Интеграция с Active Directory, Active Directory Federation Services и FreeIPA

KUMA можно интегрировать с используемыми в вашей организации службами Active Directory, Active Directory Federation Services и FreeIPA.

Вы можете настроить подключение к службе каталогов Active Directory по протоколу LDAP. Это позволит использовать информацию из Active Directory в правилах корреляции для обогащения событий и алертов, а также для аналитики.

Если вы настроите соединение с сервером контроллера домена, это позволит использовать доменную авторизацию. В этом случае вы сможете привязать группы пользователей из домена к фильтрам ролей KUMA. Пользователи, принадлежащие к этим группам, смогут войти в веб-интерфейс KUMA, используя свои доменные учетные данные, и получат доступ к разделам программы в соответствии с назначенной ролью.

Рекомендуется предварительно создать в Active Directory, Active Directory Federation Services или FreeIPA группы пользователей, которым вы хотите предоставить возможность проходить авторизацию с помощью доменной учетной записи в веб-интерфейсе KUMA. В свойствах учетной записи пользователя в Active Directory обязательно должен быть указан адрес электронной почты.

Подключение по протоколу LDAP

Подключения по протоколу LDAP создаются и управляются в разделе Параметры → LDAP-сервер веб-интерфейса KUMA. В разделе Интеграция c LDAP-сервером по тенантам отображаются тенанты, для которых созданы подключения по протоколу LDAP. Тенанты можно создать или удалить.

Если выбрать тенант, откроется окно Интеграция c LDAP-сервером, в котором отображается таблица с существующими LDAP-подключениями. Подключения можно создать или изменить. В этом же окне можно изменить частоту обращения к LDAP-серверам и установить срок хранения устаревших данных.

После включения интеграции информация об учетных записях Active Directory становится доступной в окне алертов, в окне с подробной информацией о корреляционных событиях, а также окне инцидентов. При выборе имени учетной записи в разделе Связанные пользователи откроется окно Информация об учетной записи с данными, импортированными из Active Directory.

Данные из LDAP можно также использовать при обогащении событий в коллекторах и в аналитике.

Импортируемые атрибуты Active Directory

Подробнее об атрибутах Active Directory см. в документации Microsoft.

Включение и выключение LDAP-интеграции

Можно включить или выключить сразу все LDAP-подключения тенанта, а можно включить или выключить только определенное LDAP-подключение.

Чтобы включить или отключить все LDAP-подключения тенанта:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA и выберите тенант, у которого вы хотите включить или выключить все подключения к LDAP.

   Откроется окно Интеграция с LDAP-сервером по тенантам.

2. Установите или снимите флажок Выключено.
3. Нажмите Сохранить.

Чтобы включить или отключить определенное LDAP-подключение:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA и выберите тенант, у которого вы хотите включить или выключить подключение к LDAP.

   Откроется окно Интеграция с LDAP-сервером.

2. Выберите нужное подключение и в открывшемся окне установите или снимите флажок Выключено.
3. Нажмите Сохранить.

Добавление тенанта в список тенантов для интеграции с LDAP-сервером

Чтобы добавить тенант в список тенантов для интеграции с LDAP-сервером:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → LDAP-сервер.

   Откроется окно Интеграция с LDAP-сервером по тенантам.

2. Нажмите на кнопку Добавить тенант.

   Отобразится окно Интеграция с LDAP-сервером.

3. В раскрывающемся списке Тенант выберите тенант, который вам требуется добавить.
4. Нажмите Сохранить.

Выбранный тенант добавлен в список тенантов для интеграции с LDAP-сервером.

Чтобы добавить тенант из списка тенантов для интеграции с LDAP-сервером:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → LDAP-сервер.

   Отобразится таблица Интеграция с LDAP-сервером по тенантам.

2. Установите флажок рядом с тенантом, который необходимо удалить, и нажмите на кнопку Удалить.
3. Подтвердите удаление тенанта.

Выбранный тенант удален из списка тенантов для интеграции с LDAP-сервером.

Создание подключения к LDAP-серверу

Чтобы создать LDAP-подключение к Active Directory:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA.
2. Выберите или создайте тенант, для которого хотите создать подключение к LDAP.

   Откроется окно Интеграция с LDAP-сервером по тенантам.

3. Нажмите на кнопку Добавить подключение.

   Откроется окно Параметры подключения.

4. Добавьте секрет с учетными данными для подключения к серверу Active Directory. Для этого выполните следующие действия:
   1. Если вы добавили секрет ранее, в раскрывающемся списке Секрет выберите существующий секрет типа credentials.

      Выбранный секрет можно изменить, нажав на значок карандаша ().

   2. Если вы хотите создать новый секрет, нажмите на значок плюса ().

      Откроется окно Секрет.

   3. В поле Название (обязательно) введите название секрета: от 1 до 128 символов в кодировке Unicode.
   4. В полях Пользователь и Пароль (обязательно) введите учетные данные для подключения к серверу Active Directory.

      Вы можете указать имя пользователя в одном из следующих форматов: <имя пользователя>@<домен> или <домен><имя пользователя>.

   5. В поле Описание введите описание до 4000 символов в кодировке Unicode.
   6. Нажмите на кнопку Сохранить.
5. В поле Название (обязательно) введите уникальное имя LDAP-подключения.

   Длина должна быть от 1 до 128 символов в кодировке Unicode.

6. В поле URL (обязательно) введите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.

   Вы можете указать через запятую адреса нескольких серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.

7. Если вы хотите использовать TLS-шифрование для соединения с контроллером домена, в раскрывающемся списке Тип выберите один из следующих вариантов:
   • startTLS.

