Kaspersky Unified Monitoring and Analysis Platform
Русский

Содержание

Аутентификация с помощью доменных учетных записей

Чтобы пользователи могли проходить аутентификацию в веб-интерфейсе KUMA с помощью своих доменных учетных данных, требуется выполнить следующие этапы настройки.

  1. Включить доменную аутентификацией, если она отключена

    По умолчанию доменная аутентификация включена, но подключение к домену не настроено.

  2. Настроить соединение с контроллером домена

    Доступны следующие соединения:

    Одновременно могут быть настроены параметры подключения к AD и ADFS.

    Подключение возможно только к одному домену.

  3. Добавить группы ролей пользователей

    Вы можете указать для каждой роли KUMA группу домена. Пользователи из этой группы, пройдя аутентификацию с помощью своих доменных учетных данных, будут получать доступ к веб-интерфейсу KUMA в соответствии с указанной ролью.

    При этом программа проверяет соответствие группы пользователя указанному фильтру в порядке следования ролей в веб-интерфейсе KUMA: оператор → аналитик первой линии → аналитик → администратор тенанта → главный администратор. При первом совпадении пользователю присваивается роль и дальнейшая проверка не осуществляется. Если для пользователя указано две группы в одном тенанте, то будет использована роль с наименьшими правами. Если указано несколько групп для разных тенантов, то в каждом тенанте пользователю будет присвоена указанная роль.

Особенности входа в систему после настройки доменной аутентификации

Для успешной аутентификации необходимо соблюдать следующие условия:

  • FreeIPA: при входе в систему пользователю следует указывать в логине домен заглавными буквами. Пример: user@FREEIPA.COM
  • AD/ADFS: при входе в систему пользователю следует указывать в логине UserPrincipalName. Пример: user@domain.ru.

Если вы выполнили все этапы настройки, но пользователь не может пройти аутентификацию в веб-интерфейсе KUMA с помощью своей доменной учетной записи, мы рекомендуем проверить конфигурацию на наличие следующих проблем:

  • В свойствах учетной записи пользователя в Active Directory не указан адрес электронной почты. В этом случае при первой аутентификации пользователя отобразится сообщение об ошибке и учетная запись KUMA не будет создана.
  • Локальная учетная запись KUMA с адресом электронной почты, указанным в свойствах доменной учетной записи, уже существует. В этом случае при попытке аутентификации с помощью доменной учетной записи пользователь получит сообщение об ошибке.
  • Доменная аутентификация отключена в параметрах KUMA.
  • Допущена ошибка при вводе группы ролей.
  • Доменное имя пользователя содержит пробел.

В этом разделе

Включение и выключение доменной аутентификации

Настройка соединения KUMA с FreeIPA

Настройка соединения KUMA с Active Directory

Настройка соединения KUMA с Active Directory Federation Services
В начало
[Topic 221427]

Включение и выключение доменной аутентификации

По умолчанию доменная аутентификация включена, но подключение к домену не настроено. Если после настройки подключения вы хотите временно приостановить доменную аутентификацию, вы можете отключить ее в веб-интерфейсе KUMA, не удаляя заданные ранее значения параметров. При необходимости вы сможете в любой момент включить аутентификация снова.

Чтобы включить или отключить доменную авторизацию пользователей в веб-интерфейсе KUMA:

  1. В веб-интерфейсе программы выберите раздел ПараметрыДоменная аутентификация.
  2. В раскрывающемся списке Тип аутентификации выберите один из вариантов:
    • FreeIPA
    • AD/ADFS
  3. Выполните одно из следующих действий:
    • Если вы хотите выключить доменную аутентификацию, в верхней части рабочей области установите флажок Выключено.
    • Если вы хотите включить доменную аутентификацию, в верхней части рабочей области снимите флажок Выключено.
  4. Нажмите на кнопку Сохранить.

Выбранные настройки будут сохранены и применены.

В начало
[Topic 221428]

Настройка соединения KUMA с FreeIPA

Вы можете подключиться только к одному домену FreeIPA. Для этого требуется настроить соединение с контроллером домена.

Чтобы настроить соединение с контроллером домена FreeIPA:

  1. В веб-интерфейсе программы выберите раздел ПараметрыДоменная аутентификация.
  2. В раскрывающемся списке Тип аутентификации выберите FreeIPA.
  3. В блоке параметров FreeIPA в поле База поиска (Base DN) введите DistinguishedName корневой записи для поиска групп доступа в службе каталогов FreeIPA. Формат записи: dc=example,dc=com.
  4. В поле URL укажите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.

