Настройка аутентификации LDAP

Kaspersky CyberTrace поддерживает аутентификацию пользователей LDAP, что обеспечивает возможность аутентификации пользователя в веб-интерфейсе Kaspersky CyberTrace под доменной учетной записью. В этом разделе описывается порядок настройки данного типа аутентификации. Сведения о параметрах подключения LDAP см. в справке по настройке.

Kaspersky CyberTrace поддерживает использование Active Directory® только в том случае, если контроллер домена работает под управлением Windows. Использование Active Directory с контроллерами домена на базе Linux возможно, но не гарантируется.

Корневой сертификат сервера Active Directory должен находиться в системном хранилище операционной системы, в которой установлено приложение Kaspersky CyberTrace.

Вкладка Пользователи LDAP страницы Настройка → Пользователи позволяет выполнять следующие действия:

• Включение аутентификации LDAP
• Настройка подключения
• Тестирование соединения с сервером LDAP
• Настройка фильтрации учетных записей

Включение аутентификации LDAP

Чтобы включить аутентификацию LDAP, выполните следующие действия:

1. Нажмите на кнопку Настройка LDAP.
2. В открывшемся окне Настройка LDAP включите переключатель Включено.

В результате сервер LDAP будет использоваться для аутентификации пользователей.

При включенной аутентификации LDAP с Kaspersky CyberTrace можно работать и под учетной записью локального пользователя.

Connection settings

В разделе Настройка соединения на странице Настройка LDAP можно указать следующие настройки:

• IP-адрес или полное доменное имя (FQDN) и порт сервера LDAP.

  Используйте порты глобального каталога для подключения к серверу LDAP: порт 3268 для StartTLS, а также для подключения без шифрования; и порт 3269 для TLS.

• Защита соединения с помощью SSL

  В веб-интерфейсе Kaspersky CyberTrace можно включить использование защищенного соединения с сервером LDAP выбрав SSL/TLS или STARTTLS. По умолчанию выбран протокол SSL/TLS.

  В Linux при подключении к серверу LDAP Kaspersky CyberTrace проверяет сертификаты.

  Каталог с сертификатами /etc/ssl/certs содержит символическую ссылку на корневой сертификат. Имя ссылки содержит хеш сертификата. Также каталог обязательно должен содержать символические ссылки на все сертификаты. В противном случае соединение не будет включено, даже если цепочка сертификатов доступна в каталоге /etc/ssl/certs.

  При работе на Linux deb формат имени сертификата задается утилитой update-ca-certificates.

  При работе на Linux rpm формат имени сертификата задается пользователем вручную с помощью команды openssl x509 -in YOUR_CERT_FILE -hash –noout.

  Если включено безопасное соединение, Kaspersky CyberTrace использует для аутентификации сервера LDAP сертификаты из каталога /etc/ssl/certs.

• Путь к базе данных LDAP

  Путь к базе данных, содержащей учетные записи пользователей, которым разрешен доступ к Kaspersky CyberTrace.

  Значение должно начинаться с dc=.

Тестирование соединения с сервером LDAP

Выполните действия в описанном ниже порядке, чтобы убедиться, что соединение с сервером LDAP установлено.

Чтобы протестировать соединение с сервером LDAP, выполните следующие действия:

1. Нажмите кнопку Проверка соединения.

   Откроется окно Проверка соединения с LDAP.

2. Задайте следующие настройки:
   • Имя пользователя для тестового соединения
   • Пароль пользователя для тестового соединения
3. Нажмите на кнопку Проверить.

Проверить соединение можно только в том случае, если указаны все необходимые настройки для подключения к серверу.

Фильтрация учетных записей

Раздел Фильтрация учетных записей содержит правила фильтрации учетных записей администраторов и аналитиков.

Настроить можно следующие свойства:

• Формат учетной записи

  Можно выбрать один из двух форматов:

  • UPN-имя (user@domain.com)

    Если выбран этот вариант, при выполнении аутентификации пользователи должны предоставить имя пользователя, которое не является адресом электронной почты (например, user, но не user@domain.com).

  • Имя учетной записи sAM (Domain\\User)

    Если выбран этот вариант, при выполнении аутентификации пользователи должны предоставить имя пользователя в следующем формате: Domain\User.

• Фильтр для администраторов

  Фильтр для учетных записей пользователей LDAP, определяющий, каким пользователям должна быть назначена роль «Администратор» в зависимости от их общего имени в Active Directory.

  Если это значение не задано, пользователи не могут осуществлять вход посредством аутентификации LDAP и получать роль «Администратор».

• Фильтр для аналитиков

  Фильтр для учетных записей пользователей LDAP, определяющий, каким пользователям должна быть назначена роль «Аналитик» в зависимости от их общего имени в Active Directory.

  Если это значение не задано, пользователи не могут осуществлять вход посредством аутентификации LDAP и получать роль «Аналитик».

  Например, на рисунке ниже фильтры настроены таким образом, что пользователям, входящим в группу Admins, будет назначаться роль «Administrator», а пользователям, входящим в группу Operators или Analysts, будет назначаться роль «Analyst».

  

  Пример фильтров учетных записей

Если элементы AdministratorAccountsFilter и AnalystAccountsFilter файла kl_feed_service.conf содержат значения, а пользователь, пытающийся войти в систему, не входит ни в одну из указанных групп, Kaspersky CyberTrace вернет ошибку и запретит доступ к веб-интерфейсу для этого пользователя.

Фильтрация учетных записей для тенантов

Раздел Фильтрация учетных записей для тенантов содержит правила фильтрации учетных записей менеджеров тенантов и аналитиков для тенантов, добавленных в Kaspersky CyberTrace.

Для каждого тенанта можно настроить следующие свойства:

• Фильтр для менеджеров тенанта

  Фильтр для учетных записей пользователей LDAP, определяющий, каким пользователям должна быть назначена роль «Менеджер тенанта» в зависимости от их общего имени в Active Directory.

  Если значение не указано, в данном тенанте ни один пользователь не имеет этой роли.

• Фильтр для аналитиков

  Фильтр для учетных записей пользователей LDAP, определяющий, каким пользователям должна быть назначена роль «Аналитик» в зависимости от их общего имени в Active Directory.

  Если значение не указано, в данном тенанте ни один пользователь не имеет этой роли.

В начало