     При использовании метода

     startTLS

     Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.

     Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.

     Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.

     сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.

     Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.

   • LDAPS.

     При использовании LDAPS сразу устанавливается шифрованное соединение по порту 636.

   • незащищенный.

   При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.

8. Если на предыдущем шаге вы включили TLS-шифрование, добавьте TLS-сертификат. Следует использовать сертификат удостоверяющего центра, которым подписан сертификат сервера LDAP. Пользовательские сертификаты использовать нельзя. Чтобы добавить сертификат, выполните следующие действия:
   1. Если вы загрузили сертификат ранее, выберите его в раскрывающемся списке Сертификат.

      Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.

   2. Если вы хотите загрузить новый сертификат, справа от списка Сертификат нажмите на значок плюса ().

      Откроется окно Секрет.

   3. В поле Название введите название, которое будет отображаться в списке сертификатов после его добавления.
   4. По кнопке Загрузить файл сертификата добавьте файл с сертификатом Active Directory. Поддерживаются открытые ключи сертификата X.509 в Base64.
   5. Если требуется, укажите любую информацию о сертификате в поле Описание.
   6. Нажмите на кнопку Сохранить.

   Сертификат будет загружен и отобразится в списке Сертификат.

9. В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.

   Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа обратится к следующему указанному серверу и т.д. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.

10. В поле База поиска (Base DN)  введите базовое отличительное имя каталога, в котором должен выполняться поисковый запрос.
11. В поле Пользовательские атрибуты учетных записей AD укажите дополнительные атрибуты, с использованием которых вы хотите обогащать события.

    Перед настройкой обогащения событий с помощью пользовательских атрибутов убедитесь, что пользовательские атрибуты настроены в AD.

    Чтобы обогащать события учетными записями с помощью пользовательских атрибутов:

    1. Добавьте Пользовательские атрибуты учетных записей AD в Параметрах подключения к LDAP.

       Невозможно добавить стандартные Импортируемые атрибуты из AD в качестве пользовательских. Например, если вы захотите добавить стандартный атрибут accountExpires в качестве пользовательского атрибута, при сохранении параметров подключения KUMA вернет ошибку.

       Из Active Directory можно запросить следующие атрибуты учетных записей:

       • accountExpires
       • badPasswordTime
       • cn
       • company
       • department
       • displayName
       • distinguishedName
       • division
       • employeeID
       • ipaUniqueID
       • l
       • mail
       • mailNickname
       • managedObjects
       • manager
       • memberOf (по этому атрибуту события можно искать при корреляции)
       • mobile
       • objectGUID (этот атрибут запрашивается из Active Directory всегда)
       • objectSid
       • physicalDeliveryOfficeName
       • sAMAccountName
       • sAMAccountType
       • sn
       • streetAddress
       • telephoneNumber
       • title
       • userAccountControl
       • userPrincipalName
       • whenChanged
       • whenCreated

       После того, как вы добавите пользовательские атрибуты в Параметрах подключения к LDAP, раскрывающийся список LDAP-атрибуты в коллекторе будет автоматически дополнен. Пользовательские атрибуты можно отличить по знаку вопроса рядом с именем атрибута. Если для нескольких доменов вы добавили один и тот же атрибут, в раскрывающемся списке атрибут будет указан один раз, а домены можно просмотреть, если навести курсор на знак вопроса. Названия доменов отображаются в виде ссылок: если вы нажмете на ссылку, домен автоматически добавится в Сопоставление с учетными записями LDAP, если прежде он не был добавлен.

       Если вы удалили пользовательский атрибут в Параметрах подключения к LDAP, удалите вручную строку с атрибутом из таблицы сопоставления в коллекторе. Информация об атрибутах учетных записей в KUMA обновляется каждый раз после того, как вы выполните импорт учетных записей.  

    2. Импортируйте учетные записи.
    3. В коллекторе в таблице Обогащение полей KUMA задайте правила сопоставления полей KUMA с атрибутами LDAP.
    4. Перезапустите коллектор.

       После перезапуска коллектора KUMA начнет обогащать события учётными записями.

        

12. Установите флажок Выключено, если не хотите использовать это LDAP-подключение.

    По умолчанию флажок снят.

13. Нажмите на кнопку Сохранить.

LDAP-подключение к Active Directory создано и отображается в окне Интеграция с LDAP-сервером.

Информация об учетных записях из Active Directory будет запрошена сразу после сохранения подключения, а затем будет обновляться с указанной периодичностью.

Если вы хотите использовать одновременно несколько LDAP-подключений для одного тенанта, вам нужно убедиться, что адрес контроллера домена, указанный в каждом из этих подключений, является уникальным. В противном случае KUMA позволяет включить только одно из этих подключений. Порт при проверке адреса контроллера домена на уникальность не проверяется.

Создание копии подключения к LDAP-серверу

Вы можете создать LDAP-подключение, скопировав уже существующее подключение. В этом случае в созданное подключение дублируются все параметры исходного подключения.

Чтобы скопировать LDAP-подключение:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA и выберите тенант, для которого вы хотите скопировать подключение к LDAP.

   Откроется окно Интеграция с LDAP-сервером.

2. Выберите нужное подключение.
3. В открывшемся окне Параметры подключения нажмите на кнопку Дублировать подключение.

   Отобразится окно создания нового подключения. К названию подключения будет добавлено слово копия.

4. Если требуется, измените нужные параметры.
5. Нажмите на кнопку Сохранить.

Создано новое подключение.

