Documentation
Table of Contents
2 LDAP
¶Ù±ð²õ³¦°ù¾±±è³¦¾±¨®²Ô general
La ²¹³Ü³Ù±ð²Ô³Ù¾±³¦²¹³¦¾±¨®²Ô por LDAP externo se puede utilizar para comprobar nombres de usuario y contrase?as.
La ²¹³Ü³Ù±ð²Ô³Ù¾±³¦²¹³¦¾±¨®²Ô LDAP de Áú»¢¶Ä²© funciona al menos con el directorio activo de Microsoft y OpenLDAP.
Si solo se configura el inicio de sesi¨®n LDAP, entonces el usuario tambi¨¦n debe existir en Áú»¢¶Ä²©; sin embargo, no se utilizar¨¢ su contrase?a de Áú»¢¶Ä²©. Si la ²¹³Ü³Ù±ð²Ô³Ù¾±³¦²¹³¦¾±¨®²Ô es exitosa, Áú»¢¶Ä²© buscar¨¢ una coincidencia con un nombre de usuario local con el atributo de nombre de usuario devuelto por LDAP.
Aprovisionamiento de usuarios
Es posible configurar el aprovisionamiento de usuarios JIT (justo a tiempo) para usuarios LDAP. En este caso, no es necesario que ya exista un usuario en Áú»¢¶Ä²©. La cuenta de usuario se puede crear cuando el usuario inicia sesi¨®n en Áú»¢¶Ä²© por primera vez.
Cuando un usuario LDAP ingresa su nombre de usuario y contrase?a LDAP, Áú»¢¶Ä²© verifica el servidor LDAP predeterminado si este usuario existe. Si el usuario existe y a¨²n no tiene una cuenta en Áú»¢¶Ä²©, se crea un nuevo usuario en Áú»¢¶Ä²©?y el usuario puede iniciar sesi¨®n.
Si el aprovisionamiento JIT est¨¢ habilitado, se debe especificar un grupo de usuarios para los usuarios dados de baja en la pesta?a ´¡³Ü³Ù±ð²Ô³Ù¾±³¦²¹³¦¾±¨®²Ô.
El aprovisionamiento JIT tambi¨¦n permite actualizar las cuentas de usuario aprovisionadas en funci¨®n de los cambios en LDAP. Por ejemplo, si un usuario se mueve de un grupo LDAP a otro, el usuario tambi¨¦n se mover¨¢ de un grupo a otro en Áú»¢¶Ä²©; Si un usuario es eliminado de un grupo LDAP, el usuario tambi¨¦n ser¨¢ eliminado del grupo en Áú»¢¶Ä²© y, si no pertenece a ning¨²n otro grupo, se agregar¨¢ al grupo de usuarios para usuarios dados de baja. Tenga en cuenta que las cuentas de usuario aprovisionadas se actualizan seg¨²n el per¨ªodo de aprovisionamiento configurado o cuando el usuario inicia sesi¨®n en Áú»¢¶Ä²©.
El aprovisionamiento LDAP JIT est¨¢ disponible s¨®lo cuando LDAP est¨¢ configurado para utilizar "an¨®nimo" o "usuario especial" para el enlace. Para la vinculaci¨®n directa de usuarios, el aprovisionamiento se realizar¨¢ solo para la acci¨®n de inicio de sesi¨®n del usuario, porque la contrase?a de inicio de sesi¨®n del usuario se utiliza para ese tipo de vinculaci¨®n.
M¨²ltiples servidores
Si es necesario, se pueden definir varios servidores LDAP. Por ejemplo, un servidor diferente se puede utilizar para autenticar un grupo de usuarios diferente. Una vez los servidores LDAP est¨¢n configurados, en la configuraci¨®n del grupo de usuarios es posible seleccionar el servidor LDAP requerido para el grupo de usuarios respectivo.
Si un usuario est¨¢ en varios grupos de usuarios y varios servidores LDAP, se utilizar¨¢ para la ²¹³Ü³Ù±ð²Ô³Ù¾±³¦²¹³¦¾±¨®²Ô el primer servidor del grupo en la lista de servidores LDAP ordenados por nombre en orden ascendente.
