14.5 Configuration des objets LDAP

Une installation eDirectory crée un objet Serveur LDAP et un objet Groupe LDAP. La configuration par défaut des services LDAP est consignée dans ces deux objets. Vous pouvez modifier la configuration par défaut à l'aide de la tâche de gestion LDAP dans NetIQ iManager.

L'objet Serveur LDAP représente des données de configuration propres au serveur.

L'objet Groupe LDAP contient des informations de configuration pouvant aisément être partagées par plusieurs serveurs LDAP. Cet objet fournit des données de configuration communes et représente un groupe de serveurs LDAP. Les serveurs ont des données communes.

Vous pouvez associer plusieurs objets Serveur LDAP à un objet Groupe LDAP. Tous les serveurs LDAP associés obtiennent alors leur configuration de serveur de l'objet Serveur LDAP mais reçoivent les informations communes ou partagées de l'objet Groupe LDAP.

Par défaut, le programme d'installation d'eDirectory installe un seul objet Groupe LDAP et un seul objet Serveur LDAP pour chaque fichier nldap.nlm ou nldap.dlm. Par la suite, vous pouvez associer plusieurs objets Serveur LDAP à un objet Groupe LDAP unique.

IMPORTANT :bien qu'il soit possible d'associer les dernières versions d'un objet Serveur LDAP à des versions moins récentes d'objets Groupe LDAP, nous vous recommandons de ne pas le faire. Évitez par exemple d'associer un objet Groupe LDAP d'eDirectory 8.7.3 SP9 à un objet Serveur LDAP d'eDirectory 9.0 ou version ultérieure.

La quantité d'informations communes contenues dans un objet Groupe LDAP est limitée. LDAP n'a pas besoin de lire de nombreux attributs, étant donné que les données que contiennent ces derniers sont extrêmement courantes. De nombreux serveurs LDAP devront utiliser les mêmes données. En l'absence d'objet Groupe commun ou partagé, vous serez obligé de répliquer ces données sur chaque serveur LDAP.

En revanche, l'objet Serveur LDAP prend en charge davantage d'options et de données de configuration propres au serveur que l'objet Groupe LDAP.

Les deux objets possèdent des attributs de syntaxe DN qui pointent les uns vers les autres.

Pour que le serveur LDAP puisse trouver ses données de configuration, une autre association est nécessaire. Elle est effectuée via le serveur NCP™, qui contient les données de configuration courantes d'eDirectory. Elle est effectuée automatiquement par le programme d'installation d'eDirectory.

Chaque serveur eDirectory possède un objet serveur NCP. Sur la figure suivante, le serveur Lundi illustre cet objet, tel qu'il s'affiche dans iManager :

Icône d'exemple pour un objet Serveur NCP

Cet objet a un attribut Serveur LDAP qui pointe vers l'objet Serveur LDAP d'un serveur hôte eDirectory spécifique. La figure suivante illustre cet attribut :

En règle générale, les objets Serveur LDAP, Groupe LDAP et Serveur NCP sont situés dans le même conteneur. Vous nommez ce conteneur pendant l'installation d'eDirectory en même temps que le serveur et que le contexte Admin.

Si vous déplacez l'objet Serveur LDAP, vous devez le placer dans une réplique inscriptible.

14.5.1 Configuration des objets Serveur LDAP et Groupe LDAP sous Linux

L'utilitaire de configuration de LDAP est l'utilitaire ldapconfig. Vous pouvez utiliser ldapconfig sur des systèmes Linux pour modifier, afficher et rafraîchir les attributs des objets Serveur LDAP et Groupe LDAP.

Utilisez la syntaxe suivante pour afficher des valeurs d'attribut LDAP sur des systèmes Linux :

ldapconfig get [...] | set attribute-value-list  [-t treename | -p hostname[:port]] [-w password] [-a user FDN] [-f]

ldapconfig [-t tree_name | -p host_name[:port]] [-w password] [-a user FDN] [-V] [-R] [-H] [-f] -v attribute,attribute2...

Pour modifier des valeurs d'attributs LDAP sous Linux, utilisez la syntaxe suivante :

ldapconfig [-t tree_name | -p host_name[:port]] [-w password] [-a admin_FDN] -s attribute=value,...

