Synchronizacja użytkowników z LDAP - User Directory

Użytkownik jest jednym z podstawowych elementów modelu danych. Tylko zdefiniowani użytkownicy mogą nawiązywać połączenia z monitorowanymi serwerami. Fudo Enterprise pozwala na automatyczną synchronizację definicji użytkowników z serwerem Active Directory lub innymi zgodnymi z protokołem LDAP.


Ostrzeżenie

Dla skutecznej konfiguracji synchronizacji opartej o protokół LDAP jest konieczne wsparcie parametru memberOf na serwerze LDAP. Atrybut ten służy do wskazania grup, do których należy użytkownik.

Definicje nowych użytkowników oraz zmiany w istniejących obiektach pobierane są z serwera usług katalogowych co 5 minut. Odzwierciedlenie zmiany polegającej na usunięciu użytkownika z serwera AD lub LDAP wymaga pełnej synchronizacji. Pełna synchronizacja wyzwalana jest automatycznie raz na dobę, w czasie do 5 minut po godzinie 00:00, lub może zostać wyzwolona ręcznie.

Konfiguracja usługi synchronizacji użytkowników

Uwaga

Gdy Kerberos jest włączony w Fudo Enterprise, synchronizacja z Active Directory domyślnie wykorzystuje ten protokół. Ta konfiguracja wymaga poprawnego ustawienia usług domenowych oraz dokładnej synchronizacji czasu systemowego. Więcej informacji znajdziesz w rozdziale Obsługa Kerberosa przy synchronizacji z Active Directory.

Jeśli nie planujesz korzystać z Kerberosa, wyłącz go w zakładce Ustawienia > Uwierzytelnianie > Globalne, aby nadal używać simple bind podczas synchronizacji. Więcej informacji znajdziesz w rozdziale Ustawienia uwierzytelniania Kerberos.

  1. Wybierz z lewego menu Ustawienia > User Directory.

  2. Zaznacz opcję Synchronizacja włączona.

  3. W przypadku konfiguracji klastrowej, z listy rozwijalnej Aktywny węzeł klastra, wybierz węzeł, który będzie dokonywał synchronizacji obiektów z usługą LDAP.

Uwaga

  • Opcja Wymuś pełną synchronizację pozwala na przetworzenie zmian po stronie serwera usług katalogowych, które nie są odwzorowywane w procesie okresowej synchronizacji, tj. usunięcie zdefiniowanej grupy, lub usunięcie obiektu użytkownika.

  • Pełna synchronizacja wyzwalana jest automatycznie raz na dobę, w czasie do 5 minut po godzinie 00:00.

  • W przypadku analizowania problemów z komunikacją z serwerem LDAP, skorzystaj z narzędzi diagnostycznych.

  • Fudo Enterprise wspiera zagnieżdżone grupy LDAP.

  1. Kliknij Dodaj konfigurację User Directory.

../../_images/5-6-ldap-sync-enable.png

  1. Wprowadź unikalną nazwę konfiguracji.

  2. W polu Pozycja określ priorytet, który decyduje o kolejności odpytywania domen.

Uwaga

Mniejsza liczba oznacza wyższy priorytet.

  1. W sekcji Usługa katalogowa, wybierz z listy rozwijalnej Rodzaj serwera typ usługi katalogowej.

  1. W polach LoginHasło wprowadź dane uwierzytelniające użytkownika uprawnionego do przeglądania katalogu.

  2. W polu Domena serwera wprowadź nazwę domeny, do której należy użytkownik uprawniony do przeglądania zawartości katalogu.

  3. W polu Domena Fudo podaj nazwę domeny, która zostanie przypisana zsynchronizowanym użytkownikom.

Uwaga

  • Pole Domena na formularzu użytkownika pobranego z katalogu przyjmie wartość określoną parametrem Domena Fudo.

  • Tak zdefiniowaną domenę, użytkownik będzie musiał podać podczas logowania do systemów monitorowanych przez Fudo.

