Marques pages
Se connecter

Importation des utilisateurs LDAP

Pour mettre en place l’import des utilisateurs LDAP, il est nécessaire de :

  • Avoir un compte du domaine ayant accès à l’Active Directory en lecture et étant admin du serveur GED. Il faudra mettre ce compte sur le service « automate MultiGest webserveur » et sur le « service Apache-2.4 ».
  • Modifier deux fichiers de configuration se trouvant dans le répertoire d’installation de MultiGest/bin. Si ceux-ci n’existent pas il est nécessaire de les créer. Ces deux fichiers sont :
    • ldap_adresses
    • ldap_domains

Ldap_adresses

Ce fichier contient l’ensemble des chemins LDAP permettant l’accès aux utilisateurs dans l’AD. Chaque chemin permet d’accéder à des unités d’organisation différentes dans l’active directory.

Pour connaitre le chemin de l’unité d’organisation (distinguishedName), vous pouvez aller sur le serveur active directory et ouvrir adsiedit.msc (modification ADSI) et aller sur le groupe où sont classés les utilisateurs.

Le chemin LDAP du fichier est constitué de :

Libellé du groupe à afficher dans MultiGest

Le distinguishedName de l’unité d’organisation avec LDAP:// devant

PS : Pour avoir tous les utilisateurs, vous pouvez mettre uniquement les DC=

Attention

Ne pas mettre LDAP en minuscule sinon cela ne marchera pas.

Ldap_domains

Il contient la table de correspondance entre le domaine de l’utilisateur et le domaine d’authentification.

Il n’y aura qu’une ligne si le domaine est unique.

Paramétrage domaine dans MultiGest

Se connecter dans MultiGest avec des droits administrateurs et aller dans le menu d’administration /options générales

Dans l’onglet général à « options de connexion à active directory », mettre le nom de votre domaine sans le . (Mettre le nom raccourci)

Si vous avez plusieurs domaines, laissez vide.

Paramétrage NTLM

Paramétrage serveur

Internet Explorer

Pour activer la connexion automatique, il faut paramétrer le fichier webserveur.ini se trouvant sur le serveur de MultiGest dans le répertoire [INSTALL_MULTIGEST]/bin.

Modifier la valeur AUTH en lui attribuant la valeur 1.

Paramétrage poste client

Suivre le paramétrage décrit dans la section précédente (cf.Paramètrage du poste client).

Chrome et Firefox

A partir de la version Multigest 9.5.4 svn 15926.

Il est possible de se connecter à l’application Multigest en NTLM en utilisant des navigateurs Chrome et Firefox. Le paramétrage est décrit dans l’annexe de ce document (Paramétrage fichier webserveur.ini).

Import des utilisateurs dans MultiGest

Pour importer les utilisateurs de la GED, il faut se connecter avec un compte admin et aller dans le menu d’administration/ Utilisateurs et groupes

Cliquer sur le bouton « annuaire active directory ».

Choisir l’organisation de recherche, mettre un nom (si besoin d’une recherche précise) et cliquer sur le bouton de rechercher.

La liste des utilisateurs non importés apparaitra.

Choisir les utilisateurs à importer en les cochant puis cliquer sur importer.

Information

Lorsque l’import aura été fait le nom disparaitra de la liste. Seul le mot de passe sera modifié si vous changez un élément dans l’active directory (le changement de nom ou de mail ne sera pas répercuté dans MultiGest).

À la suite de cet import l’utilisateur aura une icône différente d’un utilisateur local :

Modalités de connexion à Multigest

Information

A partir de la version Multigest 9.5.4 svn 15926.

Des modifications ont été réalisées pour sécuriser l’accès à l’application et empêcher la connexion par un URL. Pour profiter de ces corrections il est nécessaire d’avoir la dernière version du package Apache et PHP adapté à votre version Multigest. Ces packages sont livrés au même temps que la mise à jour de la version Multigest, en cas de doute contacter le support Efalia.

Il existe trois modalités de connexion selon le niveau de sécurité souhaitée.

FULL Accès à l’application sans aucune authentification il s’agit de l‘ancien mode de connexion. L’ouverture à ce mode est une faille sécurité permettant la connexion à Multigest sans aucune authentification par simple transmission du login dans l’urls. Ce mode de connexion n’est pas recommandé et elle doit être utilisée en prenant en compte les risques encourus.

SSO Mode protégé : authentification SSO tierce partie préalable en utilisant un module apache (type ldap/kerberos) uniquement.

SSOMATCH Mode protégé avec matching sur le profil de l’utilisateur : Authentification SSO tierce préalable par un module apache (type ldap/Kerberos) et correspondance du login transmis dans l’url avec celui du compte Multigest associé au compte SSO récupéré (REMOTE_USER). La vérification du compte Multigest associé au compte SSO authentifié par le module apache est faite par défaut sur la colonne login_window. Un fichier de contrôle des accès (White list) pourra également être mis en place pour permettre l’association d’un compte SSO à plusieurs comptes Multigest. Ce mode sera le mode d’accès par défaut aux Urls non sécurisées.

La configuration de ces modes de connexion est expliquée dans l’annexe de ce document (Paramétrage fichier webserveur.ini).

Ajouter aux favoris
Exporter en PDF
Modifier l’article
Table des matières