Если вы хотите использовать одновременно несколько LDAP-подключений для одного тенанта, вам нужно убедиться, что адрес контроллера домена, указанный в каждом из этих подключений, является уникальным. В противном случае KUMA позволяет включить только одно из этих подключений. Порт при проверке адреса контроллера домена на уникальность не проверяется.

Изменение подключения к LDAP-серверу

Чтобы изменить подключение к LDAP-серверу:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → LDAP-сервер.

   Откроется окно Интеграция с LDAP-сервером по тенантам.

2. Выберите тенант, для которого вы хотите изменить подключение к LDAP-серверу.

   Откроется окно Интеграция с LDAP-сервером.

3. Нажмите на подключение с LDAP-серверу, которое вы хотите изменить.

   Откроется окно с параметрами выбранного подключения к LDAP-серверу.

4. Измените значения необходимых параметров.
5. Нажмите на кнопку Сохранить.

Подключение к LDAP-серверу изменено. Перезапустите сервисы KUMA, использующие обогащение данными LDAP-серверов, чтобы изменения вступили в силу.

Изменение частоты обновления данных

KUMA обращается к LDAP-серверу для обновления данных об учетных записях. Это происходит в следующих случаях:

• Сразу после создания нового подключения.
• Сразу после изменения параметров существующего подключения.
• Регулярно по расписанию каждые несколько часов. По умолчанию каждые 12 часов.
• При создании пользователем задачи на обновление данных об учетных записях.

При обращении к LDAP-серверам создается задача в разделе Диспетчер задач веб-интерфейса KUMA.

Чтобы изменить расписание обращений KUMA к LDAP-серверам:

1. Откройте в веб-интерфейсе KUMA раздел Параметры → LDAP-сервер → Интеграция с LDAP-сервером по тенантам.
2. Выберите нужный тенант.

   Откроется окно Интеграция с LDAP-сервером.

3. В поле Период обновления данных укажите требуемую частоту в часах. Значение по умолчанию – 12.

Расписание обращений изменено.

Изменение срока хранения данных

Полученные данные об учетных записях, если сведения о них перестают поступать от сервера Active Directory, по умолчанию хранятся в KUMA в течение 90 дней. По прошествии этого срока данные удаляются.

После удаления данных об учетных записях в KUMA новые и существующие события не обогащаются этой информацией. Информация об учетных записях также будет недоступна в алертах. Если вы хотите просматривать информацию об учетных записях на протяжении всего времени хранения алерта, требуется установить срок хранения данных об учетных записях больше, чем срок хранения алерта.

Чтобы изменить срок хранения данных об учетных записях:

1. Откройте в веб-интерфейсе KUMA раздел Параметры → LDAP-сервер → Интеграция с LDAP-сервером по тенантам.
2. Выберите нужный тенант.

   Откроется окно Интеграция с LDAP-сервером.

3. В поле Время хранения данных укажите количество дней, в течение которого требуется хранить полученные от LDAP-сервера данные.

Срок хранения данных об учетных записях изменен.

Запуск задач на обновление данных об учетных записях

После создания подключения к серверу Active Directory задачи на получение данных об учетных записях создаются автоматически. Это происходит в следующих случаях:

• Сразу после создания нового подключения.
• Сразу после изменения параметров существующего подключения.
• Регулярно по расписанию каждые несколько часов. По умолчанию каждые 12 часов. Расписание можно изменить.

Задачи на обновление данных об учетных записях можно создать вручную. Загрузить данные можно для всех подключений требуемого тенанта, так и для одного подключения.

Чтобы запустить задачу на обновление данных об учетных записях для всех LDAP-подключений тенанта:

1. Откройте в веб-интерфейсе KUMA разделе Параметры → LDAP-сервер → Интеграция с LDAP-сервером по тенантам.
2. Выберите требуемый тенант.

   Откроется окно Интеграция с LDAP-сервером.

3. Нажмите на кнопку Импортировать учетные записи.

В разделе Диспетчер задач веб-интерфейса KUMA добавлена задача на получение данных об учетных записях выбранного тенанта.

Чтобы запустить задачу на обновление данных об учетных записях для одного LDAP-подключения тенанта:

1. Откройте в веб-интерфейсе KUMA разделе Параметры → LDAP-сервер → Интеграция с LDAP-сервером по тенантам.
2. Выберите требуемый тенант.

   Откроется окно Интеграция с LDAP-сервером.

3. Выберите требуемое подключение к LDAP-серверу.

   Откроется окно Параметры подключения.

4. Нажмите на кнопку Импортировать учетные записи.

В разделе Диспетчер задач веб-интерфейса KUMA добавлена задача на получение данных об учетных записях из выбранного подключения тенанта.

Удаление подключения к LDAP-серверу

Чтобы удалить LDAP-подключения к Active Directory:

1. Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA и выберите тенант, которому принадлежит нужное подключение к LDAP.

   Откроется окно Интеграция с LDAP-сервером.

2. Нажмите на подключение LDAP, которое вы хотите удалить, а затем нажмите на кнопку Удалить.
3. Подтвердите удаление подключения.

LDAP-подключение к Active Directory удалено.

Аутентификация с помощью доменных учетных записей

Чтобы пользователи могли проходить аутентификацию в веб-интерфейсе KUMA с помощью своих доменных учетных данных, требуется выполнить следующие этапы настройки.

1. Включить доменную аутентификацией, если она отключена

   По умолчанию доменная аутентификация включена, но подключение к домену не настроено.

2. Настроить соединение с контроллером домена

   Доступны следующие соединения:

   • Active Directory (AD)
   • Active Directory Federation Services (ADFS)
   • FreeIPA

   Одновременно могут быть настроены параметры подключения к AD и ADFS.