Paramètre	Description
-t nom_arborescence	Nom de l'arborescence eDirectory sur laquelle installer le composant.
-p nom_hôte	Nom de l'hôte. Vous pouvez également indiquer le nom DNS ou l'adresse IP.
-w	Mot de passe de l’utilisateur disposant des droits d’administrateur.
-a	Nom distinctif complet de l’utilisateur disposant des droits d’administrateur. Par exemple : cn=user.o=org1
get \| -V	Permet d'afficher tous les attributs des objets Serveur/Groupe LDAP.
get \| -v liste d'attributs	Affiche les valeurs actuelles des attributs dans la liste qui les contient.
set \| -s paires attribut-valeur	Définit les attributs avec les valeurs spécifiées.
-v	Permet d'afficher la valeur de l'attribut LDAP.
-s	Définit une valeur pour un attribut des composants installés.
-R	Rafraîchit le serveur LDAP.
-V	Permet d'afficher les paramètres de configuration LDAP actuels.
-H	Permet d'afficher les chaînes de syntaxe et d'aide.
-f	Autorise les opérations sur une réplique filtrée.
attribut	Nom configurable des attributs Serveur ou Groupe LDAP. Pour plus d'informations, reportez-vous aux sections Attributs de l'objet Serveur LDAP et Attributs de l'objet Groupe LDAP.

Exemples

Pour afficher la valeur de l'attribut dans la liste qui le contient, saisissez la commande suivante :

ldapconfig [-t tree_name | -p host_name[:port]] 
[-w password] [-a user_FDN] -v "Require TLS for simple binds with password","searchTimeLimit"

Pour configurer le numéro de port TCP LDAP et la limite de taille de recherche à 1000, entrez la commande suivante :

ldapconfig [-t tree_name | -p host_name[:port]] 
[-w password] [-a admin_FDN] -s "LDAP TCP Port=389","searchSizeLimit=1000”

Attributs de l'objet Serveur LDAP

Utilisez l'objet Serveur LDAP pour configurer et gérer les propriétés du serveur LDAP NetIQ.

Le tableau suivant décrit les attributs du serveur LDAP :

