un objet Utilisateur indique le nom de connexion d'un utilisateur et fournit d'autres informations qui sont exploitées par eDirectory pour contrôler l'accès de cet utilisateur aux ressources réseau.

Ce chapitre comprend les informations suivantes :

Création d'un objet Utilisateur

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Utilisateurs > Créer un utilisateur.

  3. Spécifiez un nom d'utilisateur et un nom de famille pour l'utilisateur.

  4. Indiquez un conteneur dans lequel l'utilisateur sera créé.

  5. Spécifiez éventuellement des informations supplémentaires et cliquez ensuite sur OK.

    Cliquez sur le bouton Aide pour plus d'informations sur les options disponibles.

  6. Cliquez sur OK.

Modification d'un compte utilisateur

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Utilisateurs > Modifier un utilisateur.

  3. Spécifiez le nom et le contexte des utilisateurs à modifier, puis cliquez sur OK.

  4. Editez les pages de propriétés souhaitées.

    Cliquez sur le bouton Aide pour plus d'informations sur certaines propriétés.

  5. Cliquez sur OK.

Activation d'un compte utilisateur

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Utilisateurs > Activer le compte.

  3. Spécifiez le nom et le contexte de l'utilisateur, puis cliquez sur OK.

Désactivation d'un compte utilisateur

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Utilisateurs > Désactiver le compte.

  3. Spécifiez le nom et le contexte de l'utilisateur, puis cliquez sur OK.

3.2.2 Paramétrage de fonctions de compte facultatives

Après avoir créé un objet Utilisateur, vous pouvez configurer son environnement informatique réseau et implémenter des fonctions de sécurité supplémentaires pour la connexion.

Définition de l'environnement réseau d'un utilisateur

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Utilisateurs > Modifier un utilisateur.

  3. Spécifiez le nom et le contexte des utilisateurs à modifier, puis cliquez sur OK.

  4. Sous l'onglet Général, sélectionnez la page Environnement.

  5. Complétez la page de propriétés.

    Cliquez sur le bouton Aide pour plus d'informations sur certaines propriétés.

  6. Cliquez sur OK.

Configuration d'un paramètre de sécurité de connexion supplémentaire pour un utilisateur

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Utilisateurs > Modifier un utilisateur.

  3. Spécifiez le nom et le contexte des utilisateurs à modifier, puis cliquez sur OK.

  4. Sous l'onglet Restrictions, complétez les pages de propriétés souhaitées.

    Cliquez sur le bouton Aide pour obtenir des détails sur une page quelconque.

    Page

    Description

    Attribut LDAP

    Restrictions de mot de passe

    Définit un mot de passe de connexion.

    passwordRequired

    Restrictions de connexion

    • Activation ou désactivation du compte.

    • Limitation du nombre de sessions de connexion simultanées.

    • Définition d'une date d'expiration et de verrouillage de la connexion.

    loginDisabled

    loginMaximumSimultaneous

    loginExpirationTime ou loginGraceLimit

    Restrictions horaires

    Permet de restreindre les heures de connexion de l'utilisateur. Si vous définissez une restriction et que l'utilisateur est déjà connecté quand débute la période de restriction, le système affiche un message d'avertissement pendant cinq minutes puis, si l'utilisateur ne s'est toujours pas déconnecté, il le déconnecte automatiquement. Pour les utilisateurs distants, reportez-vous à la section Restrictions des heures de connexion pour les utilisateurs distants.

    loginAllowedTimeMap

    Restrictions d'adresse

    Restreint les emplacements réseau (postes de travail) à partir desquels l'utilisateur peut se connecter. Si vous ne définissez pas de restrictions sur cette page, l'utilisateur peut se connecter à partir de n'importe quel emplacement du réseau.

    networkAddressRestriction

    Solde de compte

    Permet de définir la facturation de l'utilisation du serveur de cet utilisateur.

    accountBalance

    Verrouillage en cas d'intrus

    Vous permet d'utiliser ce compte s'il a été verrouillé en raison de la détection d'un intrus. Pour gérer la configuration de la détection d'intrus, utilisez la page de propriétés Détection d'intrus du conteneur parent.

    lockedByIntruder

  5. Cliquez sur OK.

Configuration de la détection d'intrus pour tous les utilisateurs dans un conteneur

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Administration de l'annuaire > Modifier un objet.

  3. Spécifiez le nom et le contexte d'un objet Conteneur, puis cliquez sur OK.

  4. Sous l'onglet Général, sélectionnez la page Détection d'intrus.

  5. Sélectionnez l'une des options suivantes :

    Option

    Description

    Détecter les intrus

    Active le système de détection d'intrus pour les comptes utilisateur situés dans le conteneur.

