Sentinel Rapid Deployment unterstützt die LDAP-Authentifizierung neben der Datenbank-Authentifizierung. Sie können Benutzern erlauben, sich bei Sentinel Rapid Deployment unter Verwendung ihrer Novell eDirectory- oder Microsoft Active Directory-Berechtigung anzumelden, indem Sie einen Sentinel Rapid Deployment-Server für die LDAP-Authentifizierung konfigurieren.
Abschnitt 3.7.3, Konfigurieren des Sentinel-Servers für die LDAP-Authentifizierung
Abschnitt 3.7.4, Konfigurieren mehrerer LDAP-Server zur Ausfallsicherheit
Abschnitt 3.7.5, Konfigurieren der LDAP-Authentifizierung für mehrere Active Directory-Domänen
Abschnitt 3.7.6, Anmeldung unter Verwendung von LDAP-Benutzerberechtigungsnachweisen
Sie können den Sentinel Rapid Deployment-Server für die LDAP-Authentifizierung über eine sichere SSL-Verbindung konfigurieren. Dabei kann die Verwendung anonymer Suchen im LDAP-Verzeichnis zugelassen oder nicht zugelassen werden.
HINWEIS:Sollte die anonyme Suche im LDAP-Verzeichnis nicht möglich sein, dürfen Sie auch den Sentinel Rapid Deployment-Server nicht für die Verwendung der anonymen Suche konfigurieren.
Anonyme Suche: Wenn Sie LDAP-Benutzerkonten für Sentinel Rapid Deployment erstellen, müssen Sie den Verzeichnisbenutzernamen angeben. Es ist nicht notwendig, den eindeutigen Benutzernamen (DN) anzugeben.
Wenn sich der LDAP-Benutzer bei Sentinel Rapid Deployment anmeldet, führt der Sentinel Rapid Deployment-Server basierend auf dem angegebenen Benutzernamen eine anonyme Suche im LDAP-Verzeichnis durch, findet den zugehörigen DN und authentifiziert die Benutzeranmeldung im LDAP-Verzeichnis unter Verwendung des DN.
Nicht-anonyme Suche: Wenn Sie LDAP-Benutzerkonten für Sentinel Rapid Deployment erstellen, müssen Sie den Verzeichnisbenutzernamen und den eindeutigen Benutzernamen (DN) angeben.
Wenn sich der LDAP-Benutzer bei Sentinel Rapid Deployment anmeldet, authentifiziert der Sentinel Rapid Deployment-Server die Benutzeranmeldung im LDAP-Verzeichnis unter Verwendung des angegebenen Benutzer-DN und führt keine anonyme Suche im LDAP-Verzeichnis durch.
Für Active Directory steht eine weitere Methode zur Verfügung. Weitere Informationen finden Sie unter Nicht-anonyme LDAP-Authentifizierung unter Verwendung des UserPrincipalName-Attributs in Active Directory.
Die sichere SSL-Verbindung zum LDAP-Server erfordert das LDAP-Server-CA-Zertifikat, das Sie in eine Base64-kodierte Datei exportieren müssen.
eDirectory: Weitere Informationen hierzu finden Sie unter Exporting an Organizational CA's Self-Signed Certificate (Exportieren eines von einer Zertifizierungsstelle der Organisation selbst signierten Zertifikats).
Um ein eDirectory-CA-Zertifikat in iManager exportieren zu können, müssen die Novell Certificate Server-Plugins für iManager installiert sein.
Active Directory: Weitere Informationen hierzu finden Sie unter Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle.
Um die LDAP-Authentifizierung unter Verwendung der anonymen Suche durchführen zu können, muss diese im LDAP-Verzeichnis aktiviert werden. Standardmäßig ist die anonyme Suche in eDirectory aktiviert und in Active Directory deaktiviert.
Beachten Sie Folgendes, wenn Sie die anonyme Suche im LDAP-Verzeichnis aktiveren möchten:
eDirectory: Lesen Sie die Informationen zu ldapBindRestrictions im Abschnitt Attributes on the LDAP Server Object (Attribute des LDAP-Serverobjekts).
Active Directory: Das Benutzerobjekt „ANONYMOUS LOGON“ muss mit ausreichenden Berechtigungen für den Listen- und Lesezugriff auf die Attribute sAMAccountName und objectclass ausgestattet sein. Weitere Informationen finden Sie unter Konfigurieren von Active Directory, um anonyme Abfragen zu ermöglichen.
Für Windows Server 2003 ist zusätzlicher Konfigurationsaufwand erforderlich. Weitere Informationen finden Sie unter Configuring Active Directory on Windows Server 2003 (Konfigurieren von Active Directory auf Windows Server 2003).
