Pour configurer un compte utilisateur eDirectory, il convient de créer un objet Utilisateur et de définir des propriétés qui permettront de contrôler la connexion et l'environnement informatique réseau de cet utilisateur. Vous pouvez utiliser un objet Modèle pour faciliter ces tâches.
Vous pouvez créer des scripts de connexion pour connecter automatiquement des utilisateurs aux fichiers, imprimantes et autres ressources réseau dont ils ont besoin lorsqu'ils s'authentifient. Si plusieurs utilisateurs accèdent aux mêmes ressources, vous pouvez placer les commandes du script de connexion dans les scripts de connexion de profil et de conteneur.
Ce chapitre comprend les informations suivantes :
Un compte utilisateur est un objet Utilisateur dans l'arborescence eDirectory. Un objet Utilisateur indique le nom de connexion d'un utilisateur et fournit d'autres informations qui sont exploitées par eDirectory pour contrôler l'accès de cet utilisateur aux ressources réseau.
Ce chapitre comprend les informations suivantes :
Dans iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Utilisateurs > Créer un utilisateur.
Spécifiez un nom d'utilisateur et un nom de famille pour l'utilisateur.
Indiquez un conteneur dans lequel l'utilisateur sera créé.
Spécifiez éventuellement des informations supplémentaires et cliquez ensuite sur OK.
Cliquez sur le pour plus d'informations sur les options disponibles.
Cliquez sur OK.
Dans iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Utilisateurs > Modifier un utilisateur.
Spécifiez le nom et le contexte des utilisateurs à modifier, puis cliquez sur OK.
Editez les pages de propriétés souhaitées.
Cliquez sur le pour plus d'informations sur certaines propriétés.
Cliquez sur OK.
Dans iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Utilisateurs > Activer le compte.
Spécifiez le nom et le contexte de l'utilisateur, puis cliquez sur OK.
Dans iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Utilisateurs > Désactiver le compte.
Spécifiez le nom et le contexte de l'utilisateur, puis cliquez sur OK.
Après avoir créé un objet Utilisateur, vous pouvez configurer son environnement informatique réseau et implémenter des fonctions de sécurité supplémentaires pour la connexion.
Dans iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Utilisateurs > Modifier un utilisateur.
Spécifiez le nom et le contexte des utilisateurs à modifier, puis cliquez sur OK.
Sous l'onglet Général, sélectionnez la page Environnement.
Complétez la page de propriétés.
Cliquez sur le pour plus d'informations sur certaines propriétés.
Cliquez sur OK.
Dans iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Utilisateurs > Modifier un utilisateur.
Spécifiez le nom et le contexte des utilisateurs à modifier, puis cliquez sur OK.
Sous l'onglet Restrictions, complétez les pages de propriétés souhaitées.
Cliquez sur le pour obtenir des détails sur une page quelconque.
Page |
Description |
Attribut LDAP |
---|---|---|
Restrictions de mot de passe |
Définit un mot de passe de connexion. |
passwordRequired |
Restrictions de connexion |
|
loginDisabled loginMaximumSimultaneous loginExpirationTime ou loginGraceLimit |
Restrictions horaires |
Permet de restreindre les heures de connexion de l'utilisateur. Si vous définissez une restriction et que l'utilisateur est déjà connecté quand débute la période de restriction, le système affiche un message d'avertissement pendant cinq minutes puis, si l'utilisateur ne s'est toujours pas déconnecté, il le déconnecte automatiquement. Pour les utilisateurs distants, reportez-vous à la section Restrictions des heures de connexion pour les utilisateurs distants. |
loginAllowedTimeMap |
Restrictions d'adresse |
Restreint les emplacements réseau (postes de travail) à partir desquels l'utilisateur peut se connecter. Si vous ne définissez pas de restrictions sur cette page, l'utilisateur peut se connecter à partir de n'importe quel emplacement du réseau. |
networkAddressRestriction |
Solde de compte |
Permet de définir la facturation de l'utilisation du serveur de cet utilisateur. |
accountBalance |
Verrouillage en cas d'intrus |
Vous permet d'utiliser ce compte s'il a été verrouillé en raison de la détection d'un intrus. Pour gérer la configuration de la détection d'intrus, utilisez la page de propriétés Détection d'intrus du conteneur parent. |
lockedByIntruder |
Cliquez sur OK.
Dans iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Administration de l'annuaire > Modifier un objet.
Spécifiez le nom et le contexte d'un objet Conteneur, puis cliquez sur OK.
Sous l'onglet Général, sélectionnez la page Détection d'intrus.
