Utilisateurs et groupes. Intégration avec LDAP/Active Directory
Utilisateurs et groupes. Intégration avec LDAP/Active Directory
Voici les étapes minimales pour obtenir un système de communication d'entreprise opérationnel :
Trouvez une machine (PC, serveur physique ou virtuel) avec un équipement approprié.
Configurer HTTPS (utilisé pour de nombreuses fonctions clés, telles que l'intégration avec le serveur IA, la planification de conférences, etc.) et indiquer l'adresse externe du serveur (page d'accueil).
Configurez l'accessibilité du serveur pour les utilisateurs au sein de l'entreprise et, si nécessaire, depuis le réseau externe (en dehors du SICP).
Créer des comptes d'utilisateur ou intégrer le serveur avec un service d'annuaire via le protocole LDAP/LDAPS. ◀️ Vous êtes ici !
Installez les applications client pour les utilisateurs et apprenez-leur à se connecter à votre serveur (voir la documentation de l'application de bureau).
Comptes
Dans la section User Accounts, vous pouvez ajouter de nouveaux comptes d'utilisateurs, ainsi qu'éditer et supprimer ceux existants.
Il n'est pas possible de modifier les informations des utilisateurs en mode LDAP. Le formulaire de saisie des informations utilisateur est uniquement disponible en mode Registry.
La version gratuite de TrueConf Server Free comporte des restrictions sur le nombre maximum de comptes, comme indiqué en détail sur la page de cette solution.

Cliquez sur le bouton Add user pour commencer à créer un nouveau compte.
Le champ Search permet de filtrer les utilisateurs par TrueConf ID, prénom, nom de famille, nom affiché, email.
Le commutateur Groups vous permettra d'afficher la liste des groupes d'utilisateurs présents sur le serveur. Chaque groupe peut être développé pour voir la liste de ses membres. Les groupes eux-mêmes sont configurés séparément.
Utilisez le bouton
pour exporter la liste des utilisateurs dans un fichier CSV afin de l'importer ultérieurement dans le carnet d'adresses TrueConf Group. L'importation elle-même s'effectue dans la section Maintenance du panneau de contrôle du terminal. Ce bouton est disponible uniquement en mode Registry. Le fichier CSV est enregistré en encodage UTF-8 et utilise le ";" comme séparateur, ignorant ainsi les paramètres de préférences.Voici la liste des utilisateurs enregistrés sur le serveur. Le statut de chaque utilisateur est affiché en bas de son avatar :
— sur le réseau;
— hors ligne;
— participe à une conférence ou à un appel vidéo;
— est le propriétaire de la conférence;
— le compte a été désactivé par l'administrateur (voir champ Status dans le profil).
Pour modifier les informations d'un utilisateur, cliquez sur son nom. Pour supprimer un utilisateur, cliquez sur le bouton
.
Authentification du terminal avec le compte utilisateur
L'enregistrement d'un terminal SIP/H.323 sur le serveur avec le compte utilisateur est disponible. Cela permet d'obtenir plusieurs avantages lors de son utilisation :
exportation automatique du carnet d'adresses pour le codec TrueConf Group (la configuration détaillée est décrite dans la documentation du terminal);
suivi du statut d'un terminal en tant qu'utilisateur ordinaire dans le carnet d'adresses (en ligne, occupé, hors ligne).
Il est important de comprendre qu'après l'autorisation de chaque terminal, une licence en ligne est utilisée en plus de la licence de passerelle (plus de détails dans la section des licences).
Il est déconseillé d'enregistrer le même terminal simultanément sur le même serveur via SIP et H.323.
Profil utilisateur
Si vous créez un utilisateur ou cliquez sur l'un des utilisateurs déjà présents dans la liste, vous serez redirigé vers la page de saisie de ses informations :

Avec la case à cocher Active, vous pouvez passer l'utilisateur à l'état "actif" ou "inactif" (voir ci-dessous). Ces utilisateurs apparaîtront dans la liste générale avec une transparence et un statut en couleur grise.
Utilisez le bouton Disconnect pour déconnecter l'utilisateur de TrueConf Server dans toutes les applications clientes. Cela peut être utile pour permettre rapidement à un autre utilisateur de se connecter lorsque le nombre maximal de connexions est atteint (conformément à la licence).
Cliquez sur le lien View à côté de l'élément History of devices pour afficher les informations sur les connexions de cet utilisateur au serveur (voir plus de détails ci-dessous).
TrueConf ID — est un nom unique utilisé pour l'autorisation dans l'application cliente et pour passer des appels. Le login de l'utilisateur (la partie de TrueConf ID avant le
@) peut inclure uniquement des lettres latines et cyrilliques, des chiffres, des underscores, des tirets et des points. Le TrueConf ID complet, avec l'indication du nom du serveur après le login (ajout sous le format@serverà côté du champ de saisie), est nécessaire pour appeler un utilisateur d'un autre serveur. Le login est défini lors de la création de l'utilisateur et ne peut pas être modifié par la suite.Indiquez le mot de passe utilisateur. Le mot de passe défini ne peut pas être consulté après la création ou la modification du compte, mais il peut être remplacé par un autre. Avec le bouton
à côté du champ de confirmation du mot de passe, vous pouvez consulter les exigences relatives au mot de passe.Ensuite, indiquez l'adresse e-mail pour envoyer les notifications à l'utilisateur, distribuées TrueConf Server via le SMTP lié au serveur.
Un autre champ obligatoire est Display name, qui sera affiché dans le carnet d'adresses des autres utilisateurs. Ce champ est pré-rempli avec le nom d'utilisateur saisi à l'étape 3. Cependant, la valeur de ce champ peut être modifiée.
Ensuite, il y a une liste de diverses informations sur l'utilisateur et son appartenance à l'entreprise. Ces champs ne sont pas obligatoires à remplir.
Dans le menu déroulant Groups, vous pouvez définir l'appartenance de l'utilisateur aux groupes souhaités. En cliquant sur la flèche, une liste des groupes existants sur le serveur s'affichera. Pour ajouter un utilisateur à un ou plusieurs groupes, il suffit de cocher la case à gauche du nom.
Si nécessaire, vous pouvez indiquer les numéros de téléphone de l'utilisateur. En accédant au profil de l'utilisateur dans l'application cliente TrueConf, vous pourrez appeler l'un de ces numéros simplement en cliquant dessus.
Si la téléphonie SIP est utilisée, vous pouvez indiquer le numéro pour un appel via le protocole SIP dans le champ correspondant. Ensuite, le champ approprié apparaîtra dans le profil utilisateur de l'application cliente TrueConf. En cliquant dessus, l'appel sera effectué au format
#sip:<number>, et le numéro lui-même peut être indiqué sous la forme<number>,sip:<number>ou#sip:<number>.
Si l'utilisateur saisit un mot de passe incorrect consécutivement le nombre de fois indiqué dans la section Users → Settings, l'accès via l'application web sera bloqué pendant 24 heures. Vous pouvez réactiver manuellement sa capacité de connexion en appuyant sur le bouton Unlock dans sa page de profil :

Désactivation de l'utilisateur
La possibilité de s'authentifier pour chaque utilisateur est régulée dans son compte par la case à cocher Active. Si l'utilisateur est inactif, son compte continue d'exister, mais l'authentification via celui-ci sera impossible et un message correspondant s'affichera dans toute application cliente.

Historique des appareils de l'utilisateur
Dans la liste History of devices, pour chaque utilisateur de votre serveur, vous pouvez consulter un tableau de ses autorisations actives et terminées sur le serveur. Cette liste représente essentiellement des informations provenant du journal Reports → Endpoints, filtrées par utilisateur spécifique :

La liste affiche toutes les connexions actives, avec la version de l'application indiquée dans la première colonne Application. Pour les connexions depuis un navigateur, la variante TrueConf WebClient sera affichée.
Vous pouvez forcer la déconnexion d'une connexion active spécifique, c'est-à-dire déconnecter un utilisateur. Par exemple, pour des raisons de sécurité, déconnectez un utilisateur sur un smartphone perdu. Pour cela, appuyez sur le bouton en face de l'appareil concerné dans la liste. Une fenêtre de confirmation apparaîtra, où vous pourrez également désactiver la connexion automatique afin que l'utilisateur soit obligé de saisir son mot de passe lors de la prochaine connexion. Vous pouvez également interdire la connexion automatique sans déconnecter l'utilisateur du serveur, pour cela cliquez sur le lien Disable dans la ligne correspondante.
Appels et conférences
Si vous modifiez un compte utilisateur précédemment créé, vous verrez immédiatement sous ses informations un bloc Calls and conferences contenant des liens pour accéder :
dans l'historique des appels de cet utilisateur;
au liste générale filtrée par cet utilisateur des conférences planifiées et des salles virtuelles créées sur le serveur. Autrement dit, seuls les événements auxquels l'utilisateur participe seront affichés.