  1. W polu Domena bazowa dla synchronizacji użytkowników określ miejsce przechowywania użytkowników w strukturze katalogowej (np: dc=ad-alt,dc=lab).

Uwaga

Synchronizacja użytkowników przechowywanych w strukturze LDAP wymaga:

  • użycia nakładki memberOf

  • użycia grup objectClass: groupOfNames

  • zdefiniowania ciągu parametru base DN w postaci: uid=##username##,ou=people,dc=ldap,dc=test.

  1. W polu Domena bazowa dla synchronizacji grup określ miejsce przechowywania grup w strukturze katalogowej (np: dc=ad-alt,dc=lab).

Uwaga

Parametr DN nie powinien zawierać zbędnych białych znaków, tj. spacji, tabulatorów, itp.

  1. Zdefiniuj filtr dla rekordów użytkowników, których definicje mają zostać zsynchronizowane (lub pozostaw wartość domyślną).

  2. Zdefiniuj filtr dla grup użytkowników, których definicje mają zostać zsynchronizowane (lub pozostaw wartość domyślną).

../../_images/5-6-ldap-sync-dir-service.png

  1. Zaznacz opcję Synchronizuj stan blokowania użytkowników, aby Fudo automatycznie zablokowało lokalne konta użytkowników, zablokowanych w usłudze katalogowej.

Definiowanie serwera usługi katalogowej

  1. W sekcji Kontrolery kliknij Dodaj kontroler, aby zdefiniować host usługi katalogowej.

  2. Wprowadź adres IP serwera oraz numer portu, na którym dostępna jest usługa katalogowa.

Uwaga

W przypadku połączeń szyfrowanych (zaznaczona opcja Połączenie szyfrowane), w polu adresu serwera, wprowadź jego nazwę domenową (np. tech.ldap.com) zamiast adresu IP, aby zapewnić poprawność weryfikacji certyfikatu serwera. Upewnij się, że nazwa domenowa jest ujęta w polu Common Name w certyfikacie.

  1. Zaznacz opcję Stronicowanie wyników LDAP, aby włączyć stronicowanie danych zwracanych przez serwer LDAP.

  2. Zaznacz opcję Połączenie szyfrowane i wgraj certyfikat CA, aby włączyć szyfrowanie transmisji z serwerem LDAP.

  3. Kliknij Zapisz.

../../_images/5-6-ldap-controller.png

Uwaga

Aby dodać wiele kontrolerów, powtórz powyższe kroki.

Mapowanie atrybutów użytkownika

Uwaga

Mapowanie pól pozwala na pobranie informacji o użytkownikach z atrybutów o niestandardowych nazwach, np. numeru telefonu zdefiniowanego w atrybucie mobile zamiast standardowego telephoneNumber.

../../_images/5-6-ldap-attributes-mapping.png

  1. Zaznacz Synchronizuj stan blokady, aby automatycznie blokować konta lokalne zablokowane w katalogu.

Mapowanie grup zewnętrznych do ról użytkownika

  1. W sekcji Mapowanie grup kliknij Dodaj mapowanie grupy, aby przypisać grupy użytkowników do ról, grup i metod uwierzytelniania.

  1. W polu Ścieżka grupy wybierz nazwę wyróżniającą (DN) grupy.

  2. W sekcji Przypisz do ról wybierz role Fudo Enterprise, które mają być przypisane użytkownikom z tej grupy.

  3. W sekcji Dodaj do grup wybierz grupy Fudo Enterprise, do których mają zostać przypisani użytkownicy.

  4. W sekcji Uwierzytelniania wybierz zewnętrzne źródło uwierzytelniania dla tej grupy użytkowników.

  1. Kliknij Zapisz.

../../_images/5-6-ldap-group-mapping.png

Uwaga

Źródła uwierzytelnienia przypisywane są użytkownikom w kolejności definiowania mapowań. Jeśli użytkownik znajduje się w więcej niż jednej grupie, w pierwszej kolejności będzie uwierzytelniany w oparciu o źródła uwierzytelniania przypisane do pierwszego zdefiniowanego mapowania, w którym się znajduje.

