Documentation
Table of Contents
2 LDAP
Vista general
L'[autenticaci¨®] LDAP externa (/manual/web_interface/frontend_sections/users/authentication) es pot emprar per comprovar els noms d'usuari i els mots de pas.
L'autenticaci¨® LDAP de Áú»¢¶Ä²© funciona almenys amb Microsoft Active Directory i OpenLDAP.
Si nom¨¦s es configura l'inici de sessi¨® LDAP, l'usuari tamb¨¦ ha d'existir a Áú»¢¶Ä²©, per¨° no s'emprar¨¤ pas el seu mot de pasde Áú»¢¶Ä²©. Si l'autenticaci¨® t¨¦ ¨¨xit, Áú»¢¶Ä²© far¨¤ coincidir un nom d'usuari local amb l'atribut de nom d'usuari retornat per LDAP.
Aprovisionament d'usuaris
?s possible configurar l'aprovisionament d'usuaris JIT (just a temps) per als usuaris LDAP. En aquest cas, no ¨¦s necessari que existeixi un usuari a Áú»¢¶Ä²©. El compte d'usuari es pot crear quan l'usuari inicia sessi¨® a Áú»¢¶Ä²© per primer cop.
Quan un usuari LDAP introdueix el seu inici de sessi¨® i la seva contrasenya LDAP, Áú»¢¶Ä²© comprova al servidor LDAP predeterminat si aquest usuari existeix. Si l'usuari existeix i encara no t¨¦ un compte a Áú»¢¶Ä²©, es crea un usuari nou a Áú»¢¶Ä²© i l'usuari podr¨¤ iniciar la sessi¨®.
Si l'aprovisionament JIT ¨¦s habilitat, s'ha d'especificar un grup d'usuaris per als usuaris desaprovisionats a la pestanya ´¡³Ü³Ù±ð²Ô³Ù¾±³¦²¹³¦¾±¨®.
El subministrament JIT tamb¨¦ permet actualitzar els comptes d'usuari subministrats en funci¨® dels canvis a LDAP. Per exemple, si un usuari es mou d'un grup LDAP a un altre, l'usuari tamb¨¦ es mour¨¤ d'un grup a un altre a Áú»¢¶Ä²©; si s'esborra un usuari d'un grup LDAP, l'usuari tamb¨¦ s'esborrar¨¤ del grup a Áú»¢¶Ä²© i, si no pertany a cap altre grup, s'afegir¨¤ al grup d'usuaris per als usuaris desaprovisionats. Tingueu en compte que els comptes d'usuari subministrats s'actualitzen en funci¨® del per¨ªode d'aprovisionament configurat o quan l'usuari inicia sessi¨® a Áú»¢¶Ä²©.
El subministrament LDAP JIT nom¨¦s ¨¦s disponible quan LDAP ¨¦s configurat per emprar "an¨°nim" o "usuari especial" per a l'enlla?. Per a l'enlla? directe d'usuari, el subministrament es far¨¤ nom¨¦s per a l'acci¨® d'inici de sessi¨® de l'usuari, perqu¨¨ el mot de pas d'inici de sessi¨® s'empra per a aquest tipus d'enlla?.
Servidors m¨²ltiples
Es poden definir diversos servidors LDAP, si cal. Per exemple, es pot emprar un servidor diferent per autenticar un grup d'usuaris diferent. Un cop configurats els servidors LDAP, a la configuraci¨® de grup d'usuaris ¨¦s possible triar el servidor LDAP necessari per al grup d'usuaris corresponent.
Si un usuari es troba en diversos grups d'usuaris i en diversos servidors LDAP, s'emprar¨¤ el primer servidor de la llista de servidors LDAP ordenats per nom en ordre ascendent per a l'autenticaci¨®.
