Настройка аутентификации LDAP

Kaspersky CyberTrace поддерживает аутентификацию пользователей LDAP, что обеспечивает возможность аутентификации пользователя в веб-интерфейсе Kaspersky CyberTrace под своей доменной учетной записью. В этом разделе описывается порядок настройки данного типа аутентификации. Сведения о параметрах подключения LDAP см. в справке по настройке.

Kaspersky CyberTrace поддерживает использование Active Directory® только в том случае, если контроллер домена работает под управлением Windows. Использование Active Directory с контроллерами домена на базе Linux возможно, но не гарантируется.

Корневой сертификат сервера Active Directory должен находиться в системном хранилище операционной системы, в которой установлено приложение Kaspersky CyberTrace.

Раздел LDAP позволяет выполнять следующие действия:

• Включение аутентификации LDAP
• Настройка подключения
• Тестирование соединения с сервером LDAP
• Настройка фильтрации учетных записей

Включение аутентификации LDAP

Чтобы включить аутентификацию LDAP, выполните следующие действия:

Включите переключатель LDAP is on.

В результате сервер LDAP будет использоваться для аутентификации пользователей.

При включенной аутентификации LDAP с Kaspersky CyberTrace можно работать и под учетной записью локального пользователя.

Connection settings

В разделе Connection settings на вкладке LDAP можно указать следующие настройки:

• IP-адрес или полное доменное имя (FQDN) и порт сервера LDAP

  Используйте порты глобального каталога для подключения к серверу LDAP: порт 3268 для StartTLS, а также для подключения без шифрования; и порт 3269 для TLS.

• Защита соединения с помощью SSL

  В веб-интерфейсе Kaspersky CyberTrace можно включить использование защищенного соединения с сервером LDAP выбрав SSL/TLS или STARTTLS. По умолчанию выбран протокол SSL/TLS.

  В Linux при подключении к серверу LDAP Kaspersky CyberTrace проверяет сертификаты.

  Папка с сертификатами /etc/ssl/certs содержит символьную ссылку на корневой сертификат. Название ссылки содержит хеш сертификата. Также необходимо, чтобы папка содержала символические ссылки на все сертификаты. В противном случае соединение не будет включено, даже если цепочка сертификатов доступна в папке /etc/ssl/certs.

  При работе на Linux deb формат имени сертификата задается утилитой update-ca-certificates.

  При работе на Linux rpm формат имени сертификата задается пользователем вручную с помощью команды openssl x509 -in YOUR_CERT_FILE -hash –noout.

  Если включено безопасное соединение, Kaspersky CyberTrace использует для аутентификации сервера LDAP сертификаты из каталога /etc/ssl/certs.

• Путь к базе данных LDAP

  Путь к базе данных, содержащей учетные записи пользователей, которым разрешен доступ к Kaspersky CyberTrace.

Тестирование соединения с сервером LDAP

Выполните действия в описанном ниже порядке, чтобы убедиться, что соединение с сервером LDAP установлено.

Чтобы протестировать соединение с сервером LDAP, выполните следующие действия:

1. Нажмите на ссылку Test connection with LDAP.

   Откроется окно Test connection with LDAP.

2. Задайте следующие настройки:
   • Имя пользователя для тестового соединения
   • Пароль пользователя для тестового соединения
3. Нажмите на кнопку Test.

Проверить соединение можно только в том случае, если указаны все необходимые настройки для подключения к серверу.

Фильтрация учетных записей

Раздел Accounts filtering содержит правила фильтрации учетных записей администраторов и аналитиков.

Настроить можно следующие свойства:

• Account format

  Можно выбрать один из двух форматов:

  • User Principal Name

    Если выбран этот вариант, при выполнении аутентификации пользователи должны предоставить имя пользователя, которое не является адресом электронной почты (например, user, но не user@domain.com).

  • SAM Account Name

    Если выбран этот вариант, при выполнении аутентификации пользователи должны предоставить имя пользователя в следующем формате: Domain\User.

• Administrator accounts filter

  Фильтр для учетных записей пользователей LDAP, определяющий, каким пользователям должна быть назначена роль «Administrator» в зависимости от их общего имени в Active Directory.

  Если это значение не указано, всем пользователям, которые входят в систему с использованием аутентификации LDAP и проходят фильтр учетных записей аналитика, будет назначена роль «Analyst».

• Analyst account filter

  Фильтр для учетных записей пользователей LDAP, определяющий, каким пользователям должна быть назначена роль «Analyst» в зависимости от их общего имени в Active Directory.

  Если это значение не указано, всем пользователям, которые входят в систему с использованием аутентификации LDAP и не проходят фильтр учетных записей администратора, будет назначена роль «Analyst».

  Например, на рисунке ниже фильтры настроены таким образом, что пользователям, входящим в группу Admins, будет назначаться роль «Administrator», а пользователям, входящим в группу Operators или Analysts, будет назначаться роль «Analyst».

  

  Пример фильтров учетных записей

Если элементы AdministratorAccountsFilter и AnalystAccountsFilter файла kl_feed_service.conf содержат значения, а пользователь, пытающийся войти в систему, не входит ни в одну из указанных групп, Kaspersky CyberTrace вернет ошибку и запретит доступ к веб-интерфейсу для этого пользователя.

В начало