<< Fai click per mostrare l'elenco degli argomenti >> Percorso:  Funzioni avanzate > Gli utenti > La sicurezza > Autenticazione tramite server LDAP

Dalla versione 4.1.12 di CEM4 è stata introdotta la modalità di autenticazione tramite server LDAP. Tramite questa funzione, la verifica delle credenziali è affidata a un server LDAP esterno a cui si collega il client di CEM4 in fase di accesso dell'utente. Per abilitare l'autenticazione tramite server LDAP segui le procedure presenti in questo capitolo.

Creazione degli utenti

Come prima cosa, dopo aver configurato secondo le proprie esigenze il server LDAP, occorre creare gli utenti. Ogni utente deve essere creato sia sul server LDAP che all'interno di CEM4: questo passaggio è necessario per poter assegnare i privilegi corretti degli utenti. Per maggiori informazioni su come creare gli utenti nel software, vedi capitoli "Come aggiungere nuovi utenti" e "Finestra di proprietà di un utente". Per ogni utente è necessario specificare almeno i seguenti dati:

•Stato (scheda "Generale"): deve essere impostato su Abilitato (valore predefinito) per consentire l'accesso dell'utente.

•Codice di accesso (massimo 20 caratteri, scheda "Generale"): deve avere lo stesso valore dell'attributo identificativo del corrispettivo utente su server LDAP. CEM4 come attributo predefinito utilizza uid, ma questa impostazione può essere modificata nella configurazione del software.

•Password (scheda "Generale"): non è obbligatorio specificarla, in quanto il controllo delle credenziali sarà delegato al server LDAP. Tuttavia, può essere utile impostarla ugualmente, nel caso in futuro si decidesse di disattivare l'accesso tramite LDAP e utilizzare la multiutenza nativa del programma.

•Scheda "Privilegio e autorizzazioni": consente di personalizzare il ruolo dell'utente in base alle proprie esigenze lavorative.

 

 

Configurazione del profilo di connessione al server LDAP

Terminata la creazione dell'anagrafica utenti su server LDAP e CEM4, occorre configurare un profilo di connessione al server LDAP.

1)Fai click sul comando Dettagli società... all'interno del menù Strumenti della finestra principale.

2)Dalla finestra di proprietà, scegli la scheda "Accesso al programma".

3)Deseleziona la casella "Non richiedere identificazione utente all'avvio (modalità monoutente)". In questo modo verrà abilitata la multiutenza del software.

4)Spunta la casella "Autenticazione utenti tramite server LDAP", quindi fai click sul pulsante Configura... per aprire la finestra di connessione.

 

 

La finestra di configurazione del profilo di connessione al server LDAP si presenta come in figura:

Sono presenti le seguenti impostazioni:

•Nome o IP del server (obbligatorio): specifica l'indirizzo IP o il nome dell'host su cui risiede il server LDAP.

•Porta (obbligatorio): valore numerico che determina la porta TCP remota utilizzata dal server LDAP (valore predefinito: 389). Attualmente il programma non supporta le connessioni cifrate, per esempio attraverso la porta 636.

•Base DN: percorso root definito sul server LDAP che contiene le entry relative ai singoli utenti.

•Autenticazione (obbligatorio): determina la modalità di connessione al server LDAP. Attualmente sono supportate le seguenti possibilità:

oBasic authentication: le credenziali specificate nei campi sottostanti Nome utente e Password vengono utilizzati per sfogliare il base DN e ricercare l'entry con uid corrispondente a quello inserito in fase di autenticazione dall'operatore.

oAnonymous: l'accesso alle entry presenti all'interno del base DN avviene liberamente senza fornire alcuna credenziale.

oBind: quando l'operatore inserisce le proprie credenziali, il programma avvia una richiesta di bind col server LDAP. Se questa riesce correttamente, l'accesso a CEM4 viene garantito. Per maggiori informazioni, consulta la RFC 4511 sezione "4.2 - Bind operation".

•Riquadro "Cifrature password ammesse": consente di specificare le funzioni crittografiche di hash ammesse per l'attributo userPassword. Questa impostazione non è disponibile per l'autenticazione di tipo Bind.

oSenza password: se selezionato, sono abilitati all'accesso anche gli utenti LDAP che hanno l'attributo userPassword senza alcun valore impostato.

oPlain-text: se selezionato, sono abilitati all'accesso anche gli utenti LDAP che hanno un valore in chiaro per l'attributo userPassword.

oMD5: se selezionato, sono abilitati all'accesso anche gli utenti LDAP con l'attributo userPassword che inizia con {MD5} seguito da un hash MD5 valido.

oSHA1: se selezionato, sono abilitati all'accesso anche gli utenti LDAP con l'attributo userPassword che inizia con {SHA1} seguito da un hash SHA1 valido.

oSASL: se selezionato, il programma tenta l'avvio di una richiesta di bind col server LDAP per gli utenti con l'attributo userPassword che inizia con {SASL}.

•Campo utente: nome dell'attributo da utilizzare per identificare la singola entry. Il valore predefinito è uid.

•Campo password: nome dell'attributo che contiene la password per la singola entry. Il valore predefinito è userPassword.

 

Prima di confermare le eventuali modifiche alla configurazione, si consiglia di verificarne la correttezza utilizzando gli strumenti disponibili nel riquadro "Diagnostico". L'autenticazione tramite server LDAP sarà attiva a partire dal riavvio successivo dei client di CEM4.

Autenticazione dell'utente

Quando l'utente fornisce la sue credenziali, CEM4 verifica che esista effettivamente in anagrafica un utente con quel codice di accesso in stato Abilitato. Se si tratta dell'utente Amministratore Predefinito la verifica della password avviene in locale senza consultare il server LDAP; negli altri casi, il software tenta una connessione al server LDAP in base alla impostazioni specificate nel profilo di connessione. Per l'autenticazione di tipo Bind, il programma avvia una richiesta di bind (specificando il percorso completo dell'entry, comprensivo del base DN); negli altri casi invece tenta l'accesso al base DN (in forma anonima o fornendo le credenziali specificate) ed esegue la ricerca di utente con l'uid da autenticare. Se l'utente esiste, la procedura di autenticazione verifica il contenuto dell'attributo userPassword e garantisce l'accesso se tutte le condizioni del caso specifico sono state soddisfatte (vedi tabella seguente).

Disabilitare l'autenticazione tramite server LDAP

Seguire questa procedura nel caso in cui si volesse disattivare la funzione di accesso tramite server LDAP e tornare alla multiutenza nativa di CEM4.

1)Accedi con un utente Amministratore in possesso di autorizzazioni adeguate.

2)Fai click sul comando Dettagli società... all'interno del menù Strumenti della finestra principale.

3)Dalla finestra di proprietà, scegli la scheda "Accesso al programma".

4)Deseleziona la casella "Autenticazione utenti tramite server LDAP". Il software richiederà se si intende mantenere i profili di connessione per utilizzi futuri o se si preferisce eliminarli completamente.

5)Eventualmente, spunta la casella "Non richiedere identificazione utente all'avvio (modalità monoutente)" e seleziona un utente predefinito. In questo modo verrà abilitata di nuovo la monoutenza del software.