Чтобы создать LDAP-подключение к Active Directory:
В веб-интерфейсе KUMA откройте раздел Параметры → Интеграции → LDAP-сервер.
Выберите или создайте тенант, для которого хотите создать подключение к LDAP.
В окне Интеграция с LDAP-сервером по тенантам нажмите на кнопку Добавить параметры для нового тенанта.
В окне Интеграция с LDAP-сервером перейдите в блок Подключения и нажмите на кнопку Создать.
Откроется окно Создать подключения.
С помощью переключателя Состояние включите подключение, если хотите использовать это LDAP-подключение.
Укажите уникальное имя LDAP-подключения. Длина должна быть от 1 до 128 символов в кодировке Unicode.
В раскрывающемся списке выберите секрет с учетными данными для подключения к серверу Active Directory. Для этого выполните следующие действия:
Если вы добавили секрет ранее, в раскрывающемся списке Секрет выберите существующий секрет типа credentials.
Если вы хотите создать новый секрет, нажмите Создать.
Откроется окно Создание секрета.
В поле Название введите название секрета: от 1 до 128 символов в кодировке Unicode.
В полях Пользователь и Пароль введите учетные данные для подключения к серверу Active Directory.
Вы можете указать имя пользователя в одном из следующих форматов: <имя пользователя>@<домен> или <домен><имя пользователя>.
В раскрывающемся списке Теги выберите теги для секрета.
В поле Описание введите описание секрета до 4000 символов в кодировке Unicode.
Нажмите на кнопку Создать.
В поле URL введите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.
При необходимости с помощью кнопки Добавить укажите адреса нескольких серверов с контроллерами домена, которые могут потребоваться в случае недоступности одного из серверов. Все указанные серверы должны находиться в одном домене. В одном поле можно указать только один сервер с контроллером домена. Если первый контроллер домена недоступен, система подключается к следующему в списке, а затем к следующему, пока не установит соединение.
Выберите один из следующих типов TLS-шифрования для соединения с контроллером домена:
LDAPS.
При использовании LDAPS сразу устанавливается шифрованное соединение по порту 636. Этот тип TLS-шифрования установлен по умолчанию.
startTLS.
При использовании метода startTLS сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.
Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.
Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.
Незащищенный.
При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.
В поле Сертификат укажите TLS-сертификат. В раскрывающемся списке создайте или укажите существующий сертификат аккредитованного центра сертификации, которым подписан сертификат LDAP-сервера. Невозможно использовать пользовательские сертификаты.
Если у вас уже есть сертификат, его можно выбрать в раскрывающемся списке.
Если вы хотите создать сертификат:
В раскрывающемся списке Сертификат выберите Создать.
Откроется окно Создание секрета.
В поле Название введите название, которое будет отображаться в списке сертификатов после его добавления.
Нажмите на кнопку Загрузить сертификат, чтобы добавить файл с сертификатом Active Directory. Поддерживаются открытые ключи сертификата X.509 в кодировке Base64.
При необходимости в раскрывающемся списке Теги выберите теги для сертификата.
Если нужно, укажите любую информацию о сертификате в поле Описание.
Нажмите на кнопку Создать.
Сертификат будет загружен и отобразится в списке Сертификат.
Поле Сертификат не является обязательным, если вы выбрали тип TLS-шифрования Незащищенный.
В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.
Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа обратится к следующему указанному серверу и т.д. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.
В поле База поиска (Base DN) введите базовое отличительное имя каталога, в котором должен выполняться поисковый запрос.
Невозможно добавить стандартные Импортируемые атрибуты из AD в качестве пользовательских. Например, если вы захотите добавить стандартный атрибут accountExpires в качестве пользовательского атрибута, при сохранении параметров подключения KUMA вернет ошибку.
Из Active Directory можно запросить следующие атрибуты учетных записей:
accountExpires
badPasswordTime
cn
company
department
displayName
distinguishedName
division
employeeID
ipaUniqueID
l
mail
mailNickname
managedObjects
manager
memberOf (по этому атрибуту события можно искать при корреляции)
mobile
objectGUID (этот атрибут запрашивается из Active Directory всегда)
objectSid
physicalDeliveryOfficeName
sAMAccountName
sAMAccountType
sn
streetAddress
telephoneNumber
title
userAccountControl
userPrincipalName
whenChanged
whenCreated
После того, как вы добавите пользовательские атрибуты в Параметрах подключения к LDAP, раскрывающийся список LDAP-атрибуты в коллекторе будет автоматически дополнен. Пользовательские атрибуты можно отличить по знаку вопроса рядом с именем атрибута. Если для нескольких доменов вы добавили один и тот же атрибут, в раскрывающемся списке атрибут будет указан один раз, а домены можно просмотреть, если навести курсор на знак вопроса. Названия доменов отображаются в виде ссылок: если вы нажмете на ссылку, домен автоматически добавится в Сопоставление с учетными записями LDAP, если прежде он не был добавлен.
Если вы удалили пользовательский атрибут в Параметрах подключения к LDAP, удалите вручную строку с атрибутом из таблицы сопоставления в коллекторе. Информация об атрибутах учетных записей в KUMA обновляется каждый раз после того, как вы выполните импорт учетных записей.
После перезапуска коллектора KUMA начнет обогащать события учётными записями.
Нажмите на кнопку Создать.
LDAP-подключение к Active Directory создано и отображается в окне Интеграция с LDAP-сервером.
Информация об учетных записях из Active Directory будет запрошена сразу после сохранения подключения, а затем будет обновляться с указанной периодичностью.
Если вы хотите использовать одновременно несколько LDAP-подключений для одного тенанта, вам нужно убедиться, что адрес контроллера домена, указанный в каждом из этих подключений, является уникальным. Иначе KUMA позволяет включить только одно из этих подключений. Порт при проверке адреса контроллера домена на уникальность не проверяется.