Configuration de l’authentification LDAP

Avec l’authentification LDAP, vous pouvez permettre aux utilisateurs de se connecter avec leurs identifiants Active Directory (AD) Microsoft ou Open Directory (OD) Apple existants.

L’intégration à un service d’annuaire LDAP vous permet de :

  • Authentifier les utilisateurs avec leur nom d’utilisateur et leur mot de passe AD ou OD (disponible pour Jamf Teacher, Jamf Parent, l’enrôlement automatisé des appareils [anciennement DEP], l’enrôlement avec Apple Configurator 2, l’enrôlement par l’utilisateur et l’enrôlement sur les appareils)

  • Créer des utilisateurs et des groupes dans Jamf School

  • Mettre à jour les utilisateurs et les groupes existant déjà dans Jamf School (uniquement si les propriétés de Jamf School ne correspondent pas aux propriétés du répertoire à distance)

Remarque :

L’authentification LDAP ne peut pas lire les groupes imbriqués d’AD ou d’OD. De plus, elle ne peut pas synchroniser l’intégralité d’AD ou d’OD avec Jamf School. (Les utilisateurs et les groupes ne sont créés ou mis à jour que lorsqu’un utilisateur tente d’effectuer une authentification de façon inattendue.)

Exigences générales

Pour configurer l’authentification LDAP dans Jamf School, vous devez mettre les adresses IP nécessaires sur la liste sûre de votre pare-feu. Pour plus d’informations, voir Ports du pare-feu, adresses IP et URL utilisés par Jamf School.

Il est recommandé d’utiliser le SSL pour chiffrer le trafic depuis et vers votre serveur LDAP. Pour plus d’informations sur l’activation de LDAP via SSL pour Active Directory, consultez l’article suivant, issu du site web d’assistance Microsoft : http://social.technet.microsoft.com/wiki/contents/articles/2980.ldap-over-ssl-ldaps-certificate.aspx Pour plus d’informations sur l’activation de LDAP via SSL pour Open Directory, consultez l’article Open Directory : activation de SSL pour Open Directory avec des répliques, issu du site web d’assistance Apple.

Mappages d’attributs pour le service LDAP

Active Directory

Nom du mappage d’attributs Jamf SchoolValeur du mappage d’attributs du fournisseur LDAP
Nom d’utilisateursAMAccountName
Adresse électroniquemail
Prénom et nomcn
Composition du groupememberOf
Remarquesdescription

Open Directory

Nom du mappage d’attributs Jamf SchoolValeur du mappage d’attributs du fournisseur LDAP
Nom d’utilisateuruid
Adresse électroniquemail
Prénom et nomcn
Remarquesdescription
Photo de l’utilisateurjpegPhoto
Composition du groupe(&(objectClass=posixGroup)(memberUid=USERNAME))

Configuration de l’authentification LDAP

  1. Dans Jamf School, accédez à Organisation > Réglages depuis la barre latérale.
  2. Sélectionnez l’entité Authentication (Authentification).
  3. Choisissez LDAP dans le menu contextuel Méthode d’authentification.
  4. Si vous voulez que les utilisateurs et les groupes soient créés ou mis à jour automatiquement lorsqu’un utilisateur tente de se connecter, cochez la case Créer automatiquement les utilisateurs qui n'existent pas localement.
  5. Si vous ne souhaitez pas que Jamf Parent utilise le serveur LDAP pour l’authentification, cochez la case Forcer l’authentification locale pour Jamf School Parent. Si cette option est sélectionnée, Jamf Parent utilisera l’authentification Local.
  6. Renseignez l’IP ou le FQDN et le port du serveur LDAP. 389 est le port par défaut pour LDAP et 636 le port par défaut pour LDAP via SSL.
  7. Pour sécuriser la communication via SSL, cochez la case Utiliser SSL.
  8. Choisissez le type d’annuaire dans le menu contextuel Type d’annuaire. Jamf School prend en charge Active Directory de Microsoft et Open Directory d’Apple.
  9. Saisissez le nom distinctif de base de votre serveur LDAP dans le champ Nom distinctif de base. Par exemple : "dc=myschool,dc=com".
  10. Si votre serveur prend en charge une liaison anonyme, cochez la case Lier à ce serveur LDAP anonymement.
    Remarque :

    Active Directory ne prend pas en charge l’authentification dans le cas d’une liaison anonyme.

    • Saisissez le nom distinctif complet de l’utilisateur que vous voulez relier. Par exemple : "CN=ldap_proxy, OU=users, DC=myschool, DC=com".

    • Saisissez le mot de passe de l’utilisateur relié.

  11. Cliquez sur Tester la connexion pour tester la connexion de votre serveur LDAP.
  12. Si la connexion réussit, cliquez sur le bouton Enregistrer.