   Подключение возможно только к одному домену.

3. Добавить группы ролей пользователей

   Вы можете указать для каждой роли KUMA группу домена. Пользователи из этой группы, пройдя аутентификацию с помощью своих доменных учетных данных, будут получать доступ к веб-интерфейсу KUMA в соответствии с указанной ролью.

   При этом программа проверяет соответствие группы пользователя указанному фильтру в порядке следования ролей в веб-интерфейсе KUMA: Младший аналитик → Аналитик первого уровня → Аналитик второго уровня → Администратор тенанта → Главный администратор. При первом совпадении пользователю присваивается роль и дальнейшая проверка не осуществляется. Если для пользователя указано две группы в одном тенанте, то будет использована роль с наименьшими правами. Если указано несколько групп для разных тенантов, то в каждом тенанте пользователю будет присвоена указанная роль.

Особенности входа в систему после настройки доменной аутентификации

Для успешной аутентификации необходимо соблюдать следующие условия:

• FreeIPA: при входе в систему пользователю следует указывать в логине домен заглавными буквами. Пример: user@FREEIPA.COM
• AD/ADFS: при входе в систему пользователю следует указывать в логине UserPrincipalName. Пример: user@domain.ru.

Если вы выполнили все этапы настройки, но пользователь не может пройти аутентификацию в веб-интерфейсе KUMA с помощью своей доменной учетной записи, мы рекомендуем проверить конфигурацию на наличие следующих проблем:

• В свойствах учетной записи пользователя в Active Directory не указан адрес электронной почты. В этом случае при первой аутентификации пользователя отобразится сообщение об ошибке и учетная запись KUMA не будет создана.
• Локальная учетная запись KUMA с адресом электронной почты, указанным в свойствах доменной учетной записи, уже существует. В этом случае при попытке аутентификации с помощью доменной учетной записи пользователь получит сообщение об ошибке.
• Доменная аутентификация отключена в параметрах KUMA.
• Допущена ошибка при вводе группы ролей.
• Доменное имя пользователя содержит пробел.

Включение и выключение доменной аутентификации

По умолчанию доменная аутентификация включена, но подключение к домену не настроено. Если после настройки подключения вы хотите временно приостановить доменную аутентификацию, вы можете отключить ее в веб-интерфейсе KUMA, не удаляя заданные ранее значения параметров. При необходимости вы сможете в любой момент включить аутентификация снова.

Чтобы включить или отключить доменную авторизацию пользователей в веб-интерфейсе KUMA:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В раскрывающемся списке Тип аутентификации выберите один из вариантов:
   • FreeIPA
   • AD/ADFS
3. Выполните одно из следующих действий:
   • Если вы хотите выключить доменную аутентификацию, в верхней части рабочей области установите флажок Выключено.
   • Если вы хотите включить доменную аутентификацию, в верхней части рабочей области снимите флажок Выключено.
4. Нажмите на кнопку Сохранить.

Выбранные настройки будут сохранены и применены.

Настройка соединения KUMA с FreeIPA

Вы можете подключиться только к одному домену FreeIPA. Для этого требуется настроить соединение с контроллером домена.

Чтобы настроить соединение с контроллером домена FreeIPA:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В раскрывающемся списке Тип аутентификации выберите FreeIPA.
3. В блоке параметров FreeIPA в поле База поиска (Base DN) введите DistinguishedName корневой записи для поиска групп доступа в службе каталогов FreeIPA. Формат записи: dc=example,dc=com.
4. В поле URL укажите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.

   Вы можете указать через запятую адреса до трех серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.

5. Если вы хотите использовать TLS-шифрование для соединения с контроллером домена, в раскрывающемся списке Режим TLS выберите один из следующих вариантов:
   • startTLS.

     При использовании метода startTLS сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.

     Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.

   • ssl.

     При использовании SSL сразу устанавливается шифрованное соединение по порту 636.

   • незащищенный.

   При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.

6. Если включено TLS-шифрование, поле Секрет становится обязательным для заполнения и в нем требуется указать секрет с типом certificate. Если вы загрузили секрет ранее, выберите его в раскрывающемся списке Секрет. При необходимости, создайте новый секрет с типом certificate с помощью кнопки и выберите секрет в раскрывающемся списке.
7. В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена. По умолчанию указано значение 0.

   Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа будет обращаться к следующему указанному серверу. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.

8. В раскрывающемся списке Секрет пользовательской интеграции выберите секрет с типом credentials.

   Если вы хотите загрузить новый секрет с типом credentials, справа от списка Секрет пользовательской интеграции нажмите на кнопку . В открывшемся окне Секрет в поле Название введите название секрета, которое будет отображаться в списке после сохранения. В поле Пользователь укажите DistinguishedName в следующем формате: uid=admin,cn=users,cn=accounts,dc=ipa,dc=test. Укажите Пароль и нажмите на кнопку Сохранить.

   Секрет будет загружен и станет доступен для выбора в раскрывающемся списке Секрет пользовательской интеграции.

9. Если вы хотите настроить доменную аутентификацию для пользователя с ролью главного администратора KUMA, в поле Группа главных администраторов укажите DistinguishedName группы FreeIPA, в которой состоит пользователь. Для Главного администратора дополнительные роли активированы в KUMA автоматически, поэтому их не нужно добавлять отдельно.

   В случае когда для пользователя указано несколько групп в одном тенанте, будет использована роль с наибольшими правами и дополнительные роли, если дополнительные роли были назначены.

