Configuration de l’authentification LDAP

Vous pouvez configurer Citrix Gateway pour authentifier l’accès utilisateur avec un ou plusieurs serveurs LDAP.

L’autorisation LDAP nécessite des noms de groupes identiques dans Active Directory, sur le serveur LDAP et sur Citrix Gateway. Les caractères et la casse doivent également correspondre.

Par défaut, l’authentification LDAP est sécurisée à l’aide de Secure Sockets Layer (SSL) ou de Transport Layer Security (TLS). Il existe deux types de connexions LDAP sécurisées. Avec un seul type, le serveur LDAP accepte les connexions SSL ou TLS sur un port distinct du port utilisé par le serveur LDAP pour accepter les connexions LDAP claires. Une fois que les utilisateurs ont établi les connexions SSL ou TLS, le trafic LDAP peut être envoyé via la connexion.

Les numéros de port pour les connexions LDAP sont les suivants :

  • 389 pour les connexions LDAP non sécurisées
  • 636 pour des connexions LDAP sécurisées
  • 3268 pour les connexions LDAP non sécurisées Microsoft
  • 3269 pour les connexions LDAP sécurisées Microsoft

Le deuxième type de connexions LDAP sécurisées utilise la commande StartTLS et utilise le numéro de port 389. Si vous configurez les numéros de port 389 ou 3268 sur Citrix Gateway, le serveur essaie d’utiliser StartTLS pour établir la connexion. Si vous utilisez un autre numéro de port, le serveur tente d’établir des connexions à l’aide de SSL ou TLS. Si le serveur ne peut pas utiliser StartTLS, SSL ou TLS, la connexion échoue.

Si vous spécifiez le répertoire racine du serveur LDAP, Citrix Gateway recherche tous les sous-répertoires pour trouver l’attribut utilisateur. Dans les répertoires volumineux, cette approche peut affecter les performances. Pour cette raison, Citrix vous recommande d’utiliser une unité d’organisation spécifique.

Le tableau suivant contient des exemples de champs d’attributs utilisateur pour les serveurs LDAP :

Serveur LDAP Attribut utilisateur Sensible à la casse
Serveur Microsoft Active Directory sAMAccountName Non
Novell eDirectory ou Oui
IBM Directory Server uid Oui
Lotus Domino CN Oui
Sun ONE Directory (anciennement iPlanet) uid ou cn Oui

Ce tableau contient des exemples de DN de base :

Serveur LDAP DN de base
Serveur Microsoft Active Directory DC=citrix,DC=local
Novell eDirectory ou=users,ou=dev
IBM Directory Server cn=users
Lotus Domino OU=City,O=Citrix, C=US
Sun ONE Directory (anciennement iPlanet) ou=People,dc=citrix,dc=com

Le tableau suivant contient des exemples de DN de liaison :

Serveur LDAP Nom unique de liaison
Serveur Microsoft Active Directory CN=Administrator, CN=Users, DC=citrix, DC=local
Novell eDirectory cn=admin, o=citrix
IBM Directory Server LDAP_dn
Lotus Domino CN=Notes Administrator, O=Citrix, C=US
Sun ONE Directory (anciennement iPlanet) uid=admin,ou=Administrators, ou=TopologyManagement,o=NetscapeRoot

Remarque : Pour plus d’informations sur les paramètres du serveur LDAP, reportez-vous à la section Détermination des attributs dans votre annuaire LDAP.

Configuration de l’authentification LDAP