L'historique des appels contient toutes les sessions de communication de l'utilisateur dans les appels point à point et les conférences :

Interface générale de travail avec le tableau (voir description de la section des rapports). Vous pouvez également filtrer les événements par les types suivants :
- All types (par défaut);
- Incoming call;
- Outgoing call;
- Missed call;
- Conference.
2. Pour afficher des informations détaillées, sélectionnez dans la liste de gauche la session (ou séance de communication) souhaitée. Pour des conférences planifiées périodiquement et les salles virtuelles, il peut y avoir plusieurs sessions associées, selon le nombre de lancements de l'événement.
3. Lors de la sélection d'une session liée à une conférence, la fiche à droite affichera :
nom et ID de la conférence;
le nom affiché de son propriétaire;
la durée de cette session;
date et heure de début de la session;
lien vers les informations détaillées sur la session dans la section Call history;
lien vers la page de la conférence associée. Il sera absent pour les conférences rapides terminées, lancées "à la volée" dans les applications client TrueConf.
Paramètres de l'application
Sur la page de création et de modification du compte, vous pouvez définir des paramètres spéciaux qui seront activés dans l'application cliente lors de l'authentification de cet utilisateur. Ils déterminent les limites du débit binaire entrant et sortant et se trouvent dans le bloc Application settings.
Si de tels paramètres ne sont pas spécifiés, des paramètres similaires de ses groupes sont appliqués à l'utilisateur (s'ils sont définis). En cas de restrictions dans plusieurs de ses groupes, les valeurs les plus strictes (les plus basses) seront appliquées. Les paramètres du groupe s'affichent (à titre d'information uniquement, sans possibilité de modification) à côté des champs de saisie des paramètres de l'utilisateur.

Si des restrictions de débit sont définies au niveau de l'utilisateur ou du groupe, l'utilisateur ne pourra pas les modifier dans l'application cliente TrueConf, mais il pourra voir les paramètres qui ont été configurés.
Les paramètres de l'application pour l'utilisateur ont priorité sur ceux du groupe : si vous appliquez une restriction pour l'utilisateur inférieure à celle du groupe, ce sont les restrictions de l'utilisateur qui seront appliquées.
Carnet d'adresses de l'utilisateur
En bas de la page se trouve le carnet d'adresses de l'utilisateur ainsi que les boutons pour le modifier. Le carnet d'adresses inclut tous les utilisateurs contenus dans les carnets de groupes auxquels l'utilisateur appartient.
Vous pouvez ajouter des entrées individuelles à la liste, qui seront visibles uniquement pour l'utilisateur en cours de modification. Notez que vous pouvez ajouter non seulement un utilisateur TrueConf Server en tant qu'entrée dans le carnet d'adresses, mais aussi n'importe quelle chaîne d'appel, telle qu'un ID de conférence, des abonnés SIP/H.323 ou RTSP. Vous pourrez ensuite les supprimer ici même à l'aide du bouton
, tandis que l'utilisateur pourra les supprimer dans le carnet d'adresses de l'application client ou dans son espace personnel.
Si la modification du carnet d'adresses n'est pas interdite au niveau du groupe, l'utilisateur peut ajouter des contacts et les organiser en groupes dans l'application cliente. Ces groupes ne sont visibles que par cet utilisateur et n'affectent pas la liste des groupes dans le panneau de contrôle. Cependant, les contacts ajoutés par l'utilisateur apparaissent dans le carnet d'adresses pour son compte dans le panneau de contrôle, et l'administrateur peut modifier cette liste.

Interface pour ajouter un abonné à la liste. Commencez à taper le pseudonyme ou le nom d'affichage de l'utilisateur, et des options pour un ajout rapide apparaîtront dans la liste déroulante (s'il est enregistré sur le serveur).
La liste des groupes auxquels appartient l'utilisateur et dont les carnets d'adresses sont inclus dans le carnet d'adresses de l'utilisateur sans possibilité de suppression.
Recherche d'utilisateurs.
Liste des abonnés affichés dans le carnet d'adresses. En cliquant sur un utilisateur enregistré sur ce serveur, vous accéderez à la modification de son profil.
Consultez des exemples de chaînes d'appel que vous pouvez ajouter au carnet d'adresses dans la documentation de l'espace personnel de l'utilisateur.
Groupes
Dans la section Groups, vous pouvez créer, renommer, modifier et supprimer des groupes, ainsi qu'inclure et exclure des utilisateurs. Vous pouvez également élaborer un carnet d'adresses et spécifier des paramètres d'application distincts pour les utilisateurs de chaque groupe.
La modification manuelle de la liste des utilisateurs et des paramètres (comme le nom du groupe) n'est pas disponible en mode LDAP. Vous pouvez uniquement importer des groupes depuis l'annuaire LDAP comme indiqué ci-après.
Indépendamment du mode de stockage des données (Registry ou LDAP), les groupes suivants sont présents par défaut dans la liste :
- Users without group — elle inclut automatiquement les utilisateurs qui n'ont pas été explicitement ajoutés à des groupes lors de la configuration du compte ou dans cette section comme montré ci-dessous;
- Federated users pour les utilisateurs qui effectuent des appels vers les utilisateurs et conférences de votre TrueConf Server grâce à la fédération;
- Guest users, dans laquelle se retrouvent les invités se connectant à vos conférences publiques (webinaires).
Il est impossible de renommer ou de supprimer les groupes par défaut.
Chaque groupe d'utilisateurs dispose de certains droits pour utiliser votre serveur de vidéoconférence.
Liste des droits pour le groupe d'utilisateurs
Veuillez noter que certains droits ne peuvent pas être activés pour les groupes prédéfinis, ceci est fait à la fois pour des raisons de sécurité (par exemple, la limitation des droits d'opérateur) et pour des raisons logiques (par exemple, un invité ne disposant pas de compte permanent sur votre serveur ne pourra pas créer de conférences).
Les droits d'appel pour les utilisateurs fédérés seront les mêmes que ceux configurés sur leur serveur. Par exemple, si sur un autre serveur l'utilisateur n'appartient qu'à un seul groupe où les appels sont interdits, il ne pourra pas non plus appeler vos utilisateurs.
Voici la liste des droits que vous pouvez configurer pour les groupes d'utilisateurs TrueConf Server :
Modification du carnet d'adresses. En cochant cette case, l'administrateur permet aux utilisateurs du groupe de modifier les noms affichés des participants, de supprimer/ajouter de nouveaux contacts et d'effectuer toute autre modification dans leur propre carnet d'adresses. Si la case n'est pas cochée, les utilisateurs de ce groupe ne pourront pas effectuer les modifications mentionnées. Dans ce cas, toutes les modifications sont effectuées par l'administrateur dans le panneau de contrôle et s'appliquent à tous les carnets d'adresses des utilisateurs de ce groupe.
Réalisation d'appels point à point. Les utilisateurs pourront ainsi répondre aux appels entrants.
Création de conférences de groupe.
Affichage du bureau ou des fenêtres d'applications individuelles.
Possibilité d'envoyer une demande de contrôle du bureau de votre interlocuteur.
Fournir la possibilité de gérer son bureau.
Affichage de présentations (diapositives) importées à partir de fichiers ou créées à partir d'images par l'utilisateur. Indépendant des droits de partage d'écran ou d'applications.
Le transfert de fichiers dans les chats, qu'ils soient individuels ou de groupe.
Téléchargement de fichiers dans les discussions. Si un utilisateur n'a pas ce droit, il verra un message indiquant l'absence de cette possibilité au lieu du fichier et de l'option de le télécharger.
Enregistrement des conférences dans l'application client. Cela n'affecte pas la possibilité d'activer l'enregistrement lors de la création d'une conférence dans le planificateur de l'application ou dans l'espace personnel.
Création de sondages et leur distribution par campagne.
Visualisation et gestion des transcriptions disponibles. Ce droit permet d'accéder aux transcriptions de l'utilisateur de ce groupe dans l'espace personnel du serveur AI et de son TrueConf Server. La transcription de l'utilisateur dans ce cas est celle à laquelle l'accès est accordé via les paramètres suivants :
par l'administrateur dans les paramètres généraux TrueConf Server, voir paramètres généraux dans le panneau de contrôle. Par exemple, par défaut, tous les participants à la conférence ont accès à la transcription (les modérateurs ont un accès complet, les autres ont seulement un accès en lecture);
par la gestion manuelle des paramètres par d'autres utilisateurs, voir plus de détails dans la description du fonctionnement avec les transcriptions dans l'aire personnelle.
L'interdiction d'accès n'annule pas la possibilité de gérer l'enregistrement audio pour les transcriptions (voir ci-dessous).
Si cette case est décochée (droit retiré), les utilisateurs ne verront pas la section Transcripts dans l'application et dans l'espace personnel TrueConf Server, et lorsqu'ils essaieront de se connecter au serveur AI, ils verront un message indiquant qu'ils n'ont pas accès.
Accès complet à toutes les transcriptions des événements de ce TrueConf Server. Dans ce cas, l'utilisateur de ce groupe pourra visualiser et gérer toutes les transcriptions, y compris celles des conférences auxquelles il n'a pas participé. Pour que ce droit soit effectif, il faut cocher les deux cases : celle-ci et
visualisation et gestion des transcriptions disponibles.
Possibilité d'activer l'enregistrement audio pour la reconnaissance (transcription) lors de la création d'une conférence et dans la gestion avancée pendant l'événement.
Les privilèges de l'opérateur. Ce droit permet aux membres du groupe d'être des modérateurs et d'accéder à l'outil de gestion avancée des conférences lors de tout événement auquel ils participent.
Comment fonctionnent les restrictions de droits
Si un utilisateur appartient à plusieurs groupes, les paramètres autorisants priment sur les paramètres restrictifs. Par exemple, si un compte appartient aux groupes IT et DevOps, et qu'il a le droit de faire des présentations au niveau du groupe IT, il pourra le faire indépendamment des paramètres définis pour le groupe DevOps.
Les droits au niveau des groupes d'utilisateurs sont complétés par des restrictions pour les zones d'authentification.
Pour les utilisateurs qui appellent les abonnés de votre instance TrueConf Server via la fédération, la liste des fonctionnalités est déterminée par les droits configurés de votre côté (pour le groupe Federated users) et du côté de leur serveur de visioconférence. Par exemple, si vous avez désactivé la possibilité de transférer des fichiers pour les utilisateurs fédérés, ils ne pourront pas les envoyer lors de votre conférence, même si ce droit est activé pour eux sur leur TrueConf Server. De même, un utilisateur fédéré ne pourra pas envoyer de fichier si vous l'avez autorisé de votre côté mais que ce droit n'existe pas pour son groupe de son côté du serveur de visioconférence.
Configuration des groupes en mode Registre
Ci-dessous est présenté un exemple de configuration de groupes pour le mode Registry, tandis que pour le mode LDAP, certains paramètres seront différents.

