Ce billet fait partie d’une série :

• Partie 1 : introduction
• Partie 2 : installation et configuration de AD-LDS
• Partie 3 : configuration de l’authentification par formulaire
• Partie 4 : haute disponibilité de l’annuaire AD-LDS

Dans ce billet, nous allons mettre en place un annuaire AD-LDS sur un seul serveur, le serveur EXTRANET-ADLDS. La haute disponibilité AD-LDS étant optionnelle, elle sera traitée comme telle en partie 4.

1. Paramétrage DNS

Avant de créer l'instance, nous allons créer un alias DNS annuaire.extranet.test qui permettra à SharePoint de connaitre l'IP de la machine qui héberge l'annuaire. Cette étape est optionnelle puisque l’on pourrait utiliser le nom du serveur EXTRANET-ADLDS.extranet.test, cependant cet alias nous permettra de ne pas avoir à reconfigurer l’authentification par formulaire lorsque nous mettrons en place la haute disponibilité dans la partie 4.

Connectons nous au contrôleur de domaine EXTRANET-AD avec le compte administrateur du domaine. Dans la console d'administration du DNS (Administrative Tools -> DNS), ajoutons un alias appelé "annuaire" qui pointe sur le serveur EXTRANET-ADLDS.

Connectons nous maintenant au serveur EXTRANET-ADLDS avec le compte spadmin (qui est administrateur de la machine).

2. Installation de rôle AD-LDS

Afin de pouvoir créer une instance AD-LDS, il est nécessaire d'installer le rôle Active Directory Lightweight Directory Services.

Via la console Server Manager, ajoutons ce rôle :

3. Création de l'instance AD-LDS

Une fois l'installation terminée, la console Server Manager dispose d'un nœud Roles/ADLDS et propose de créer une instance via le lien en haut à droite, cliquons dessus pour lancer l'assistant.

Donner un nom à l'instance, ce nom définit celui du service Windows correspondant :

Dans notre cas, on laissera les ports par défaut :

On indique ensuite que l'on souhaite créer une partition racine pour notre annuaire. Par convention, le nom de la partition reprend tout ou partie du nom de domaine du serveur LDAP. Bien que cela n’aie rien d’obligatoire, le "Distinguished Name" de notre partition se terminera par "DC=annuaire,DC=extranet,DC=test" afin d’établir une correspondance avec notre alias DNS annuaire.extranet.test. Plus d’informations sur les conventions de nommage des partitions : http://technet.microsoft.com/en-us/library/cc784421(WS.10).aspx

Afin que la racine de la partition soit une "Organisational Unit" (là encore rien d'obligatoire, il y a d'autres options), nous allons nommer celle-ci "OU=extranet,DC=annuaire,DC=extranet,DC=test" :

L'écran suivant permet de sélectionner le compte de service utilisé par le service Windows correspondant à l'instance.

On sélectionne ensuite quel compte ou groupe Active Directory sera administrateur de l'instance : 

Enfin, on sélectionne quels packages de définition seront importés dans notre instance AD-LDS :

• MS-user.ldf car il définit la classe “user” que nous allons utiliser
• MS-ADLDS-DisplayContainers.ldf qui permet d’administrer une instance AD-LDS avec la console Active Directory Sites and Services (utile pour planifier la réplication)

Un point intéressant à noter est la disponibilité du package MS-UserProxy qui permet de créer des utilisateurs bindés sur des comptes utilisateurs d'un autre annuaire LDAP ou Active Directory. Plus d'informations : http://technet.microsoft.com/en-us/library/cc775757(WS.10).aspx

En déroulant la fin de l’assistant, notre partition racine sera créée. Nous allons maintenant nous y connecter et remplir notre annuaire.

4. Connexion à l'annuaire AD-LDS

Bien que nous ayons créé un alias DNS annuaire.extranet.test spécifiquement pour notre connexion à l’instance AD-LDS, nous n’allons pas l’utiliser avant la partie 3. En effet, durant l'installation de l'AD-LDS, une clé de registre a été modifiée afin d'empêcher toute connexion au serveur local en utilisant un alias DNS (la fameuse clé DisableLoopbackCheck). Nous pouvons toutefois nous connecter à notre instance en local en utilisant le nom de serveur LOCALHOST ou EXTRANET-ADLDS. 

Ouvrons maintenant ADSIEdit (Start, run, "adsiedit.msc") et ajoutons une connexion :

• Saisir le “distinguished name” de la partition racine dans la combo du haut
• Saisir EXTRANET-ADLDS du dans la combo du bas

Notre chaine de connexion est donc : LDAP://EXTRANET-ADLDS/OU=extranet,DC=annuaire,DC=extranet,DC=test

En validant, ADSIEdit nous dévoile la structure de notre partition.

5. Création des utilisateurs

Nous allons créer une OU pour regrouper nos utilisateurs et groupes de sécurité : clic-droit sur l’OU racine, new, “object...”, organisationalUnit, puis saisir un nom pour l’OU.

Ici, on crée une OU appelée “Users”.

Nous allons maintenant créer un utilisateur “user1”. Pour créer un utilisateur dans l'OU Users, suivre les étapes suivantes :

• Clic-droit sur l'OU Users, new, “object…”, user. On lui donne alors le nom “user1”.
• Click-droit sur le compte, "Reset Password…", on définit alors son mot de passe.

• Enfin et surtout, on active le compte en double cliquant dessus pour afficher ses propriétés et en modifiant le champ ms-UserAccountDisabled qui est par défaut à TRUE. On le met à FALSE afin d'activer le compte.

Note : On utilisera aussi cet écran de propriétés pour définir le nom d'affichage de l'utilisateur (champ displayName), son email (champ mail), et autres informations nécessaires.

Pour les besoins du tutorial, répéter ces 3 étapes afin de créer un autre utilisateur appelé user2.

6. Création d’un groupe

Créons maintenant un groupe via un clic-droit sur l'OU Users, new, Object…, group.

Pour ajouter des utilisateurs dans ce groupe, on ouvre la fenêtre des propriétés du groupe et on édite le champ "member" dans lequel on indique le distinguished name de chaque utilisateur à ajouter. Sur la capture suivante, on ajoute l'utilisateur user1 dans le groupe group1.

Note : pour éviter une erreur de saisie, une astuce consiste à faire un copier coller de la valeur du champ distinguishedName depuis l'écran des propriétés de l'utilisateur.

7. Configuration des droits d’accès à la partition

Avant de passer à la configuration de l’authentification par formulaire dans SharePoint, nous devons autoriser les comptes de service de SharePoint à se connecter en lecture à l'annuaire.

Déplier le nœud CN=Roles et double cliquer sur CN=Readers pour afficher ses propriétés. Dans le champ "member", on ajoute les comptes Active Directory des différents comptes de service qui en auront besoin :

• Application pool de l'administration centrale
• Application pool de la web application qui héberge le portail
• Application pool du Secure Token Service

Afin de simplifier et d'éviter toute erreur dans le cadre du tutorial, nous allons ici ajouter le groupe "EXTRANET\Users" qui en principe les contient tous.

Notre annuaire utilisateur est maintenant prêt à être utilisé par notre portail SharePoint 2010 : les comptes de service SharePoint sont autorisés à s'y connecter, et nous disposons de 2 utilisateurs de test dont un dans un groupe.

Passons maintenant à la configuration de l’authentification par formulaire sous SharePoint : Partie 3 : configuration de l’authentification par formulaire

Arnault Nouvel – Winwise