   Пример ввода фильтра: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain

10. Нажмите на кнопку Сохранить.

Соединение с контроллером домена FreeIPA будет настроено.

Вы также можете проверить соединение для введенных ранее параметров соединения с контроллером домена.

Чтобы проверить соединение с контроллером домена:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В раскрывающемся списке Тип аутентификации выберите FreeIPA.
3. В блоке параметров FreeIPA выберите нужный секрет в поле Данные аутентификации.

   При необходимости вы можете создать новый секрет, нажав на кнопку , или изменить параметры существующего секрета, нажав на кнопку . Если интеграция с FreeIPA включена, выбор секрета всегда сбрасывается при загрузке страницы, даже

4. Нажмите на кнопку Тест.

   После нажатия на кнопку Тест система выполнит проверку соединения с доменом и вернет всплывающее уведомление с результатами теста. Система не выполняет проверку возможности входа в систему и правильность настройки группы пользователей.

Для работы доменной аутентификации требуется также добавить группы для ролей пользователей KUMA.

Вы можете указать группы только для тех ролей, для которых требуется настроить доменную аутентификацию. Остальные поля можно оставить пустыми.

Чтобы добавить группы ролей пользователей:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В блоке параметров Группы администрирования нажмите на кнопку Добавить группы ролей.
3. В раскрывающемся списке Тенант выберите, для пользователей какого тенанта вы хотите настроить доменную аутентификацию. Тенант Shared отображается в раскрывающемся списке, но для него нельзя назначить роль, потому что единственная роль в тенанте Shared - это дополнительная роль Доступ к общим ресурсам, а дополнительные роли в доменной аутентификации не участвуют.
4. В раскрывающемся списке Выбранные роли укажите роли для пользователя. Можно выбрать несколько ролей. Доступны следующие значения:
   • Администратор тенанта.
   • Аналитик второго уровня.
   • Аналитик первого уровня.
   • Младший аналитик.

   После того как вы выберете роли, для каждой роли появится поле фильтра для группы. Укажите DistinguishedName группы домена, пользователи которого должны иметь возможность пройти аутентификацию со своими доменными учетными данными, в полях для каждой роли. Пример ввода группы: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain.

   Для каждого тенанта можно задать отдельный набор фильтров для ролей.

   Если для какой-то из ролей не указан фильтр, это означает что для данной роли не указаны условия создания учетной записи через доменную аутентификацию. Выполнить аутентификацию с такой ролью невозможно.

   После первой аутентификации пользователей под доменной учетной записью в разделе Параметры → Пользователи будут созданы карточки доменных пользователей. Для доменного пользователя в карточке пользователя заблокирована возможность изменения основных ролей (Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик) и доступно добавление и удаление дополнительных ролей (Доступ к КИИ, Работа с НКЦКИ, Доступ к общим ресурсам), включая управление привязкой дополнительных ролей к тенантам. Роли назначенные в разделе Доменной аутентификации и назначенные в карточке пользователя дополняют друг друга. Для Главного администратора дополнительные роли в KUMA активированы автоматически, поэтому не нужно добавлять их отдельно. Если доменному пользователю была присвоена роль Главного администратора, а затем роль Главного администратора отозвана, дополнительные роли нужно будет заново присвоить в карточке пользователя в разделе Параметры → Пользователи.

   Вы можете указать для каждой роли только одну группу домена. Если вам нужно указать несколько групп, для каждой группы требуется повторить шаги 2–4, указывая при этом тот же тенант.

5. Если требуется, повторите шаги 2–4 для каждого тенанта, для которого вы хотите настроить доменную аутентификацию с ролями Младший аналитик, Аналитик первого уровня, Аналитик второго уровня или Администратор тенанта.
6. Нажмите на кнопку Сохранить.

Группы ролей пользователей будут добавлены. Заданные параметры будут применены после следующего входа пользователя в веб-интерфейс KUMA.

После первой аутентификации пользователя информация о нем отобразится в разделе Параметры → Пользователи. Поля Логин и Пароль, полученные из домена, недоступны для редактирования. Роль пользователя также будет недоступна для редактирования: для изменения роли потребуется изменить группы ролей пользователей. Изменения роли применяются после повторной аутентификации пользователя. До истечения текущей сессии пользователь продолжает работу с действующей ролью.

Если в свойствах доменной учетной записи изменяется имя или адрес электронной почты пользователя, требуется вручную внести эти изменения в учетную запись KUMA.

Настройка соединения KUMA с Active Directory

Вы можете подключиться только к одному домену Active Directory. Для этого требуется настроить соединение с контроллером домена.

Чтобы настроить соединение с контроллером домена Active Directory:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В раскрывающемся списке Тип аутентификации выберите AD/ADFS.
3. В блоке параметров Active Directory в поле База поиска (Base DN) введите DistinguishedName корневой записи для поиска групп доступа в службе каталогов Active Directory.
4. В поле URL укажите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.

   Вы можете указать через запятую адреса нескольких серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.

5. Если вы хотите использовать TLS-шифрование для соединения с контроллером домена, в раскрывающемся списке Режим TLS выберите один из следующих вариантов:
   • startTLS.

     При использовании метода startTLS сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.

     Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.

   • ssl.

     При использовании SSL сразу устанавливается шифрованное соединение по порту 636.

   • незащищенный.

   При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.

6. Если на предыдущем шаге вы включили TLS-шифрование, добавьте TLS-сертификат:
   • Если вы загрузили сертификат ранее, выберите его в раскрывающемся списке Секрет.

     Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.