Stellen Sie sicher, dass Sie die in Abschnitt 3.7.2, Voraussetzungen aufgeführten Voraussetzungen erfüllen.
Melden Sie sich beim Sentinel Rapid Deployment-Server als root-Benutzer an.
Kopieren Sie die Datei mit dem exportierten LDAP-Server-CA-Zertifikat in das Verzeichnis <Installationsverzeichnis>/config.
Definieren Sie den Eigentümer der Zertifikatdatei und die Zugriffsrechte darauf:
chown novell:novell <Installationsverzeichnis>/config/<cert-file>
chmod 700 <Installationsverzeichnis>/config/<cert-file>
Wechseln Sie zum Benutzer novell:
su - novell
Wechseln Sie in das Verzeichnis <Installationsverzeichnis>/bin.
Führen Sie das Skript für die Konfiguration der LDAP-Authentifizierung aus:
./ldap_auth_config.sh
Das Skript sichert die Konfigurationsdateien auth.login und configuration.xml im Verzeichnis config als auth.login.sav und configuration.xml.sav, bevor sie für die LDAP-Authentifizierung geändert werden.
Legen Sie die folgenden Werte fest:
Drücken Sie die Eingabetaste, um den Standardwert zu übernehmen, oder geben Sie einen neuen Wert ein, der den vorgegebenen Wert überschreibt.
Sentinel install location (Sentinel-Installationsverzeichnis): Das Installationsverzeichnis auf dem Sentinel-Server.
LDAP server hostname or IP address (Hostname oder IP-Adresse des LDAP-Servers): Der Hostname bzw. die IP-Adresse des Computers, auf dem der LDAP-Server installiert ist. Der Standardwert ist „localhost“. Der LDAP-Server sollte jedoch nicht auf demselben Computer wie der Sentinel Log Manager-Server installiert sein.
LDAP server port (LDAP-Server-Port): Die Portnummer für die sichere LDAP-Verbindung. Die Standard-Portnummer lautet 636.
Anonymous searches on LDAP directory (Anonyme Suchen im LDAP-Verzeichnis): Geben Sie y ein, wenn anonyme Suchen möglich sein sollen. Anderenfalls geben Sie n ein. Der Standardwert ist y.
Wenn Sie n angeben, führen Sie die LDAP-Konfiguration und die Schritte durch, die in Abschnitt LDAP-Authentifizierung ohne anonyme Suchen beschrieben sind.
LDAP Directory used (Verwendetes LDAP-Verzeichnis): Dieser Parameter wird nur dann angezeigt, wenn Sie anonyme Suchen zugelassen haben. Geben Sie „1“ für Novell eDirectory oder „2“ für Active Directory ein. Der Standardwert ist 1.
LDAP subtree to search for users (Nach Benutzern zu durchsuchender LDAP-Teilbaum): Dieser Parameter wird nur dann angezeigt, wenn Sie anonyme Suchen zugelassen haben. Der Teilbaum im Verzeichnis, der die Benutzerobjekte enthält. Die folgenden Beispiele zeigen, wie Teilbäume in eDirectory und Active Directory angegeben werden:
eDirectory:
ou=users,o=novell
HINWEIS:Wird in eDirectory kein Teilbaum angegeben, wird die Suche im gesamten Verzeichnis durchgeführt.
Active Directory:
CN=users,DC=TESTAD,DC=provo, DC=novell,DC=com
HINWEIS:Bei Active Directory muss der Teilbaum angegeben werden.
Filename of the LDAP server certificate (Dateinamen des LDAP-Server-Zertifikats): Der Dateiname des Zertifizierungsstellenzertifikats für eDirectory bzw. Active Directory CA, das Sie in Schritt 3 kopiert haben.
Geben Sie einen der folgenden Befehle ein:
y, um die eingegebenen Werte zu übernehmen
n, um neue Werte einzugeben
q, um die Konfiguration abzubrechen
Bei erfolgreicher Konfiguration:
Das LDAP-Server-Zertifikat wird dem Keystore <Installationsverzeichnis>/config/ldap_server.keystore hinzugefügt.
Die Konfigurationsdateien auth.login und configuration.xml im Verzeichnis <Installationsverzeichnis>/config werden aktualisiert, um die LDAP-Authentifizierung zuzulassen.
Geben Sie y ein, um den Sentinel-Dienst erneut zu starten.