Pour ajouter un nouveau groupe, cliquez sur le bouton Add, entrez son nom dans la fenêtre qui apparaît, puis cliquez sur Create.
Au niveau du groupe, vous pouvez activer ou désactiver certaines fonctionnalités à l'aide de cases à cocher dans des colonnes spécifiques. Ces paramètres permettent de différencier les droits des différents utilisateurs du serveur. Une liste complète de ces paramètres est fournie ci-dessus ; consultez également la description du fonctionnement des droits si un utilisateur appartient à plusieurs groupes. La gestion des droits est également disponible en mode édition d'un groupe spécifique dans l'onglet User rights.
Cliquez sur le groupe souhaité dans la liste pour accéder à son édition. En cliquant sur la colonne Group Name, vous pouvez trier la liste par ordre alphabétique.
Pour supprimer un ou plusieurs groupes, cochez-les et cliquez sur Delete. Les comptes de leurs membres ne seront pas supprimés du serveur.
Configuration des groupes en mode LDAP
La modification manuelle de la liste des utilisateurs et des paramètres (comme le nom du groupe) n'est pas disponible en mode LDAP. Vous pouvez uniquement importer des groupes depuis l'annuaire LDAP comme indiqué ci-après.
Lors du passage en mode de stockage des données des utilisateurs TrueConf Server au mode LDAP, la liste des utilisateurs et des groupes est importée à partir de l'annuaire LDAP (par exemple, Active Directory). Veuillez noter que les groupes nécessaires doivent être présents dans l'objet d'annuaire spécifié pour rechercher les utilisateurs. Par exemple, si lors de la configuration de LDAP, vous avez indiqué dans le champ Group la chaîne cn=UsersGroup,ou=People,dc=example,dc=com, alors côté LDAP, l'objet UsersGroup doit contenir les groupes de comptes requis.
Dans ce cas, la création de groupes d'utilisateurs et l'ajout de comptes n'est pas disponible dans le panneau de configuration TrueConf Server, mais vous pouvez les ajouter à partir de LDAP. Pour ce faire :
Dans le panneau de contrôle du serveur, accédez à la section Users → Groups.
Cliquez sur Add au-dessus de la liste des groupes :

Dans la fenêtre qui s'ouvre, saisissez une partie du nom du groupe que vous souhaitez ajouter, puis cliquez sur le bouton Search :

Dans la liste des groupes filtrés, cliquez sur le nom de ceux que vous souhaitez ajouter à la liste. Ils apparaîtront dans la liste Selected :

Cliquez sur Add pour appliquer les modifications.
Pour les groupes importés depuis LDAP, les paramètres des droits des utilisateurs, du carnet d'adresses, des restrictions pour les applications clientes, des appels de groupe sont également disponibles, tout comme en mode Registry.
Modifier le groupe
En cliquant sur le nom du groupe dans la liste, vous ouvrirez la page de modification :

Vous pouvez :
renommer le groupe;
définir le carnet d'adresses pour tous les membres du groupe;
sélectionner les droits disponibles pour le groupe dans l'onglet User rights (tous les droits sont décrits en détail ci-dessus) ;
Pour changer le nom du groupe, cliquez sur le bouton à droite du nom. Dans la fenêtre qui s'ouvre, entrez le nouveau nom et cliquez sur Rename (ou Cancel si vous souhaitez fermer la fenêtre sans enregistrer les modifications) :

Vous pouvez également appuyer sur le bouton
pour exporter la liste des utilisateurs d'un groupe spécifique dans un fichier CSV pour un futur import dans le carnet d'adresses TrueConf Group.
Édition de la liste des participants du groupe
En mode LDAP, le bouton d'ajout n'apparaît pas dans l'onglet Participants. Dans ce cas, tout le groupe est importé comme montré ci-dessus.
Pour compléter la liste des participants du groupe :
Ouvrez-la dans la liste générale.
Accédez à l'onglet Participants.
Cliquez sur le bouton Add.
Dans la fenêtre qui s'ouvre, sélectionnez les utilisateurs que vous souhaitez ajouter au groupe choisi (un filtre par nom ou TrueConf ID est disponible). Une fois que tous les utilisateurs sont sélectionnés, cliquez sur Save :

Pour supprimer un utilisateur du groupe, cliquez sur le bouton à droite de la ligne portant son nom.
Configuration du carnet d'adresses pour les utilisateurs du groupe
Dans l'onglet Address Book de chaque groupe, vous pouvez définir une liste de contacts commune à tous les utilisateurs de ce groupe :

Les participants peuvent également ajouter de nouveaux contacts dans le carnet d'adresses eux-mêmes, mais uniquement si la case Address Book Editing est cochée dans les paramètres des droits. Veuillez noter que l'ajout d'utilisateurs au carnet d'adresses par l'administrateur et l'ajout manuel par l'utilisateur s'appliquent indépendamment l'un de l'autre.
Vous pouvez ajouter à l'annuaire de groupe (c'est-à-dire à l'annuaire de chacun de ses membres) tous les utilisateurs appartenant à un autre groupe en une seule fois. Pour ce faire :
Dans la section Choose the users who will be displayed in the address book of group participants, cochez l'option User groups.
Cliquez sur le menu déroulant à côté et cochez les groupes souhaités.
Pour enregistrer les paramètres, appuyez sur le bouton Apply.
Dans la section Group address book, il est également possible d'ajouter manuellement des abonnés de différents types, de la même manière que leur ajout dans le carnet d'adresses du profil utilisateur. Cependant, un membre du groupe ne pourra pas les supprimer lui-même, car ces contacts sont ajoutés pour l'ensemble du groupe et non dans son carnet d'adresses personnel.
Configuration des paramètres de l'application pour les utilisateurs du groupe
En cliquant sur le lien Customize de la colonne Application dans la ligne du groupe dans le tableau principal, un menu s'ouvrira permettant de spécifier des limites de bande passante pour les utilisateurs appartenant à ce groupe.
Nous vous rappelons que les paramètres de l'application pour l'utilisateur ont priorité sur les paramètres de groupe.
Si des restrictions de débit sont définies au niveau de l'utilisateur ou du groupe, l'utilisateur ne pourra pas les modifier dans l'application cliente TrueConf, mais il pourra voir les paramètres qui ont été configurés.