    Вы можете указать через запятую адреса до трех серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.

  5. Если вы хотите использовать TLS-шифрование для соединения с контроллером домена, в раскрывающемся списке Режим TLS выберите один из следующих вариантов:
    • startTLS.

      При использовании метода

      startTLS
      сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.

      Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.

    • ssl.

      При использовании SSL сразу устанавливается шифрованное соединение по порту 636.

    • незащищенный.

    При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.

  6. Если включено TLS-шифрование, поле Секрет становится обязательным для заполнения и в нем требуется указать секрет с типом certificate. Если вы загрузили секрет ранее, выберите его в раскрывающемся списке Секрет. При необходимости, создайте новый секрет с типом certificate с помощью кнопки AD_plusи выберите секрет в раскрывающемся списке.
  7. В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена. По умолчанию указано значение 0.

    Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа будет обращаться к следующему указанному серверу. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.

  8. В раскрывающемся списке Секрет пользовательской интеграции выберите секрет с типом credentials.

    Если вы хотите загрузить новый секрет с типом credentials, справа от списка Секрет пользовательской интеграции нажмите на кнопку AD_plus. В открывшемся окне Секрет в поле Название введите название секрета, которое будет отображаться в списке после сохранения. В поле Пользователь укажите DistinguishedName в следующем формате: uid=admin,cn=users,cn=accounts,dc=ipa,dc=test. Укажите Пароль и нажмите на кнопку Сохранить.

    Секрет будет загружен и станет доступен для выбора в раскрывающемся списке Секрет пользовательской интеграции.

  9. Если вы хотите настроить доменную аутентификацию для пользователя с ролью главного администратора KUMA, в поле Группа главных администраторов укажите DistinguishedName группы FreeIPA, в которой состоит пользователь.

    Если для пользователя указано несколько групп в одном тенанте, то будет использована роль с наименьшими правами.

    Пример ввода фильтра: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain

  10. Нажмите на кнопку Сохранить.

Соединение с контроллером домена FreeIPA будет настроено.

Вы также можете проверить соединение для введенных ранее параметров соединения с контроллером домена.

Чтобы проверить соединение с контроллером домена:

  1. В веб-интерфейсе программы выберите раздел ПараметрыДоменная аутентификация.
  2. В раскрывающемся списке Тип аутентификации выберите FreeIPA.
  3. В блоке параметров FreeIPA выберите нужный секрет в поле Данные аутентификации.

    При необходимости вы можете создать новый секрет, нажав на кнопку AddSecret, или изменить параметры существующего секрета, нажав на кнопку ChangeSecret. Если интеграция с FreeIPA включена, выбор секрета всегда сбрасывается при загрузке страницы, даже

  4. Нажмите на кнопку Тест.

    После нажатия на кнопку Тест система выполнит проверку соединения с доменом и вернет всплывающее уведомление с результатами теста. Система не выполняет проверку возможности входа в систему и правильность настройки группы пользователей.

Для работы доменной аутентификации требуется также добавить группы для ролей пользователей KUMA.

Вы можете указать группы только для тех ролей, для которых требуется настроить доменную аутентификацию. Остальные поля можно оставить пустыми.

Чтобы добавить группы ролей пользователей:

  1. В веб-интерфейсе программы выберите раздел ПараметрыДоменная аутентификация.
  2. В блоке параметров Группы ролей нажмите на кнопку Добавить группы ролей.
  3. В раскрывающемся списке Тенант выберите, для пользователей какого тенанта вы хотите настроить доменную аутентификацию.
  4. Укажите DistinguishedName группы домена, пользователи которого должны иметь возможность пройти аутентификацию со своими доменными учетными данными, в полях для следующих ролей:
    • Оператор.
    • Аналитик первой линии.
    • Аналитик.
    • Администратор.

    Пример ввода группы: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain.

    Вы можете указать для каждой роли только одну группу домена. Если вам нужно указать несколько групп, то для каждой группы требуется повторить шаги 2–4, указывая при этом тот же тенант.

  5. Если требуется, повторите шаги 2–4 для каждого тенанта, для которого вы хотите настроить доменную аутентификацию с ролями оператор, аналитик первой линии, аналитик или администратор тенанта.
  6. Нажмите на кнопку Сохранить.

