eDirectory offre la flexibilité de contrôler l'autorisation par proxy par le biais du protocole LDAP comme spécifié dans le fichier RFC 4370. Le contrôle de l'autorisation par proxy permet à un client de demander qu'une opération soit traitée avec une identité d'autorisation fournie au lieu de l'identité d'autorisation actuelle associée à la connexion. Cette fonction propose un mécanisme permettant de spécifier une identité d'autorisation pour chaque opération, ce qui est utile pour les clients qui doivent effectuer plusieurs opérations pour le compte de plusieurs utilisateurs.
Pour s'authentifier auprès du serveur eDirectory, un administrateur doit fournir le contrôle d'autorisation par proxy OID 2.16.840.1.113730.3.4.18 dans la requête cliente. Pour utiliser le contrôle d'autorisation par proxy, l'utilisateur authentifié doit disposer de droits Superviseur sur l'utilisateur représenté.
Créez une arborescence eDirectory et ajoutez-lui des objets Utilisateur.
Connectez-vous à iManager > Rôles et tâches > Droits > Modifier les ayants droit et sélectionnez un utilisateur.
Cliquez sur OK.
Cliquez sur Ajouter un ayant droit et sélectionnez un autre utilisateur dans la liste.
Cliquez sur Droits assignés pour l'utilisateur.
Sélectionnez Superviseur pour Tous les droits d'attribut et Droits d'entrée pour l'utilisateur.
Cliquez sur Terminé, puis sur Appliquer.
Pour effectuer l'autorisation par proxy pour ldapsearch, utilisez la commande suivante :
ldapsearch -x -h <SrvIP> -p <Port> -D <Admin DN> -w <Password> -e '!authzid=dn:<Impersonate user> -b o=novell -s one
Pour effectuer d'autres opérations LDAP à l'aide du contrôle d'autorisation par proxy, indiquez l'OID 2.16.840.1.113730.3.4.18 dans la requête LDAP.
Pour auditer les opérations d'autorisation par proxy, eDirectory propose un nouvel événement appelé DSE_IMPERSONATE.