Создание подключения к LDAP-серверу

Чтобы создать LDAP-подключение к Active Directory:

  1. В веб-интерфейсе KUMA откройте раздел ПараметрыИнтеграцииLDAP-сервер.
  2. Выберите или создайте тенант, для которого хотите создать подключение к LDAP.
  3. В окне Интеграция с LDAP-сервером по тенантам нажмите на кнопку Добавить параметры для нового тенанта.
  4. В окне Интеграция с LDAP-сервером перейдите в блок Подключения и нажмите на кнопку Создать.

    Откроется окно Создать подключения.

  5. С помощью переключателя Состояние включите подключение, если хотите использовать это LDAP-подключение.
  6. Укажите уникальное имя LDAP-подключения. Длина должна быть от 1 до 128 символов в кодировке Unicode.
  7. В раскрывающемся списке выберите секрет с учетными данными для подключения к серверу Active Directory. Для этого выполните следующие действия:
    1. Если вы добавили секрет ранее, в раскрывающемся списке Секрет выберите существующий секрет типа credentials.
    2. Если вы хотите создать новый секрет, нажмите Создать.

      Откроется окно Создание секрета.

    3. В поле Название введите название секрета: от 1 до 128 символов в кодировке Unicode.
    4. В полях Пользователь и Пароль введите учетные данные для подключения к серверу Active Directory.

      Вы можете указать имя пользователя в одном из следующих форматов: <имя пользователя>@<домен> или <домен><имя пользователя>.

    5. В раскрывающемся списке Теги выберите теги для секрета.
    6. В поле Описание введите описание секрета до 4000 символов в кодировке Unicode.
    7. Нажмите на кнопку Создать.
  8. В поле URL введите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.

    При необходимости с помощью кнопки Добавить укажите адреса нескольких серверов с контроллерами домена, которые могут потребоваться в случае недоступности одного из серверов. Все указанные серверы должны находиться в одном домене. В одном поле можно указать только один сервер с контроллером домена. Если первый контроллер домена недоступен, система подключается к следующему в списке, а затем к следующему, пока не установит соединение.

  9. Выберите один из следующих типов TLS-шифрования для соединения с контроллером домена:
    • LDAPS.

      При использовании LDAPS сразу устанавливается шифрованное соединение по порту 636. Этот тип TLS-шифрования установлен по умолчанию.

    • startTLS.

      При использовании метода startTLS сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.

      Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.

    • Незащищенный.

    При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.

  10. В поле Сертификат укажите TLS-сертификат. В раскрывающемся списке создайте или укажите существующий сертификат аккредитованного центра сертификации, которым подписан сертификат LDAP-сервера. Невозможно использовать пользовательские сертификаты.
    • Если у вас уже есть сертификат, его можно выбрать в раскрывающемся списке.
    • Если вы хотите создать сертификат:
      1. В раскрывающемся списке Сертификат выберите Создать.

        Откроется окно Создание секрета.

      2. В поле Название введите название, которое будет отображаться в списке сертификатов после его добавления.
      3. Нажмите на кнопку Загрузить сертификат, чтобы добавить файл с сертификатом Active Directory. Поддерживаются открытые ключи сертификата X.509 в кодировке Base64.
      4. При необходимости в раскрывающемся списке Теги выберите теги для сертификата.
      5. Если нужно, укажите любую информацию о сертификате в поле Описание.
      6. Нажмите на кнопку Создать.

      Сертификат будет загружен и отобразится в списке Сертификат.

    Поле Сертификат не является обязательным, если вы выбрали тип TLS-шифрования Незащищенный.

  11. В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.

    Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа обратится к следующему указанному серверу и т.д. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.

  12. В поле База поиска (Base DN)  введите базовое отличительное имя каталога, в котором должен выполняться поисковый запрос.
  13. В поле Пользовательские поля учетных записей AD укажите дополнительные атрибуты, с использованием которых вы хотите обогащать события.
  14. Нажмите на кнопку Создать.

LDAP-подключение к Active Directory создано и отображается в окне Интеграция с LDAP-сервером.

Информация об учетных записях из Active Directory будет запрошена сразу после сохранения подключения, а затем будет обновляться с указанной периодичностью.

Если вы хотите использовать одновременно несколько LDAP-подключений для одного тенанта, вам нужно убедиться, что адрес контроллера домена, указанный в каждом из этих подключений, является уникальным. Иначе KUMA позволяет включить только одно из этих подключений. Порт при проверке адреса контроллера домена на уникальность не проверяется.

В начало