Группы ролей пользователей будут добавлены. Заданные параметры будут применены после следующего входа пользователя в веб-интерфейс KUMA.

После первой аутентификации пользователя информация о нем отобразится в разделе ПараметрыПользователи. Поля Логин и Пароль, полученные из домена, недоступны для редактирования. Роль пользователя также будет недоступна для редактирования: для изменения роли потребуется изменить группы ролей пользователей. Изменения роли применяются после повторной аутентификации пользователя. До истечения текущей сессии пользователь продолжает работу с действующей ролью.

Если в свойствах доменной учетной записи изменяется имя или адрес электронной почты пользователя, требуется вручную внести эти изменения в учетную запись KUMA.

В начало
[Topic 244887]

Настройка соединения KUMA с Active Directory

Вы можете подключиться только к одному домену Active Directory. Для этого требуется настроить соединение с контроллером домена.

Чтобы настроить соединение с контроллером домена Active Directory:

  1. В веб-интерфейсе программы выберите раздел ПараметрыДоменная аутентификация.
  2. В раскрывающемся списке Тип аутентификации выберите AD/ADFS.
  3. В блоке параметров Active Directory в поле База поиска (Base DN) введите DistinguishedName корневой записи для поиска групп доступа в службе каталогов Active Directory.
  4. В поле URL укажите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.

    Вы можете указать через запятую адреса нескольких серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.

  5. Если вы хотите использовать TLS-шифрование для соединения с контроллером домена, в раскрывающемся списке Режим TLS выберите один из следующих вариантов:
    • startTLS.

      При использовании метода startTLS сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.

      Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.

    • ssl.

      При использовании SSL сразу устанавливается шифрованное соединение по порту 636.

    • незащищенный.

    При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.

  6. Если на предыдущем шаге вы включили TLS-шифрование, добавьте TLS-сертификат:
    • Если вы загрузили сертификат ранее, выберите его в раскрывающемся списке Секрет.

      Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.

    • Если вы хотите загрузить новый сертификат, справа от списка Секрет нажмите на кнопку AD_plus. В открывшемся окне в поле Название введите название, которое будет отображаться в списке сертификатов после его добавления. Добавьте файл с сертификатом Active Directory (поддерживаются открытые ключи сертификата X.509 в Base64), нажав на кнопку Загрузить файл сертификата. Нажмите на кнопку Сохранить.

      Сертификат будет загружен и отобразится в списке Секрет.

  7. В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.

    Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа будет обращаться к следующему указанному серверу. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.

  8. Если вы хотите настроить доменную аутентификацию для пользователя с ролью главного администратора KUMA, в поле Группа главных администраторов укажите DistinguishedName группы Active Directory, в которой состоит пользователь.

    Если для пользователя указано несколько групп в одном тенанте, то будет использована роль с наименьшими правами.

    Пример ввода фильтра: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain

  9. Нажмите на кнопку Сохранить.

Соединение с контроллером домена Active Directory будет настроено.

Вы также можете проверить соединение для введенных ранее параметров соединения с контроллером домена.

Чтобы проверить соединение с контроллером домена:

  1. В веб-интерфейсе программы выберите раздел ПараметрыДоменная аутентификация.
  2. В раскрывающемся списке Тип аутентификации выберите AD/ADFS.
  3. В блоке параметров Проверка подключения выберите нужный секрет в поле Данные аутентификации.

    При необходимости вы можете создать новый секрет, нажав на кнопку AddSecret, или изменить параметры существующего секрета, нажав на кнопку ChangeSecret.

    В поле Пользователь доступны следующие форматы указания пользователя: UserPrincipalName и domain\user.

  4. Нажмите на кнопку Тест.

    После нажатия на кнопку Тест система выполнит проверку соединения с доменом и вернет всплывающее уведомление с результатами теста. Система не выполняет проверку возможности входа в систему и правильность настройки группы пользователей.

Для работы доменной аутентификации требуется также добавить группы для ролей пользователей KUMA.

Вы можете указать группы только для тех ролей, для которых требуется настроить доменную аутентификацию. Остальные поля можно оставить пустыми.

