Lors de l'installation du coffre-fort d'identité, vous devez spécifier les ports surveillés par le serveur LDAP pour qu'il puisse traiter les demandes LDAP. Dans le cadre de la configuration par défaut, les numéros de port pour texte clair et SSL/TLS sont définis sur 389 et 636.
Une liaison simple LDAP nécessite seulement un DN et un mot de passe. Le mot de passe se présente en texte clair. Si vous employez le port 389, l'ensemble du paquet est en texte clair. Dans la mesure où le port 389 autorise le texte clair, le serveur LDAP traite les demandes de lecture et d'écriture adressées à l'annuaire via ce port. Cette ouverture est adaptée aux environnements de confiance où aucune simulation n'a lieu et dans lesquels aucun utilisateur ne peut intercepter les paquets qui ne lui sont pas destinés. Par défaut, cette option est désactivée lors de l'installation.
La connexion via le port 636 est chiffrée. TLS (auparavant SSL) gère le chiffrement. La connexion au port 636 lance automatiquement une procédure de reconnaissance mutuelle. Si celle-ci échoue, la connexion est refusée.
REMARQUE :le programme d'installation sélectionne par défaut le port 636 pour les communications TLS/SSL. Cette configuration par défaut peut être problématique pour votre serveur LDAP. Si un service déjà chargé sur le serveur hôte (avant l'installation d'eDirectory) utilise le port 636, vous devez spécifier un autre port. Les installations antérieures à eDirectory 8.7 traitaient ce conflit comme une erreur fatale et déchargeaient nldap. Dans les versions ultérieures à 8.7.3, le programme d'installation charge nldap, place un message d'erreur dans le fichier dstrace.log et s'exécute sans le port sécurisé.
Lors du processus d'installation, vous pouvez configurer le coffre-fort d'identité pour interdire la transmission en clair de mots de passe et d'autres données. L'option Exiger TLS en cas de liaison simple avec mot de passe dissuade les utilisateurs d'envoyer des mots de passe lisibles. Si vous ne sélectionnez pas cette option, les utilisateurs ne savent pas que d'autres personnes peuvent voir leur mot de passe. Cette option, qui n'autorise pas la connexion, ne s'applique qu'au port non chiffré. Si vous établissez une connexion sécurisée avec le port 636 et disposez d'une liaison simple, la connexion est déjà codée. Personne ne peut voir les mots de passe, les paquets de données ou les demandes de liaison.
Prenons les scénarios suivants :
Olivia utilise un client qui demande un mot de passe. Une fois qu'elle a saisi le mot de passe, le client se connecte au serveur. Cependant, le serveur LDAP ne permet pas à la connexion d'établir la liaison avec le serveur via le port non codé. Tout le monde peut voir le mot de passe d'Olivia, mais cette dernière est dans l'impossibilité d'obtenir une connexion liée.
Votre serveur exécute Active Directory. Active Directory exécute un programme LDAP qui utilise le port 636. Vous installez eDirectory. Le programme d'installation détecte alors que le port 636 est déjà utilisé et n'affecte pas de numéro de port au serveur LDAP NetIQ. Le serveur LDAP se charge et semble s'exécuter. Toutefois, comme le serveur LDAP ne peut pas dupliquer ni utiliser un port déjà ouvert, il ne traite pas les requêtes sur un port dupliqué.
Pour vérifier si le port 389 ou 636 est assigné au serveur LDAP NetIQ, exécutez l'utilitaire ICE. Si le champ Vendor Version (Version du fournisseur) n'indique pas NetIQ, vous devez reconfigurer le serveur LDAP pour eDirectory et sélectionner un port différent. Pour plus d'informations, reportez-vous à la section Verifying That the LDAP Server is Running (Vérification de l'exécution du serveur LDAP) du manuel NetIQ eDirectory Administration Guide (Guide d'administration de NetIQ eDirectory 8.8 SP8).
Lorsqu'Active Directory est en cours d'exécution et que le port 389 en texte clair est ouvert, vous pouvez exécuter la commande ICE sur ce port et demander la version du fournisseur. Le résultat affiché est Microsoft*. Vous reconfigurez alors le serveur NetIQ LDAP en sélectionnant un autre port, afin que le serveur LDAP eDirectory puisse répondre aux requêtes LDAP.
iMonitor peut également signaler si le port 389 ou 636 est déjà ouvert. Si le serveur LDAP ne fonctionne pas, utilisez iMonitor pour identifier les détails. Pour plus d'informations, reportez-vous à la section Verifying That the LDAP Server is Running (Vérification de l'exécution du serveur LDAP) du manuel NetIQ eDirectory Administration Guide (Guide d'administration de NetIQ eDirectory 8.8 SP8).