WICHTIG:Sollten Fehler auftreten, machen Sie die Änderungen rückgängig, die Sie an den Konfigurationsdateien auth.login und configuration.xml im Verzeichnis config vorgenommen haben:
cp -p auth.login.sav auth.login cp -p configuration.xml.sav configuration.xml
(Bedingt) Wenn Sie n für Anonymous searches on LDAP directory (Anonyme Suchen im LDAP-Verzeichnis): angegeben haben, fahren Sie mit LDAP-Authentifizierung ohne anonyme Suchen fort.
Wenn Sie bei der Konfiguration von Sentinel Rapid Deployment für die LDAP-Authentifizierung festgelegt haben, dass anonymen Suchen im LDAP-Verzeichnis nicht zulässig sind, führt die LDAP-Authentifizierung keine anonymen Suchen durch.
Wenn Sie das LDAP-Benutzerkonto über das Sentinel Control Center erstellen, müssen Sie für die nicht-anonyme LDAP-Authentifizierung die angeben. Sie können diesen Ansatz sowohl für eDirectory als auch für Active Directory verwenden.
Weitere Informationen finden Sie unter Creating an LDAP User Account for Sentinel
(Erstellen eines LDAP-Benutzerkontos) im Sentinel Rapid Deployment User Guide (Sentinel Rapid Deployment-Benutzerhandbuch).
Darüber hinaus gibt es für Active Directory einen alternativen Ansatz zur Durchführung der LDAP-Authentifizierung ohne anonyme Suchvorgänge. Weitere Informationen finden Sie in Nicht-anonyme LDAP-Authentifizierung unter Verwendung des UserPrincipalName-Attributs in Active Directory.
In Active Directory können Sie LDAP-Authentifizierung ohne anonyme Suchen auch mithilfe des Attributs „userPrinicipalName“ durchführen:
Stellen Sie sicher, dass das userPrinicipalName-Attribut für den Active Directory-Benutzer mit <sAMAccountName@domain> definiert ist.
Weitere Informationen finden Sie unter User-Principal-Name Attribute.
Stellen Sie sicher, dass Sie die Schritte Schritt 1 bis Schritt 10 durchgeführt und bei der Eingabeaufforderung Anonymous searches on LDAP directory (Anonyme Suchen im LDAP-Verzeichnis): ein n eingegeben haben.
Bearbeiten Sie auf dem Sentinel-Server den Abschnitt LdapLogin in der Datei <Installationsverzeichnis>/config/auth.login:
LdapLogin {
com.sun.security.auth.module.LdapLoginModule required
userProvider="ldap://LDAP server IP:636/DN of the Container that contains the user objects"
authIdentity="{USERNAME}@Domain Name"
userFilter="(&(sAMAccountName={USERNAME})(objectclass=user))"
useSSL=true;
};
Beispiel:
LdapLogin {
com.sun.security.auth.module.LdapLoginModule required
userProvider="ldap://137.65.151.12:636/DC=Test-AD,DC=provo,DC=novell,DC=com"
authIdentity="{USERNAME}@Test-AD.provo.novell.com"
userFilter="(&(sAMAccountName={USERNAME})(objectclass=user))"
useSSL=true;
};
Starten Sie den Sentinel-Dienst neu:
/etc/init.d/sentinel stop
/etc/init.d/sentinel start
So konfigurieren Sie einen oder mehrere LDAP-Server als Failover-Server für die LDAP-Authentifizierung:
Stellen Sie sicher, dass die Schritte Schritt 2 bis Schritt 10 zur Konfiguration des Sentinel-Servers für die LDAP-Authentifizierung über den primären LDAP-Server durchgeführt wurden.
Melden Sie sich beim Sentinel-Server als der Benutzer novell an.
Beenden Sie den Sentinel-Dienst.
/etc/init.d/sentinel stop
Wechseln Sie in das Verzeichnis <Installationsverzeichnis>/config.
cd <Installationsverzeichnis>/config
Öffnen Sie die Datei auth.login zum Bearbeiten.
vi auth.login
Aktualisieren Sie den Parameter userProvider im Abschnitt „LdapLogin“ und geben Sie mehrere LDAP-URLs an. Trennen Sie die URLs durch ein Leerzeichen.
Beispiel:
userProvider="ldap://ldap-url1 ldap://ldap-url2"
Bei Active Directory darf der Teilbaum in der LDAP-URL nicht leer sein.
Weitere Informationen zur Angabe mehrerer LDAP-URLs finden Sie in der Beschreibung der Option userProvider unter Class LdapLoginModule.
Speichern Sie die Änderungen.
Exportieren Sie das Zertifikat für jeden Failover-LDAP-Server und kopieren Sie die Zertifikatdatei in das Verzeichnis <Installationsverzeichnis>/config auf dem Sentinel-Server.