    Tentatives de connexion incorrectes

    Indique le nombre d'échecs de connexion simultanés auquel l'utilisateur a droit avant l'activation de la détection d'intrus. Si une personne utilise l'un des comptes utilisateur du conteneur pour se connecter et qu'au bout du nombre de tentatives infructueuses spécifié elle n'y parvient toujours pas, la détection d'intrus est activée. Ce nombre est stocké dans la propriété Login Intruder Limit (Nombre maximum de tentatives d'intrusion) du conteneur.

    Intervalle de réinitialisation après des tentatives d'intrusion

    Précise l'intervalle pendant lequel les échecs de connexion consécutifs doivent survenir pour que soit activée la détection d'intrusion. Entrez le nombre de jours, d'heures et de minutes.

    Verrouillage du compte après détection

    Indique si la connexion doit être désactivée lorsque la détection d'intrus est activée sur un compte utilisateur de ce conteneur. Si vous ne cochez pas cette case, le système n'effectue aucune opération lorsque la détection d'intrus est activée. Si vous cochez cette case et si le système verrouille un compte utilisateur en raison de la détection d'un intrus, vous pouvez déverrouiller le compte en désélectionnant la case Compte verrouillé dans la page de propriétés Verrouillage en cas d'intrusion de l'objet Utilisateur.

    Jours, Heures, Minutes

    Ces trois champs indiquent la durée de désactivation de la connexion lorsque la détection d'intrus est activée sur un compte utilisateur de ce conteneur. Entrez le nombre de jours, d'heures et de minutes souhaité, ou acceptez la valeur par défaut, soit 15 minutes. Au bout du délai spécifié, le système active à nouveau la connexion pour le compte utilisateur. Le contenu de ces champs est stocké dans la propriété Délai de réinitialisation après intrusion du conteneur. Si les valeurs de ces trois champs sont définies sur zéro, le compte utilisateur est verrouillé indéfiniment.

  6. Cliquez sur OK.

Configuration d'une durée pour l'absence de verrouillage en cas d'intrusion

Cette fonction permet de spécifier la durée pendant laquelle le compte n'est pas verrouillé si un utilisateur tente de se connecter en utilisant le mot de passe qui était applicable avant celui en cours. Si vous sélectionnez l'option No Intruder Lock Out (Aucun verrouillage en cas d'intrusion), la détection d'intrus n'est pas activée pendant la durée spécifiée, à partir du dernier changement de mot de passe.

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur NMAS > NMAS Login Methods (Méthodes de connexion NMAS) > NDS.

  3. Sur la page NDS, indiquez la durée pendant laquelle le compte utilisateur n'est pas verrouillé, puis cliquez sur OK.

3.2.3 Désactivation de l'intervalle de mise à jour de l'heure de connexion

Vous pouvez spécifier une valeur d'intervalle pour désactiver la mise à jour de l'attribut Heure de connexion d'un utilisateur. Vous pouvez spécifier la valeur d'intervalle pour un utilisateur, un conteneur, un objet LPO (Login Policy Security Object) ou un serveur. Pour activer cette fonction, le schéma doit être étendu à l'aide du fichier nmas.sch.

Pour spécifier l'intervalle pour un utilisateur :

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur NMAS Role (Rôle NMAS) > NMAS Users (Utilisateurs NMAS).

  3. Indiquez le nom et le contexte de l'objet dont vous souhaitez spécifier l'intervalle.

  4. Sous l'onglet Général, sélectionnez Autre, puis choisissez sasUpdateLoginTimeInterval dans Attributs non définis.

  5. Utilisez le bouton fléché pour déplacer sasUpdateLoginTimeInterval de la liste des attributs non définis vers la liste Attributs définis, selon les besoins, puis cliquez sur Appliquer.

Pour spécifier l'intervalle de mise à jour pour un conteneur et un objet LPO :

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Administration de l'annuaire > Modifier un objet.

  3. Spécifiez le nom et le contexte d'un objet Conteneur ou Stratégie de connexion, puis cliquez sur OK.

  4. Sous l'onglet Général, sélectionnez Autre, puis sélectionnez sasUpdateLoginTimeInterval dans Attributs non définis.

  5. Utilisez le bouton fléché pour déplacer sasUpdateLoginTimeInterval de la liste des attributs non définis vers la liste Attributs définis, selon les besoins, puis cliquez sur Appliquer.

3.2.4 Configuration de scripts de connexion

Un script de connexion est une liste de commandes qui s'exécutent lorsqu'un utilisateur se connecte. Il sert généralement à connecter l'utilisateur à des ressources réseau telles que des fichiers et des imprimantes. Les scripts de connexion s'exécutent sur le poste de travail de l'utilisateur dans l'ordre suivant :

  1. Script de connexion de conteneur

  2. Script de connexion de profil

  3. Script de connexion utilisateur

Pendant le processus de connexion, si le système ne trouve pas l'un de ces scripts de connexion, il passe au suivant sur la liste. S'il n'en trouve aucun, il exécute un script par défaut qui assigne une unité de recherche à un dossier sur le serveur par défaut de l'utilisateur. Le serveur par défaut est défini dans la page de propriétés Environnement de l'objet Utilisateur.