°ä´Ç²Ô´Ú¾±²µ³Ü°ù²¹³¦¾±¨®²Ô
±Ê²¹°ù¨¢³¾±ð³Ù°ù´Çs de configuraci¨®n:
| ±Ê²¹°ù¨¢³¾±ð³Ù°ù´Ç | ¶Ù±ð²õ³¦°ù¾±±è³¦¾±¨®²Ô |
|---|---|
| Habilitar ²¹³Ü³Ù±ð²Ô³Ù¾±³¦²¹³¦¾±¨®²Ô LDAP | Marque la casilla de verificaci¨®n para habilitar la ²¹³Ü³Ù±ð²Ô³Ù¾±³¦²¹³¦¾±¨®²Ô LDAP. |
| Habilitar aprovisionamiento JIT | Marque la casilla de verificaci¨®n para habilitar el aprovisionamiento JIT. |
| Servidores | Haga clic en Agregar para configurar un servidor LDAP (consulte configuraci¨®n del servidor LDAP a continuaci¨®n). |
| Inicio de sesi¨®n que distingue entre may¨²sculas y min¨²sculas | Desmarque la casilla de verificaci¨®n para desactivar el inicio de sesi¨®n que distingue entre may¨²sculas y min¨²sculas (habilitado de forma predeterminada) para los nombres de usuario. P. deshabilite el inicio de sesi¨®n que distinga entre may¨²sculas y min¨²sculas e inicie sesi¨®n con, por ejemplo, el usuario 'ADMIN' incluso si el usuario de Áú»¢¶Ä²© es 'Admin'. Tenga en cuenta que con el inicio de sesi¨®n que distinga entre may¨²sculas y min¨²sculas deshabilitado, el inicio de sesi¨®n se denegar¨¢ si existen varios usuarios en Base de datos Áú»¢¶Ä²© con nombres de usuario similares (por ejemplo, Admin, admin). |
| Per¨ªodo de aprovisionamiento | Establezca el per¨ªodo de aprovisionamiento, es decir, con qu¨¦ frecuencia se realiza el aprovisionamiento de usuarios. |
°ä´Ç²Ô´Ú¾±²µ³Ü°ù²¹³¦¾±¨®²Ô del servidor LDAP
±Ê²¹°ù¨¢³¾±ð³Ù°ù´Çs de configuraci¨®n del servidor LDAP:
| ±Ê²¹°ù¨¢³¾±ð³Ù°ù´Ç | ¶Ù±ð²õ³¦°ù¾±±è³¦¾±¨®²Ô |
|---|---|
| Nombre | Nombre del servidor LDAP en la configuraci¨®n de Áú»¢¶Ä²©. |
| Equipo | Nombre de equipo, IP o URI del servidor LDAP. Ejemplos: ldap.example.com, 127.0.0.1, ldap://ldap.example.com Para un servidor LDAP seguro, utilice el protocolo ldaps y el nombre de equipo. Ejemplo: ldaps://ldap.example.com Con OpenLDAP 2.x.x y posteriores, se puede utilizar un URI LDAP completo con el formato ldap://hostname:port o ldaps://hostname:port. |
| Puerto | Puerto del servidor LDAP. El valor predeterminado es 389. Para una conexi¨®n LDAP segura, el n¨²mero de puerto normalmente es 636. No se utiliza cuando se utilizan URI LDAP completos. |
| DN base | Ruta base a las cuentas de usuario en el servidor LDAP: ou=Users,ou=system (para OpenLDAP), DC=company,DC=com (para Microsoft Active Directory) uid =%{user},dc=example,dc=com (para el enlace directo del usuario, consulte la nota a continuaci¨®n) |
| Atributo de b¨²squeda | Atributo de cuenta LDAP utilizado para la b¨²squeda: uid (para OpenLDAP), sAMAccountName (para Microsoft Active Directory) |
| Vincular DN | Cuenta LDAP para vincular y buscar en el servidor LDAP, ejemplos: uid=ldap_search,ou=system (para OpenLDAP), CN=ldap_search,OU=user_group ,DC=company,DC=com (para Microsoft Active Directory) Tambi¨¦n se admite el enlace an¨®nimo. Tenga en cuenta que el enlace an¨®nimo potencialmente abre la configuraci¨®n del dominio a usuarios no autorizados (informaci¨®n sobre usuarios, computadoras, servidores, grupos, servicios, etc.). Por razones de seguridad, deshabilite los enlaces an¨®nimos en los hosts LDAP y utilice el acceso autenticado en su lugar. |
| Contrase?a de vinculaci¨®n | Contrase?a LDAP de la cuenta para vincular y buscar en el servidor LDAP. |
| ¶Ù±ð²õ³¦°ù¾±±è³¦¾±¨®²Ô | ¶Ù±ð²õ³¦°ù¾±±è³¦¾±¨®²Ô del servidor LDAP. |
| Configurar el aprovisionamiento JIT | Marque esta casilla de verificaci¨®n para mostrar las opciones relacionadas con el aprovisionamiento JIT. |