°ä´Ç²Ô´Ú¾±²µ³Ü°ù²¹³¦¾±¨®
±Ê²¹°ù¨¤³¾±ð³Ù°ù±ðs de configuraci¨®:
| ±Ê²¹°ù¨¤³¾±ð³Ù°ù±ð | ¶Ù±ð²õ³¦°ù¾±±è³¦¾±¨® |
|---|---|
| Activa l'autenticaci¨® LDAP | Marqueu la casella de selecci¨® per habilitar l'autenticaci¨® LDAP. |
| Activa el subministrament JIT | Marqueu la casella de selecci¨® per activar el subministrament JIT. |
| Servidors | Feu clic a Afegir per configurar un servidor LDAP (veieu °ä´Ç²Ô´Ú¾±²µ³Ü°ù²¹³¦¾±¨® del servidor LDAP tot seguit). |
| Inici de sessi¨® que distingeix entre maj¨²scules i min¨²scules | Desmarca la casella de selecci¨® per desactivar l'inici de sessi¨® que distingeix entre maj¨²scules i min¨²scules (activat de manera predeterminada) per als noms d'usuari. Exemple: desactiveu l'inici de sessi¨® que distingeix entre maj¨²scules i min¨²scules i inicieu sessi¨®, per exemple, amb l'usuari "ADMINISTRADOR", encara que l'usuari de Áú»¢¶Ä²© sigui "Administrador". Tingueu en compte que amb l'inici de sessi¨® que distingeix entre maj¨²scules i min¨²scules desactivat, l'inici de sessi¨® es denegar¨¤ si hi ha diversos usuaris a la Base de Dades Áú»¢¶Ä²© amb noms d'usuari similars (per exemple, Admin, admin). |
| Per¨ªode d'aprovisionament | Estableix el per¨ªode d'aprovisionament, ¨¦s a dir, amb quina freq¨¹¨¨ncia es realitza l'aprovisionament dels usuaris. |
°ä´Ç²Ô´Ú¾±²µ³Ü°ù²¹³¦¾±¨® del servidor LDAP
±Ê²¹°ù¨¤³¾±ð³Ù°ù±ðs de configuraci¨® del servidor LDAP:
| ±Ê²¹°ù¨¤³¾±ð³Ù°ù±ð | ¶Ù±ð²õ³¦°ù¾±±è³¦¾±¨® |
|---|---|
| Nom | Nom del servidor LDAP a la configuraci¨® de Áú»¢¶Ä²©. |
| Host | Nom d'equip, URI o IP del servidor LDAP. Exemples: ldap.exemple.cat, 127.0.0.1, ldap://ldap.exemple.cat Per al servidor LDAP segur, empreu el protocol ldaps i el nom d'equip. Exemple: ldaps://ldap.exemple.cat Amb OpenLDAP 2.x.x i posteriors, es pot emprar l'URI LDAP de la forma ldap://nom_equip:port o ldaps://nom_equip:port. |
| Port | Port del servidor LDAP. El valor predeterminat ¨¦s 389. Per a una connexi¨® segura LDAP, el nombre de port normalment ¨¦s 636. No s'utilitza quan s'empren URI LDAP complets. |
| DN base | Cam¨ª base als comptes d'usuari al servidor LDAP: ou=Usuaris,ou=sistema (per a OpenLDAP), DC=empresa,DC=com (per a Microsoft Active Directory) uid =%{usuari},dc=exemple,dc=com (per a l'enlla? directe d'usuari, veieu una nota a continuaci¨®) |
| Atribut de cerca | Atribut del compte LDAP emprat per a la cerca: uid (per a OpenLDAP), sAMAccountName (per a Microsoft Active Directory) |
| Bind DN | Compte LDAP per vincular i cercar al servidor LDAP, exemples: uid=ldap_search,ou=system (per a OpenLDAP), CN=ldap_search,OU=usuari_grup ,DC=company,DC=com (per a Microsoft Active Directory) Tamb¨¦ s'admet l'enlla? an¨°nim. Tingueu en compte que l'enlla? an¨°nim pot obrir la configuraci¨® del domini a usuaris no autoritzats (informaci¨® sobre usuaris, ordinadors, servidors, grups, serveis, etc.). Per motius de seguretat, desactiveu els enlla?os an¨°nims als equips LDAP i empreu l'acc¨¦s autenticat. |
| Mot de pas d'enlla? | Mot de pas LDAP del compte per vincular i cercar al servidor LDAP. |
| ¶Ù±ð²õ³¦°ù¾±±è³¦¾±¨® | ¶Ù±ð²õ³¦°ù¾±±è³¦¾±¨® del servidor LDAP. |