Création d'un script de connexion

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Administration de l'annuaire > Modifier un objet.

  3. Spécifiez le nom et le contexte de l'objet dans lequel vous souhaitez créer le script de connexion.

    Pour que le script de connexion s'applique à

    Créez-le sur

    Un seul utilisateur

    L'objet Utilisateur

    Un ou plusieurs utilisateurs non encore créés

    Un objet Modèle

    Tous les utilisateurs d'un conteneur

    L'objet Conteneur

    Un ensemble d'utilisateurs dans un ou plusieurs conteneurs

    Un objet Profil

  4. Cliquez sur OK.

  5. Sous l'onglet Général, sélectionnez la page Script de connexion.

  6. Entrez les commandes de script de connexion de votre choix.

    Reportez-vous au Login Scripts Guide (Guide de scripts de connexion) pour plus d'informations.

  7. Cliquez sur OK.

Assignation d'un profil à un utilisateur

Si vous associez un profil à un objet Utilisateur, le script de connexion du profil s'exécutera lors de la connexion de l'utilisateur. Assurez-vous que l'utilisateur dispose du droit Parcourir sur l'objet Profil et du droit Lire sur la propriété Script de connexion de l'objet Profil.

Pour plus d'informations, reportez-vous à la section Affichage des droits effectifs sur un objet ou une propriété eDirectory.

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Utilisateur > Modifier un utilisateur.

  3. Spécifiez le nom et le contexte de l'objet Utilisateur dans lequel vous souhaitez créer le script de connexion.

  4. Cliquez sur OK.

  5. Sous l'onglet Général, sélectionnez la page Script de connexion.

  6. Pour associer un objet Profil à cet objet, entrez le nom et le contexte de l'objet Profil dans le champ Profil.

  7. Cliquez sur OK.

3.2.5 Restrictions des heures de connexion pour les utilisateurs distants

Dans la page de propriétés Restrictions horaires d'un objet Utilisateur, vous pouvez limiter les heures auxquelles l'utilisateur peut être connecté à eDirectory. Par défaut, aucune restriction n'est définie pour les heures de connexion.

Si vous définissez une restriction sur les heures de connexion et que l'utilisateur est déjà connecté quand débute la période de restriction, le système émet un avertissement l'invitant à se déconnecter dans les cinq minutes qui suivent. S'il est toujours connecté au terme des cinq minutes, il est automatiquement déconnecté et perd tout le travail qu'il n'a pas enregistré.

Si un utilisateur se connecte à distance à partir d'un fuseau horaire différent de celui du serveur qui traite la requête de connexion, les restrictions qui lui sont appliquées en termes de plages de connexion sont ajustées pour tenir compte du décalage horaire. Par exemple, si vous interdisez qu'un utilisateur se connecte les lundis entre 1 heure et 6 heures du matin et que celui-ci se connecte à distance depuis un fuseau horaire en avance d'une heure sur votre serveur, il ne pourra pas se connecter entre 2 heures et 7 heures du matin.

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Utilisateurs > Modifier un utilisateur.

  3. Spécifiez le nom et le contexte des utilisateurs à modifier, puis cliquez sur OK.

  4. Sous l'onglet Restrictions, cliquez sur Restrictions horaires.

  5. Sélectionnez l'une des options suivantes :

    Option

    Description

    Grille horaire

    Chaque cellule de la grille horaire représente une demi-heure durant un jour de la semaine. Les cellules rouges représentent les périodes soumises à restriction (périodes auxquelles l'objet ne doit pas être connecté). Les cellules grises représentent les périodes non soumises à restriction (périodes auxquelles l'objet peut être connecté). Pour créer une restriction horaire, cliquez sur les heures de votre choix pour les rendre gris foncé. Vous pouvez aussi sélectionner plusieurs heures en maintenant la touche Maj enfoncée, en cliquant sur une cellule, puis en faisant glisser le curseur sur les cellules correspondantes. Les restrictions des heures de connexion que vous définissez sont stockées dans la propriété Plage horaire des connexions autorisées de cet objet.

    Ajouter une restriction horaire

    Pour ajouter une restriction horaire, sélectionnez une cellule grise, puis cochez cette option.

    Supprimer une restriction horaire

    Pour supprimer une restriction horaire, sélectionnez une cellule rouge, puis cochez cette option.

    Mise à jour

    Cliquez sur ce bouton pour activer la sélection.

    Réinitialiser

    Cliquez sur ce bouton pour que la grille horaire retrouve son état antérieur à l'ouverture de cette page de propriétés.

  6. Cliquez sur OK.

3.2.6 Suppression de comptes utilisateur

  1. Dans iManager, cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Utilisateurs > Supprimer un utilisateur.

  3. Spécifiez le nom et le contexte du ou des utilisateurs à supprimer.

  4. Cliquez sur OK.