Attribut	Description
Serveur LDAP	Nom distinctif complet de l'objet Serveur LDAP dans eDirectory.
Hôte du serveur LDAP	Nom distinctif complet du serveur hôte eDirectory sur lequel le serveur LDAP est exécuté.
Groupe LDAP	Objet Groupe LDAP d'eDirectory auquel ce serveur LDAP appartient.
Limite de liaison du serveur LDAP	Nombre de clients qui peuvent établir simultanément une liaison avec le serveur LDAP. La valeur 0 (zéro) indique qu'il n'existe aucune limite.
Timeout d'inactivité du serveur LDAP	Période d'inactivité d'un client, à l'issue de laquelle le serveur LDAP interrompt la connexion avec ce client. La valeur 0 (zéro) indique qu'il n'existe aucune limite.
Activer le protocole TCP pour le serveur LDAP	Cette option a été abandonnée. Elle est accessible via ldapInterfaces. Pour plus d'informations, reportez-vous à la ldapInterfaces.
LDAP Enable TLS	Cette option a été abandonnée. Elle est toutefois accessible via ldapInterfaces. Pour plus d'informations, reportez-vous à la ldapInterfaces.
Port TCP LDAP	Cette option a été abandonnée. Elle est toutefois accessible via ldapInterfaces. Pour plus d'informations, reportez-vous à la ldapInterfaces.
LDAP TLS Port	Cette option a été abandonnée. Elle est toutefois accessible via ldapInterfaces. Pour plus d'informations, reportez-vous à la ldapInterfaces.
keyMaterialName	Nom de l'objet Certificat dans eDirectory associé à ce serveur LDAP et utilisé pour les connexions LDAP SSL.
searchSizeLimit	Nombre maximal d'entrées renvoyées par le serveur LDAP à un client LDAP en réponse à une recherche. La valeur 0 (zéro) indique qu'il n'existe aucune limite. Si l'utilisateur possède les droits d'administrateur sur l'objet Serveur LDAP, la valeur searchSizeLimit n'est pas prise en compte. Les modifications apportées aux droits d'administrateur d'un utilisateur ne sont pas prises en compte immédiatement, car les droits administratifs sont mis en cache. Les modifications des droits d'administrateur seront appliquées lors du prochain rafraîchissement du serveur LDAP. Par défaut, le serveur LDAP est rafraîchi toutes les 30 minutes.
searchTimeLimit	Nombre maximal de secondes après lesquelles le serveur LDAP abandonne la recherche LDAP pour cause de dépassement de délai. La valeur 0 (zéro) indique qu'il n'existe aucune limite. Si l'utilisateur possède les droits d'administrateur sur l'objet Serveur LDAP, la valeur searchTimeLimit n'est pas prise en compte. Les modifications apportées aux droits d'administrateur d'un utilisateur ne sont pas prises en compte immédiatement, car les droits administratifs sont mis en cache. Les modifications des droits d'administrateur seront appliquées lors du prochain rafraîchissement du serveur LDAP. Par défaut, le serveur LDAP est rafraîchi toutes les 30 minutes.
filteredReplicaUsage	Indique si le serveur LDAP doit utiliser une réplique filtrée pour une recherche LDAP. Valeurs = 1 (utiliser une réplique filtrée), 0 (ne pas utiliser de réplique filtrée)
sslEnableMutualAuthentication	Indique si l'authentification mutuelle SSL (authentification client basée sur un certificat) est activée sur le serveur LDAP..
ldapTLSVerifyClientCertificate	Active ou désactive la vérification du certificat du client pour une opération TLS qui passe par LDAP.
ldapNonStdAllUserAttrsMode	Active ou désactive les attributs de type tous les utilisateurs et opérationnels non standard.
ldapBindRestrictions	Active les restrictions de liaison LDAP et le niveau de chiffrement sur les connexions client LDAP. Cet attribut peut être utilisé pour contrôler les connexions client. Vous pouvez définir l'une des sept restrictions de liaison LDAP suivantes à l'aide d'iManager : NONE : cette option est activée par défaut. Cette option activera à la fois les liaisons simples anonymes et les liaisons simples non anonymes. La valeur de cette option est 0. Refuser une liaison simple anonyme : définissez la valeur sur 1 pour désactiver la liaison simple anonyme. La liaison simple non anonyme sera activée. Disallow non-anonymous simple bind (Interdire l'utilisation d'une liaison simple non anonyme) : définissez la valeur sur 2 pour désactiver une liaison simple non anonyme. Disallow anonymous simple bind and non-anonymous simple bind (Interdire l'utilisation d'une liaison simple anonyme et d'une liaison simple non anonyme) : définissez la valeur sur 3 pour désactiver une liaison simple anonyme et une liaison simple non anonyme. REMARQUE :la désactivation des liaisons simples non anonymes appliquera des limites de connexion gracieuse appropriées. Interdire