| °ä´Ç²Ô´Ú¾±²µ³Ü°ù²¹³¦¾±¨®²Ô de grupo | Seleccione el m¨¦todo de configuraci¨®n de grupo: memberOf - buscando usuarios y su atributo de membres¨ªa de grupo groupOfNames - buscando grupos a trav¨¦s del atributo de miembro Tenga en cuenta que memberOf es preferible ya que es m¨¢s r¨¢pido; use groupOfNames si su servidor LDAP no admite memberOf o si se requiere filtrado de grupo. |
| Atributo de nombre de grupo | Especifique el atributo para obtener el nombre de grupo de todos los objetos en el atributo memberOf (consulte el campo Atributo de membres¨ªa de grupo de usuarios)El nombre de grupo es necesario para la asignaci¨®n de grupos de usuarios. |
| Atributo de membres¨ªa de grupo de usuarios | Especifique el atributo que contiene informaci¨®n sobre los grupos a los que pertenece el usuario (por ejemplo, memberOf).Por ejemplo, el atributo memberOf puede contener informaci¨®n como esta: memberOf=cn=zabbix -admin,ou=Grupos,dc=example,dc=comEste campo solo est¨¢ disponible para el m¨¦todo memberOf. |
| Atributo de nombre de usuario | Especifique el atributo que contiene el nombre del usuario. |
| Atributo de apellido del usuario | Especifique el atributo que contiene el apellido del usuario. |
| Asignaci¨®n de grupos de usuarios | Asigne un patr¨®n de grupo de usuarios LDAP al grupo de usuarios y la funci¨®n de usuario de Áú»¢¶Ä²©. Esto es necesario para determinar qu¨¦ grupo/rol de usuarios obtendr¨¢ el usuario aprovisionado en Áú»¢¶Ä²©. Haga clic en Agregar para agregar una asignaci¨®n. El campo patr¨®n de grupo LDAP admite comodines. El nombre del grupo debe coincidir con un grupo existente. Si un usuario LDAP coincide con varios grupos de usuarios de Áú»¢¶Ä²©, el usuario se convierte en miembro de todos ellos. Si un usuario coincide con varios roles de usuario de Áú»¢¶Ä²©, el usuario obtendr¨¢ uno con el nivel de permiso m¨¢s alto entre ellos. |
| Asignaci¨®n de tipos de medios | Asigna los atributos de medios LDAP del usuario (por ejemplo, correo electr¨®nico) a los medios de usuario de Áú»¢¶Ä²© para enviar notificaciones. |
| °ä´Ç²Ô´Ú¾±²µ³Ü°ù²¹³¦¾±¨®²Ô avanzada | Haga clic en la etiqueta °ä´Ç²Ô´Ú¾±²µ³Ü°ù²¹³¦¾±¨®²Ô avanzada para mostrar las opciones de configuraci¨®n avanzadas (ver m¨¢s abajo). |
| StartTLS | Marque la casilla de verificaci¨®n para utilizar la operaci¨®n StartTLS al conectarse al servidor LDAP. La conexi¨®n se interrumpir¨¢ si el servidor no admite StartTLS. StartTLS no se puede utilizar con servidores que utilizan el protocolo ldaps. |
| Filtro de b¨²squeda | Defina una cadena personalizada al autenticar a un usuario en LDAP. Se admiten los siguientes marcadores de posici¨®n:%{attr} - nombre del atributo de b¨²squeda (uid, sAMAccountName)%{user} - valor del nombre de usuario del usuario para autenticarPor ejemplo, para llevar a cabo un caso -b¨²squeda que distingue entre may¨²sculas y min¨²sculas en el entorno LDAP o Microsoft Active Directory, la cadena se puede definir de la siguiente manera: (%{attr}:caseExactMatch:=%{user}).Si el filtro es no personalizado, LDAP utilizar¨¢ el valor predeterminado: (%{attr}=%{user}). |
Para configurar un servidor LDAP para vinculaci¨®n directa de usuario, agregue un atributo uid=%{user} al par¨¢metro Base DN (por ejemplo,uid=%{user},dc=example,dc=com ) y deje los par¨¢metros BindDN y Bind contrase?a vac¨ªos. Al autenticarse, el marcador de posici¨®n %{user} ser¨¢ reemplazado por el nombre de usuario ingresado durante el inicio de sesi¨®n.