| Configura el subministrament JIT | Marqueu aquesta casella de selecci¨® per mostrar les opcions relacionades amb el subministrament JIT. |
| °ä´Ç²Ô´Ú¾±²µ³Ü°ù²¹³¦¾±¨® del grup | Trieu el m¨¨tode de configuraci¨® del grup: memberOf - cercant usuaris i el seu atribut de pertinen?a al grup groupOfNames - cercant grups mitjan?ant l'atribut membre Tingueu en compte que memberOf ¨¦s preferible ja que ¨¦s m¨¦s r¨¤pid; empreu groupOfNames si el vostre servidor LDAP no admet memberOf o si cal filtrar el grup. |
| Atribut del nom del grup | Especifiqueu l'atribut per obtenir el nom del grup de tots els objectes de l'atribut memberOf (veieu el camp Atribut de pertinen?a al grup d'usuaris)El nom del grup ¨¦s necessari per al mapeig del grup d'usuaris. |
| Atribut de pertinen?a al grup d'usuaris | Especifiqueu l'atribut que cont¨¦ informaci¨® sobre els grups als quals pertany l'usuari (per exemple, memberOf).Per exemple, l'atribut memberOf pot contenir informaci¨® com aquesta: memberOf=cn=zabbix -admin,ou=Groups,dc=example,dc=comAquest camp nom¨¦s est¨¤ disponible per al m¨¨tode memberOf. |
| Atribut del nom d'usuari | Especifiqueu l'atribut que cont¨¦ el nom de l'usuari. |
| Atribut del cognom de l'usuari | Especifiqueu l'atribut que cont¨¦ el cognom de l'usuari. |
| Mapatge de grups d'usuaris | Mapeja un patr¨® de grup d'usuaris LDAP al grup d'usuaris de Áú»¢¶Ä²© i al rol d'usuari. Aix¨° ¨¦s necessari per determinar quin grup/rol d'usuaris obtindr¨¤ l'usuari subministrat a Áú»¢¶Ä²©. Feu clic a Afegir per afegir una assignaci¨®. El camp Patr¨® de grup LDAP admet comodins. El nom del grup ha de coincidir amb un grup existent. Si un usuari LDAP coincideix amb diversos grups d'usuaris de Áú»¢¶Ä²©, l'usuari esdev¨¦ membre de tots ells. Si un usuari coincideix amb diversos rols d'usuari de Áú»¢¶Ä²©, l'usuari obtindr¨¤ el nivell de perm¨ªs m¨¦s alt entre ells. |
| Mapa de tipus de suport | Mapeja els atributs de suport LDAP de l'usuari (per exemple, correu electr¨°nic) als mitjans d'usuari de Áú»¢¶Ä²© per enviar notificacions. |
| °ä´Ç²Ô´Ú¾±²µ³Ü°ù²¹³¦¾±¨® avan?ada | Marqueu aquesta casella de selecci¨® per veure les opcions de configuraci¨® avan?ades (veieu m¨¦s avall). |
| StartTLS | Marqueu la casella de selecci¨® per emprar l'operaci¨® StartTLS quan us connecteu al servidor LDAP. La connexi¨® caur¨¤ si el servidor no admet StartTLS. StartTLS no es pot emprar amb servidors que empren el protocol ldaps. |
| Filtre de cerca | Definiu una cadena personalitzada en autenticar l'usuari a LDAP. S'admeten els seg¨¹ents marcadors de posici¨®:%{attr} - nom de l'atribut de cerca (uid, sAMAccountName)%{user} - valor del nom d'usuari de l'usuari per autenticar.Per exemple, per fer una cerca sensible a maj¨²scules a l'entorn LDAP o Microsoft Active Directory, la cadena es pot definir aix¨ª: (%{attr}:caseExactMatch:=%{usuari}).Si s'omet, LDAP emprar¨¤ el filtre per defecte: (%{attr}=%{usuari}). |
Per configurar un servidor LDAP per a enlla? directe d'usuari, afegiu un atribut uid=%{user} al par¨¤metre Base DN (per exemple,uid=%{user},dc=example,dc=com) i deixeu els par¨¤metres BindDN i Bind password buits. Quan s'autentiqui, un marcador de posici¨® %{user} ser¨¤ substitu?t pel nom d'usuari introdu?t durant la sessi¨®.
