5: Integrating LDAP Directories
111
RSA Authentication Manager 8.1 Administrator’s Guide
For example, if an Active Directory forest has three domains and one Global Catalog, 
and you want to authenticate users in two of the domains, you must add an identity 
source for each of the two domains.
Important: 
Authentication Manager supports up to 30 identity sources that are not 
Global Catalogs per deployment. This limit does not include using the internal 
database as an identity source.
An identity source that is not a Global Catalog can use group membership data from 
all three types of Active Directory security groups: Universal Security, Global, and 
Domain Local. Authentication Manager does not support distribution groups of any 
kind for restricted agent access.
Support for Group-to-Group Membership in Active Directory
To support group-to-group membership in Active Directory, you must set the domain 
functional level to Windows 2003 or 2008. For more information about how to raise 
the domain functional level, go to http://support.microsoft.com/kb/322692
.
Note: 
The default organizational unit “Groups” does not exist in the default Active 
Directory installation. Make sure you specify a valid container for the User Group 
Base DN when adding the identity source. 
Active Directory Global Catalog Identity Sources
If you have an Active Directory forest, and you configure multiple identity sources 
within it, you can optionally configure an Active Directory Global Catalog as an 
identity source that the other Active Directory identity sources can use for finding and 
authenticating users, and resolving group membership within the forest. You need to:
• Add each Global Catalog to Authentication Manager as a separate identity source.
• Map the identity source to the Global Catalog port on the domain controller that 
hosts the Global Catalog.
RSA Authentication Manager does not use Global Catalogs for administrative 
operations, such as changing users’ passwords. Administrative actions are only 
performed against non-Global Catalog identity sources.
Convert pdf to powerpoint presentation - application software tool:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Convert pdf to powerpoint presentation - application software tool:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
112
5: Integrating LDAP Directories
RSA Authentication Manager 8.1 Administrator’s Guide
Deployment Requirements for Global Catalogs
These requirements apply only to deployments that use restricted authentication 
agents.
To use a Global Catalog as an identity source, your deployment must meet all of the 
following requirements:
• All groups granted access to a restricted authentication agent must be Windows 
Universal Security groups.
• When you view the Active Directory groups from the Security Console, all types 
of groups (Universal Security, Domain Local, and Global) are displayed, but only 
Universal Security groups may be successfully used with restricted agents through 
a Global Catalog.
• All domains in the forest must run Windows 2008 R2.
Only the Windows administrator can change the group type in Active Directory.
Important: 
If you select a group from the list of Active Directory groups in order to 
activate users on restricted agents, make sure you select a Universal Security group. If 
you use any other type of group, the user cannot authenticate.
Data Replication for Global Catalogs
When you use the Active Directory Global Catalog as an identity source, individual 
Active Directory domain controllers replicate domain changes to the Global Catalog. 
For this type of deployment, you must integrate the following with Authentication 
Manager:
• The Global Catalog. If your forest has more than one Global Catalog, you can use 
one for failover. You do not need to create an identity source for the second Global 
Catalog. Instead, you can specify it as a failover URL when you create the identity 
source for the first Global Catalog.
• All domain controllers that contain users and user groups that you want to 
reference from Authentication Manager. Add each domain as an identity source.
For example, suppose that GC1 is the Global Catalog identity source for user 
authentication, and AD1, AD2, and AD3 replicate a subset of their data to GC1. You 
must map each Active Directory to an identity source. After integration is complete, 
Authentication Manager accesses GC1 for authentication requests and AD1, AD2, and 
AD3 for administration, such as updating the user password.
application software tool:VB.NET PowerPoint: Use PowerPoint SDK to Create, Load and Save PPT
About This SDK. Specifically speaking, this VB.NET PowerPoint presentation document control of RasterEdge .NET Imaging SDK has been developed and provided to
www.rasteredge.com
application software tool:VB.NET PowerPoint: Sort and Reorder PowerPoint Slides by Using VB.
you can choose to show your PPT presentation in inverted clip art or screenshot to PowerPoint document slide & profession imaging controls, PDF document, image
www.rasteredge.com
5: Integrating LDAP Directories
113
RSA Authentication Manager 8.1 Administrator’s Guide
Global Catalog Deployment Example with Four Identity Sources
The following figure shows a forest composed of three domains, each consisting of 
one domain controller, and a single Global Catalog. In this example, you must enable 
at least four identity sources in Authentication Manager.