Sélectionnez l'une des options suivantes :
Option |
Description |
---|---|
Détecter les intrus |
Active le système de détection d'intrus pour les comptes utilisateur situés dans le conteneur. |
Tentatives de connexion incorrectes |
Indique le nombre d'échecs de connexion simultanés auquel l'utilisateur a droit avant l'activation de la détection d'intrus. Si une personne utilise l'un des comptes utilisateur du conteneur pour se connecter et qu'au bout du nombre de tentatives infructueuses spécifié elle n'y parvient toujours pas, la détection d'intrus est activée. Ce nombre est stocké dans la propriété Login Intruder Limit (Nombre maximum de tentatives d'intrusion) du conteneur. |
Intervalle de réinitialisation après des tentatives d'intrusion |
Précise l'intervalle pendant lequel les échecs de connexion consécutifs doivent survenir pour que soit activée la détection d'intrusion. Entrez le nombre de jours, d'heures et de minutes. |
Verrouillage du compte après détection |
Indique si la connexion doit être désactivée lorsque la détection d'intrus est activée sur un compte utilisateur de ce conteneur. Si vous ne cochez pas cette case, le système n'effectue aucune opération lorsque la détection d'intrus est activée. Si vous cochez cette case et si le système verrouille un compte utilisateur en raison de la détection d'un intrus, vous pouvez déverrouiller le compte en désélectionnant la case Compte verrouillé dans la page de propriétés Verrouillage en cas d'intrusion de l'objet Utilisateur. |
Jours, Heures, Minutes |
Ces trois champs indiquent la durée de désactivation de la connexion lorsque la détection d'intrus est activée sur un compte utilisateur de ce conteneur. Entrez le nombre de jours, d'heures et de minutes souhaité, ou acceptez la valeur par défaut, soit 15 minutes. Au bout du délai spécifié, le système active à nouveau la connexion pour le compte utilisateur. Le contenu de ces champs est stocké dans la propriété Délai de réinitialisation après intrusion du conteneur. Si les valeurs de ces trois champs sont définies sur zéro, le compte utilisateur est verrouillé indéfiniment. |
Cliquez sur OK.
Cette fonction permet de spécifier la durée pendant laquelle le compte n'est pas verrouillé si un utilisateur tente de se connecter en utilisant le mot de passe qui était applicable avant celui en cours. Si vous sélectionnez l'option No Intruder Lock Out (Aucun verrouillage en cas d'intrusion), la détection d'intrus n'est pas activée pendant la durée spécifiée, à partir du dernier changement de mot de passe.
Dans iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur NMAS > NMAS Login Methods (Méthodes de connexion NMAS) > NDS.
Sur la page NDS, indiquez la durée pendant laquelle le compte utilisateur n'est pas verrouillé, puis cliquez sur OK.
Vous pouvez spécifier une valeur d'intervalle pour désactiver la mise à jour de l'attribut Heure de connexion d'un utilisateur. Vous pouvez spécifier la valeur d'intervalle pour un utilisateur, un conteneur, un objet LPO (Login Policy Security Object) ou un serveur. Pour activer cette fonction, le schéma doit être étendu à l'aide du fichier nmas.sch.
Pour spécifier l'intervalle pour un utilisateur :
Dans iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur NMAS Role (Rôle NMAS) > NMAS Users (Utilisateurs NMAS).
Indiquez le nom et le contexte de l'objet dont vous souhaitez spécifier l'intervalle.
Sous l'onglet Général, sélectionnez Autre, puis choisissez sasUpdateLoginTimeInterval dans Attributs non définis.
Utilisez le bouton fléché pour déplacer sasUpdateLoginTimeInterval de la liste des attributs non définis vers la liste Attributs définis, selon les besoins, puis cliquez sur Appliquer.
Pour spécifier l'intervalle de mise à jour pour un conteneur et un objet LPO :
Dans iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Administration de l'annuaire > Modifier un objet.
Spécifiez le nom et le contexte d'un objet Conteneur ou Stratégie de connexion, puis cliquez sur OK.
Sous l'onglet Général, sélectionnez Autre, puis sélectionnez sasUpdateLoginTimeInterval dans Attributs non définis.
Utilisez le bouton fléché pour déplacer sasUpdateLoginTimeInterval de la liste des attributs non définis vers la liste Attributs définis, selon les besoins, puis cliquez sur Appliquer.
Un script de connexion est une liste de commandes qui s'exécutent lorsqu'un utilisateur se connecte. Il sert généralement à connecter l'utilisateur à des ressources réseau telles que des fichiers et des imprimantes. Les scripts de connexion s'exécutent sur le poste de travail de l'utilisateur dans l'ordre suivant :
Script de connexion de conteneur
Script de connexion de profil
Script de connexion utilisateur
Pendant le processus de connexion, si le système ne trouve pas l'un de ces scripts de connexion, il passe au suivant sur la liste. S'il n'en trouve aucun, il exécute un script par défaut qui assigne une unité de recherche à un dossier sur le serveur par défaut de l'utilisateur. Le serveur par défaut est défini dans la page de propriétés Environnement de l'objet Utilisateur.