Nous vous rappelons que si des restrictions de bande passante pour l'application sont définies pour un utilisateur spécifique, ces paramètres auront priorité sur les paramètres du groupe.
Configuration des appels de groupe
Pour un groupe d'utilisateurs, il est possible de configurer l'option d'appel de groupe. Lorsqu'elle est activée, il devient possible d'appeler non pas un utilisateur spécifique, mais l'ensemble du groupe : tous ses membres verront un appel entrant. Dès qu'une personne accepte l'appel, il est automatiquement rejeté pour les autres.
Pour activer un appel de groupe :
Sélectionnez le groupe souhaité dans la liste générale et allez à l'onglet Call settings :

Activez la case à cocher Enable group call pickup.
Spécifiez un ID pour passer un appel, il doit être unique sur le serveur, c'est-à-dire ne pas coïncider avec d'autres ID d'appel de groupe et TrueConf ID comptes utilisateurs. Pour démarrer un appel de groupe, vous devez utiliser cet ID sous la forme
id@example.com, oùexample.comest l'adresse de votre serveur, par exemple001@video.example.com. Vous pouvez utiliser des lettres, des chiffres et les symboles. _ -comme ID. Cette chaîne d'appel peut être ajoutée au carnet d'adresses pour une utilisation ultérieure. Par défaut, l'ID de groupe est renseigné, mais vous pouvez spécifier le vôtre (par exemple, une chaîne courte pour plus de commodité).
Pour enregistrer les paramètres, n'oubliez pas d'appuyer sur le bouton Apply.
Alias
Description du travail
Les alias permettent de trouver un correspondant à appeler en entrant une chaîne courte (une sorte de filtre) au lieu de la chaîne complète pour l'appeler. Un tel correspondant peut être :
utilisateur de ce même serveur;
un utilisateur d'un autre serveur avec lequel la fédération est configurée;
ligne d'appel via les protocoles SIP, H.323, RTSP (terminal, caméra IP, etc.);
conférence (y compris sur un autre serveur).
Ajouter un alias revient à créer un nouveau filtre pour une recherche rapide dans les applications client. Dans le panneau de contrôle, l'administrateur NE peut PAS utiliser l'alias comme un ID complet, par exemple, il ne peut pas ajouter un alias au carnet d'adresses d'un utilisateur ou d'un groupe.
Cette fonction est particulièrement utile lors de l'organisation d'appels sur TrueConf Server depuis des appareils mobiles avec un clavier numérique. Des alias pratiques permettent de trouver rapidement un correspondant de l'un des types mentionnés ci-dessus et de l'appeler ou de l'ajouter au carnet d'adresses.

Un pseudonyme peut contenir des chiffres, des lettres, un tiret
-et un underscore_. Le nombre maximal de caractères autorisés est de 32.La chaîne d'appel (y compris le login de l'utilisateur du serveur). Les appels vers le pseudonyme seront redirigés vers cet abonné. Pour spécifier une conférence, utilisez le format
\c\ID@server.Ajout d'un nouveau pseudonyme à la liste.
Pour supprimer un ou plusieurs pseudonymes, cochez-les et appuyez sur Delete selected.
Exemples de chaînes d'appel pour configurer un alias :
ceo_user— utilisateur actuel (votre) du serveur avec le loginceo_user.other_user@example.com— utilisateur d'un autre serveur avec l'adresseexample.com, avec lequel la fédération est configurée\c\webinar— une conférence sur le serveur actuel (le vôtre), son ID peut être copié de cette façon depuis la fiche de l'événement après sélection dans la liste générale\c\webinar@example.com— conférence d'un autre serveur avec l'adresseexample.com, avec laquelle une fédération est configurée.#sip:@10.110.8.217— terminal SIP avec l'adresse10.110.8.217. Si vous devez appeler un terminal enregistré sur le serveur, vous pouvez spécifier le nom d'utilisateur sous lequel le terminal est autorisé lors de la configuration de l'alias.
Utilisation dans la fédération
Lorsque vous utilisez la fédération, il est possible de passer des appels par pseudonyme de la même manière que par TrueConf ID. La résolution de l'alias se fera sur le serveur indiqué après le @ dans le pseudonyme complet, tel que alias@server, par exemple, 122@video.server.name.
Examinons ci-dessous deux façons d'utiliser des alias sur les instances TrueConf Server one.name et two.name, qui sont fédérées.
Exemple 1
Chaque TrueConf Server a ses propres pseudonymes configurés. C'est-à-dire que sur le serveur one.name, nous avons attribué le pseudonyme 111 à l'utilisateur userA.
Pour appeler l'utilisateur userA à partir du serveur two.name, veuillez indiquer dans la barre d'adresse :
111@server, où server est le nom DNS ou l'adresse IP de one.name.
Exemple 2
Sur le serveur two.name, créez un alias 111 pour l'utilisateur userA du serveur one.name, qui indiquera déjà le format d'appel correspondant :
userA@server, où server est le nom DNS ou l'adresse IP de one.name.
Ainsi, les utilisateurs du serveur two.name pourront appeler les utilisateurs du serveur one.name sans entrer son adresse IP ou nom DNS, mais simplement en utilisant des alias dans la barre d'adresse de l'application cliente. Par exemple, 111 dans notre exemple.
La deuxième option est plus transparente pour les utilisateurs, mais il est plus complexe de configurer un système de pseudonymes pratique.
Authentification
Dans la section Users → Authentication, vous pouvez configurer les méthodes d'authentification des utilisateurs de votre TrueConf Server.
Authentification — est le processus de vérification par le service et de confirmation par l'application/l'utilisateur de l'identité, c'est-à-dire que l'entité est réellement ce qu'elle prétend être. Par exemple, que l'utilisateur est effectivement celui qu'il prétend être lors de la connexion au serveur. Après la vérification de l'identité, l'autorisation a lieu, c'est-à-dire l'attribution des droits pour effectuer certaines actions sur ce service conformément aux paramètres.
par identifiant et mot de passe, et pour le mode Registry (stockage des comptes sur le serveur), vous pouvez configurer vos propres règles pour la complexité du mot de passe;
réglages manuels du fournisseur pour les protocoles OAuth / OpenID Connect.
Il existe deux zones de sécurité différentes pour l'authentification : de confiance (par défaut, appelée Trusted network) et externe (non fiable) (par défaut, appelée Internet). Celles-ci sont présentes dès le départ, ne peuvent pas être supprimées, mais peuvent être configurées comme indiqué ci-dessous.
Tous ceux qui ne figurent pas dans la zone de confiance sont automatiquement placés dans la zone externe. L'affectation d'une zone à un utilisateur se fera en fonction de son adresse IP.

Zones de sécurité. Cliquez sur chacune d'elles pour ouvrir ses paramètres.
Méthodes d'authentification spécifiées pour chaque zone.
Activation ou désactivation de la zone. Une fois la zone désactivée, les utilisateurs qui y sont associés recevront une notification appropriée indiquant l'impossibilité de se connecter à votre TrueConf Server lors de leur tentative de connexion. Les utilisateurs déjà connectés pourront continuer à utiliser le système jusqu'à l'expiration du jeton d'autorisation.
Les méthodes de vérification disponibles pour la configuration. Les méthodes Login and password et NTLM SSO ne nécessitent aucun paramètre et s'activent simplement à l'aide des interrupteurs à droite. Pour les autres fournisseurs ajoutés, vous pouvez modifier les paramètres en cliquant sur le nom. Il est également possible de supprimer les fournisseurs inutiles, mais vous ne pourrez pas retirer les méthodes de connexion via NTLM et Kerberos. Elles doivent être désactivées si nécessaire.
Statut de la configuration et fonctionnement de chaque méthode.
Activation des méthodes d'authentification.
Ajout de fournisseurs d'authentification à deux facteurs : AD FS (Active Directory Federation Services), Keycloak, paramètres manuels pour l'ajout d'un autre fournisseur.
Pour que les méthodes Kerberos SSO, NTLM SSO, AD FS et Microsoft Outlook SSO soient disponibles, le mode de stockage des comptes LDAP doit être sélectionné et configuré. Pour d'autres méthodes d'authentification (Keycloak, configurations manuelles), cela n'est pas nécessaire.
Paramètres des zones d'accès
En cliquant sur le nom de la zone de confiance, la page de ses paramètres s'ouvrira :

