Создание подключения к LDAP-серверу

Чтобы создать LDAP-подключение к Active Directory:

1. В веб-интерфейсе KUMA откройте раздел Параметры → Интеграции → LDAP-сервер.
2. Выберите или создайте тенант, для которого хотите создать подключение к LDAP.
3. В окне Интеграция с LDAP-сервером по тенантам нажмите на кнопку Добавить параметры для нового тенанта.
4. В окне Интеграция с LDAP-сервером перейдите в блок Подключения и нажмите на кнопку Создать.

   Откроется окно Создать подключения.

5. С помощью переключателя Состояние включите подключение, если хотите использовать это LDAP-подключение.
6. Укажите уникальное имя LDAP-подключения. Длина должна быть от 1 до 128 символов в кодировке Unicode.
7. В раскрывающемся списке выберите секрет с учетными данными для подключения к серверу Active Directory. Для этого выполните следующие действия:
   1. Если вы добавили секрет ранее, в раскрывающемся списке Секрет выберите существующий секрет типа credentials.
   2. Если вы хотите создать новый секрет, нажмите Создать.

      Откроется окно Создание секрета.

   3. В поле Название введите название секрета: от 1 до 128 символов в кодировке Unicode.
   4. В полях Пользователь и Пароль введите учетные данные для подключения к серверу Active Directory.

      Вы можете указать имя пользователя в одном из следующих форматов: <имя пользователя>@<домен> или <домен><имя пользователя>.

   5. В раскрывающемся списке Теги выберите теги для секрета.
   6. В поле Описание введите описание секрета до 4000 символов в кодировке Unicode.
   7. Нажмите на кнопку Создать.
8. В поле URL введите адрес контроллера домена в формате <hostname или IP-адрес сервера>:<порт>.

   При необходимости с помощью кнопки Добавить укажите адреса нескольких серверов с контроллерами домена, которые могут потребоваться в случае недоступности одного из серверов. Все указанные серверы должны находиться в одном домене. В одном поле можно указать только один сервер с контроллером домена. Если первый контроллер домена недоступен, система подключается к следующему в списке, а затем к следующему, пока не установит соединение.

9. Выберите один из следующих типов TLS-шифрования для соединения с контроллером домена:
   • LDAPS.

     При использовании LDAPS сразу устанавливается шифрованное соединение по порту 636. Этот тип TLS-шифрования установлен по умолчанию.

   • startTLS.

     При использовании метода startTLS сначала устанавливается незащищенное соединение по порту 389, а затем отправляется запрос на шифрование. Если команда STARTTLS завершается с ошибкой, соединение обрывается.

     Расширение обычного протокола текстового обмена, которое позволяет создать зашифрованное соединение (TLS или SSL) прямо поверх обычного TCP-соединения вместо открытия для шифрованного соединения отдельного порта.

     Убедитесь, что порт 389 открыт. В противном случае соединение с контроллером домена будет невозможно.

   • Незащищенный.

   При использовании шифрованного соединения невозможно указать IP-адрес в качестве URL.

10. В поле Сертификат укажите TLS-сертификат. В раскрывающемся списке создайте или укажите существующий сертификат аккредитованного центра сертификации, которым подписан сертификат LDAP-сервера. Невозможно использовать пользовательские сертификаты.
    • Если у вас уже есть сертификат, его можно выбрать в раскрывающемся списке.
    • Если вы хотите создать сертификат:
      1. В раскрывающемся списке Сертификат выберите Создать.

         Откроется окно Создание секрета.

      2. В поле Название введите название, которое будет отображаться в списке сертификатов после его добавления.
      3. Нажмите на кнопку Загрузить сертификат, чтобы добавить файл с сертификатом Active Directory. Поддерживаются открытые ключи сертификата X.509 в кодировке Base64.
      4. При необходимости в раскрывающемся списке Теги выберите теги для сертификата.
      5. Если нужно, укажите любую информацию о сертификате в поле Описание.
      6. Нажмите на кнопку Создать.