   • Если вы хотите загрузить новый сертификат, справа от списка Секрет нажмите на кнопку . В открывшемся окне в поле Название введите название, которое будет отображаться в списке сертификатов после его добавления. Добавьте файл с сертификатом Active Directory (поддерживаются открытые ключи сертификата X.509 в Base64), нажав на кнопку Загрузить файл сертификата. Нажмите на кнопку Сохранить.

     Сертификат будет загружен и отобразится в списке Секрет.

7. В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.

   Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа будет обращаться к следующему указанному серверу. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.

8. Если вы хотите настроить доменную аутентификацию для пользователя с ролью главного администратора KUMA, в поле Группа главных администраторов укажите DistinguishedName группы Active Directory, в которой состоит пользователь. Для Главного администратора дополнительные роли активированы в KUMA автоматически и поэтому их не нужно добавлять отдельно.

   В случае когда для пользователя указано несколько групп в одном тенанте, будет использована роль с наибольшими правами и дополнительные роли, если дополнительные роли были назначены.

   Пример ввода фильтра: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain

9. Нажмите на кнопку Сохранить.

Соединение с контроллером домена Active Directory будет настроено.

Вы также можете проверить соединение для введенных ранее параметров соединения с контроллером домена.

Чтобы проверить соединение с контроллером домена:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В раскрывающемся списке Тип аутентификации выберите AD/ADFS.
3. В блоке параметров Проверка подключения выберите нужный секрет в поле Данные аутентификации.

   При необходимости вы можете создать новый секрет, нажав на кнопку , или изменить параметры существующего секрета, нажав на кнопку .

   В поле Пользователь доступны следующие форматы указания пользователя: UserPrincipalName и domain\user.

4. Нажмите на кнопку Тест.

   После нажатия на кнопку Тест система выполнит проверку соединения с доменом и вернет всплывающее уведомление с результатами теста. Система не выполняет проверку возможности входа в систему и правильность настройки группы пользователей.

Для работы доменной аутентификации требуется также добавить группы для ролей пользователей KUMA.

Вы можете указать группы только для тех ролей, для которых требуется настроить доменную аутентификацию. Остальные поля можно оставить пустыми.

Чтобы добавить группы ролей пользователей:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В блоке параметров Группы администрирования нажмите на кнопку Добавить группы ролей.
3. В раскрывающемся списке Тенант выберите, для пользователей какого тенанта вы хотите настроить доменную аутентификацию. Тенант Shared отображается в раскрывающемся списке, но для него нельзя назначить роль, потому что единственная роль в тенанте Shared - это дополнительная роль Доступ к общим ресурсам, а дополнительные роли в доменной аутентификации не участвуют.
4. В раскрывающемся списке Выбранные роли укажите роли для пользователя. Можно выбрать несколько ролей. Доступны следующие значения:
   • Администратор тенанта.
   • Аналитик второго уровня.
   • Аналитик первого уровня.
   • Младший аналитик.

   После того как вы выберете роли, для каждой роли появится поле фильтра для группы. Укажите DistinguishedName группы домена, пользователи которого должны иметь возможность пройти аутентификацию со своими доменными учетными данными, в полях для каждой роли. Пример ввода группы: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain.

   Для каждого тенанта можно задать отдельный набор фильтров для ролей.

   Если для какой-то из ролей не указан фильтр, это означает что для данной роли не указаны условия создания учетной записи через доменную аутентификацию. Выполнить аутентификацию с такой ролью невозможно.

   После первой аутентификации пользователей под доменной учетной записью в разделе Параметры → Пользователи будут созданы карточки доменных пользователей. Для доменного пользователя в карточке пользователя заблокирована возможность изменения основных ролей (Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик) и доступно добавление и удаление дополнительных ролей (Доступ к КИИ, Работа с НКЦКИ, Доступ к общим ресурсам), включая управление привязкой дополнительных ролей к тенантам. Роли назначенные в разделе Доменной аутентификации и назначенные в карточке пользователя дополняют друг друга. Для Главного администратора дополнительные роли в KUMA активированы автоматически, поэтому не нужно добавлять их отдельно. Если доменному пользователю была присвоена роль Главного администратора, а затем роль Главного администратора отозвана, дополнительные роли нужно будет заново присвоить в карточке пользователя в разделе Параметры → Пользователи.

   Вы можете указать для каждой роли только одну группу домена. Если вам нужно указать несколько групп, для каждой группы требуется повторить шаги 2–4, указывая при этом тот же тенант.

5. Если требуется, повторите шаги 2–4 для каждого тенанта, для которого вы хотите настроить доменную аутентификацию с ролями Младший аналитик, Аналитик первого уровня, Аналитик второго уровня или Администратор тенанта.
6. Нажмите на кнопку Сохранить.

Группы ролей пользователей будут добавлены. Заданные параметры будут применены после следующего входа пользователя в веб-интерфейс KUMA.

После первой аутентификации пользователя информация о нем отобразится в разделе Параметры → Пользователи. Поля Логин и Пароль, полученные из домена, недоступны для редактирования. Роль пользователя также будет недоступна для редактирования: для изменения роли потребуется изменить группы ролей пользователей. Изменения роли применяются после повторной аутентификации пользователя. До истечения текущей сессии пользователь продолжает работу с действующей ролью.

Если в свойствах доменной учетной записи изменяется имя или адрес электронной почты пользователя, требуется вручную внести эти изменения в учетную запись KUMA.