Vous pouvez modifier le nom de la zone, par exemple en "Réseau d'entreprise".
Dans le bloc Subnet masks, spécifiez les segments de réseau qui appartiennent à cette zone. En cliquant sur une entrée, une fenêtre d'édition de l'adresse et du masque de sous-réseau s'ouvrira. Vous pouvez également supprimer un sous-réseau depuis cette fenêtre. Au moins un sous-réseau doit être spécifié pour la zone de confiance.
Pour ajouter un nouveau sous-réseau à la liste, appuyez sur le bouton Add.
Dans le bloc Authentication methods, sélectionnez les paramètres souhaités en cochant les cases correspondantes. La liste des zones est constituée des méthodes suivantes : login et mot de passe, NTLM SSO, Kerberos SSO, et les autres fournisseurs d'authentification qui ont été ajoutés manuellement comme indiqué ci-après.
Ci-dessous se trouve le bloc Available rights, où vous pouvez sélectionner les droits disponibles pour chacune des zones. La liste des droits disponibles est la même que dans les paramètres des groupes, et des restrictions sont ajoutées à celles des groupes. C'est-à-dire :
un droit est accordé à l'utilisateur s'il se trouve dans la zone où ce droit est permis, et appartient à au moins un groupe auquel ce droit a été accordé;
le droit est interdit à l'utilisateur s'il se trouve dans une zone où ce droit est interdit ou s'il appartient à des groupes auxquels ce droit n'est pas accordé.
N'oubliez pas de sauvegarder les modifications pour les appliquer sur le serveur.
Pour la zone externe, vous pouvez configurer le nom, les méthodes d'authentification et les droits disponibles, mais vous ne pouvez pas spécifier de sous-réseaux.
Paramètres SSO
La technologie d'authentification unique (Single Sign-On, SSO) lors de l'intégration avec un serveur LDAP permet aux utilisateurs de votre TrueConf Server de s'authentifier automatiquement après s'être connectés à leur système d'exploitation sur leurs PC et avoir lancé l'application cliente TrueConf. Pour cela, vous pouvez utiliser l'une des options suivantes : Kerberos, NTLM, ou SSO Outlook (lors de l'intégration avec Microsoft Exchange Server).
Pour que l'authentification SSO avec NTLM fonctionne, le serveur sur lequel le logiciel TrueConf Server est installé et les PC des utilisateurs doivent être intégrés dans le domaine. Pour Kerberos, les PC des utilisateurs doivent être intégrés dans le domaine, mais pour la machine avec TrueConf Server, ce n'est pas obligatoire.
Pour activer NTLM, il suffit de l'activer dans le bloc State, il n'y a pas de paramètres supplémentaires pour cela.
Pour configurer la connexion via le protocole Kerberos, cliquez sur le lien Kerberos SSO dans le bloc Authentication methods (sur la page Authentication avec la liste des zones de sécurité) :

Dans la fenêtre qui s'affiche, sélectionnez :
le fichier keytab qui sera utilisé pour l'authentification;
si nécessaire, appuyez sur More et entrez votre valeur ServicePrincipalName (SPN) à la place de celle enregistrée dans le fichier.
Pour configurer le fonctionnement de l'authentification unique (SSO) dans le plugin de messagerie pour Outlook, cliquez sur le lien Outlook SSO. Dans la fenêtre qui s'ouvre, indiquez les adresses :
- Microsoft Exchange Server host pour vérifier le jeton d'authentification, il est sous la forme
{host}sans le préfixe du protocole (c'est-à-dire sanshttp/https); - Microsoft Autodiscover Service host, est sous la forme
{host}sans l'indication du préfixe du protocole (c'est-à-dire sanshttp/https); de plus, vous pouvez désactiver la vérification du certificat SSL pour le serveur Autodiscover.

Ajout de fournisseurs d'authentification à deux facteurs (2FA)
Il est possible d'ajouter une ou plusieurs méthodes d'authentification à deux facteurs (fournisseurs AD FS ou OAuth 2.0 / OpenID Connect) pour pouvoir ensuite les choisir pour la zone souhaitée. Le nombre de fournisseurs à ajouter est illimité. Pour cela, dans le bloc Authentication methods, cliquez sur Add et choisissez l'option souhaitée :

Pour configurer l'intégration avec le fournisseur d'authentification souhaité, cliquez sur le bouton Add dans le bloc correspondant et spécifiez les paramètres suivants dans la fenêtre de configuration :
Identifiant (Client ID) de l'application OAuth, qui a été créé du côté du fournisseur OAuth pour obtenir le jeton d'accès.
URI côté TrueConf Server pour recevoir une réponse du fournisseur. Ce même URI doit également être spécifié du côté du fournisseur.
- Authorization form URL côté fournisseur.
- Request token URL, utilisé lors de la connexion des utilisateurs à TrueConf Server en cas d'authentification réussie.
- Logout URL.
Portée (Scope). Indiquez la
scopesélectionnée lors de la configuration de la règle côté fournisseur, par exemple, pour AD FS, voir plus de détails dans la documentation Microsoft. Vous pouvez spécifier plusieurs portées, en les séparant par des virgules sans espaces.Le nom du fournisseur d'authentification affiché dans la liste des méthodes sur la page de configuration des zones d'accès et dans les applications clientes TrueConf lors de l'utilisation de l'authentification à deux facteurs.
Il est possible de désactiver la vérification du certificat SSL reçu du fournisseur côté TrueConf Server.
Pour distinguer plus facilement un mode d'authentification d'un autre, vous pouvez spécifier une image différente en la téléchargeant au format SVG.
En plus d'AD FS, d'autres solutions peuvent être utilisées pour implémenter une authentification à deux facteurs via OAuth 2.0, telles que Keycloak. La liste des paramètres sera la même que pour AD FS.
LDAP / Active Directory
Deux modes de stockage des données utilisateurs TrueConf Server sont pris en charge : Registry et LDAP. Vous pouvez basculer entre eux à tout moment en appuyant sur le bouton Switch :

Mode Registre
Le mode Registry est utilisé par défaut. Dans ce mode, le serveur stocke les informations sur les utilisateurs sur l'ordinateur local. L'ajout et la suppression de nouveaux utilisateurs peuvent être effectués depuis le panneau de configuration. Si le serveur est passé du mode de stockage Registry au mode de stockage LDAP, les enregistrements existants des utilisateurs ne seront plus utilisés.
Lorsque vous passez de ce mode au mode LDAP, les données utilisateur stockées sur l'ordinateur local ne sont pas supprimées, ce qui signifie que le passage à un autre mode puis le retour ne nuira pas aux informations sauvegardées.
Lors du passage de LDAP à Registry, il est possible d'importer des utilisateurs du service d'annuaire vers le stockage local du serveur. Cela vous permettra de ne pas perdre les données des comptes si, pour une raison quelconque, vous décidez de ne plus utiliser AD/LDAP ou si vous n'avez plus besoin de synchroniser les comptes. Pour transférer les comptes du service d'annuaire vers le stockage Registry, cochez la case Import user information :
Fonctionnement du transfert :

Les données pour les champs qui existaient dans LDAP/AD et sont présents en mode Registry seront conservées (voir description du profil).
Le mot de passe ne sera pas transféré et aucun nouveau mot de passe ne sera créé, ce champ restera vide et l'administrateur devra définir manuellement un nouveau mot de passe.
Les comptes seront désactivés.
Mode LDAP
Dans ce mode de stockage, le serveur utilise les informations des utilisateurs provenant d'un annuaire LDAP distant ou local. Cela offre plusieurs avantages pour l'utilisation du serveur au sein des structures corporatives :
synchronisation automatique des informations utilisateur;
absence de nécessité d'autorisation sur le lieu de travail à l'intérieur du réseau;
transparence, rapidité et facilité d'administration;
sécurité de l'administration;
prise en charge de différents services d'annuaire : Microsoft Active Directory, FreeIPA, OpenLDAP, 389 Directory Server, etc.
Il est impossible de modifier la liste des utilisateurs et les paramètres des groupes en utilisant le panneau de contrôle du serveur en mode LDAP. Par défaut, les paramètres de configuration LDAP correspondent à Microsoft Active Directory. Les informations des utilisateurs sont modifiées à l'aide de l'outil de gestion Active Directory. Cependant, après la suppression d'un utilisateur du côté du service d'annuaire, l'avatar localement enregistré sur la machine avec TrueConf Server sera également supprimé.
L'utilisateur a toujours la possibilité de définir un avatar et un nom affiché dans l'application ou l'espace personnel. Ces informations seront également mises à jour du côté du service d'annuaire, mais sous les conditions suivantes :
les champs
Nom d'affichageetAutoriser la propagation de l'avatarsont correctement renseignés dans les paramètres supplémentaires LDAP;le compte sous lequel TrueConf Server se connecte au répertoire LDAP a le droit d'écrire ces champs pour les objets.
Pour en savoir plus sur le protocole LDAP et le service d'annuaire Microsoft Active Directory, consultez notre site.
En mode LDAP, les droits des utilisateurs sont déterminés par leur appartenance à un groupe Active Directory. Pour activer ce mode, cochez la case dans le champ LDAP → Enable et cliquez sur le bouton LDAP settings qui apparaîtra en bas après cela. Un formulaire de configuration LDAP s'ouvrira :

