Создание подключения к LDAP-серверу

Чтобы создать LDAP-подключение к Active Directory:

Откройте раздел Параметры → LDAP-сервер веб-интерфейса KUMA.
Выберите или создайте тенант, для которого хотите создать подключение к LDAP.
Откроется окно Интеграция с LDAP-сервером по тенантам.
Нажмите на кнопку Добавить подключение.
Откроется окно Параметры подключения.
Добавьте секрет с учетными данными для подключения к серверу Active Directory. Для этого выполните следующие действия:
1. Если вы добавили секрет ранее, в раскрывающемся списке Секрет выберите существующий секрет типа credentials.
  Выбранный секрет можно изменить, нажав на кнопку .
2. Если вы хотите создать секрет, нажмите на кнопку .
  Откроется окно Секрет.
3. В поле Название (обязательно) введите название секрета: от 1 до 128 символов в кодировке Unicode.
4. В полях Пользователь и Пароль (обязательно) введите учетные данные для подключения к серверу Active Directory.
  Вы можете указать имя пользователя в одном из следующих форматов: <имя пользователя>@<домен> или <домен><имя пользователя>.
5. В поле Описание введите описание до 4000 символов в кодировке Unicode.
6. Нажмите на кнопку Сохранить.
В поле Название (обязательно) введите уникальное имя LDAP-подключения.
Длина должна быть от 1 до 128 символов в кодировке Unicode.
В поле URL (обязательно) введите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.
Вы можете указать через запятую адреса нескольких серверов с контроллерами домена на случай, если один из них будет недоступен. Все указанные серверы должны находиться в одном домене.
Если вы хотите использовать TLS-шифрование для соединения с контроллером домена, в раскрывающемся списке Тип выберите один из следующих вариантов:
- startTLS.
  При использовании метода
  startTLS
  Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.
  
  сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.
  
  Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.
- LDAPS.
  При использовании LDAPS сразу устанавливается шифрованное соединение по порту 636.
- незащищенный.
При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.
Если на предыдущем шаге вы включили TLS-шифрование, добавьте TLS-сертификат. Следует использовать сертификат удостоверяющего центра, которым подписан сертификат сервера LDAP. Пользовательские сертификаты использовать нельзя. Чтобы добавить сертификат:
1. Если вы загрузили сертификат ранее, выберите его в раскрывающемся списке Сертификат.
  Если ранее не было добавлено ни одного сертификата, в раскрывающемся списке отобразится Нет данных.
2. Если вы хотите загрузить новый сертификат, справа от списка Сертификат нажмите на кнопку .
  Откроется окно Секрет.
3. В поле Название введите название, которое будет отображаться в списке сертификатов после его добавления.
4. По кнопке Загрузить файл сертификата добавьте файл с сертификатом Active Directory. Поддерживаются открытые ключи сертификата X.509 в Base64.
5. Если требуется, укажите любую информацию о сертификате в поле Описание.
6. Нажмите на кнопку Сохранить.
Сертификат будет загружен и отобразится в списке Сертификат.
В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.
Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, приложение обратится к следующему указанному Серверу и т.д. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.
В поле База поиска (Base DN) введите базовое отличительное имя каталога, в котором должен выполняться поисковый запрос.
В поле Пользовательские атрибуты учетных записей AD укажите дополнительные атрибуты, с использованием которых вы хотите обогащать события.
Перед настройкой обогащения событий с помощью пользовательских атрибутов убедитесь, что пользовательские атрибуты настроены в AD.

Чтобы обогащать события учетными записями с помощью пользовательских атрибутов:
1. Добавьте Пользовательские атрибуты учетных записей AD в Параметрах подключения к LDAP.
  Невозможно добавить стандартные Импортируемые атрибуты из AD в качестве пользовательских. Например, если вы захотите добавить стандартный атрибут accountExpires в качестве пользовательского атрибута, при сохранении параметров подключения KUMA вернет ошибку.
  Из Active Directory можно запросить следующие атрибуты учетных записей:
  - accountExpires
  - badPasswordTime
  - cn
  - co
  - company
  - department
  - description
  - displayName
  - distinguishedName
  - division
  - employeeID
  - givenName
  - l
  - lastLogon
  - lastLogonTimestamp
  - Mail
  - mailNickname
  - managedObjects
  - manager
  - memberOf (по этому атрибуту события можно искать при корреляции)
  - mobile
  - name
  - objectCategory
  - objectGUID (этот атрибут запрашивается из Active Directory всегда)
  - objectSID
  - physicalDeliveryOfficeName
  - pwdLastSet
  - sAMAccountName
  - sAMAccountType
  - sn
  - streetAddress
  - telephoneNumber
  - title
  - userAccountControl
  - UserPrincipalName
  - whenChanged
  - whenCreated
  После того, как вы добавите пользовательские атрибуты в Параметрах подключения к LDAP, раскрывающийся список LDAP-атрибуты в коллекторе будет автоматически дополнен. Пользовательские атрибуты можно отличить по знаку вопроса рядом с именем атрибута. Если вы добавили один и тот же атрибут для нескольких доменов, атрибут отображается в раскрывающемся списке только один раз. Вы можете просмотреть домены, наведя курсор на вопросительный знак. Названия доменов отображаются в виде ссылок. Если вы нажмете на ссылку, домен автоматически добавится в Сопоставление с учетными записями LDAP, если прежде он не был добавлен.
  
  Если вы удалили пользовательский атрибут в Параметрах подключения к LDAP, удалите вручную строку с атрибутом из таблицы сопоставления в коллекторе. Информация об атрибутах учетных записей в KUMA обновляется каждый раз после того, как вы выполните импорт учетных записей.
2. Импортируйте учетные записи.
3. В коллекторе в таблице Обогащение полей KUMA задайте правила сопоставления полей KUMA с атрибутами LDAP.
4. Перезапустите коллектор.
  После перезапуска коллектора KUMA начнет обогащать события учетными записями.
Установите флажок Выключено, если не хотите использовать это LDAP-подключение.
По умолчанию флажок снят.
Нажмите на кнопку Сохранить.

LDAP-подключение к Active Directory создано и отображается в окне Интеграция с LDAP-сервером.

Информация об учетных записях из Active Directory будет запрошена сразу после сохранения подключения, а затем будет обновляться с указанной периодичностью.

Если вы хотите использовать одновременно несколько LDAP-подключений для одного тенанта, вам нужно убедиться, что адрес контроллера домена, указанный в каждом из этих подключений, является уникальным. В противном случае KUMA позволяет включить только одно из этих подключений. Порт при проверке адреса контроллера домена на уникальность не проверяется.

Идентификатор статьи: 217795, Последнее изменение: 18 апр. 2025 г.

В начало