Los siguientes campos son espec¨ªficos de "groupOfNames" como m¨¦todo de configuraci¨®n de grupo:
| ±Ê²¹°ù¨¢³¾±ð³Ù°ù´Ç | ¶Ù±ð²õ³¦°ù¾±±è³¦¾±¨®²Ô |
|---|---|
| DN base del grupo | Ruta base a los grupos en el servidor LDAP. |
| Atributo de nombre de grupo | Especifique el atributo para obtener el nombre del grupo en la ruta base especificada a los grupos. El nombre del grupo es necesario para la asignaci¨®n de grupos de usuarios. |
| Atributo de miembro del grupo | Especifique el atributo que contiene informaci¨®n sobre los miembros del grupo en LDAP (por ejemplo, miembro). |
| Atributo de referencia | Especifique el atributo de referencia para el filtro de grupo (consulte el campo Filtro de grupo). Luego use %{ref} en el filtro de grupo para obtener valores para el atributo especificado aqu¨ª. |
| Filtro de grupo | Especifique el filtro para recuperar el grupo del que es miembro el usuario. Por ejemplo, (member=uid=%{ref},ou=Users,dc=example,dc=com) coincidir¨¢ con "Usuario1" si el atributo de miembro del grupo es uid=Usuario1,ou=Usuarios,dc=ejemplo,dc=com y devolver¨¢ el grupo del que "Usuario1" es miembro. |
En caso de problemas con los certificados, para hacer que funcione una conexi¨®n LDAP segura (ldaps) es posible que deba agregar una l¨ªnea TLS_REQCERT enable a la configuraci¨®n del archivo /etc/openldap/ldap.conf. Puede disminuir la seguridad de la conexi¨®n al cat¨¢logo LDAP.
Se recomienda crear una cuenta LDAP separada (Bind DN) para realizar la vinculaci¨®n y buscar en el servidor LDAP con privilegios m¨ªnimos en LDAP en lugar de usar real cuentas de usuario (utilizadas para iniciar sesi¨®n en la interfaz de Áú»¢¶Ä²©).
Este enfoque proporciona m¨¢s seguridad y no requiere cambiar la contrase?a de vinculaci¨®n cuando el usuario cambia su propia contrase?a en el servidor LDAP.
En la tabla anterior est¨¢ el nombre de la cuenta ldap_search.
Prueba de acceso
El bot¨®n Probar permite probar el acceso del usuario:
| ±Ê²¹°ù¨¢³¾±ð³Ù°ù´Ç | ¶Ù±ð²õ³¦°ù¾±±è³¦¾±¨®²Ô |
|---|---|
| Iniciar sesi¨®n | Nombre de usuario LDAP para probar (completado previamente con el nombre de usuario actual de la interfaz de Áú»¢¶Ä²©). Este nombre de usuario debe existir en el servidor LDAP. Áú»¢¶Ä²© no activar¨¢ la ²¹³Ü³Ù±ð²Ô³Ù¾±³¦²¹³¦¾±¨®²Ô LDAP si no puede autenticar al usuario de prueba. |
| Contrase?a de usuario | Contrase?a de usuario LDAP para probar. |