toute liaison non authentifiée : définissez la valeur sur 4 pour désactiver une liaison simple sans mot de passe. Interdire toute liaison anonyme et non authentifiée : définissez la valeur sur 5 pour désactiver une liaison simple anonyme et une liaison non authentifiée. Disallow non-anonymous simple bind and unauthenticated bind (Interdire l'utilisation d'une liaison simple non anonyme et d'une liaison non authentifiée) : définissez la valeur sur 6 pour désactiver une liaison simple non anonyme et une liaison non authentifiée. Une liaison simple anonyme sera activée dans ce scénario. Disallow anonymous simple bind, non-anonymous simple bind and unauthenticated bind (Interdire l'utilisation d'une liaison simple anonyme, d'une liaison simple non anonyme et d'une liaison non authentifiée) : définissez la valeur sur 7 pour désactiver une liaison simple anonyme, une liaison simple non anonyme et une liaison non authentifiée. REMARQUE :les valeurs de 4 à 7 peuvent être définies à partir de l'utilitaire ldapconfig. iManager n'autorise pas la définition de cette valeur. Pour plus d'informations, reportez-vous au Tableau 14-1. Pour les algorithmes RSA et ECDSA (Elliptic Curve Digital Signature), eDirectory permet d'utiliser les valeurs suivantes pour restreindre l'utilisation du chiffrement : RSA: utilisez les valeurs suivantes : Cipher élevé (supérieur à 128 bits) : définissez la valeur sur 48 pour spécifier l'utilisation d'un niveau de chiffrement supérieur à 128 bits et certaines suites de chiffrement avec des clés de 128 bits. Cipher moyennement élevé : définissez la valeur sur 32 pour spécifier l'utilisation d'un niveau de chiffrement de 128 bits. Cipher peu élevé : définissez la valeur 16 pour spécifier l'utilisation d'un chiffrement de 56 ou 64 bits en excluant les suites de chiffrement d'exportation. Exporter : spécifie l'utilisation d'un niveau de chiffrement, y compris un chiffrement de 40 et 56 bits. Valeur 0. La valeur par défaut est Cipher élevé avec un niveau de chiffrement supérieur à 128 bits. Si cette valeur est définie sur 0, une fois la mise à niveau vers eDirectory 9.1 SP4 terminée, elle sera automatiquement remplacée par Cipher élevé. REMARQUE :si le mode FIPS est activé pour TLS, eDirectory ignore la configuration du chiffrement et n'autorise que les chiffrements élevés.
	Mode SuiteB : utilisez les valeurs suivantes : Cipher SuiteB (128 bits) : définissez la valeur sur 64 pour autoriser le fonctionnement en mode SuiteB à l'aide d'un niveau de sécurité de 128 bits. Lorsque vous sélectionnez cette option, eDirectory autorise l'utilisation d'un niveau de sécurité de 128 bits et 192 bits par des homologues (tout client LDAP). Cette option permet d'utiliser des certificats ECDSA 256 ou ECDSA 384. Cipher SuiteB (128 bits uniquement) : définissez la valeur sur 80 pour autoriser le fonctionnement en mode SuiteB à l'aide d'un niveau de sécurité de 128 bits. Lorsque vous sélectionnez cette option, eDirectory n'autorise pas l'utilisation du niveau de sécurité de 192 bits par des homologues (tout client LDAP). Vous ne pouvez utiliser que des certificats ECDSA 256 avec cette option. Cipher SuiteB (192 bits) : définissez la valeur sur 96 pour autoriser le fonctionnement en mode SuiteB à l'aide d'un niveau de sécurité de 192 bits. Lorsque vous sélectionnez cette option, eDirectory autorise uniquement l'utilisation du niveau de sécurité de 192 bits par des homologues (tout client LDAP). Vous ne pouvez utiliser que des certificats ECDSA 384 avec cette option. eDirectory vous permet d'utiliser une combinaison de valeurs ldapbindrestrictions et de niveaux de chiffrement. Pour plus d'informations, reportez-vous au Tableau 14-1.
ldapChainSecureRequired	Attribut booléen. S'il est activé, le chaînage à d'autres instances eDirectory s'effectuera via NCP sécurisé. Par défaut, ldapChainSecureRequired est désactivé.