Dans iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Administration de l'annuaire > Modifier un objet.
Spécifiez le nom et le contexte de l'objet dans lequel vous souhaitez créer le script de connexion.
Pour que le script de connexion s'applique à |
Créez-le sur |
---|---|
Un seul utilisateur |
L'objet Utilisateur |
Un ou plusieurs utilisateurs non encore créés |
Un objet Modèle |
Tous les utilisateurs d'un conteneur |
L'objet Conteneur |
Un ensemble d'utilisateurs dans un ou plusieurs conteneurs |
Un objet Profil |
Cliquez sur OK.
Sous l'onglet Général, sélectionnez la page Script de connexion.
Entrez les commandes de script de connexion de votre choix.
Reportez-vous au Login Scripts Guide (Guide de scripts de connexion) pour plus d'informations.
Cliquez sur OK.
Si vous associez un profil à un objet Utilisateur, le script de connexion du profil s'exécutera lors de la connexion de l'utilisateur. Assurez-vous que l'utilisateur dispose du droit Parcourir sur l'objet Profil et du droit Lire sur la propriété Script de connexion de l'objet Profil.
Pour plus d'informations, reportez-vous à la section Affichage des droits effectifs sur un objet ou une propriété eDirectory.
Dans iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Utilisateur > Modifier un utilisateur.
Spécifiez le nom et le contexte de l'objet Utilisateur dans lequel vous souhaitez créer le script de connexion.
Cliquez sur OK.
Sous l'onglet Général, sélectionnez la page Script de connexion.
Pour associer un objet Profil à cet objet, entrez le nom et le contexte de l'objet Profil dans le champ Profil.
Cliquez sur OK.
Dans la page de propriétés Restrictions horaires d'un objet Utilisateur, vous pouvez limiter les heures auxquelles l'utilisateur peut être connecté à eDirectory. Par défaut, aucune restriction n'est définie pour les heures de connexion.
Si vous définissez une restriction sur les heures de connexion et que l'utilisateur est déjà connecté quand débute la période de restriction, le système émet un avertissement l'invitant à se déconnecter dans les cinq minutes qui suivent. S'il est toujours connecté au terme des cinq minutes, il est automatiquement déconnecté et perd tout le travail qu'il n'a pas enregistré.
Si un utilisateur se connecte à distance à partir d'un fuseau horaire différent de celui du serveur qui traite la requête de connexion, les restrictions qui lui sont appliquées en termes de plages de connexion sont ajustées pour tenir compte du décalage horaire. Par exemple, si vous interdisez qu'un utilisateur se connecte les lundis entre 1 heure et 6 heures du matin et que celui-ci se connecte à distance depuis un fuseau horaire en avance d'une heure sur votre serveur, il ne pourra pas se connecter entre 2 heures et 7 heures du matin.
Dans iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Utilisateurs > Modifier un utilisateur.
Spécifiez le nom et le contexte des utilisateurs à modifier, puis cliquez sur OK.
Sous l'onglet Restrictions, cliquez sur Restrictions horaires.
Sélectionnez l'une des options suivantes :
Option |
Description |
---|---|
Grille horaire |
Chaque cellule de la grille horaire représente une demi-heure durant un jour de la semaine. Les cellules rouges représentent les périodes soumises à restriction (périodes auxquelles l'objet ne doit pas être connecté). Les cellules grises représentent les périodes non soumises à restriction (périodes auxquelles l'objet peut être connecté). Pour créer une restriction horaire, cliquez sur les heures de votre choix pour les rendre gris foncé. Vous pouvez aussi sélectionner plusieurs heures en maintenant la touche Maj enfoncée, en cliquant sur une cellule, puis en faisant glisser le curseur sur les cellules correspondantes. Les restrictions des heures de connexion que vous définissez sont stockées dans la propriété Plage horaire des connexions autorisées de cet objet. |
Ajouter une restriction horaire |
Pour ajouter une restriction horaire, sélectionnez une cellule grise, puis cochez cette option. |
Supprimer une restriction horaire |
Pour supprimer une restriction horaire, sélectionnez une cellule rouge, puis cochez cette option. |
Mise à jour |
Cliquez sur ce bouton pour activer la sélection. |
Réinitialiser |
Cliquez sur ce bouton pour que la grille horaire retrouve son état antérieur à l'ouverture de cette page de propriétés. |
Cliquez sur OK.
Dans iManager, cliquez sur le bouton Rôles et tâches .
Cliquez sur Utilisateurs > Supprimer un utilisateur.
Spécifiez le nom et le contexte du ou des utilisateurs à supprimer.
Cliquez sur OK.