Na przykład:

Użytkownik przypisany jest do grup A i B. Dla grupy B, zdefiniowane jest mapowanie z połączeniem Sejf RDP i przypisanymi źródłami uwierzytelnienia CERBRadius. Grupa A, mapowana jest w drugiej kolejności, na połączenie Sejf SSH i ma przypisane źródło uwierzytelnienia AD.

Fudo Enterprise uwierzytelniając użytkownika będzie wysyłać zapytania do zewnętrznych źródeł uwierzytelniania w następującej kolejności:

  1. CERB.

  2. Radius.

  3. AD.

  1. W sekcji Metody uwierzytelnienia użytkowników, zaznacz opcję Dodaj certyfikat X.509, aby pobrać certyfikat użytkownika i przypisać go jako jedną z metod jego uwierzytelnienia.

  2. Wybierz opcję Dodaj klucz SSH wyodrębniony z certyfikatu X.509, aby pobrać klucz SSH użytkownika z certyfikatu i przypisać go jako jedną z metod jego uwierzytelniania.

  3. Kliknij Zapisz i zamknij.

Wyłączanie synchronizacji danych dla użytkownika

Opcja Synchronizacja z LDAP umożliwia synchronizację danych użytkownika z serwerem usług katalogowych dla danego użytkownika. Kiedy ta opcja jest zaznaczona, administrator nie może edytować danych użytkownika manualnie, tylko dodawać bądź edytować jego metody uwierzytelniania.

Jeśli opcja Synchronizacja z LDAP zostaje odznaczona, użytkownik już nie jest synchronizowany ze źródłem LDAP, i może być edytowany przez administratora.

Administrator może znowu zaznaczyć opcję i przywrócić synchronizację LDAP-ową, ale wszystkie zmiany, naniesione manualnie znikną przy następnej próbie synchronizacji. Tylko dodane bądź zmienione metody uwierzytelniania zostaną.

../../_images/5-6-user-sync-ldap.png

Obsługa Kerberosa przy synchronizacji z Active Directory

Gdy uwierzytelnianie Kerberos jest włączone w Ustawienia > Uwierzytelnianie > Globalne, a rodzaj serwera katalogu użytkowników ustawiono na AD (Active Directory), synchronizacja odbywa się z wykorzystaniem protokołu Kerberos.

Uwaga

Jeśli nie planujesz korzystać z Kerberosa, wyłącz go w zakładce Ustawienia > Uwierzytelnianie > Globalne, aby nadal używać simple bind podczas synchronizacji. Więcej informacji znajdziesz w rozdziale Ustawienia uwierzytelniania Kerberos.

Jeśli planujesz używać uwierzytelniania Kerberos do synchronizacji katalogu użytkowników, upewnij się, że:

  • Port 88 (Kerberos) jest otwarty na zaporze — w przeciwnym razie synchronizacja zakończy się niepowodzeniem.

  • Nazwa hosta Fudo zawiera odpowiedni sufiks domeny (np: fudo.qa.kerberos).

  • Serwer DNS z tej samej domeny jest prawidłowo skonfigurowany.

  • Adres kontrolera domeny odpowiada SPN (Service Principal Name) serwera LDAP zdefiniowanego w domenie.

  • Jeśli bieżąca konfiguracja używa adresu IP zamiast nazwy hosta, zaktualizuj ją, aby używać poprawnej nazwy hosta.

Ostrzeżenie

Fudo Enterprise obsługuje wyłącznie opcje 0 i/lub 1 dla poniższych zasad zabezpieczeń LDAP na kontrolerach domeny Windows:

  • Domain controller: LDAP server channel binding token requirements (Registry Setting: LdapEnforceChannelBinding)

  • Domain controller: LDAP server signing requirements (Registry Setting: LDAPServerIntegrity)

Jeśli którakolwiek z tych zasad jest ustawiona na wartość 2, synchronizacja zakończy się niepowodzeniem.

Tematy pokrewne: