تكوين كائن مصادقة LDAP على نظام FireSIGHT

المقدمة

كائنات المصادقة هي توصيفات خادم لخوادم المصادقة الخارجية، تحتوي على إعدادات الاتصال وإعدادات مرشح المصادقة لتلك الخوادم. يمكنك إنشاء كائنات المصادقة وإدارتها وحذفها في مركز إدارة FireSIGHT. يوضح هذا المستند كيفية تكوين كائن مصادقة LDAP على نظام FireSIGHT.

تكوين كائن مصادقة LDAP

1. تسجيل الدخول إلى واجهة مستخدم الويب الخاصة بمركز إدارة FireSIGHT.

2. انتقل إلى النظام > محلي > إدارة المستخدم.

حدد علامة تبويب مصادقة تسجيل الدخول.

انقر على إنشاء كائن مصادقة.

3. حدد أسلوب مصادقة ونوع خادم.

• أسلوب المصادقة: LDAP
• الاسم: <اسم كائن المصادقة>
• نوع الخادم: MS Active Directory

ملاحظة: الحقول المميزة بالعلامات النجمية (*) مطلوبة.

4. حدد اسم مضيف خادم النسخ الاحتياطي الأساسي واسم مضيف خادم النسخ الاحتياطي أو عنوان IP. خادم النسخ الاحتياطي إختياري. ومع ذلك، يمكن إستخدام أي وحدة تحكم بالمجال ضمن المجال نفسه كخادم نسخ إحتياطي.

ملاحظة: على الرغم من أن منفذ LDAP هو الإعداد الافتراضي للمنفذ 389، إلا أنه يمكنك إستخدام رقم منفذ غير قياسي يقوم خادم LDAP بالإصغاء إليه.

5. حدد المعلمات الخاصة ب LDAP كما هو موضح أدناه:

تلميح: يجب تحديد سمات المستخدم والمجموعة و OU قبل تكوين المعلمات الخاصة ب LDAP. قراءة هذا المستند للتعرف على سمات كائن LDAP ل Active Directory لتكوين كائن المصادقة.

• شبكة DN الأساسية - المجال أو شبكة DN الخاصة
• عامل التصفية الأساسي - شبكة DN الخاصة بالمجموعة التي ينتمي إليها المستخدمون.
• اسم المستخدم - حساب التمثيل للتيار المستمر
• كلمة السر: <password>
• تأكيد كلمة المرور: <password>

الخيارات المتقدمة:

• التشفير: SSL أو TLS أو لا شيء
• مسار تحميل شهادة SSL: تحميل شهادة CA (إختياري)
• قالب اسم المستخدم: ٪s
• المهلة (بالثواني):30

في إعداد نهج أمان المجال الخاص ب AD، إذا تم تعيين متطلبات توقيع خادم LDAP على يتطلب التوقيع، فيجب إستخدام SSL أو TLS.

متطلبات توقيع خادم LDAP

• none: توقيع البيانات غير مطلوب للربط مع الخادم. إذا طلب العميل توقيع البيانات، سيقوم الخادم بدعمه.
• يتطلب التوقيع: ما لم يكن TLS\SSL قيد الاستخدام، يجب التفاوض بشأن خيار توقيع بيانات LDAP.

ملاحظة: لا يلزم الحصول على شهادة من جانب العميل أو شهادة CA (شهادة CA) لنقاط الوصول من المستوى الأدنى (LDAP). ومع ذلك، سيكون هذا مستوى إضافي من تأمين شهادة CA يتم تحميله إلى كائن المصادقة.

6. تحديد تعيين السمة

• سمة الوصول إلى واجهة المستخدم: sAMAccountName
• سمة Shell Access: sAMAccountName

تلميح: إذا واجهت رسالة "مستخدمين غير مدعومين" في إخراج الاختبار، قم بتغيير سمة الوصول إلى واجهة المستخدم إلى userPrincipalName وتأكد من تعيين قالب اسم المستخدم على ٪s.

7. تكوين أدوار الوصول المتحكم بها بواسطة المجموعة

في ldp.exe، استعرض كل مجموعة وانسخ رقم DN للمجموعة المطابقة إلى كائن المصادقة كما هو موضح أدناه:

• <Group Name> Group DN: <group dn>
• سمة عضو المجموعة: يجب أن يكون دائما عضوا

مثال:

• مسؤول مجموعة DN: CN=DC، CN=مجموعات الأمان، DC=VirtualLab، DC=محلي
• سمة عضو المجموعة: عضو

تحتوي مجموعة أمان AD على سمة عضو يتبعها DN الخاص بالمستخدمين الأعضاء. يشير الرقم السابق لسمة العضو إلى عدد المستخدمين الأعضاء.

8. حدد نفس عامل التصفية الأساسي لعامل تصفية الوصول إلى Shell، أو حدد السمة memberOf كما هو موضح في الخطوة 5.

عامل تصفية الوصول إلى Shell: (memberOf=<group DN>)

على سبيل المثال،

عامل تصفية الوصول إلى Shell: (memberOf=CN=Shell users،CN=Security Groups،DC=VirtualLab،DC=local)


9. حفظ كائن المصادقة وإجراء إختبار. تبدو نتيجة الاختبار الناجحة كما يلي:

 
10. بمجرد إجتياز كائن المصادقة للاختبار، قم بتمكين الكائن في نهج النظام وأعد تطبيق النهج على الجهاز الخاص بك.

مستند ذو صلة

• تعريف سمات كائن LDAP لخدمة Active Directory لتكوين كائن المصادقة