Dans le menu déroulant Server Type, sélectionnez votre service d'annuaire. Les services pris en charge incluent : Active Directory, OpenLDAP, 389 Directory Server, FreeIPA. Cela détermine les noms par défaut pour les attributs lus par le serveur depuis le répertoire LDAP. Vous pouvez également sélectionner l'option Custom pour définir manuellement les noms des attributs. Après avoir choisi le type de serveur, pour basculer vers les noms d'attributs correspondants, développez le bloc Advanced ci-dessous et cliquez sur le bouton Default. Vous verrez que les noms des attributs dans la colonne Value ont changé. Si nécessaire, vous pouvez spécifier les valeurs requises, puis cliquer sur le bouton Apply, qui se trouve dans ce même bloc Advanced.
Cochez la case Secure connection si vous utilisez une connexion au serveur LDAP en mode sécurisé (via le protocole LDAPS) pour transmettre en toute sécurité les données des utilisateurs sur le réseau.
Les commutateurs Auto detect déterminent le mode de spécification de l'adresse du serveur et du port.
Dans le champ Domain, saisissez votre domaine. En mode automatique, le serveur LDAP peut être choisi parmi les serveurs par défaut du domaine DNS spécifié dans ce champ. Les serveurs par défaut sont déterminés par les enregistrements DNS de type SRV correspondants. Pour Active Directory, vous pouvez indiquer ici le nom DNS du domaine AD.
Dans les champs Server et Port, entrez l'adresse/port du serveur LDAP lors de la configuration manuelle. Vous pouvez utiliser le catalogue global pour vous connecter au service d'annuaire. À cette fin, spécifiez le port de connexion 3268 pour LDAP ou 3269 pour LDAPS.
Indiquez dans le champ Base DN (Base Distinguished Name) l'objet de l'annuaire pour la recherche des utilisateurs, par exemple,
ou=People,dc=example,dc=com.Dans le bloc Authentication, sélectionnez le mode d'authentification TrueConf Server sur le serveur LDAP. Les options prises en charge sont :
- Simple — par le login/mot de passe spécifié;
- NTLM — par identifiant et mot de passe, mais via le protocole NTLM ;
- Current NT user (disponible uniquement lors de l'installation sur Windows) — le serveur tentera de se connecter au service d'annuaire avec le compte sous lequel ses services fonctionnent (plus de détails expliqués ci-dessous);
- GSS — par identifiant et mot de passe, mais via le protocole GSS;
- Kerberos Keytab — est décrit en détail ci-dessous.
Les protocoles obsolètes NTLMv1 et LM sont désactivés dans Active Directory, par conséquent, lors de l'utilisation de TrueConf Server sur Linux, l'authentification NTLM peut ne pas fonctionner.
8. Si nécessaire, spécifiez les paramètres d'authentification sur le serveur LDAP dans les champs Name et Password.
9. Dans le champ Path (distinguishedName), il est possible de spécifier un groupe d'utilisateurs LDAP qui peuvent s'authentifier sur TrueConf Server, par exemple, cn=TC_Users,ou=People,dc=example,dc=com. Vous pouvez sélectionner un groupe à l'aide du bouton Browse. Pour pouvoir cliquer sur ce bouton, il est nécessaire de remplir correctement les champs de connexion au serveur LDAP (dans les blocs Server settings et Authentication), y compris le champ Base DN.
10. Vous pouvez affiner les paramètres LDAP supplémentaires dans le bloc Advanced.
Si le type de serveur change (par exemple, d'Active Directory à OpenLDAP), la réinitialisation des paramètres supplémentaires LDAP ne se fait pas automatiquement. Pour revenir aux valeurs par défaut des paramètres pour le nouveau serveur, vous devez ouvrir le bloc Advanced et appuyer sur le bouton Default.
Pour passer du mode LDAP au mode Registre, il est possible d'importer des enregistrements d'utilisateurs. Pour ce faire, dans l'onglet User storage, sélectionnez le mode Registre et cochez la case Import user information, puis appuyez sur le bouton Switch.
Les mots de passe des utilisateurs ne sont pas importés. Après l'importation, les comptes sont en état « inactif » (voir la description de la section User accounts).
Dans le profil utilisateur en mode LDAP, seul le mot de passe digest sera disponible pour l'édition, et il est obligatoire de le définir lors de l'enregistrement du terminal SIP/H.323 sur TrueConf Server. Ce même mot de passe doit être indiqué dans les paramètres d'autorisation du terminal lui-même :

Le répertoire des groupes et utilisateurs enregistrés sur le serveur de visioconférence permet de créer des groupes d'utilisateurs et de définir leurs droits sur le serveur. En mode Registre, un utilisateur peut appartenir à l'un des groupes créés ; ce paramètre peut être modifié dans la fenêtre d'édition de l'utilisateur. En mode LDAP, cet onglet offre la possibilité d'attribuer des droits sur le serveur à plusieurs groupes LDAP sélectionnés. L'appartenance d'un utilisateur à des groupes est déterminée dans le répertoire LDAP.
Pour importer des groupes d'utilisateurs depuis LDAP, allez dans la section Users → Groups. Cliquez sur le bouton Change et sélectionnez les groupes souhaités dans la liste qui s'affiche. Pour plus de détails, consultez l'article sur la configuration des groupes d'utilisateurs.
Lors de l'importation de groupes d'utilisateurs depuis LDAP, seules les groupes présents par défaut y sont conservés.
Si vous avez plusieurs serveurs TrueConf connectés à un LDAP commun, l'utilisateur peut accéder à son espace personnel via la page d'accueil de n'importe lequel d'entre eux. De plus, avec un LDAP commun, les utilisateurs d'un autre serveur TrueConf peuvent participer à des conférences privées en utilisant une connexion invité.
Authentification en tant qu'utilisateur NT sur Windows
Si TrueConf Server est installé sur Windows et que vous ne souhaitez pas entrer les informations d'identification dans le panneau de configuration pour l'intégration avec l'annuaire LDAP, vous pouvez utiliser celles spécifiées dans le système d'exploitation. Dans ce cas, TrueConf Server utilisera le login sous lequel les services fonctionnent :
Assurez-vous que la machine avec TrueConf Server installé est dans le même domaine que l'annuaire LDAP requis (par exemple, AD). Par défaut, les objets AD (y compris les PC qui y sont intégrés) ont les droits pour lire la liste des objets, ce qui suffira pour obtenir la liste des utilisateurs/groupes. Cependant, si vous souhaitez que les avatars changent dans TrueConf lorsque vous les modifiez sur le service d'annuaire, vous devez créer un autre utilisateur et lui attribuer le droit nécessaire, ainsi que vous assurer que dans les paramètres supplémentaires, l'option
Allow Avatar Propagating: 1est activée.Accédez à la gestion des services dans le système d'exploitation (par exemple, en exécutant la commande
services.mscdans le terminal/PowerShell) :
Double-cliquez sur le service TrueConf Server pour ouvrir ses propriétés et accédez à l'onglet Log On :

Sélectionnez l'option This account et saisissez le login/mot de passe requis :