ldapInterfaces	Attribut SYN_CI_STRING à plusieurs valeurs pour stocker les URL LDAP sur lesquelles le serveur LDAP écoute (tant sur les ports sécurisés qu'en texte clair). Cet attribut permet de configurer plusieurs instances lorsque chaque instance du serveur eDirectory écoute sur une interface spécifique. Il peut être configuré avec les adresses IP et les numéros de port au format d'URL LDAP. Le serveur LDAP écoute sur ces ports et adresses IP. Voici des exemples de récepteurs IPv4 et IPv6. ldap://192.168.1.1:389 - To specify for IPv4 specific address on clear text port ldaps://192.168.2.1:636 - To specify for IPv4 specific address on secure port ldap://[2015::3]:389 - To specify for IPv6 specific address on clear text port ldaps://[2015::3]:636 - To specify for IPv6 specific address on secure port ldap://[::]:389 - To specify for IPv6 unspecified address on clear text port ldaps://[::]:636 - To specify for IPv6 unspecified address on secure port Les attributs LDAP Enable TCP (Activer TCP pour LDAP), LDAP Enable TLS (Activer TLS pour LDAP), LDAP TCP Port (Port TCP LDAP) et LDAP TLS Port (Port TLS LDAP) ne sont pas remplis si un nouveau serveur est configuré dans eDirectory 9.1 ou version ultérieure. Les valeurs d'attribut ldapInterface correspondant aux ports sélectionnés pour ldap et ldaps pendant la configuration sont remplies. Par exemple, ldap://:389, ldaps://:636. Par défaut, seules les valeurs d'interface IPv4 sont ajoutées à l'attribut ldapInterfaces. Au cours de la mise à niveau, eDirectory est programmé pour supprimer les attributs LDAP Enable TCP, LDAP Enable TLS, LDAP TCP Port et LDAP TLS Port. Il renseigne les valeurs correspondantes de ces attributs dans ldapInterface. La commande ldapconfig set prend les valeurs séparées par des virgules et remplace toutes les valeurs existantes par les nouvelles valeurs.
ldapStdCompliance	Le serveur LDAP d'eDirectory par défaut ne retourne pas les renvois subordonnés pour les recherches à UN SEUL niveau. Pour activer cette fonctionnalité, vous devez renseigner la valeur 1 dans le champ ldapStdCompliance. Le serveur LDAP retournera alors les renvois subordonnés pour les recherches à UN SEUL niveau.
ldapChainSecureRequired	Attribut booléen. S'il est activé, le chaînage à d'autres instances eDirectory s'effectuera via NCP sécurisé. Par défaut, l'attribut est désactivé.
ldapEnablePSearch	Indique si la fonction de recherche persistante est activée ou non sur le serveur LDAP. Valeurs = yes, no
ldapMaximumPSearchOperations	Nombre entier qui limite le nombre d'opérations de recherche persistante simultanées. La valeur zéro autorise un nombre illimité d'opérations de recherche persistante.
ldapIgnorePSearchLimitsForEvents	Indique si les limites de taille et de durée doivent être ignorées après que la requête de recherche persistante a envoyé le jeu de résultats initial. Valeurs = yes, no Si la valeur False est sélectionnée pour cet attribut, l'ensemble des opérations de recherche persistante est soumis aux limites de recherche. Si l'une des limites est atteinte, la recherche échoue et le message d'erreur approprié apparaît.
ldapGeneralizedTime	Activez l'heure au format généralisé pour l'afficher au format AAAAMMJJHHmmSS.0z. Valeurs = yes, no
ldapPermissiveModify	Activez le contrôle permissif des modifications pour étendre l'opération de modification LDAP. Si vous tentez de supprimer un attribut qui n'existe pas ou d'ajouter une valeur à un attribut existant, l'opération s'effectue sans afficher de message d'erreur Valeurs = yes, no
ldapSSLConfig	Cet attribut vous permet de définir les protocoles TLS et les chiffrements dans l'objet Serveur LDAP. Par défaut, cet attribut est désactivé. Cet attribut de configuration respecte l'ordre de priorité suivant : Présence de la valeur d'attribut ldapSSLConfig sur l'objet Serveur LDAP Présence de la valeur d'attribut ldapSSLConfig sur l'objet Groupe LDAP Si aucun protocole et chiffrement n'est défini à l'aide de cet attribut, la configuration par défaut spécifiée dans les restrictions ldapBindRestrictions est utilisée. Pour plus d'informations, reportez-vous à la section Configuration des protocoles et des chiffrements à l'aide de l'attribut ldapSSLConfig. REMARQUE :l'attribut ldapSSLConfig est disponible à partir de la version 9.0 SP2 d'eDirectory.
ldapGroupSSLConfig	Cet attribut vous permet de définir les protocoles TLS et les chiffrements dans l'objet Groupe LDAP. Par défaut, cet attribut est désactivé. Cet attribut de configuration respecte l'ordre de priorité suivant : Présence de la valeur d'attribut ldapSSLConfig sur l'objet Serveur LDAP Présence de la valeur d'attribut ldapSSLConfig sur l'objet Groupe LDAP Si aucun protocole et chiffrement n'est défini à l'aide de cet attribut, la configuration par défaut spécifiée dans les restrictions ldapBindRestrictions est utilisée. Pour plus d'informations, reportez-vous au Configuration des protocoles et des chiffrements à l'aide de l'attribut ldapSSLConfig. REMARQUE :si cet attribut est défini par le biais de la commande dapconfig get/set, utilisez ldapGroupSSLConfig et, s'il est défini au moyen du fichier ldif, utilisez ldapSSLConfig à l'aide du DN de l'objet Groupe LDAP.