Weitere Informationen finden Sie unter Exportieren des LDAP-Server-CA-Zertifikats.
Stellen Sie sicher, dass die Zertifikatdatei für jeden Failover-LDAP-Server mit den notwendigen Einstellungen für Eigentümerschaft und Berechtigungen versehen ist.
chown novell:novell <Installationsverzeichnis>/config/<cert-file>
chmod 700 <Installationsverzeichnis>/config/<cert-file>
Fügen Sie jedes Failover-LDAP-Server-Zertifikat dem Keystore ldap_server.keystore zu, der in Schritt 8 im Abschnitt Konfigurieren des Sentinel-Servers für die LDAP-Authentifizierung erstellt wird.
<Installationsverzeichnis>/jre64/bin/keytool -importcert -noprompt -trustcacerts -file <certificate-file> -alias <alias_name> -keystore ldap_server.keystore -storepass sentinel
Ersetzen Sie <certificate-file> durch den Namen der Datei mit dem LDAP-Zertifikat im Base64-verschlüsselten Format und <alias_name> durch den Aliasnamen für das zu importierende Zertifikat.
WICHTIG:Die Angabe des Aliasnamens ist erforderlich. Wird kein Aliasname angegeben, verwendet das Keytool standardmäßig mykey als Aliasnamen. Wenn Sie mehrere Zertifikate in den Keystore importieren, ohne einen Aliasnamen anzugeben, meldet das Keytool als Fehler, dass der Aliasname bereits vorhanden ist.
Starten Sie den Sentinel-Dienst.
/etc/init.d/sentinel start
Der Dienst stellt möglicherweise keine Verbindung zu dem Failover-LDAP-Server her, wenn auf dem Sentinel-Server eine Zeitüberschreitung stattfindet, bevor er feststellt, dass der primäre LDAP-Server nicht zur Verfügung steht. So stellen Sie sicher, dass der Sentinel-Server ohne Zeitüberschreitung eine Verbindung zu dem Failover-LDAP-Server herstellt:
Melden Sie sich beim Sentinel-Server als root-Benutzer an.
Öffnen Sie die Datei sysct1.conf zum Bearbeiten:
vi /etc/sysctl.conf
Stellen Sie sicher, dass der net.ipv4.tcp_syn_retries den Wert „3“ hat. Wenn der Eintrag nicht vorhanden ist, fügen Sie ihn hinzu. Speichern Sie die Datei:
net.ipv4.tcp_syn_retries = 3
Führen Sie die Befehle aus, damit die Änderungen wirksam werden:
/sbin/sysctl -p
/sbin/sysctl -w net.ipv4.route.flush=1
Definieren Sie den Zeitüberschreitungswert für den Sentinel-Server, indem Sie in den Dateien control_center.sh und solution_designer.sh im Verzeichnis <Installationsverzeichnis>/bin den Parameter -Desecurity.remote.timeout=60 hinzufügen:
control_center.sh:
"<Installationsverzeichnis>/jre/bin/java" $MEMORY -Dcom.esecurity.configurationfile=$ESEC_CONF_FILE -Desecurity.cache.directory="<Installationsverzeichnis>/data/control_center.cache" -Desecurity.communication.service="sentinel_client" -Dfile.encoding=UTF8 -Desecurity.dataobjects.config.file="/xml/BaseMetaData.xml,/xml/WorkflowMetaData.xml,/xml/ActMetaData.xml" -Djava.util.logging.config.file="<Installationsverzeichnis>/config/control_center_log.prop" -Djava.security.auth.login.config="<Installationsverzeichnis>/config/auth.login" $SENTINEL_LANG_PROP $SENTINEL_CTRY_PROP -Dice.pilots.html4.baseFontFamily="Arial Unicode MS" -Desecurity.remote.timeout=60 -jar ../lib/console.jar
solution_designer.sh:
"<Installationsverzeichnis>/jre/bin/java" -classpath $LOCAL_CLASSPATH $MEMORY -Dcom.esecurity.configurationfile="$ESEC_CONF_FILE" -Dsentinel.installer.jar.location="<Installationsverzeichnis>/lib/contentinstaller.jar" -Desecurity.communication.service="sentinel_client" -Dfile.encoding=UTF8 -Desecurity.dataobjects.config.file="/xml/BaseMetaData.xml,/xml/WorkflowMetaData.xml,/xml/ActMetaData.xml" -Djava.util.logging.config.file="<Installationsverzeichnis>/config/solution_designer_log.prop" -Djava.security.auth.login.config="<Installationsverzeichnis>/config/auth.login" $SENTINEL_LANG_PROP $SENTINEL_CTRY_PROP -Desecurity.cache.directory=../data/solution_designer.cache -Desecurity.remote.timeout=60 com.esecurity.content.exportUI.ContentPackBuilder
Wenn sich die zu authentifizierenden LDAP-Benutzer in mehreren Active Directory-Domänen befinden, können Sie den Sentinel Rapid Deployment-Server wie folgt für die LDAP-Authentifizierung konfigurieren:
Stellen Sie sicher, dass Sie Schritt 2 bis Schritt 10 durchgeführt haben, um den Sentinel-Server für die LDAP-Authentifizierung anhand des Active Directory-Domänencontrollers der ersten Domäne zu konfigurieren. Stellen Sie außerdem sicher, dass Sie n für Anonymous searches on LDAP directory (Anonyme Suchen im LDAP-Verzeichnis): angegeben haben.