• Three identity sources for domain controllers, possibly with failover domain 
controllers
• One identity source for a Global Catalog, possibly with a failover Global Catalog 
server
Domain Controller 1
Domain Controller 2
Domain Controller 3
Domain = cs.org
Global Catalog 1
RSA Authentication Manager
Internal Database
Identity Source A
Domain = 
newyork.cs.org
Domain = 
hr.newyork.cs.org
Active Directory Forest
Identity Source D 
Identity Source C
Identity Source B (GC) 
application software tool:VB.NET PowerPoint: Merge and Split PowerPoint Document(s) with PPT
individual slide is with the virtual presentation of PPTXPage in VB.NET to finish PowerPoint document splitting If you want to see more PDF processing functions
www.rasteredge.com
application software tool:C# Create PDF from OpenOffice to convert odt, odp files to PDF in
using RasterEdge.XDoc.Excel; using RasterEdge.XDoc.PowerPoint; How to Use C#.NET Demo Code to Convert ODT to PDF in C#.NET Project.
www.rasteredge.com
114
5: Integrating LDAP Directories
RSA Authentication Manager 8.1 Administrator’s Guide
Configure the Active Directory Connection Time-Out
In some situations, the default LDAP connection time-out is not long enough for 
Authentication Manager to establish a connection to the LDAP directory. If you need 
to adjust the length of time that Authentication Manager waits to establish the 
connection, use the Operations Console to edit the identity source and change the 
value in the Search Results Time-out field.
Integrating an LDAP Directory as an Identity Source
You can integrate LDAP directory servers as identity sources in Authentication 
Manager without modifying the directory schema. You perform the integration by 
adding identity sources, linking the identity source to Authentication Manager, and 
mapping identity attribute definitions to attribute names in the LDAP directory.
Follow these guidelines:
• You must have LDAP connection information and detailed knowledge of your
LDAP schema.
• You must configure an identity source for each directory that contains users who
will authenticate with Authentication Manager.
• The primary and replica instances should not use the same directory server for
regular use, but they may share the same failover directory server. If both
instances use the same directory server, a system or network outage for those
systems may cause authentication to fail.
• If you have not configured a replica instance, but plan to in the future, you need to
update the replica instance identity source connection information after you
configure the replica instance.
The following high-level steps describe how to integrate an LDAP directory server as 
an identity source:
1. Set up SSL connections using the Operations Console. See Identity Source SSL
Certificates
on page 119. This step is required if you allow users to change their
passwords from Authentication Manager.
2. (Optional) Review your password policy, and make adjustments if necessary. See
Password Policy for Active Directory
on page 121. This step is required only if
you allow users to change their passwords from Authentication Manager.
3. If the directory server is Active Directory, verify if your domain functional level
supports group-to-group membership. Check the System control panel on the
domain controller, and see Support for Group-to-Group Membership in Active
Directory
on page 111.
4. Verify that the directory server hostname is a valid DNS name. Make sure:
• The hostname is resolvable for both forward and reverse lookups.
• The directory server can be reached from the Authentication Manager server.
application software tool:C# PDF Text Extract Library: extract text content from PDF file in
But sometimes, we need to extract or fetch text content from source PDF document file for word processing, presentation and desktop publishing applications.
www.rasteredge.com
application software tool:VB.NET PowerPoint: VB Codes to Create Linear and 2D Barcodes on
2d barcodes of different types on PowerPoint presentation when you Here is a market-leading PowerPoint barcode add 2d barcodes QR Code, Data Matrix, PDF-417,
www.rasteredge.com
5: Integrating LDAP Directories
115
RSA Authentication Manager 8.1 Administrator’s Guide
5. Add the identity source, using the Operations Console. Make sure you configure 
the following:
• The identity source name
• The LDAP connection, including the directory URL, backup directory URL, 
directory User ID, and directory password
• Attribute mapping
• (Optional) Global Catalog (Active Directory only)
6. (Optional) You can define custom user attributes that are specific to your 
organization. For instructions, see the Security Console Help topic “Add Identity 
Attribute Definitions.”
(Optional) Map the custom attributes that you previously defined from the LDAP 
directory to the identity source. If you choose to map custom attributes to the 
external identity source, Authentication Manager can read the attribute values 
from your directory.
For instructions, see C
ustom Attribute Mapping
on page 121.
7. Use the Security Console to link the identity source to the system. See Link an 
Identity Source to the System
on page 117.
8. Verify that the identity source was added successfully. See Verify the LDAP 
Directory Identity Source
on page 117.
Note: 
To disable or delete an identity source, it must be unlinked from the system. For 
instructions, see the Security Console Help topic “Unlink Identity Sources from the 
System.” For instructions about deleting the identity source, see the Operations 
Console Help topic “Remove an Identity Source.”