Els camps seg¨¹ents s¨®n espec¨ªfics de "groupOfNames" com a m¨¨tode °ä´Ç²Ô´Ú¾±²µ³Ü°ù²¹³¦¾±¨® del grup:
| ±Ê²¹°ù¨¤³¾±ð³Ù°ù±ð | ¶Ù±ð²õ³¦°ù¾±±è³¦¾±¨® |
|---|---|
| DN base del grup | Cam¨ª base als grups al servidor LDAP. |
| Atribut del nom del grup | Especifiqueu l'atribut per obtenir el nom del grup a la ruta base especificada als grups. El nom del grup ¨¦s necessari per a l'assignaci¨® de grups d'usuaris. |
| Atribut del membre del grup | Especifiqueu l'atribut que cont¨¦ informaci¨® sobre els membres del grup a LDAP (per exemple, membre). |
| Atribut de refer¨¨ncia | Especifiqueu l'atribut de refer¨¨ncia per al filtre de grup (veieu el camp Filtre de grup). A continuaci¨®, empreu %{ref} al filtre de grup per obtenir valors per a l'atribut especificat aqu¨ª. |
| Filtre de grup | Especifiqueu el filtre per recuperar el grup del qual ¨¦s membre l'usuari. Per exemple, (member=uid=%{ref},ou=Users,dc=example,dc=com) coincidir¨¤ amb "Usuari1" si l'atribut de membre del grup ¨¦s uid=Usuari1,ou=Usuaris,dc=example,dc=com i retornar¨¤ el grup del qual "Usuari1" ¨¦s membre. |
En cas de problemes amb els certificats, perqu¨¨ funcioni una connexi¨® LDAP segura (ldaps), potser haureu d'afegir una l¨ªnia TLS_REQCERT allow al fitxer de configuraci¨® /etc/openldap/ldap.conf. Pot disminuir la seguretat de la connexi¨® al cat¨¤leg LDAP.
Es recomana crear un compte LDAP independent (Bind DN) per realitzar l'enlla? i la cerca al servidor LDAP amb privilegis m¨ªnims al LDAP en comptes d'emprar comptes d'usuari reals (emprats per iniciar sessi¨® a la interf¨ªcie Áú»¢¶Ä²©).
Aquest enfocament proporciona m¨¦s seguretat i no requereix canviar el mot de pas d'enlla? quan l'usuari canvia el seva propi mot de pas al servidor LDAP.
A la taula de dalt hi ha el nom del compte ldap_search.
Provant l'acc¨¦s
El bot¨® Test permet provar els accessos dels usuaris:
| ±Ê²¹°ù¨¤³¾±ð³Ù°ù±ð | ¶Ù±ð²õ³¦°ù¾±±è³¦¾±¨® |
|---|---|
| Inici de sessi¨® | Nom de l'usuari LDAP a provar (emplenat pr¨¨viament amb el nom d'usuari actual de la interf¨ªcie Áú»¢¶Ä²©). Aquest nom d'usuari ha d'existir al servidor LDAP. Áú»¢¶Ä²© no activar¨¤ l'autenticaci¨® LDAP si no pot autenticar l'usuari de prova. |
| Mot de pas | Mot de pas de l'usuari LDAP per provar. |