Tableau 14-1 Valeurs de combinaison de ldapbindrestrictions et des niveaux de chiffrement

ldapbindrestriction	Certificat	Niveau de chiffrement	Valeur de combinaison
Aucun	RSA	Export (Exporter)	0
	RSA	Élevé	48
	RSA	Moyen	32
	RSA	Faible	16
	ECDSA 256/384	SUITEB128	64
	ECDSA 56	SUITEB128ONLY	80
	ECDSA 384	SUITEB192	96
Refuser une liaison simple anonyme	RSA	Export (Exporter)	1
	RSA	Élevé	49
	RSA	Moyen	33
	RSA	Faible	17
	ECDSA 256/384	SUITEB128	65
	ECDSA 56	SUITEB128ONLY	81
	ECDSA 384	SUITEB192	97
Interdire la liaison locale	RSA	Export (Exporter)	2
	RSA	Élevé	50
	RSA	Moyen	34
	RSA	Faible	18
	ECDSA 256/384	SUITEB128	66
	ECDSA 56	SUITEB128ONLY	82
	ECDSA 384	SUITEB192	98
Refuser une liaison simple anonyme et annuler la liaison	RSA	Export (Exporter)	3
	RSA	Élevé	51
	RSA	Moyen	35
	RSA	Faible	19
	ECDSA 256/384	SUITEB128	67
	ECDSA 56	SUITEB128ONLY	83
	ECDSA 384	SUITEB192	99
Interdire toute liaison non authentifiée	RSA	Export (Exporter)	4
	RSA	Élevé	52
	RSA	Moyen	36
	RSA	Faible	20
	ECDSA 256/384	SUITEB128	68
	ECDSA 56	SUITEB128ONLY	84
	ECDSA 384	SUITEB192	100
Disallow anonymous and unauthenticated bind (Interdire toute liaison anonyme et non authentifiée)	RSA	Export (Exporter)	5
	RSA	Élevé	53
	RSA	Moyen	37
	RSA	Faible	21
	ECDSA 256/384	SUITEB128	69
	ECDSA 56	SUITEB128ONLY	85
	ECDSA 384	SUITEB192	101
Disallow non-anonymous simple bind and unauthenticated bind (Interdire l'utilisation d'une liaison simple non anonyme et d'une liaison non authentifiée)	RSA	Export (Exporter)	6
	RSA	Élevé	54
	RSA	Moyen	38
	RSA	Faible	22
	ECDSA 256/384	SUITEB128	70
	ECDSA 56	SUITEB128ONLY	86
	ECDSA 384	SUITEB192	102
Disallow anonymous simple bind, non-anonymous simple bind and unauthenticated bind (Interdire l'utilisation d'une liaison simple anonyme, d'une liaison simple non anonyme et d'une liaison non authentifiée)	RSA	Export (Exporter)	7
	RSA	Élevé	55
	RSA	Moyen	39
	RSA	Faible	23
	ECDSA 256/384	SUITEB128	71
	ECDSA 56	SUITEB128ONLY	87
	ECDSA 384	SUITEB192	103