Add an Identity Source
To use an existing LDAP directory with RSA Authentication Manager, use the 
Operations Console to add the directory as a new identity source.
A deployment can have up to thirty identity sources. If you are using Active Directory, 
Global Catalogs configured as identity sources do not count against this limit.
Before You Begin
• You must be a Super Admin.
• For full functionality, establish an SSL connection between Authentication 
Manager and the identity source.
Note: 
Depending on the network or firewall configuration, you might not be able to 
validate the connection information from the primary server.
Procedure
1. Log on to the Operations Console on the primary instance. 
2. Click Deployment Configuration > Identity Sources > Add New.
application software tool:VB.NET Create PDF from OpenOffice to convert odt, odp files to PDF
using RasterEdge.XDoc.Word; using RasterEdge.XDoc.Excel; using RasterEdge.XDoc.PowerPoint; How to VB.NET: Convert ODT to PDF.
www.rasteredge.com
application software tool:VB.NET PowerPoint: Add Image to PowerPoint Document Slide/Page
image or clip art to your PowerPoint presentation in VB insert or delete any certain PowerPoint slide without & profession imaging controls, PDF document, tiff
www.rasteredge.com
116
5: Integrating LDAP Directories
RSA Authentication Manager 8.1 Administrator’s Guide
3. When prompted, enter your Super Admin User ID and password.
4. In the Identity Source Basics section, specify:
• Identity Source Name. The name of the identity source that is displayed in 
the Security Console.
• Type. The type of the identity source that you are adding. 
• Notes. Information about the identity source.
5. In the Directory Connection - Primary section, do the following:
• Enter the requested information in the following fields. For detailed 
information, see Identity Source Propertie
s
on page 105.
– Directory URL
– Directory Failover URL
– Directory User ID
– Directory Password
• Click Test Connection to ensure that the primary instance can connect to the 
specified directory. If the test fails, make sure that you have correctly 
imported the certificate for this identity source.
6. If you have a replica instance, complete the fields in the Directory Connection - 
Replica section, and click Validate Connection Information to verify that the 
primary instance can connect to the identity source. If the attempt fails, do the 
following:
a. Verify that you entered the correct settings.
b. If the settings are correct, make sure the primary instance is able to connect to 
the identity source.
c. If the primary instance is able to connect to the identity source, make sure no 
other network issues are causing the connection failure.
d. After you make any necessary changes, click Validate Connection 
Information again.
7. Click Next.
8. Provide the requested information for each of the following sections on the Add 
Identity Source - Map page. For detailed information, see Identity Source 
Propertie
s
on page 105.
• Directory Settings
• (Optional) Active Directory Options
• Directory Configuration - User Tracking Attributes
• Directory Configuration - Users
• Directory Configuration - Users Groups
9. Click Save.
5: Integrating LDAP Directories
117
RSA Authentication Manager 8.1 Administrator’s Guide
Link an Identity Source to the System
You must link all LDAP directory identity sources to the system. After linking, all 
users in the identity source can be viewed and managed through the Security Console. 
Users are visible in the top-level security domain by default, but you can move them 
to other security domains as necessary. Additionally, you can configure the system to 
place users from the identity source into a specific security domain automatically. For 
more information, see Default Security Domain Mappings
on page 47.
Before You Begin
• You must be a Super Admin.
• If you link an Active Directory Global Catalog, you must also link each identity 
source that replicates user data to that Global Catalog. For example, if identity 
sources IS1 and IS2 replicate information to Global Catalog GC1, and you link 
GC1 as an identity source, you must also link IS1 and IS2 to the system.
Procedure
1. Log on to the Security Console as Super Admin.
2. Click Setup > Identity Sources > Link Identity Source to System. 
3. From the list of available identity sources, select the identity sources that you want 
to link, and click the right arrow.
4. Click Save.
Verify the LDAP Directory Identity Source
To verify that you have successfully added and linked an identity source, you can view 
the users and groups from that identity source through the Security Console.
Procedure
1. In the Security Console, click Identity > Users > Manage Existing.
2. Use the search fields to find the appropriate identity source, and click Search.
3. View the list of users from the LDAP directory identity source.
Failover Servers
You can specify failover directory servers when you use the Operations Console to 
add an identity source. If the primary directory server stops responding, the 
deployment automatically connects to the failover server. 
Follow these guidelines when configuring a failover directory server:
• Provide the failover URL in the Directory Failover URL field when you add an 
identity source. For instructions, see C
ustom Attribute Mapping
on page 121. 