S'il est nécessaire de spécifier explicitement l'utilisateur souhaité (si l'option du compte système par défaut ne convient pas), répétez les étapes 3-4 pour les services TrueConf Web Manager et TrueConf Server Manager.
Génération d'un fichier keytab pour l'authentification Kerberos du serveur
Si le protocole Kerberos est utilisé pour se connecter au service d'annuaire via LDAP/LDAPS, il sera nécessaire de télécharger un fichier keytab pour connecter le TrueConf Server. Ce fichier devra être généré du côté du service d'annuaire.
L'écriture du keytab dans ce cas s'effectue pour l'utilisateur (UPN) sous lequel TrueConf Server accédera au service d'annuaire, et non pour le SPN. Par conséquent, un tel utilisateur doit être créé du côté du service d'annuaire.
Il ne faut pas confondre la génération d'un fichier keytab pour connecter le serveur de vidéoconférence au service d'annuaire avec la génération du keytab pour connecter les utilisateurs au serveur. Ce sont des tâches différentes ! Cependant, si le serveur reçoit des données via Kerberos, vous pouvez toujours utiliser n'importe quelle méthode d'authentification pratique pour connecter les utilisateurs.
Génération d'un fichier keytab pour Active Directory
Si vous configurez l'intégration avec MS Active Directory (MS AD), pour générer le fichier keytab :
Sur la machine avec AD installé, lancez PowerShell.
Si un utilisateur n'a pas encore été créé pour accéder au service d'annuaire, ajoutez-le à l'aide de la commande suivante :
New-ADUser -Name "[user]" -SamAccountName "[user]" -Path "OU=example_ou,DC=example,DC=com" -AccountPassword (ConvertTo-SecureString "[pass]" -AsPlainText -force) -Enabled $trueoù :
[user] — nom d'utilisateur du nouvel utilisateur dans le système d'exploitation;
OU=example_ou,DC=example,DC=com — groupe utilisateur LDAP;
[pass] — mot de passe du nouvel utilisateur.
3. Pour plus de commodité, définissez une politique de mot de passe pour l'utilisateur afin que le mot de passe ne "périme" pas (durée de validité illimitée) et ne puisse pas être modifié. Remplacez [user] par le nom d'utilisateur précédemment créé :
Get-ADUser [user] | Set-ADUser -PasswordNeverExpires:$True -CannotChangePassword:$true4. Exécutez la commande pour générer le fichier keytab :
ktpass -princ [user]@example.com -mapuser [user] -crypto ALL -ptype KRB5_NT_PRINCIPAL -pass [pass] -target example.com -out c:\ldap.keytaboù :
[user] — identifiant de l'utilisateur précédemment créé dans le système d'exploitation ;
example.com — nom de domaine;
[pass] — mot de passe de l'utilisateur;
c:\ldap.keytab — chemin pour enregistrer le fichier sur la machine avec AD ; vous pouvez spécifier un autre chemin si cela vous convient mieux.
Ensuite, transférez le fichier sur n'importe quel PC à partir duquel vous administrez TrueConf Server, et téléchargez-le lors de la configuration du mode LDAP.
Paramètres LDAP supplémentaires
Les paramètres LDAP supplémentaires et leurs fonctions (champs utilisateurs, règles de filtrage, etc.) sont énumérés ci-dessous. Selon le type de fournisseur choisi, certains paramètres peuvent contenir des valeurs prédéfinies (qui peuvent être réinitialisées si nécessaire).
Si le PBX et TrueConf Server utilisent l'intégration avec le même annuaire LDAP (par exemple, Microsoft Active Directory), il est possible d'utiliser des champs supplémentaires pour faciliter la numérotation des utilisateurs. Par exemple, configurez des alias dans l'annuaire LDAP et spécifiez un champ de l'annuaire dans Additional → User Alias List. Ainsi, lors de l'importation des utilisateurs, leurs alias seront récupérés et pourront être utilisés directement dans le système TrueConf. Au final, il sera possible de composer directement les utilisateurs en utilisant les mêmes alias, sans avoir besoin de configurer un mappage supplémentaire. Cela est pratique si vous utilisez des alias numériques pour la composition rapide depuis les téléphones SIP et les terminaux SIP/H.323.
- Login — identifiant;
- Display Name — nom complet affiché;
- First Name — nom;
- Middle Name - deuxième prénom / patronyme;
- Last Name — nom de famille;
- Email — e-mail;
- Company — nom de l'organisation;
- Branch — nom de la filiale;
- Department — département;
- Job Title — poste;
- Manager — nom du responsable;
- Address — adresse de l'utilisateur;
- Max Results — le nombre total de pages retournées par les résultats de recherche (par défaut pour tous les modèles de fournisseurs LDAP est de 5000) ;
- Max Request Limit — le nombre de pages renvoyées par une seule requête (1000 par défaut pour tous les modèles), c'est-à-dire que le serveur demande exactement ce nombre de pages à l'annuaire LDAP jusqu'à obtenir Max Results résultats ;
- Filter Disabled — détermine si l'utilisateur est activé ou non;
- Group Member — détermine quels participants se trouvent dans un groupe spécifique;
- memberOf — (seulement pour Active Directory) est un paramètre qui associe un objet à des groupes et contient une liste d'enregistrements DN des groupes pour chaque utilisateur (utilisé pour filtrer les utilisateurs par groupes);
- Filter Login — filtre de recherche par identifiants;
- Filter CallID — non utilisé, laissé pour rétrocompatibilité ;
- Filter Group — un filtre pour la recherche par groupes afin que d'autres objets dont le nom correspond à la recherche ne soient pas chargés.
- Attr primaryGroupId — (uniquement pour Active Directory) paramètre ID de groupe;
- Attr primaryGroupToken — (uniquement pour Active Directory) paramètre de jeton de groupe;
- Attr objectSid — (uniquement pour Active Directory) paramètre ID de l'objet;
- Attr SIP Phone - numéro SIP pour contacter l'utilisateur;
- Mobile Phone — numéro de mobile pour contacter l'utilisateur;
- Work Phone — numéro de téléphone professionnel pour contacter l'utilisateur;
- Home Phone — téléphone personnel (domicile) pour contacter l'utilisateur ;
- User Status Attr — un attribut qui, en fonction du statut de l'utilisateur, détermine son absence sur différents serveurs simultanément ;
- User ID Attr — un attribut qui détermine, par l'ID de l'utilisateur, son absence sur différents serveurs simultanément;
- Full ID Attr — un attribut qui, grâce à l'ID complet de l'utilisateur (en incluant le domaine), détermine son absence sur différents serveurs simultanément;
- DetailedUserInfo Attribute — redéfinition des champs qui seront affichés dans les informations de l'utilisateur;
- User Alias List — liste des attributs qui deviendront des pseudonymes de l'utilisateur après l'autorisation (à indiquer par une virgule
,); - TrustPartner Attr — (uniquement pour Active Directory) un filtre qui permet de combiner plusieurs domaines en un domaine de confiance;
- FlatName Attr — (uniquement pour Active Directory) le nom d'affichage pour l'approbation, si plusieurs domaines sont fusionnés en un domaine approuvé;
- TrustedDomain Filter — (uniquement pour Active Directory) un filtre qui permet de combiner plusieurs domaines en un domaine de confiance;
- ForeignSecurityPrincipal Filter — (uniquement pour Active Directory) un filtre qui permet de combiner plusieurs domaines en un domaine de confiance;
- Trust Enabled — (uniquement pour Active Directory) un filtre qui permet de combiner plusieurs domaines en un domaine de confiance;
- FilterClientSearchByLoginGroup — (
boolean) est utilisé pour rechercher des contacts dans l'application cliente. Si non spécifié, il prend la valeurtrueet seuls les utilisateurs faisant partie du groupe de connexion seront trouvés en tant qu'objets. Si vous indiquezfalse, vous pouvez également trouver d'autres utilisateurs dans l'annuaire LDAP qui, pour une raison quelconque, NE font pas encore partie du groupe de connexion; - Use Avatars — doit être défini sur
1pour un chargement correct des avatars dans les applications; - Allow Avatar Propagating — doit être défini sur
1pour un chargement correct des avatars dans les applications; - AddressBook Refresh — un minuteur (en secondes) pour la mise en cache périodique des relations entre les groupes et la régénération des carnets d'adresses. Une fois le temps écoulé, il est considéré qu'aucune donnée n'a été trouvée pour la requête ;
- Filter AddressBook — un filtre pouvant être utilisé pour créer le carnet d'adresses de l'utilisateur;
- TimeOut — délai pour la connexion / l'exécution de la requête (en secondes). Une fois ce délai écoulé, il est considéré qu'aucun résultat n'a été trouvé pour la requête;
- thumbnailPhoto Attr — avatar;
- jpegPhoto Attr — emplacement de stockage de l'avatar;
- Meeting Room Filter — filtre pour obtenir la liste des lieux de conférence (par exemple, les salles de réunion), utilisé conjointement avec Meeting Room Search Filter Attr ;
- Meeting Room Search Filter Attr — l'attribut LDAP qui contient les lieux des conférences;
- Meeting Room BaseDN — non utilisé;
- LDAP Login with subdomain — autoriser l'accès aux utilisateurs des sous-domaines, leur identifiant sera alors sous la forme
sub.domain\user.
Numéros de téléphone supplémentaires
Pour l'intégration avec Microsoft Active Directory (AD), il peut être utile de spécifier plusieurs attributs pour un seul champ. Cela est dû au fait que dans AD, plusieurs données peuvent être stockées sous des noms d'attributs différents, par exemple : mobile et otherMobile. Pour afficher plusieurs données de contact du même type dans une fiche de contact, vous devez indiquer les attributs nécessaires, séparés par une virgule, dans la valeur du champ dans la liste Additional.
Par exemple, pour afficher plusieurs numéros de téléphone dans la fiche de l'abonné, indiquez la valeur mobile,otherMobile dans la colonne LDAP Property Name pour le champ Mobile Phone.
Pour les fournisseurs d'un autre type, cela n'est pas nécessaire car plusieurs valeurs peuvent déjà être stockées simultanément, séparées par des virgules, du côté du service de répertoires.
Comment charger des comptes d'utilisateurs à partir de différents domaines
Pour le compte sous lequel TrueConf Server s'authentifiera dans le service d'annuaire, il est nécessaire de définir les autorisations pour lire les objets "Foreign Security Principals" d'autres domaines et pour s'authentifier sur ceux-ci.
Vous devez utiliser le type d'authentification GSS ou Kerberos Keytab.
Sur le domaine principal auquel TrueConf Server se connectera, créez un groupe avec une portée (plage) de Domain Local.
Place user accounts (or groups of users with a universal range; note that group nesting is supported only within a single forest) that you plan to upload to the server into this group.
Effectuez les étapes 1 et 2 pour tous les domaines à partir desquels vous prévoyez d'importer des comptes.
Dans les paramètres LDAP, spécifiez ce groupe dans le champ Path (distinguishedName).
Assurez-vous que dans le bloc Advanced des paramètres LDAP, le paramètre Trust Enabled est égal à 1 (valeur par défaut).
Installation du certificat pour la connexion via LDAPS
Pour la connexion via le protocole LDAPS, il peut être nécessaire d'ajouter à la machine physique ou virtuelle où est déployé TrueConf Server, le certificat SSL racine du domaine où se trouve le serveur avec le rôle de contrôleur de domaine. Pour cela, copiez le certificat SSL racine du domaine à n'importe quel endroit sur la machine avec TrueConf Server.
Veuillez noter qu'un certificat au format .crt est requis. Par conséquent, s'il est dans un autre format, il faudra le convertir comme indiqué dans cet article.
Ensuite, installez le certificat .crt en fonction du système d'exploitation.
Pour les systèmes d'exploitation Windows
Double-cliquez sur le certificat avec le bouton gauche de la souris.
Dans la fenêtre d'installation du certificat qui s'affiche, appuyez sur le bouton Install Certificate.
Dans la fenêtre de sélection de l'emplacement de stockage, indiquez Local Machine.
Dans la fenêtre suivante des paramètres de stockage, sélectionnez Place all certificates in the following storage et cliquez sur Browse.
Dans la liste des dépôts, sélectionnez Trusted Root Certification Authorities et appuyez sur OK.
Pour terminer la configuration, appuyez sur les boutons Next et Finish.
На Debian:
- Au nom de l'administrateur, exécutez la commande dans le terminal :
cp /home/$USER/cert.crt /usr/local/share/ca-certificates && update-ca-certificatesoù /home/$USER/cert.crt est le chemin complet vers le certificat .crt après sa copie sur la machine avec TrueConf Server.
2. Redémarrez la machine avec TrueConf Server.
На CentOS:
- Au nom de l'administrateur, exécutez la commande dans le terminal :
cp /home/$USER/cert.crt /etc/pki/ca-trust/source/anchors/ && update-ca-trustoù /home/$USER/cert.crt est le chemin complet vers le certificat .crt après sa copie sur la machine avec TrueConf Server.
2. Redémarrez la machine avec TrueConf Server.
Résolution des problèmes courants lors de l'utilisation de LDAP
Lors de la configuration de LDAP, des erreurs de connexion au service d'annuaire peuvent survenir. Dans ce cas, après avoir cliqué sur le bouton Apply, situé dans le bloc des paramètres de connexion, un message approprié s'affichera en haut de la fenêtre. Les problèmes typiques sont examinés ci-dessous.
Erreur Erreur LDAP 81 (Serveur indisponible)
Absence de connexion avec le service d'annuaire. Il est probable que TrueConf Server n'y ait pas accès à l'adresse et au port TCP indiqués (389 pour une connexion classique et 636 pour un LDAPS sécurisé). Vous pouvez vérifier la connexion à l'aide de l'outil de console telnet (disponible sur Windows et Linux) :
telnet [ldap-server] [port]où [ldap-server] est l'adresse et [port] est le port du serveur agissant en tant que contrôleur de domaine. Par exemple, pour vérifier l'accès via LDAPS, vous devez exécuter :
telnet ldap.example.com 636Si la connexion est absente, vérifiez les paramètres de l'équipement réseau ou du logiciel de pare-feu, et assurez-vous que le serveur avec le rôle de contrôleur de domaine est en cours d'exécution.
Erreur Erreur LDAP 49 (Identifiants invalides)
Impossible de s'authentifier sur le serveur LDAP. Assurez-vous que les paramètres LDAP dans la section Authentication contiennent les informations correctes du compte de service utilisé pour se connecter au service d'annuaire.
Erreur Erreur LDAP 53
En règle générale, cela résulte des restrictions de politiques du côté du service d'annuaire, par exemple, NTLM est désactivé pour AD. Assurez-vous également que le champ Base DN est correctement renseigné.
Erreur LDAP error -1
Cette erreur peut survenir lors de la connexion au service d'annuaire via une connexion sécurisée LDAPS. Plusieurs raisons peuvent l'expliquer.
- Il est nécessaire de s'assurer que la machine physique ou virtuelle sur laquelle TrueConf Server est déployé, a chargé le certificat SSL racine du domaine où se trouve le serveur avec le rôle de contrôleur de domaine. Après avoir chargé le certificat, vous pouvez vérifier la connexion en utilisant l'utilitaire openssl, en exécutant la commande dans le terminal Windows ou Linux:
openssl s_client -connect [ldap-server]:[port]où [ldap-server] est l'adresse et [port] est le port du serveur jouant le rôle de contrôleur de domaine.
2. Si TrueConf Server est déployé sur un système d'exploitation Linux et que la connexion à Microsoft Active Directory est en cours de configuration, assurez-vous que le champ Domain contient le nom de domaine complet (FQDN) de la machine sur laquelle le serveur avec le rôle de contrôleur de domaine est déployé. Il doit inclure le nom de la machine, par exemple, server-name.ldap.example.com. Dans ce cas, il est nécessaire d'utiliser le FQDN dans la commande de vérification de la connexion SSL du point précédent.
La connexion est établie, mais la liste des comptes est vide
Assurez-vous que le bloc Advanced utilise un ensemble de filtres correspondant au type de serveur sélectionné (Active Directory, OpenLDAP, 389 Directory Server). Pour passer aux noms d'attributs correspondants après avoir changé le type de serveur, cliquez sur le bouton Default et configurez les filtres nécessaires.
Les utilisateurs du domaine principal sont apparus, mais les utilisateurs des domaines approuvés ne sont pas apparus
Assurez-vous que :
Dans le bloc Advanced des paramètres LDAP, le paramètre Trust Enabled a la valeur 1.
Le compte utilisé pour se connecter au serveur du contrôleur de domaine dispose des droits pour lire l'attribut member of à partir du conteneur ForeignSecurityPrincipals.
Paramètres de mot de passe et de verrouillage
Exigences du mot de passe
Lorsque vous utilisez le mode Registry dans le bloc Password requirements, vous pouvez spécifier la longueur minimale autorisée du mot de passe (de 2 à 64) et la présence de caractères obligatoires (lettres en majuscules et minuscules, chiffres, caractères spéciaux) pour l'utilisateur de votre TrueConf Server. Ces paramètres seront vérifiés lors de l'ajout d'un nouveau compte ou de la modification du mot de passe d'un compte existant, y compris lors de son édition par l'utilisateur lui-même dans son espace personnel :