      Сертификат будет загружен и отобразится в списке Сертификат.

    Поле Сертификат не является обязательным, если вы выбрали тип TLS-шифрования Незащищенный.

11. В поле Время ожидания в секундах укажите, сколько времени требуется ожидать ответа от сервера контроллера домена.

    Если в поле URL указано несколько адресов, то KUMA будет ждать ответа от первого сервера указанное количество секунд. Если за это время ответ не будет получен, программа обратится к следующему указанному серверу и т.д. Если ни один из указанных серверов не ответит в течение заданного времени, подключение будет прервано с ошибкой.

12. В поле База поиска (Base DN)  введите базовое отличительное имя каталога, в котором должен выполняться поисковый запрос.
13. В поле Пользовательские поля учетных записей AD укажите дополнительные атрибуты, с использованием которых вы хотите обогащать события.

    Перед настройкой обогащения событий с помощью пользовательских атрибутов убедитесь, что пользовательские атрибуты настроены в AD.

    Чтобы обогащать события учетными записями с помощью пользовательских атрибутов:

    1. Добавьте Пользовательские атрибуты учетных записей AD в Параметрах подключения к LDAP.

       Невозможно добавить стандартные Импортируемые атрибуты из AD в качестве пользовательских. Например, если вы захотите добавить стандартный атрибут accountExpires в качестве пользовательского атрибута, при сохранении параметров подключения KUMA вернет ошибку.

       Из Active Directory можно запросить следующие атрибуты учетных записей:

       • accountExpires
       • badPasswordTime
       • cn
       • company
       • department
       • displayName
       • distinguishedName
       • division
       • employeeID
       • ipaUniqueID
       • l
       • mail
       • mailNickname
       • managedObjects
       • manager
       • memberOf (по этому атрибуту события можно искать при корреляции)
       • mobile
       • objectGUID (этот атрибут запрашивается из Active Directory всегда)
       • objectSid
       • physicalDeliveryOfficeName
       • sAMAccountName
       • sAMAccountType
       • sn
       • streetAddress
       • telephoneNumber
       • title
       • userAccountControl
       • userPrincipalName
       • whenChanged
       • whenCreated

       После того, как вы добавите пользовательские атрибуты в Параметрах подключения к LDAP, раскрывающийся список LDAP-атрибуты в коллекторе будет автоматически дополнен. Пользовательские атрибуты можно отличить по знаку вопроса рядом с именем атрибута. Если для нескольких доменов вы добавили один и тот же атрибут, в раскрывающемся списке атрибут будет указан один раз, а домены можно просмотреть, если навести курсор на знак вопроса. Названия доменов отображаются в виде ссылок: если вы нажмете на ссылку, домен автоматически добавится в Сопоставление с учетными записями LDAP, если прежде он не был добавлен.

       Если вы удалили пользовательский атрибут в Параметрах подключения к LDAP, удалите вручную строку с атрибутом из таблицы сопоставления в коллекторе. Информация об атрибутах учетных записей в KUMA обновляется каждый раз после того, как вы выполните импорт учетных записей.  

    2. Импортируйте учетные записи.
    3. В коллекторе в таблице Обогащение полей KUMA задайте правила сопоставления полей KUMA с атрибутами LDAP.
    4. Перезапустите коллектор.

       После перезапуска коллектора KUMA начнет обогащать события учётными записями.

        

14. Нажмите на кнопку Создать.

LDAP-подключение к Active Directory создано и отображается в окне Интеграция с LDAP-сервером.

Информация об учетных записях из Active Directory будет запрошена сразу после сохранения подключения, а затем будет обновляться с указанной периодичностью.

Если вы хотите использовать одновременно несколько LDAP-подключений для одного тенанта, вам нужно убедиться, что адрес контроллера домена, указанный в каждом из этих подключений, является уникальным. Иначе KUMA позволяет включить только одно из этих подключений. Порт при проверке адреса контроллера домена на уникальность не проверяется.

В начало