• The failover directory server must be a replica of the primary directory server. 
• The primary and replica instances should not use the same physical server. If no 
failover is provided and both servers use the same domain server, users cannot 
authenticate if that domain server becomes unavailable.
• Each failover URL should point to a different physical directory server. 
118
5: Integrating LDAP Directories
RSA Authentication Manager 8.1 Administrator’s Guide
Failover Active Directory Servers
For an Active Directory identity source, the failover server should not be a Global 
Catalog.
Deployment Example with Failover Directory Servers
The following example configuration eliminates any single-point-of-failure if one of 
the two available directory servers become unavailable. In this case, each directory 
server is in the same domain and provides a replicated copy of the same LDAP data.
LDAP 
Directory 
Server 1
LDAP 
Directory 
Server 2
RSA Authentication 
Manager
Replica Instance
Failover 
URL
Directory URL
(main connection)
LDAP 
Directory 
Replication
RSA 
Authentication 
Manager
Replication
Directory URL
(main connection)
Failover 
URL
Primary Instance
5: Integrating LDAP Directories
119
RSA Authentication Manager 8.1 Administrator’s Guide
Securing the Communications Path
RSA recommends that you use Secure Sockets Layer (SSL) to encrypt data in transit 
between Authentication Manager and the directory.
You must configure SSL for each directory server you plan to use with Authentication 
Manager. For more information, see Identity Source SSL Certificates
on page 119.
For Active Directory there are additional considerations for password policies and 
group membership support. For more information, see Password Policy for Active 
Directory
on page 121 and Support for Group-to-Group Membership in Active 
Directory
on page 111.
Identity Source SSL Certificates
When you integrate an LDAP directory server as an identity source, use an identity 
source secure sockets layer (SSL) certificate to establish secure communication 
between the deployment and the external identity sources. Set up SSL connections 
using the Operations Console. Setting up an SSL connection also enables you to allow 
users to change their passwords from Authentication Manager.
When establishing an SSL connection, the identity source presents a certificate that 
identifies the server (for example, using the hostname). To accept the server 
certificate, either the certificate itself or its root certificate must be trusted by the 
deployment. For an SSL certificate to be trusted, you must add it to the deployment.
Add an Identity Source SSL Certificate
A secure sockets layer (SSL) certificate establishes secure communication between 
the deployment and the identity sources. You must add the identity source SSL 
certificate to the deployment as a trusted certificate.
Use the following procedure to add the identity source SSL certificate as a trusted 
certificate.
Before You Begin
You must be a Super Admin.
Procedure
1. Import the SSL server certificate or the CA root certificate to the primary 
appliance. The certificate must be in Distinguished Encoding Rules (.der) encoded 
format. Make sure you have access to these certificates.
2. Log on to the Operations Console on the primary instance.
3. Click Deployment Configuration > Identity Sources > Identity Source 
Certificates > Add New.
4. If prompted, enter your Super Admin User ID and password.
5. Enter a name for the new identity source certificate.
120
5: Integrating LDAP Directories
RSA Authentication Manager 8.1 Administrator’s Guide
6. Browse to the directory where the SSL certificate is located. Certificates typically 
have .cer, .pem, or .der file extensions.
7. Click Save.
Access to User Passwords in an LDAP Directory
For users who are stored in an LDAP directory, you can configure your system to 
allow both Authentication Manager administrator’s and the users themselves to 
modify the user password. 
An administrator can modify the password of users whose accounts are stored in an 
LDAP directory if the identity source administration account has permission to write 
to user records in the LDAP directory. This account is specified in the Directory User 
ID and Directory Password account fields on the Identity Source Connections page in 
the Operations Console. 
Users can change their passwords when prompted during authentication if the 
following conditions are met:
• The identity source administration account has permission to write to user records 
in the LDAP directory.
• The directory is configured to permit the users to change their passwords.
Note: 
If you do not permit users to change their passwords during authentication, 
the identity source administration account does not need permission to write to the 
LDAP directory.
• An LDAPS connection is configured between Authentication Manager and the 
LDAP directory. For instructions on setting up an SSL connection, see Identity 
Source SSL Certificates
on page 119.
• One of the following conditions applies:
– The user’s password has expired.
– An Authentication Manager administrator has edited the user’s user record to 
force a password change by checking the Require the user to change 
password at next logon box. 
– The LDAP directory is configured to require the user to reset the password the 
next time the user authenticates.
If these conditions are not met, users’ attempts to change passwords will fail. 
Documents you may be interested
Documents you may be interested