Les caractères qui ne peuvent pas être définis comme obligatoires, y compris les émojis, tels que ⚠️№ßÜ🕐, sont également autorisés dans le mot de passe.
Si le mot de passe saisi ne répond pas aux exigences, un message approprié s'affichera. Utilisez le bouton
à côté du champ de confirmation du mot de passe pour voir les paramètres requis :

Blocage automatique
Dans la section Account lockout policy, vous pouvez configurer la logique de verrouillage de l'utilisateur en cas de saisie incorrecte du mot de passe lors de l'authentification.
Les paramètres de verrouillage sont disponibles à la fois en mode Registry et LDAP. Il s'agit d'un verrouillage côté serveur de visioconférence, indépendant des paramètres dans AD/LDAP.

Vous pouvez spécifier :
suspension durée (l'utilisateur peut être débloqué manuellement à tout moment dans son profil);
nombre de tentatives de mot de passe incorrectes avant le verrouillage;
le temps écoulé depuis la dernière saisie du mot de passe, après lequel le comptage des tentatives recommencera à zéro.
Considérons l'exemple suivant. Supposons que les paramètres soient les suivants :
- Account lockout duration = 6:00, c'est-à-dire 6 heures;
- Maximum number of failed login attempts = 5;
- Reset account lockout counter after = 00:10, c'est-à-dire 10 minutes.
Alors, si lors d'une tentative d'autorisation pour un identifiant existant sur le serveur (TrueConf ID) il y a 5 tentatives échouées d'entrée de mot de passe avec un intervalle de moins de 10 minutes entre chaque tentative, le compte sera bloqué pendant 6 heures. Et si après l'une des tentatives (par exemple, la 4ème) une pause de 10 minutes est observée, le compteur repartira de zéro.
Affichage des champs de la fiche utilisateur
Dans la section Fields visibility, vous pouvez choisir quels champs du profil de n'importe quel utilisateur de votre serveur pourront être vus par différents types d'utilisateurs. Des réglages indépendants sont disponibles dans les colonnes suivantes :
- Users of your server — vous indiquez ce que vos utilisateurs peuvent voir lorsqu'ils consultent une fiche de contact (informations sur un autre utilisateur) dans l'application ou leur espace personnel;
- Federated users — quelles données les participants du serveur fédératif voient-ils lors de la consultation des contacts des utilisateurs de votre serveur ;
- Guest users — ce que les invités des conférences publiques (webinaires) peuvent apprendre sur vos utilisateurs.
Dans ce cas, la valeur du nom affiché est toujours montrée.

En cas d'intégration avec le service d'annuaire via LDAP/LDAPS, ces données sont extraites des attributs correspondants, qui sont décrits dans la section Advanced.
Après avoir configuré les utilisateurs, vous pouvez installer leurs applications clientes et leur apprendre comment se connecter à votre serveur (voir la documentation de l'application de bureau). Cela complétera les étapes minimales nécessaires pour lancer le messager d'entreprise avec vidéoconférence TrueConf !