Melden Sie sich beim Sentinel-Server als der Benutzer novell an.
Beenden Sie den Sentinel-Dienst.
/etc/init.d/sentinel stop
Wechseln Sie in das Verzeichnis <Installationsverzeichnis>/config.
cd <Installationsverzeichnis>/config
Öffnen Sie die Datei auth.login zum Bearbeiten.
vi auth.login
Geben Sie im Abschnitt LdapLogin mehrere LDAP-URL-Adressen, jeweils durch ein Leerzeichen getrennt, ein.
Beispiel:
LdapLogin {
com.sun.security.auth.module.LdapLoginModule required
userProvider="ldap://<IP of the domain 1 domain controller>:636 ldap://<IP of the domain 2 domain controller>:636"
authIdentity="{USERNAME}"
useSSL=true;
};
Weitere Informationen zur Angabe mehrerer LDAP-URLs finden Sie in der Beschreibung der Option userProvider unter Class LdapLoginModule.
Speichern Sie die Änderungen.
Exportieren Sie das Zertifikat des Domänencontrollers jeder Domäne und kopieren Sie die Zertifikatsdateien in das Verzeichnis <Installationsverzeichnis>/config auf dem Sentinel-Server.
Weitere Informationen finden Sie in Exportieren des LDAP-Server-CA-Zertifikats.
Achten Sie darauf, die erforderliche Eigentümerschaft und die erforderlichen Berechtigungen der Zertifikatsdateien festzulegen.
chown novell:novell <Installationsverzeichnis>/config/<cert-file>
chmod 700 <Installationsverzeichnis>/config/<cert-file>
Fügen Sie jedes Zertifikat dem Keystore ldap_server.keystore zu, der in Schritt 8 im Abschnitt Konfigurieren des Sentinel-Servers für die LDAP-Authentifizierung erstellt wird.
<Installationsverzeichnis>/jre64/bin/keytool -importcert -noprompt -trustcacerts -file <certificate-file> -alias <alias_name> -keystore ldap_server.keystore -storepass sentinel
Ersetzen Sie <certificate-file> durch den Namen der Datei mit dem LDAP-Zertifikat im Base64-verschlüsselten Format und <alias_name> durch den Aliasnamen für das zu importierende Zertifikat.
WICHTIG:Die Angabe des Aliasnamens ist erforderlich. Wird kein Aliasname angegeben, verwendet das Keytool standardmäßig mykey als Aliasnamen. Wenn Sie mehrere Zertifikate in den Keystore importieren, ohne einen Aliasnamen anzugeben, meldet das Keytool als Fehler, dass der Aliasname bereits vorhanden ist.
Starten Sie den Sentinel-Dienst.
/etc/init.d/sentinel start
Nachdem Sie den Sentinel-Server für die LDAP-Authentifizierung konfiguriert haben, können Sie im Sentinel Control Center LDAP-Benutzerkonten erstellen. Weitere Informationen finden Sie unter Creating an LDAP User Account for Sentinel
(Erstellen eines LDAP-Benutzerkontos) im Sentinel Rapid Deployment User Guide (Sentinel Rapid Deployment-Benutzerhandbuch).
Wurde das LDAP-Benutzerkonto erstellt, können Sie sich bei der Weboberfläche von Sentinel Rapid Deployment, beim Sentinel Control Center und beim Sentinel Solution Designer mit Ihrem LDAP-Benutzernamen und -Passwort anmelden.
HINWEIS:Soll die vorhandene LDAP-Konfiguration geändert werden, können Sie das Skript ldap_auth_config erneut ausführen und andere Parameterwerte angeben.