Чтобы добавить группы ролей пользователей:

  1. В веб-интерфейсе программы выберите раздел ПараметрыДоменная аутентификация.
  2. В блоке параметров Группы ролей нажмите на кнопку Добавить группы ролей.
  3. В раскрывающемся списке Тенант выберите, для пользователей какого тенанта вы хотите настроить доменную аутентификацию.
  4. Укажите DistinguishedName группы домена, пользователи которого должны иметь возможность пройти аутентификацию со своими доменными учетными данными, в полях для следующих ролей:
    • Оператор.
    • Аналитик первой линии.
    • Аналитик.
    • Администратор.

    Пример ввода группы: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain.

    Вы можете указать для каждой роли только одну группу домена. Если вам нужно указать несколько групп, то для каждой группы требуется повторить шаги 2–4, указывая при этом тот же тенант.

  5. Если требуется, повторите шаги 2–4 для каждого тенанта, для которого вы хотите настроить доменную аутентификацию с ролями оператор, аналитик первой линии, аналитик или администратор тенанта.
  6. Нажмите на кнопку Сохранить.

Группы ролей пользователей будут добавлены. Заданные параметры будут применены после следующего входа пользователя в веб-интерфейс KUMA.

После первой аутентификации пользователя информация о нем отобразится в разделе ПараметрыПользователи. Поля Логин и Пароль, полученные из домена, недоступны для редактирования. Роль пользователя также будет недоступна для редактирования: для изменения роли потребуется изменить группы ролей пользователей. Изменения роли применяются после повторной аутентификации пользователя. До истечения текущей сессии пользователь продолжает работу с действующей ролью.

Если в свойствах доменной учетной записи изменяется имя или адрес электронной почты пользователя, требуется вручную внести эти изменения в учетную запись KUMA.

В начало
[Topic 221429]

Настройка соединения KUMA с Active Directory Federation Services

Чтобы настроить доменную аутентификацию в KUMA и обеспечить для пользователей возможность входа в KUMA под учетной записью без указания логина и пароля, необходимо предварительно создать группу подключения и настроить правила на стороне ADFS или убедиться, что необходимые группы подключения и правила уже существуют.

После настройки на странице входа в KUMA появится кнопка Вход через ADFS.

Кнопка Вход через ADFS будет скрыта на странице входа в KUMA при следующих условиях:

  • Если в раскрывающемся списке Тип аутентификации выбран пункт FreeIPA.
  • Если в раскрывающемся списке Тип аутентификации выбран пункт AD/ADFS и настройки для ADFS отсутствуют или установлен флажок Выключено для настроек ADFS.

Вы можете подключиться только к одному домену ADFS. Для этого требуется настроить соединение с контроллером домена.

Чтобы настроить соединение с контроллером домена ADFS:

  1. В веб-интерфейсе программы выберите раздел ПараметрыДоменная аутентификация.
  2. В раскрывающемся списке Тип аутентификации выберите AD/ADFS.
  3. В блоке параметров Active Directory Federation Services в поле Идентификатор клиента укажите идентификатор KUMA из поля Client ID в ADFS.
  4. В поле Идентификатор доверенной стороны укажите идентификатор KUMA из поля Relying party identifiers в ADFS.
  5. Укажите URI для получения метаданных Connect из поля Connect Metadata URI. Параметр состоит из хоста, на котором расположен ADFS (https://adfs.example.com), и настройки endpoint (/adfs/.well-known/openid-configuration).

    Например, https://adfs.example.com/adfs/.well-known/openid-configuration).

  6. Укажите URL для перенаправления из ADFS из поля Redirect URL в ADFS. Значение поля Redirect URL в ADFS указывается при настройке Application group. В ADFS необходимо указать FQDN KUMA и подстроку </sso-callback>. В KUMA URL необходимо указать без подстроки, например, https://kuma-example:7220
  7. Если вы хотите настроить доменную аутентификацию для пользователя с ролью главного администратора KUMA, в поле Группа главных администраторов укажите DistinguishedName группы Active Directory Federation Services, в которой состоит пользователь.

    Если для пользователя указано несколько групп в одном тенанте, то будет использована роль с наименьшими правами.

    Пример ввода фильтра: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain

  8. Нажмите на кнопку Сохранить.

Соединение с контроллером домена Active Directory Federation Services будет настроено.

Для работы доменной аутентификации требуется также добавить группы для ролей пользователей KUMA.

Вы можете указать группы только для тех ролей, для которых требуется настроить доменную аутентификацию. Остальные поля можно оставить пустыми.