Настройка соединения KUMA с Active Directory Federation Services

Чтобы настроить доменную аутентификацию в KUMA и обеспечить для пользователей возможность входа в KUMA под учетной записью без указания логина и пароля, необходимо предварительно создать группу подключения и настроить правила на стороне ADFS или убедиться, что необходимые группы подключения и правила уже существуют.

После настройки на странице входа в KUMA появится кнопка Вход через ADFS.

Кнопка Вход через ADFS будет скрыта на странице входа в KUMA при следующих условиях:

• Если в раскрывающемся списке Тип аутентификации выбран пункт FreeIPA.
• Если в раскрывающемся списке Тип аутентификации выбран пункт AD/ADFS и настройки для ADFS отсутствуют или установлен флажок Выключено для настроек ADFS.

Вы можете подключиться только к одному домену ADFS. Для этого требуется настроить соединение с контроллером домена.

Чтобы настроить соединение с контроллером домена ADFS:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В раскрывающемся списке Тип аутентификации выберите AD/ADFS.
3. В блоке параметров Active Directory Federation Services в поле Идентификатор клиента укажите идентификатор KUMA из поля Client ID в ADFS.
4. В поле Идентификатор доверенной стороны укажите идентификатор KUMA из поля Relying party identifiers в ADFS.
5. Укажите URI для получения метаданных Connect из поля Connect Metadata URI. Параметр состоит из хоста, на котором расположен ADFS (https://adfs.example.com), и настройки endpoint (/adfs/.well-known/openid-configuration).

   Например, https://adfs.example.com/adfs/.well-known/openid-configuration).

6. Укажите URL для перенаправления из ADFS из поля Redirect URL в ADFS. Значение поля Redirect URL в ADFS указывается при настройке Application group. В ADFS необходимо указать FQDN KUMA и подстроку </sso-callback>. В KUMA URL необходимо указать без подстроки, например, https://kuma-example:7220
7. Если вы хотите настроить доменную аутентификацию для пользователя с ролью главного администратора KUMA, в поле Группа главных администраторов укажите DistinguishedName группы Active Directory Federation Services, в которой состоит пользователь. Для Главного администратора дополнительные роли активированы в KUMA автоматически, поэтому их не нужно добавлять отдельно.

   В случае когда для пользователя указано несколько групп в одном тенанте, будет использована роль с наибольшими правами и дополнительными правами, если дополнительные роли были назначены.

   Пример ввода фильтра: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain

8. Нажмите на кнопку Сохранить.

Соединение с контроллером домена Active Directory Federation Services будет настроено.

Для работы доменной аутентификации требуется также добавить группы для ролей пользователей KUMA.

Вы можете указать группы только для тех ролей, для которых требуется настроить доменную аутентификацию. Остальные поля можно оставить пустыми.

Чтобы добавить группы ролей пользователей:

1. В веб-интерфейсе программы выберите раздел Параметры → Доменная аутентификация.
2. В блоке параметров Группы администрирования нажмите на кнопку Добавить группы ролей.
3. В раскрывающемся списке Тенант выберите, для пользователей какого тенанта вы хотите настроить доменную аутентификацию. Тенант Shared отображается в раскрывающемся списке, но для него нельзя назначить роль, потому что единственная роль в тенанте Shared - это дополнительная роль Доступ к общим ресурсам, а дополнительные роли в доменной аутентификации не участвуют.
4. В раскрывающемся списке Выбранные роли укажите роли для пользователя. Можно выбрать несколько ролей. Доступны следующие значения:
   • Администратор тенанта.
   • Аналитик второго уровня.
   • Аналитик первого уровня.
   • Младший аналитик.

   После того как вы выберете роли, для каждой роли появится поле фильтра для группы. Укажите DistinguishedName группы домена, пользователи которого должны иметь возможность пройти аутентификацию со своими доменными учетными данными, в полях для каждой роли. Пример ввода группы: CN=KUMA team,OU=Groups,OU=Clients,DC=test,DC=domain.

   Для каждого тенанта можно задать отдельный набор фильтров для ролей.

   Если для какой-то из ролей не указан фильтр, это означает что для данной роли не указаны условия создания учетной записи через доменную аутентификацию. Выполнить аутентификацию с такой ролью невозможно.

   После первой аутентификации пользователей под доменной учетной записью в разделе Параметры → Пользователи будут созданы карточки доменных пользователей. Для доменного пользователя в карточке пользователя заблокирована возможность изменения основных ролей (Главный администратор, Администратор тенанта, Аналитик второго уровня, Аналитик первого уровня, Младший аналитик) и доступно добавление и удаление дополнительных ролей (Доступ к КИИ, Работа с НКЦКИ, Доступ к общим ресурсам), включая управление привязкой дополнительных ролей к тенантам. Роли назначенные в разделе Доменной аутентификации и назначенные в карточке пользователя дополняют друг друга. Для Главного администратора дополнительные роли в KUMA активированы автоматически, поэтому не нужно добавлять их отдельно. Если доменному пользователю была присвоена роль Главного администратора, а затем роль Главного администратора отозвана, дополнительные роли нужно будет заново присвоить в карточке пользователя в разделе Параметры → Пользователи.

   Вы можете указать для каждой роли только одну группу домена. Если вам нужно указать несколько групп, для каждой группы требуется повторить шаги 2–4, указывая при этом тот же тенант.

5. Если требуется, повторите шаги 2–4 для каждого тенанта, для которого вы хотите настроить доменную аутентификацию с ролями Младший аналитик, Аналитик первого уровня, Аналитик второго уровня или Администратор тенанта.
6. Нажмите на кнопку Сохранить.

Группы ролей пользователей будут добавлены. Заданные параметры будут применены после следующего входа пользователя в веб-интерфейс KUMA.

