L'objectif de cet article est de montrer comment il est possible d'intégrer l'application Rocket.Chat dans un le Système d'Information d'une entreprise en intégrant la gestion des utilisateurs sur l'Active Directory de l'entreprise. NB on parle ici d'un Active Directory Windows mais la même procédure peut s'appliquer à un LDAP OpenLDAP et pourquoi pas à un AD géré par Samba4.

Prérequis :

  • Un Active Directory
  • Une installation de RocketChat

 

Dans notre cas, vous pourrez voir que le domaine est aukfood.lan. On a créé une unité d'organisation nommée « Employees ». Dans cette unité on a plusieurs unités d'organisation afin de simuler une séparation entre plusieurs services. Le but de cette manœuvre c'est de donner l'accès au RocketChat qu'au service « TEST » par exemple.

On a créé un groupe de sécurité nommée : « Rocketchat » auquel on a affecté les membres qui seront autorisés à accéder au RocketChat.

 

 

 

Une fois que l'AD est en place et les services bien définis, on peut passer au paramétrage du LDAP dans RocketChat. Pour cela, il faut aller dans Administration puis descendre dans le menu vertical située à gauche afin de trouver LDAP.

Sur le côté droit, vous pourrez observer un exemple de configuration. On active le LDAP, on renseigne l'hôte, le port 636 puisqu'on fait du LDAPS avec un chiffrement SSL. Il est conseillé de renseigner le Certificat CA crée dans l'AD. Ensuite, pour le DN de base, on renseigne l'unité d'organisation (ou) et le domain component (dc). Pour les logs vous pouvez choisir l'option qui vous convient le plus.

 

 

Une fois la première partie de la configuration terminée il faut descendre et dérouler le menu d'authentification. Dans celui-ci, on doit renseigner le common name (cn) et le domain component. Le cn est généralement Administrator ou Administrateur et se trouve dans l'unité Users de l'AD. Il faut également renseigner le mot de passe de l'administrateur AD.

 

Avant de paramétrer la synchronisation on va d’abords configurer l'User Search. Configurer cette partie nous permets de donner l'accès qu'à l'unité d'organisation qu'on souhaite.

Voici le filtre qu'on va appliquer afin que seuls les membres du groupe Rocketchat soient les seuls à être synchronisée et donc les seuls à pouvoir y accéder.

 

Pour finir, on va revenir un peu plus haut au niveau de la synchronisation et l'importation de l'AD. Les seules choses auxquelles j'ai affecté des changements, sont :

  • changé en aukfood.lan
  • changé en {"displayName":"name", "mail":"email"}

Cette configuration peut être modifiée en fonction de vos besoins.

 

La configuration est à présent terminée, vous pouvez dès à présent sauvegarder les modifications. Vous avez la possibilité de compléter votre configuration avec la modification des Timeouts user ou utiliser et User Search (Group Validation) qu'on ne verra pas dans ce tutoriel.

Vous pouvez tester votre connexion avec le LDAP directement depuis RocketChat. Si la connexion réussit, vous pourrez vous rendre dans la partie Sync/Import et exécuter la synchronisation manuellement. Vous pourrez vérifier que tous vos utilisateurs ont bien été importées dans la partie Utilisateurs de RocketChat.