Чтобы добавить группы ролей пользователей:

  1. В веб-интерфейсе программы выберите раздел ПараметрыДоменная аутентификация.
  2. В блоке параметров Группы ролей нажмите на кнопку Добавить группы ролей.
  3. В раскрывающемся списке Тенант выберите, для пользователей какого тенанта вы хотите настроить доменную аутентификацию.
  4. Укажите DistinguishedName группы домена, пользователи которого должны иметь возможность пройти аутентификацию со своими доменными учетными данными, в полях для следующих ролей:
    • Оператор.
    • Аналитик первой линии.
    • Аналитик.
    • Администратор.

    Пример ввода группы: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain.

    Вы можете указать для каждой роли только одну группу домена. Если вам нужно указать несколько групп, то для каждой группы требуется повторить шаги 2–4, указывая при этом тот же тенант.

  5. Если требуется, повторите шаги 2–4 для каждого тенанта, для которого вы хотите настроить доменную аутентификацию с ролями оператор, аналитик первой линии, аналитик или администратор тенанта.
  6. Нажмите на кнопку Сохранить.

Группы ролей пользователей будут добавлены. Заданные параметры будут применены после следующего входа пользователя в веб-интерфейс KUMA.

После первой аутентификации пользователя информация о нем отобразится в разделе ПараметрыПользователи. Поля Логин и Пароль, полученные из домена, недоступны для редактирования. Роль пользователя также будет недоступна для редактирования: для изменения роли потребуется изменить группы ролей пользователей. Изменения роли применяются после повторной аутентификации пользователя. До истечения текущей сессии пользователь продолжает работу с действующей ролью.

Если в свойствах доменной учетной записи изменяется имя или адрес электронной почты пользователя, требуется вручную внести эти изменения в учетную запись KUMA.

В начало
[Topic 244876]

Настройка подключения на стороне Active Directory Federation Services

В этом разделе приведены инструкции по созданию новой группы подключения и настройке правил для созданной группы подключения на стороне Active Directory Federation Services (ADFS).

На сервере должна быть уже настроена роль ADFS.

Создание новой группы подключения

  1. В Server Manager в меню Tools выберите ADFS Management.

    В ADFS выберите раздел Application groups и в разделе Actions нажмите Add Application Group.

  2. В открывшемся окне Add Application Group Wizard в разделе Welcome в поле Name укажите имя новой группы подключения. Пример: new-application-group.

    В поле Template в группе Client-Server applications выберите пункт Native application accessing a web API.

    Чтобы перейти к следующему этапу создания и настройки группы подключения, нажмите Next.

  3. В открывшемся разделе Native application поля Name и

     Client Identifier

     заполняются автоматически.

    Значение поля Client Identifier понадобится указать в KUMA в поле Client Identifier при настройке доменной аутентификации.

    В поле

     

    Redirect URI введите URI для перенаправления из ADFS с обязательным указанием подстроки /sso-callback и нажмите Add. Пример: https://adfs.example.com:7220/sso-callback

    Чтобы перейти к следующему этапу настройки, нажмите Next.

  4. В открывшемся разделе Configure Web API в поле

    Identifiers

    добавьте идентификатор доверенной стороны и нажмите Add. Значение может быть любым. Пример: test-demo

    Значение поля Identifier понадобится указать в KUMA в поле Relying party identifiers при настройке доменной аутентификации.

    Чтобы перейти к следующему этапу настройки, нажмите Next.

  5. В открывшемся разделе Apply Access Control Policy выберите значение политики Permit everyone.

    Чтобы перейти к следующему этапу настройки, нажмите Next.

  6. В открывшемся разделе Configure Application Permissions поле Client application заполняется автоматически.

    В поле Permitted scopes установите флажок для опций allatclaims и openid.

    Чтобы перейти к следующему этапу настройки, нажмите Next.

  7. В открывшемся разделе Summary проверьте настройки.

    Если настройки верны и вы готовы добавить группу, нажмите Next.

Новая группа добавлена. Вы можете перейти к настройке правил для созданной группы.

Добавление правил для группы подключения

  1. В Server Manager в меню Tools выберите ADFS Management.

    В ADFS выберите раздел Application groups и в открывшемся окне выберите из списка необходимую группу подключения. Пример: new-application-group.

  2. В окне Application groups в разделе Actions нажмите Properties.

    В открывшемся окне new-application-group Properties в разделе Applications выберите двойным нажатием new-application-group - Web API.