После первой аутентификации пользователя информация о нем отобразится в разделе Параметры → Пользователи. Поля Логин и Пароль, полученные из домена, недоступны для редактирования. Роль пользователя также будет недоступна для редактирования: для изменения роли потребуется изменить группы ролей пользователей. Изменения роли применяются после повторной аутентификации пользователя. До истечения текущей сессии пользователь продолжает работу с действующей ролью.

Если в свойствах доменной учетной записи изменяется имя или адрес электронной почты пользователя, требуется вручную внести эти изменения в учетную запись KUMA.

Настройка подключения на стороне Active Directory Federation Services

В этом разделе приведены инструкции по созданию новой группы подключения и настройке правил для созданной группы подключения на стороне Active Directory Federation Services (ADFS).

На сервере должна быть уже настроена роль ADFS.

Создание новой группы подключения

1. В Server Manager в меню Tools выберите ADFS Management.

   В ADFS выберите раздел Application groups и в разделе Actions нажмите Add Application Group.

2. В открывшемся окне Add Application Group Wizard в разделе Welcome в поле Name укажите имя новой группы подключения. Пример: new-application-group.

   В поле Template в группе Client-Server applications выберите пункт Native application accessing a web API.

   Чтобы перейти к следующему этапу создания и настройки группы подключения, нажмите Next.

3. В открывшемся разделе Native application поля Name и

    Client Identifier

    заполняются автоматически.

   Значение поля Client Identifier понадобится указать в KUMA в поле Client Identifier при настройке доменной аутентификации.

   В поле

    

   Redirect URI введите URI для перенаправления из ADFS с обязательным указанием подстроки /sso-callback и нажмите Add. Пример: https://adfs.example.com:7220/sso-callback

   Чтобы перейти к следующему этапу настройки, нажмите Next.

4. В открывшемся разделе Configure Web API в поле Identifiers добавьте идентификатор доверенной стороны и нажмите Add. Значение может быть любым. Пример: test-demo

   Значение поля Identifier понадобится указать в KUMA в поле Relying party identifiers при настройке доменной аутентификации.

   Чтобы перейти к следующему этапу настройки, нажмите Next.

5. В открывшемся разделе Apply Access Control Policy выберите значение политики Permit everyone.

   Чтобы перейти к следующему этапу настройки, нажмите Next.

6. В открывшемся разделе Configure Application Permissions поле Client application заполняется автоматически.

   В поле Permitted scopes установите флажок для опций allatclaims и openid.

   Чтобы перейти к следующему этапу настройки, нажмите Next.

7. В открывшемся разделе Summary проверьте настройки.

   Если настройки верны и вы готовы добавить группу, нажмите Next.

Новая группа добавлена. Вы можете перейти к настройке правил для созданной группы.

Добавление правил для группы подключения

1. В Server Manager в меню Tools выберите ADFS Management.

   В ADFS выберите раздел Application groups и в открывшемся окне выберите из списка необходимую группу подключения. Пример: new-application-group.

2. В окне Application groups в разделе Actions нажмите Properties.

   В открывшемся окне new-application-group Properties в разделе Applications выберите двойным нажатием new-application-group - Web API.

   В открывшемся окне new-application-group - Web API Properties перейдите на вкладку 

   Issuance Transform Rules

    и нажмите Add rule.

   В открывшемся окне Add Transform Claim Rule Wizard в разделе Choose Rule Type выберите в раскрывающемся списке Send LDAP Attributes as Claims.

   Чтобы перейти к следующему этапу настройки, нажмите Next.

3. В разделе Configure Claim Rule в поле Claim rule name укажите имя правила. Пример: rule-name-01.

   В раскрывающемся списке Attribute store выберите Active directory.

   В поле Mapping of LDAP attributes to outgoing claim types сопоставьте следующие поля:

   LDAP Attribute	Outgoing Claim Type
   User-Principal-Name	userPrincipalName
   Display-Name	displayName
   E-Mail-Addresses	mail
   Is-Member-Of-DL	MemberOf

   Чтобы завершить настройку, нажмите Finish.

4. Вернитесь к окну new-application-group – Web API Properties перейдите на вкладку 

   Issuance Transform Rules

    и нажмите Add rule. В открывшемся окне Add Transform Claim Rule Wizard в разделе Choose Rule Type выберите в раскрывающемся списке Send claims using a custom rule.

   Чтобы продолжить настройку, нажмите Next.

5. В разделе Configure Claim Rule в поле Claims rule name укажите имя правила. Пример: rule-name-02.

   В поле Custom rule укажите следующие параметры: 

   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory", types = ("ObjectGUID"), query = ";ObjectGUID;{0}", param = c.Value);

   Чтобы завершить настройку, нажмите Finish.

6. Система выполнит переход к окну new-application-group – Web API Properties и вкладке Issuance Transform Rules.

   Чтобы применить правила, на открывшейся вкладке Issuance Transform Rules нажмите Apply или OK.

Настройка групп и правил в ADFS завершена. Вы можете переходить к настройке доменной аутентификации в KUMA.

Устранение ошибки Access denied

При попытке входа в KUMA через ADFS может появляться всплывающее сообщение Access denied или Недостаточно прав. В журнале ядра KUMA будет отображаться ошибка Data source certificate has been changed.

Эта ошибка свидетельствует о том, что изменился сертификат ADFS. Чтобы исправить ошибку и возобновить доменную аутентификацию, следует в настройках соединения с контроллером домена нажать на кнопку Сбросить сертификат. Новый сертификат будет сформирован автоматически.