Attributs de l'objet Groupe LDAP

L'objet Groupe LDAP permet de définir et de gérer le type d'accès autorisé pour les clients LDAP aux informations figurant sur le serveur LDAP NetIQ et l'utilisation qu'ils en font.

Pour exiger TLS en vue d'effectuer des liaisons simples, reportez-vous à la section Utilisation de TLS en cas de liaison simple avec mot de passe. Cet attribut indique si le serveur LDAP autorise la transmission de mots de passe en texte clair de la part d'un client LDAP. Valeurs = 0 (non) ou 1 (oui).

Pour spécifier un renvoi par défaut, referralIncludeFilter, referralExludeFilter, ainsi que la méthode de traitement des renvois LDAP par les serveurs LDAP, reportez-vous à la section Utilisation des renvois.

Pour spécifier les protocoles TLS et les chiffrements, vous pouvez utiliser l'attribut ldapSSLConfig. Pour plus d'informations, reportez-vous au Configuration des protocoles et des chiffrements à l'aide de l'attribut ldapSSLConfig.

14.5.2 Configuration des protocoles et des chiffrements à l'aide de l'attribut ldapSSLConfig

eDirectory vous permet de définir divers chiffrements et paramètres TLS requis pour la communication TLS du serveur LDAP.

Vous pouvez spécifier le protocole et les chiffrements au format JSON dans l'attribut ldapSSLConfig pour le serveur LDAP et l'objet Groupe. Par exemple, vous pouvez définir les protocoles et les chiffrements comme indiqué dans le format JSON ci-dessous :

{
    "Version": 1,
    "Info": {
        "Protocol": "+ALL-SSLv3",
        "Ciphers": "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384"
    }
}

REMARQUE :si vous spécifiez des informations incorrectes dans l'attribut ldapSSLConfig, la configuration par défaut spécifiée dans les restrictions ldapBindRestrictions sera suivie.

Configuration des chiffrements

Vous pouvez configurer votre propre liste de chiffrements à l'aide du format de liste de chiffrement OpenSSL. Les exemples suivants illustrent l'utilisation de formats de liste de chiffrement employés dans le cadre d'une communication TLS du serveur LDAP :

Pour les certificats RSA : !CAMELLIA:!DH:!SRP:!MD5:HIGH+aRSA
Pour les certificats ECDSA : HIGH+aECDSA
Pour la suite de chiffrement SuiteB 128 bits compatible avec les certificats ECDSA : ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256
Pour la suite de chiffrement SuiteB 192 bits compatible avec les certificats ECDSA : ECDHE-ECDSA-AES128-GCM-SHA256

Pour plus d'informations sur le format de liste de chiffrement, reportez-vous à la documentation OpenSSL Ciphers (chiffrements OpenSSL).

Configuration des protocoles

eDirectory offre la flexibilité de configurer la liste des protocoles requis pendant la communication TLS. Pour contrôler la liste des protocoles, définissez le protocole requis au format JSON dans l'attribut ldapSSLConfig. Vous pouvez configurer les chaînes de protocole suivantes :

SSLv3
TLSv1.0
TLSv1.1
TLSv1.2
ALL

Chaque chaîne de protocole doit être précédée d'un symbole« + » ou d'un « - ». Le symbole « + » indique que les chaînes de protocole sont autorisées et le symbole « - » indique que les chaînes de protocole ne sont pas autorisées par eDirectory. Le tableau suivant répertorie certaines configurations de protocole TLS :

Configuration du protocole	Description
+TLSv1.2	Autorise uniquement TLSv1.2
+ALL-TLSv1.0	Autorise tout à l'exception de TLSv1.0
+ALL-TLSv1.2-TLSv1.1	Autorise SSLv3 et TLSv1.0
+ALL	Autorise SSLv3, TLSv1.0, TLSv1.1 et TLSv1.2

REMARQUE :un protocole peut uniquement être précédé du symbole « - » lorsque +ALL est spécifié.

Exemples :

Configuration des protocoles et des chiffrements dans un mode compatible avec SuiteB

{
    "Version": 1,
    "Info": {
        "Protocol": "+TLSv1.2",
        "Ciphers": "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384"
    }
}

Dans l'exemple ci-dessus, le protocole est défini en tant que + TLSv1.2 au format JSON. Le protocole TLSv1.2 est le seul pris en charge pour un mode compatible avec SuiteB.

Configuration des protocoles et des chiffrements compatibles avec d'autres modes que SuiteB

{
    "Version": 1,
    "Info": {
        "Protocol": "+ALL-SSLv3",
        "Ciphers": "HIGH+aECDSA"
    }
}

Dans l'exemple ci-dessus, le protocole est défini en tant que + ALL-SSLv3 au format JSON, ce qui signifie que tous les protocoles pris en charge, à l'exception de SSLv3, sont autorisés lors d'une communication TLS.