    В открывшемся окне new-application-group - Web API Properties перейдите на вкладку 

    Issuance Transform Rules

     и нажмите Add rule.

    В открывшемся окне Add Transform Claim Rule Wizard в разделе Choose Rule Type выберите в раскрывающемся списке Send LDAP Attributes as Claims.

    Чтобы перейти к следующему этапу настройки, нажмите Next.

  3. В разделе Configure Claim Rule в поле Claim rule name укажите имя правила. Пример: rule-name-01.

    В раскрывающемся списке Attribute store выберите Active directory.

    В поле Mapping of LDAP attributes to outgoing claim types сопоставьте следующие поля:

    LDAP Attribute

    Outgoing Claim Type

    User-Principal-Name

    userPrincipalName

    Display-Name

    displayName

    E-Mail-Addresses

    mail

    Is-Member-Of-DL

    MemberOf

    Чтобы завершить настройку, нажмите Finish.

  4. Вернитесь к окну new-application-group – Web API Properties перейдите на вкладку 

    Issuance Transform Rules

     и нажмите Add rule. В открывшемся окне Add Transform Claim Rule Wizard в разделе Choose Rule Type выберите в раскрывающемся списке Send claims using a custom rule.

    Чтобы продолжить настройку, нажмите Next.

  5. В разделе Configure Claim Rule в поле Claims rule name укажите имя правила. Пример: rule-name-02.

    В поле Custom rule укажите следующие параметры: 

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
    => issue(store = "Active Directory", types = ("ObjectGUID"), query = ";ObjectGUID;{0}", param = c.Value);

    Чтобы завершить настройку, нажмите Finish.

  6. Система выполнит переход к окну new-application-group – Web API Properties и вкладке Issuance Transform Rules.

    Чтобы применить правила, на открывшейся вкладке Issuance Transform Rules нажмите Apply или OK.

Настройка групп и правил в ADFS завершена. Вы можете переходить к настройке доменной аутентификации в KUMA.

В начало
[Topic 245272]

Устранение ошибки Access denied

При попытке входа в KUMA через ADFS может появляться всплывающее сообщение Access denied или Недостаточно прав. В журнале ядра KUMA будет отображаться ошибка Data source certificate has been changed.

Данная ошибка свидетельствует о том, что изменился сертификат ADFS. Чтобы исправить ошибку и возобновить доменную аутентификацию, следует обновить отпечаток сертификата, сохраненный в KUMA.

Чтобы обновить отпечаток сертификата на хосте с Astra Linux или Oracle Linux:

  1. Для получения бинарного файла adfs_fingerprint_changer_tool обратитесь в техническую поддержку.
  2. Поместите полученный бинарный файл adfs_fingerprint_changer_tool в любую папку на хосте c ядром KUMA. Например, /root/kuma-ansible-installer.
  3. На хосте с ядром KUMA запустите интерпретатор командной строки и с помощью команды cd перейдите в папку, где находится файл adfs_fingerprint_changer_tool.

    Например, вы можете ввести следующую команду и нажать на клавишу Enter:

    cd /root/kuma-ansible-installer

  4. Чтобы выдать права на запуск бинарного файла и запустить бинарный файл, последовательно выполните следующие команды:

    chmod +x adfs_fingerprint_changer_tool

    ./adfs_fingerprint_changer_tool

Чтобы обновить отпечаток сертификата на хосте с Kubernetes:

  1. Для получения бинарного файла adfs_fingerprint_changer_tool обратитесь в техническую поддержку.
  2. Поместите полученный бинарный файл adfs_fingerprint_changer_tool в любую папку на компьютере администратора с доступом к кластеру Kubernetes и выполните последовательно следующие команды:

    k0s kubectl cp <путь к adfs_fingerprint_changer_tool> $(k0s kubectl get pod -l app=core -n kuma -o name | cut -d/ -f2):/tmp/ -c mongodb -n kuma

    k0s kubectl exec $(k0s kubectl get pod -l app=core -n kuma -o name) -c mongodb -n kuma -- bash -c "chmod a+x /tmp/adfs_fingerprint_changer_tool && /tmp/adfs_fingerprint_changer_tool"

После того, как вы запустите бинарный файл, отпечаток сертификата будет обновлен и доменная аутентификация через ADFS будет снова доступна.

В начало
[Topic 245317]