Cette section explique comment activer l'authentification EBA sur eDirectory. Selon votre type d'installation, suivez les instructions d'une des sections suivantes :
Pour activer l'authentification EBA sur une nouvelle arborescence, suivez les instructions ci-dessous correspondant à votre plate-forme :
Linux : pour activer l'authentification EBA lors de la configuration d'une nouvelle arborescence eDirectory, exécutez la commande ndsconfig avec l'argument ––configure–eba-now dans la ligne de commande.
Par exemple : ndsconfig new ––configure–eba-now yes
Si cet argument n'est pas transmis à la commande, vous êtes invité à activer l'authentification EBA. Selon vos préférences, entrez yes ou no lorsque vous y êtes invité.
Windows : le programme d'installation offre la possibilité d'activer l'authentification EBA lors de la configuration d'eDirectory. Pour ce faire, sélectionnez l'option Activer EBA pendant le processus de configuration.
REMARQUE :eDirectory ne permet pas de configurer le démarrage automatique des modules ebaext.dlm et ebassl_srv.dlm sur un serveur pour lequel l'authentification EBA est activée, car le module DS les charge automatiquement lorsque vous activez l'authentification EBA sur un serveur eDirectory.
Si vous essayez de charger les modules ebaext.dlm et ebassl_srv.dlm sur un serveur pour lequel l'authentification EBA n'est pas activée, il se peut qu'ils soient chargés correctement mais que la fonction EBA ne fonctionne pas.
Pour activer l'authentification EBA sur une arborescence eDirectory existante, suivez les instructions ci-dessous correspondant à votre plate-forme :
Linux : exécutez la commande ndsconfig upgrade avec l'argument ––configure–eba-now sur l'un des serveurs qui hébergent une réplique accessible en écriture de la partition root de l'arborescence.
Par exemple : ndsconfig upgrade ––configure–eba-now yes
Windows : exécutez le fichier setup.exe situé dans le dossier d'installation d'eDirectory 9.0 sur l'un des serveurs hébergeant une réplique accessible en écriture de la partition root de l'arborescence et sélectionnez l'option Activer EBA pendant le processus de configuration d'eDirectory.
Lorsque vous activez l'authentification EBA sur un serveur eDirectory, une requête de signature de certificat (CSR) est envoyée à l'autorité de certification EBA. Cette dernière valide la CSR, effectue les vérifications de contrôle d'accès et émet le certificat d'autorité de certification NCP pour le serveur. Avant d'activer l'authentification EBA sur un serveur, vérifiez que :
Une réplique accessible en écriture de la partition qui contient le DN de l'administrateur est présente sur le serveur de l'arborescence pour lequel l'authentification EBA est activée.
Une réplique accessible en écriture de la partition qui contient l'objet Serveur est présente sur le serveur de l'arborescence pour lequel l'authentification EBA est activée.
Si le serveur ne remplit pas cette condition, l'autorité de certification EBA enregistre la CSR et n'émet pas le certificat d'autorité de certification NCP. Le cas échéant, la configuration d'eDirectory échoue et l'administrateur doit approuver la CSR à l'aide du plug-in EBA d'iManager. Pour plus d'informations, reportez-vous à la Section 17.3, Gestion de l'autorité de certification EBA à l'aide. Une fois la CSR approuvée, configurez l'authentification EBA en exécutant la commande ndsconfig upgrade. Par exemple : ndsconfig upgrade --configure-eba-now yes
Pour activer l'authentification EBA lorsqu'un nouveau serveur est ajouté à une arborescence, suivez les instructions ci-dessous correspondant à votre plate-forme :
Linux : exécutez la commande ndsconfig add avec l'argument ––configure–eba-now yes.
Par exemple : ndsconfig add ––configure–eba-now yes
Windows : exécutez le fichier setup.exe situé dans le dossier d'installation d'eDirectory 9.0 et sélectionnez l'option Activer EBA pendant le processus de configuration d'eDirectory.
Pour activer l'authentification EBA sur un serveur configuré, suivez les instructions ci-dessous correspondant à votre plate-forme :
Linux : exécutez la commande ndsconfig upgrade avec l'argument ––configure–eba-now yes.
Par exemple : ndsconfig upgrade ––configure–eba-now yes
Windows : exécutez le fichier setup.exe situé dans le dossier d'installation d'eDirectory 9.0 et sélectionnez l'option Activer EBA pendant le processus de configuration d'eDirectory.
IMPORTANT :NetIQ recommande de disposer, en plus du serveur servant d'autorité de certification EBA, d'au moins un autre serveur pour lequel l'authentification EBA est activée et qui héberge la réplique Lecture-écriture de la partition root de l'arborescence. En cas de défaillance du serveur faisant office d'autorité de certification EBA, l'autre serveur pour lequel l'authentification EBA est activée peut être configuré pour prendre le relais. Pour plus d'informations, reportez-vous à la Section 17.6, Déplacement du rôle d'autorité de certification EBA vers un nouveau serveur.